今天 一部重磅法律实施 向这个千亿级黑产业宣战！

本篇文章2581字，读完约6分钟

2017年6月1日不仅是一年一度的儿童节，也是《中华人民共和国网络安全法》生效的日子。

这是中国网络领域的基本法，明确规定要加强对个人信息的保护。例如，网络运营商不应破坏其收集的个人信息，微博等新媒体应纳入互联网新闻信息服务的许可管理，重要的网络产品应接受安全审查...这项法律的实施也意味着从今天起，中国的信息安全产业将进入一个新的时代。

个人信息和在线欺诈已经成为网络安全的重灾区

昨天(5月31日)，由“互联网女王”玛丽·米克发布的2017年互联网趋势报告指出，全球互联网用户数量已超过34亿，同比增长10%，全球互联网普及率达到46%。

随着互联网用户数量的迅速增加，网络安全问题越来越受到重视。就国内网络安全市场而言，两年前，国家商报(micro-signal: nbdnews)记者了解到，目前的发展趋势是，虽然网络安全市场还处于起步阶段，但国内网络安全市场的规模将呈现爆炸式增长，未来可能催生万亿级市场。现在看来，黑灰行业运转得更快了。

网络黑灰产业已经形成了一条巨大的产业链。根据中国互联网协会发布的《2016年中国网民权益保护与调查报告》，从2015年下半年到2016年上半年，中国网民因垃圾邮件、欺诈信息、个人信息泄露等遭受的经济损失高达915亿元。

“中国网络黑灰色产业的产值已经达到每年1000亿。我们的网络安全总产值不到300亿，其中黑灰色产业造成的损失至少是原来的20倍。”阿里巴巴集团安全部门副总裁杜跃进表示:“他们中的许多人(黑灰色行业从业者)比我们更好地使用大数据，能够非常准确地获取数据并进行准确的欺诈。”

针对个人信息披露问题，《网络安全法》明确规定，如果网络产品和服务具有收集用户信息的功能，其提供者应表达并获得用户的同意；网络运营商不得泄露、篡改或损害其收集的个人信息；任何个人或者组织不得以其他非法手段窃取或者获取个人信息，不得非法出售或者非法向他人提供个人信息。

今天实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，进一步明确了侵犯公民个人信息罪的定罪量刑标准。根据刑法，侵犯公民个人信息罪要求“情节严重”。在解释中，明确了非法获取、出售或提供50多条跟踪信息、通讯内容、信用信息和财产信息被视为“情节严重”。

“金矿”大数据更有可能成为攻击目标

在过去的五月里，计算机网络软件“战无不胜”，影响了150多个国家和地区，并夺取了30万台计算机。

就在病毒蔓延之际，5月16日，一家名为“影子经纪人”(Shadow Broker)的幕后组织提出了一种新的“商业模式”，计划直接出售恶意代码和数据，具体细节将在6月份公布。据说这些待售数据包括swift国际转账网络的银行数据。中国工程院院士沈昌祥在数字博览会上明确指出，这次大规模网络攻击的最终目标不是以前的计算机系统和设备，而是数据。

一位数据安全专家告诉《国家商业日报》(micro-signal: nbdnews)，一些人把大数据比作“垃圾”，而另一些人把大数据比作“金矿”。大数据有很高的价值，但价值的含金量很低。“大数据时代的安全性需要涵盖数据的整个生命周期。一些看似混乱和无价值的数据可能不需要安全保护，但经过处理后，它就有价值并变得敏感。价值越高，风险就越大。”

另一方面，还有数据真实性的问题。数据是一种资产，正在被交易。上述数据安全专家提到，“在交易过程中可能会伪造一些虚假数据，当数据资源库中混入有意制造的虚假数据时，进行挖掘和分析将导致可怕的后果。”

《网络安全法》还关注数据安全和数据保护。第二十一条数据安全应当明确规定:网络运营商应当按照网络安全等级保护系统的要求，防止网络数据被泄露、窃取或者篡改。采取数据分类、重要数据备份和加密等措施。

这一次，《网络安全法》向各级主体，如公安、企业和个人指出了责任主体。网络安全专家说，网络安全法所重视的不是某个数据或某个系统的安全，而是整个组织的安全。主体需要承担责任。“比如，平台上的信息泄露，作为一个操作者，也许你昨天的不作为与此无关。但从今天起，如果你不采取行动，你将承担责任。”

以单位为主体的安全不仅可以抵御外部攻击，事实上，数据安全威胁往往来自内部，这往往高于来自外部的蓄意攻击。内部威胁不仅仅是盗窃，还有滥用和误用。

建立主动防御系统

归根结底，网络安全是一场游戏。魔法高度是一英尺，但是道路高度是一英尺。

有些人把进攻端和防守端比作矛和盾的关系。做信息安全就是做盾牌。做挡箭牌不能闭门造车。它依赖于外面的矛，而一个相对开放的系统可以知道它是否能抵抗其他人的攻击。

沈昌祥说，由于人们对它的认知逻辑的限制，他们不能穷尽所有的组合，而只能完成设计it系统的计算任务。不完整的逻辑必然存在缺陷，这使得人们很难处理使用缺陷的攻击。“人体也有许多缺陷，但它能健康生活的原因是免疫系统。”沈昌祥说，有必要将被动防御转变为主动免疫保护。

2005年以前，安全行业固守“入侵检测、防火墙和反病毒”的旧方式，进行传统防御，追求静态的“绝对安全”，依靠发现、分析和处理威胁的落后防御思想。然而，动态防御追求动态的“相对安全”，这种动态的“相对安全”是在黑暗中动态变化的，攻击者的调查和分析结果并不是每次都是系统的。

北京大卫科技有限公司首席执行官张长河提到，中国的许多安全产品仍然是10年前的产品，防御技术在攻击后没有得到改善。当攻击者发现一个漏洞时，就有可能打开整个网络的漏洞。防守方很难捍卫所有的安全。

“目前的防御我把它定义为一个固定的目标，等待别人的攻击。如果它是一个移动的目标，如果你有一个玩牌程序，你可以击中它。但如果这是一个随机目标，那就非常困难了。”针对动态防御的想法，张长河向记者做了生动的解释:

如果爬到山顶是攻击者的目标，传统的防御是让他每天爬10米。动态防御如何安全？给攻击者5分钟，5分钟后他不能爬到山顶，5分钟后，山消失了，这座山消失了，或者另一座山出现了。

也就是说，时间的概念被添加到最初的防御概念中，防御思想和防御策略随着时间而变化。攻击者对网络的检测和信息的获取在此时是真实的，而在此之后将变得不真实。

幸运的是，一些地方政府已经开始改变被动防御的思路，将应急和事后处置的“羊后追赶”转变为预警和动态保护的“事前计划”。