原标题:网络安全软件需重设安全等级

科技观察

对于关乎国计民生、公共利益的关键信息基础设施的运营者,必须纳入等级保护管理的范畴。

两年前的4月19日,习近平总书记在全国网络安全和信息化工作座谈会上指出,维护网络安全是全社会的共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。两年来,在“互联网+”的政策引导下,互联网行业得到进一步发展,但网络安全问题也凸显出来。

比如前段时间央视《经济半小时》曝光的两款免费蹭网软件。这种蹭网软件在没有确认其是否就是WiFi建立者的情况下就接收并保存了WiFi密码,属于明知有问题而放任不管的行为,其目的不过是为了更加方便地获取他人WiFi网络的密码。这种行为已经违反了《网络安全法》。

它暴露出一些监管漏洞,因此相关监管部门还应进一步加强监管工作,做好网络安全的预防和应对工作。

蹭网类软件安全之门大开

蹭网类软件对WiFi密码保存存在明显的安全防护缺失。以WiFi钥匙软件为例,它们是通过第三方root工具获取系统管理权限后可以查看密码。这说明WiFi钥匙软件没有加密保存WiFi密码,否则即使获得了系统管理权限也不应该能轻易查看WiFi密码,明文保存WiFi登录密码存在巨大的安全风险。

因此,WiFi钥匙软件缺乏有效的安全防护措施,否则不可能仅仅凭借一个root工具就能够轻而易举地获得系统管理权限。这样的系统对于有经验的黑客或组织则如同大门敞开一般来去无阻。

WiFi万能钥匙声称其“一直重视对密码的保护,对密码采用128位非对称加密”,即使果真如其所述,那么非对称加解密的公私密钥由谁掌握?显然加解密的密钥都由WiFi万能钥匙公司保管,那么其安全性就存在问题。

WiFi已经成为网民日常上网的主要途径,甚至一些重要国家机关、金融机构也建有WiFi网络,因此应该将大量的WiFi网络看作是关键信息基础设施。而蹭网类软件掌握着覆盖全国的海量WiFi网络密码,如果这些数据被窃取或故意转让,则极有可能被黑客组织甚至敌对势力所利用,窃取重要机密信息,如果配以恶意程序甚至可导致全国范围的大面积WiFi断网,引发社会恐慌。

这类软件公司已经成为关乎国计民生、公共利益的关键信息基础设施的运营者,必须纳入相应等级保护管理范畴,政府应确定其应该达到的等保等级,责令其采取相应级别的等保措施,并定期接受等保检查。

技术筛查要代替媒体曝光

目前市场上有大量的移动应用程序,这些应用程序是否也存在侵犯用户隐私数据等恶意行为呢?

这不能指望媒体来一一检查这些应用程序。监管部门可以要求移动应用程序商店的运营商加强对移动应用程序的技术监管力度和水平,可以将人工智能技术应用于网络安全,利用机器学习、深度学习等模型来学习窃取用户隐私等恶意行为的特征,和专家知识库结合实现对海量移动应用程序的自动化的安全检查,提高检测的效率和准确性。

同时公开部分测试样本软件,鼓励科研院所和科技公司参与到相关检测技术的研究中,持续提高检测算法的准确性。对于涉及保存、传输、使用关键信息基础设施信息的软件要求他们提交源程序,由专业安全检测机构检查其代码是否存在安全漏洞。

监管部门还可以研究如何让高校、科研机构、科技公司和移动应用商店运营商优势互补地有机融合到一起,协同创新提供安全技术和服务,为广大网民提供安全的应用程序。

完善网络安全法体系

同时,相关法律体系仍要继续健全,对于触犯网络安全行为加大处罚力度。

今年3月,国外媒体报道了剑桥分析通过Facebook获取超过5000万名用户的信息数据,这些数据被用来操纵2016年美国大选。海量的个人信息不仅可以使不良商家获得巨大经济效益,甚至有可能产生社会和政治影响。中国拥有全世界最多的网民,如此巨量的个人信息如果被别有用心者利用,则有可能产生巨大的社会震动。

《网络安全法》相当于网络空间安全的基本法,必须进一步健全网络安全的法律体系,发布相关实施细则,制定更有针对性的软件安全、数据安全、隐私保护等技术标准。对于违反《网络安全法》的个人和企业,必须做到严格执法,处罚合理,否则《网络安全法》则形同虚设。

芦效峰(北京邮电大学软件安全中心副主任)