“棱镜门”反思：云服务等信息安全亟需立法保护

　　目前，云服务已广泛使用，但存在的安全风险却不可小觑，亟须加强信息安全立法，建立一整套信息安全保障体系。

　　近几年，“云”的概念越来越火，云服务越来越多：音乐分享、文档分享、通讯录同步、在线购物……原本储存在电脑本机上的Word文档，现在越来越多地被储存在Google Docs上;原来存在硬盘上的音乐、照片，现在也许放在了苹果iCloud里;原来的QQ聊天记录，也被储存在了腾讯的服务器中。

　　云端服务频遭黑客攻击

　　“云服务这项技术，需要将用户信息、办公系统，乃至商业机密上传到云端数据库，以便在需要时随时调用。可以想象这些储存了用户资料的‘云’，一旦出现漏洞遭到攻击，其影响和损失巨大。”瑞星安全专家唐威说。

　　目前，针对储存有价值的资料进行“云”攻击，正成为黑客的新方向，入侵服务器把用户数据库、财务数据库等重要信息“盗窃”出来的“拖库”事件频频发生，2011年发生的多起恶性事件至今令人难忘：

　　4月，索尼PSN网络遭攻击，入侵者窃取了大约7700万份个人信息以及2700万个云音乐服务账户，受影响的用户超过1亿人。

　　4月，服务于1800万博客和网站的Wordpress.com遭到攻击，入侵者盗走了部分源代码和资料，导致VIP客户的隐私信息外泄。

　　6月，新浪微博遭遇跨站攻击蠕虫侵袭，微博用户中招后会自动向自己的粉丝发送含毒私信和微博，有人点击后会再次中毒，形成恶性循环。

　　12月，天涯、CSDN等一批著名网站数据库连续外泄，数千万网民的账号、密码等个人资料被公开。

　　随着“棱镜门”事件越来越多的爆料，“云”的安全性再次引发人们的关注。

　　“不能因汽车会导致车祸，就不发展汽车产业了。”北京大学网络与软件安全保障实验室主任陈钟认为，云服务是一个大的发展趋势，具有重大意义，“关键是要解决好安全问题。”

　　要建立完善的信息安全制度

　　“从‘棱镜门’事件可以看出，当前国际信息对抗日趋严重，同行业之间的竞争也愈加激烈，然而，目前国内很多企业对信息安全建设的概念仅仅停留在简单安装杀毒软件的层面，这是远远不够的。”唐威说，杀毒软件只能解决病毒相关问题，却不能解决由系统管理不严、员工操作不当和黑客入侵引发的安全问题。“信息安全体系建设，不只是用信息安全产品搭建一个堡垒，更重要的是建立一套完善的信息安全制度”。

　　专家指出，想要将信息安全方面的风险降至最低，从“软件”上来说，需要一套分工明确、责任清晰的信息安全管理制度;而从“硬件”上来说，企业不但需要能够对运维工作进行监管，同时也需要对运维人员操作权限进行明确分工、限制。

　　现在有这样一些现象：有的单位对于员工上网浏览行为会规定的非常严格，一般不允许浏览新闻、看电影、聊天等，有的单位就管理松散，有时企业管理人员也会利用办公电脑打打扑克，在工作之余进行休闲娱乐活动。“发生在伊朗的‘震网’病毒事件，就是由于信息安全体系出现疏漏而造成的。”陈钟提示到。

　　“即使在保密等级比较高的网络中，仍然有许多基本安全保护措施未得到贯彻执行。”唐威说。一项抽样调查显示，45%的主机系统未及时弥补高风险补丁，70%以上的内部网存在弱口令，未安装防火墙，不能防范黑客攻击等等。

　　业内人士认为，对于信息安全的保护，应当从安全流程和安全产品两方面共同着力。一方面，信息安全不再是分散的、技术上的简单概念，应与管理、基础建设、应急处理等宏观设计统一起来;另一方面，针对不同行业、不同规模、不同安全级别的企事业及政府单位，应量身定制完整的安全解决方案。

　　信息安全亟须立法保护

　　专家表示，与欧美发达国家相比，我国信息安全发展还处在初期，很重要的一个原因在于没有完善的法律法规。

　　据统计，目前涉及信息网络安全的法律、法规大约有60部左右。但这些法律法规多是明确责任范围的条款，真正能起到保护国家信息安全、推动我国信息安全发展的法律法规还不多。

　　北京邮电大学互联网治理与法律研究中心主任李欲晓认为，此次“棱镜门”事件在一定程度上会促进国内信息安全立法。

　　“全国人大制定的是上位法，还应形成一系列配套法律法规。比如，美国的棱镜计划针对其他国家进行监听监视，那么，我们就要从保护中国公民、企业和国家安全的角度，做好数据保护立法，建立一套保护机制。”

　　李欲晓说，在网络安全基础设施建设中，在软硬件的服务应用过程中，与国家利益安全相关联的跨境数据流动，一定要有法律作保障。“境外企业向中国提供服务时，我们应该要求其在信息采集、应用、传播等方面保证是安全可信的。”

　　在市场监管方面，要加强安全防护监管，对数据流动的安全性、合法性要加强监管，对于信息服务提供商，不管是跨国巨头，还是什么其他性质的公司，不能随便滥用取得的数据。

　　李欲晓还建议，要高度重视网络素养培养，并纳入到国民教育体系。他认为，由于互联网的出现，极大地改变了世界，“普及网络安全知识，养成安全意识，掌握一些基本安全常识很重要。”

　　他呼吁，建立互联网信息安全联合国公约，在他看来，以前我国立法更多的是关注国内，但是互联网是全人类的信息平台，只有各国联合起来才能促进全球信息安全建设，“不能说某个国家有特殊权力，就凌驾于他国之上。”(左常睿)