現在，我們的工作和生活越來越離不開互聯網。可是在享受諸多網絡帶來的便利同時，我們也把大量的個人資訊和私密數據都留在了互聯網上。比如，用手機上的幾乎任何一款APP，都會要求填寫個人資訊，或者收集微信、微博賬號之類的。再比如，網購點東西，可能個人資訊就會留存在電商企業、快遞公司的係統裏。而如果這些互聯網平臺不能很好地保護個人資訊，那麼，大規模的資訊泄露就不可避免。最近警方破獲的幾起案件又給我們提了個醒。

　　近期，江蘇淮安警方偵破了一起駭客攻擊快遞公司資訊後臺數據的案件。

　　當時，某快遞公司頻繁接到客戶投訴，通過該快遞公司網購某些商品後，很快就會接到類似商品的推銷電話，甚至還有詐騙電話。客戶懷疑，快遞公司泄露了自己的資訊。

　　警方偵查後發現，這個快遞公司的資訊係統後臺已經被駭客攻破，大量的用戶數據已經被竊取。

　　據警方介紹，一共扣押了300G的數據，經初步梳理，大概有1億條左右公民資訊。

　　隨著互聯網經濟以及雲計算、大數據技術的發展，越來越多的個人資訊集中在各種網絡平臺係統之中。專業人士指出，相比于此前駭客盯上個人手機，通過木馬病毒等竊取個體的資訊，現在更多的駭客把目標盯上了各種集中了大量資訊的平臺。

　　淮安市公安局清江浦分局情報技術中心副主任沙俊説：“這些數據很鮮活，物流資訊往往包含公民的姓名、手機號、家庭地址，還有買賣快遞的時間，這種資訊對于後期詐騙也好，或者推銷商務産品也好，都可以更準確地對人群進行定位、分類。”

　　警方調查後表明，這些精準的個人資訊，根據新舊標價不同，用途也不同，老舊的資訊被賣給做推銷的，最新的資訊則被賣給做詐騙的，海量的個人資訊買賣背後，是巨大的經濟利益。警方抓獲的四名犯罪嫌疑人，一年時間就非法獲利100萬。

　　資訊數量大、獲利多，近年來，由于防護不到位，眾多平臺被駭客等攻破，大面積資訊泄露事件頻頻發生。而這種泄露，給個人的生命和財産安全，帶來極大隱患。

　　2016年，剛參加完高考的山東考生徐玉玉，正是因為山東教育部門係統被駭客攻破，導致個人資訊泄露，遭遇精準的電信詐騙，不幸去世。

　　中國科學院數據與通信保護研究教育中心主任荊繼武説：“有80%的人的個人資訊都曾經錄入過，這是大概的統計，大部分人的資訊已經在網上了。我們發現大量的公司在發展過程當中，保護手段還沒有做得太好。很多用戶也擔心自己的資訊被泄漏，這也達到了80%，説明我們百姓的網絡安全意識在提高。”

　　專家指出，互聯網大數據時代，資訊互聯互通，網絡安全已經成為一個整體。個人資訊泄露導致的後果，決不僅僅是損害個人的生命和財産安全，深度的數據挖掘和分析會給國家網絡安全帶來極大挑戰。

　　中國網絡安全産業聯盟理事長肖新光説：“從網絡安全法可以看到，網絡安全與四個層面是相關的。分別是國家安全、社會安全、機構安全和個人安全，一個公民的個人數據，從本身相對來看，是關乎到他的個人生命財産安全。但是如果是大量公民的個人數據聚合在一起，實際上就會與上面的三個層次安全都息息相關。”

　　除了大數據挖掘背景下，個人資訊泄露帶來的國家網絡安全威脅，近年來，直接針對國家重點機密數據的有組織駭客攻擊也是不斷發生，並且越來越隱蔽。

　　近日，安天實驗室發布報告，安天在協助政府監管部門應急響應中，發現並持續監測到一個針對我國的網絡攻擊組織。該組織活躍數年，主要針對政府部門、航空、軍事相關科研機構進行攻擊，主要目標是竊取高價值數據和機密資訊，魚叉釣魚郵件是其慣用攻擊手段。

　　安天實驗室網絡安全工程師關墨辰説：“通過倣冒會議主辦方，或者相關的培訓機構發會議的邀請，培訓的邀請，誘使你去點擊；或者模擬倣冒評獎單位，讓你推薦候選人，誘使你打開惡意郵件的附件。打開這些郵件的時候，就會利用漏洞突破你本機的防護，讓具備遠端控制能力的木馬植入進來，全權控制你的機器，竊取你機器上所有的數據。任何一個文件，他想要的時候，隨時隨地可以拿走，這種控制是持續，不間斷的。”

　　這個駭客組織被安天實驗室命名為“綠斑”。不僅目標明確，“綠斑”的攻擊已經持續多年，活動頻繁，相比于那種被攻擊後電腦會出現運作緩慢，CPU、記憶體佔用率極高的普通攻擊，遭受“綠斑”攻擊後的電腦，雖然關鍵文檔和數據會被竊取，但表面看基本沒有異常表現，發現起來也更難。

　　目前，我國已經成為遭受網絡攻擊最多的國家之一。其中，金融、能源、電力、通信、交通等領域的關鍵資訊基礎設施，是經濟社會運作的神經中樞，也是網絡重點攻擊的目標。

　　安天實驗室模擬了一個常見的攻擊過程。

　　關墨辰説：“我們模擬整個電力係統，它有兩大部分，一部分是數據中心區，對電力進行控制和服務進行收集數據；另外一個是辦公區，辦公區是做日常維護的工作。即便是這個網絡比較隔離，它還是有日常維護的工作要做。比如説終端要進行升級，需要訪問互聯網，偽裝的程式就偽裝成了正常的升級程式，通過防火牆進入到內部。在內部執行升級程式的時候是沒有什麼感覺的，但是這個升級程式會利用漏洞，在網絡進行橫向的傳播偵查，毀壞和破壞網內的電腦，最終數據區域的機器破壞掉之後，整個電力供應就會出現問題。”

　　除了外來的“駭客”，平臺“內鬼”是造成個人資訊和數據泄露的另一個主要原因。近年來，“內鬼”事件多次被曝出。前不久，江蘇常州警方破獲一起特大侵犯公民資訊案，這個案件中內鬼多達48名，涵蓋銀行、衛生、教育、社保、快遞、保險、網購、汽修等多個行業。買賣的資訊包括個人徵信、車輛資訊、開房住宿、收貨地址等數十個種類實時資訊。

　　這位某銀行原信貸部副經理，就是一名“內鬼”，利用職務之便，他以每條30塊錢的價格賣掉了單位資訊係統中3000多個客戶的徵信資訊，其中包括姓名、身份證號碼、家庭住址、工作單位等。

　　那麼，在資訊更多向平臺聚集的互聯網大數據時代，平臺如何防住外來的“駭客”和係統內的“內鬼”呢？

　　針對“駭客”，很多平臺正在構築綜合和縱深的防禦體係。

　　專家指出，網絡安全是一場攻守戰，針對技術越來越高的駭客攻擊，單點環節已經無法保障數據安全，必須有一個體係化的防禦機制，並且根據威脅不斷動態創新，才能構築安全屏障。

　　中國網絡安全産業聯盟理事長肖新光説：“總體上來看，它是一個以架構安全為基礎，以縱深防禦形成相應的層次，以態勢感知和積極防禦為整個的工作目標和核心，再融入到威脅情報這樣一個疊加演進的工作。”

　　針對泄露個人資訊的“內鬼”，很多平臺設置了安全內控體係和審計監督機制。以某移動支付平臺為例，現在其用戶已經達到7億，每天平臺有上億筆交易，事關每個用戶的錢袋子，保障個人資訊和用戶安全是其工作的重中之重。為此，平臺設置了專人專崗，每次操作都會記錄操作人、操作內容、操作時間、操作對象等資訊，同時利用大數據和人工智慧係統進行監督。

　　“內鬼”和駭客行為都屬于違法犯罪，為了加強打擊力度，我國相關立法也在不斷完善。

　　我國《刑法修正案（九）》中加入了侵犯公民個人資訊罪這個新罪名，隨後兩高司法解釋明確非法獲取、出售或提供50條以上徵信、財産等公民個人資訊，即構成刑事犯罪。

　　同時，針對內、外兩方面造成的網絡安全威脅，平臺應該怎麼做，從法律的層面，也越來越明確。網絡安全法明確規定：網絡運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止資訊泄露、毀損和丟失。同時明確，關鍵資訊基礎設施的運營者應當履行安全保護責任。

　　法律責任更明確，公安、網信等機關對于違法行為打擊力度也在不斷加大。

　　就在本屆人大剛剛公布的立法計劃中，針對個人資訊和國家數據安全，《個人資訊保護法》、《數據安全法》這兩部法律已經被明確列入立法規劃。

　　中國社會科學院法學研究所研究員周漢華認為，除了立法，還得建立一個有效的監管體係，有力的執法結構，科學的執法方法，有威懾力的執法手段，以及執法的監督制約機制，形成一個社會共治的結構。每一個人都來關心，既關心個人資訊的保護，也關心國家數據的安全。

　　如果不能很好地保護個人資訊，那麼，我們每個人都可能是透明人，都可能是受害者。之所以頻頻發生個人資訊的大規模泄露，一個重要原因還是互聯網平臺企業沒有盡到責任，對內對外的防護都不到位。所以不僅要在法律層面盡快完善立法、嚴格執法，互聯網企業如何在管理層面、技術層面防止漏洞變黑洞，也是刻不容緩。“網絡安全為人民、網絡安全靠人民”。國家、社會、企業、個人共同努力，各負其責，讓互聯網成為安全網，我們工作生活才會更放心、更安心。（焦點訪談）

【糾錯】

責任編輯： 郝多