网络中毒泄密事件屡见 专家称应制定手机安全标准【谢君泽专栏-8】
本文来源于法制日报
越来越多的人已经开始被手中的智能手机牵着鼻子走。
近日全国范围大面积爆发手机木马病毒,据报道波及用户达几十万人。始作俑者虽然已被神速找到,但是受害人基本只能自认倒霉。虽然这款病毒只是针对安卓系统的手机用户,但是智能手机的另一大用户群体苹果手机最近也不太平。近日,苹果公司承认可以通过“后门”提取用户数据,这一消息随即引起轩然大波,俄罗斯政府已经要求苹果提供源代码,公职人员禁用苹果智能手机也被炒得沸沸扬扬。
既然已经回不到“通讯靠吼”的年代,那么又该如何在信息时代保护好个人信息安全,甚至国家网络安全呢?手机安全问题从来不是一蹴而就的。信息安全行业有句话:所谓安全,是三分技术七分管理。仅有技术,而没有相应的法律法规,显然是不能实现有效作用的。
尽快制定网络安全技术标准
不得不承认,在给工作生活带来极大便利的同时,智能手机、平板电脑等对个人信息的泄露也呈疯狂之势。此外,随着无线通信技术的不断发展,像利用“伪基站”等各种新型犯罪也层出不穷。这不仅要求从法律上明确这些新型犯罪,也对侦查机关针对新型犯罪的办案能力提出新要求。
“必须加快网络安全立法进程。网络安全的技术标准制定是网络安全立法内容之一。”中国人民大学物证技术鉴定中心副主任、中国电子学会计算机取证专家委员会专委谢君泽近日在接受《法制日报》记者采访时指出,不管是手机还是电脑,制定切实可行的系统安全标准已成为当务之急。
谢君泽介绍,近些年来,世界很多发达国家都在致力此项工作。美国就一直在推进网络安全技术标准的制定。美国《2010年网络安全加强法案》的发起人之一、美国众议院科技委员会主席戈登曾明确表示:这个法案将推动美国加大联邦网络安全研发投入,积极参与制定形成国际网络安全技术标准。而美国《2012年网络安全法案》更是直接提出私营的关键基础设施公司必须遵守由政府制定的计算机系统安全标准,虽然该法案最终未获通过。
“我国制定的网络安全法应定性为网络的基本法。从立法技术上讲,在基本法中规定具体详细的网络安全技术标准是不太可行的。但如何制定网络安全技术标准及其法律效力,是网络安全法必须要明确的内容。”谢君泽说,“包括手机安全技术标准在内的各类具体技术标准,可以在网络安全法的下位法中专门规定。从这个意义上讲,这些具体的网络安全技术标准,都属于网络安全法体系的内容。”
此外,谢君泽建议,为了保障手机用户的安全,建立手机犯罪应急响应机制也十分必要。“据我了解,在手机木马病毒事件发生后,中国电信、中国移动、中国联通各自采取了多项应急处理措施。如,中国电信启动全网处置行动,中国移动实施全网拦截和封堵并通过官方微博预警;中国联通实施关键字拦截和WAP网关拦截。这无疑是手机犯罪应急响应机制的一次重要探索,这能否成为一种常规性的工作机制并在相关法律规定中加以明确,是十分值得思考的问题。”谢君泽说。
行业标准只能作为推荐标准
记者近日从工信部权威部门获悉,涉及智能终端的个人信息保护的行业标准正在制定中,出台后通过规范移动智能终端的安全技术标准与测试方法,可提高智能终端的安全性。
据一位业内专家介绍,此行业标准出台如果能得到手机生产企业落实,可以一定程度上改善手机安全问题。目前该行业标准已经进行数次讨论,但也存在一些争议和分歧,最主要的是关于标准合理性以及最终如何落地。
“目前很多有实力且有责任感的大公司在没有行业标准的现状下,自己制定企业标准,比如做一些应用软件的加固。但如果没有法律法规的强制要求,行业标准只能作为推荐标准,其效果也将大打折扣。”这位专家直言。
这位专家介绍,制定该行业标准首要的关键问题是,识别出哪些内容属于对用户影响最大最重要的个人信息,比如涉及到个人的位置信息、邮件短信、电子商务的账户密码以及个人的照片视频等。其次,对这些信息设置具体的安全机制,并最终可以在智能终端上体现。最后,出台相关的验证方案并落地。
“这可能会涉及到手机芯片的改动,加大厂商的研发成本和生产成本,操作系统的改变也将带来很大的工作量。因此厂家和通信运营商在落地问题上仍存在不小分歧。”这位专家同时指出,“他们都希望能保护好用户的个人信息,也希望技术和管理两方面能有效结合起来。一旦出现问题,如果有了相应的民事、行政、刑事等惩罚手段,会起到很好的规制作用。”
必须拿出自主过硬操作系统
据谢君泽介绍,这次所谓的“超级手机病毒”本身的技术含量其实并不高,众多手机用户中招的原因可以归结为两个:一是手机用户对于开源手机系统的技术知识和安全隐患都缺少了解,二是开源手机系统的安全设计本身不够科学。
所谓的开源手机系统,就是源代码全部公开的手机系统。安卓就是典型的开源手机系统。这种系统有利于系统的二次开发和应用程序的兼容安装,然而安全性、可靠性很难保证,恶意程序便有了活跃的空间。
“由于开源手机系统安全隐患要大得多,所以,开源手机系统应当提高安全标准。这种安全标准,既可以体现在技术上,也可以体现在管理功能上。”谢君泽说,比如,在这次手机病毒事件中,在手机短信、手机浏览器中收到安装文件时,如果安卓系统设置更为明显的警告,告知手机用户其中潜在风险,可能会大大减少中毒手机的数量。
谢君泽特别强调指出,这次事件影射出一个更大的问题是我国缺少自主的智能手机系统。目前,国内智能手机的操作系统基本上都是谷歌Andriod系统、苹果的IOS系统和微软的WindowsPhone系统。我国不仅缺少自主的桌面操作系统,也缺少自主的手机操作系统。
“Android系统由于是开放源代码,因此得到各大智能手机产商的青睐。然而,开源的另一方面问题就是Android系统面临着更大的安全隐患。这次超级手机病毒只针对Android系统,就足以说明这个问题。要根治手机安全问题,中国必须拿出自主的手机操作系统,而且必须是技术过硬的手机操作系统。”谢君泽说。
欢迎大家加入科技杂谈菁英汇,交流思想、分享信息。仅限行业商端人士参与。参与方式:点击左下方“阅读原文”填写您的加入信息,科技杂谈通过审核后,会添加入群。
本文仅代表作者观点,科技杂谈授权刊登。
转载必须注明作者与科技杂谈,侵权必究。
科技杂谈文章,均同步发布于犀牛财经网。
已入驻搜狐新闻客户端,网易阅读客户端。