安全分析:互联网隐私保护 升级迫在眉睫!

“虽然我喜欢喝茶,但不喜欢老在MSN上莫名其妙地收到推销茶叶的链接。”网友小陈最近一直很烦,因为他无意中在某网站曝光了自己喜欢喝茶的爱好,并留下了自己的MSN,从此就不断在MSN上被一些促销链接所骚扰。

和小陈有过类似经历的网友不在少数。随着互联网的不断发展,网络安全成为了全世界都关心的问题。尽管各大安全厂商都在不断进行着技术上的升级,网民因为隐私泄露而遭遇损失的事件数量却出现了上升的势头。对此,有分析人士指出,为在源头上根除安全隐患,现有的网络隐私保护理念已亟须升级换代。

最大威胁来自木马病毒泛滥

在网速不断提升的同时,网民所面临的安全问题也在不断加大,稍有不慎就可能面临着自己敏感信息的泄露,而网上各种各样层出不穷的“门事件”就是很好的例子。

据安全专家介绍,当前网民信息的泄露主要有以下几个原因:首先是人为的泄露,比如“艳照门”事件;其次就是木马病毒,当木马病毒入侵用户的电脑之后就能窃取用户的隐私;另外一种安全隐患则由网站和软件服务的提供商所导致,他们对用户信息提交的信息使用不善,没有给用户提供充分的知情权,可能会导致用户重要信息的泄露。

其中,网民的隐私保护所面临的最大威胁就是木马病毒的泛滥。工信部电信研究院网络与信息安全中心主任魏亮日前指出,挂马网站已经成为威胁国内互联网安全的主要因素,仅2009年第一季度,挂马网页数量就超过了1.9亿,共有8亿人次网民遭木马攻击。

在木马病毒的背后,是巨大的利益在作祟。按照估计,中国的木马产业链一年的收入已经达到了上百亿元。在去年江苏徐州宣判的全国最大制售“木马”病毒案中,其涉案金额就高达3000多万元。据悉,这起全国最大制售“木马”病毒案至少造成800余万个游戏玩家的游戏账号密码、游戏装备被盗,使网易等13家游戏公司遭受重大经济损失。

从目前的情况来看,黑客技术在不断扩散,而在互联网上,以获利为目的的木马病毒开始在互联网泛滥,并成为一条重要的产业链。从制造木马、传播木马到盗窃账户信息,再到通过第三方平台销赃继而洗钱,黑客们分工明显,早已形成一个非常完善的流水性作业程序。

安全意识薄弱导致泄密

在木马病毒泛滥的同时,用户网络安全意识也成为了制约网络安全发展的重要因素,但是国内很多用户至今还存在网络安全意识薄弱的状况。据CNNIC数据显示,74.2%的网民不更换或者很少更换密码,依照使用地点更换密码的用户只有4.8%,每月更换以及每周更换的比例更低,分别为5.2%和1.9%。因此,除了相关部门通过法律、技术等手段打击黑客产业外,网民也应提高网络安全及隐私保护意识。

与网民的安全意识薄弱相比,不少互联网公司乃至安全软件的安全意识薄弱更容易让信息的泄露成为可能。此前,中国软件评测中心对婚恋交友网站、游戏、招聘网站、电子商务领域62家网站的个人信息保护情况进行了调查,并发布了《2009年网站个人信息保护测评报告》。根据现有的测评结果,网站的个人隐私保护现状不容乐观。

在此次调查中,多数网站的个人隐私保护政策存在不完善的现状;大部分网站没有准确说明收集个人信息的内容和用途;部分网站收集了过多不必要的信息;部分网站随意转移、公开个人信息;部分网站没有采用安全方式进行密码数据传输等问题。

从另一方面来看,当前很多网民对于互联网企业的应用和软件非常依赖,但是他们因为没有知情权所以同互联网企业间的信任关系非常脆弱。据安全专家介绍,很多时候,企业也懒得和不懂技术的网民说明,即便说明了反而会遭致更多的误解,这导致用户和互联网公司之间在安全方面的信任关系难以建立。目前,涉及这些问题的互联网公司包括搜索、输入法、浏览器等厂商甚至安全软件本身。

源代码托管能否化解危机

按照此前的报道,当前流行的隐私保护政策核心概念是“通知和选择”,即网站会声明他们的隐私保护策略,用户可以就经常访问的网站和自己的隐私等级进行选择。不过,由于互联网上数据收集的泛滥,这种方式已无法很好地保护用户的隐私,需要进行全面改进。

在国内市场,部分安全厂商已开始进行相应的调整。上周,奇虎360对外公布《用户隐私保护承诺》,称360保证不会侵犯用户任何隐私信息,同时宣布将360卫士、杀毒以及保险箱等产品的源代码交给中国信息安全评测中心托管和监测,以便用户随时监督。

据悉,源代码托管是信息技术产品的开发厂商借助第三方权威机构来证实其质量或安全性承诺的一种方式。厂商会以这种方式向公众表明,它的产品中没有故意制造的人为缺陷。由于源代码体现着一个软件产品的核心技术价值,通常软件的开发商都将其视为公司的核心秘密加以保护。今后,任何对360软件存在质疑的用户都可以提出申请,评测中心可以在接到申请后,对信息技术产品以及代码进行检测,查明其有无安全隐患以及是否符合国家标准规定。

在互联网法律专家于国富看来,源代码托管有两点好处,首先是托管后源代码没法进行替代,其次是通过源代码鉴定机构,也可以看出一个软件到底在做什么,到底安全不安全。

对于奇虎360的此次举措,其他的安全软件厂商似乎并不买账。趋势科技相关人士指出,只要产品会进行互联网更新,所有的厂家都要保证客户在使用其产品时隐私信息都不会传递或需要进行加密防护,而这不只是杀毒软件的问题。但在目前,公开托管无法解决根本问题。瑞星相关人士告诉记者,作为关系到网民隐私的重要产品,主流安全软件每年都要通过公安部的严格检测,在这种监管之下,任何主流安全产品都应该是安全、有效的。而“没有后门、不侵犯用户隐私”只是安全产品的底线,并不是什么超出常规的非常举措。

另外一家国内安全厂商则表示,用的户隐私保护是对安全厂商最基本、最起码的要求,真正意义上的安全厂商都不会去触碰用户的隐私,因为收费杀毒软件起码有最基本的经济基础,可以支撑公司的运营;而免费的安全软件最后可能会走广告的模式,精准广告的模式必定要涉及到用户的隐私,比如说用户的习惯、经常搜索的关键字等等。

尽管源代码托管面临着很多质疑,但中国互联网协会助理秘书长石现升指出,随着互联网的普及、网民的人数逐渐增多,安全意识和要求越来越多,会有越来越多的互联网公司采取这种措施。