今天,由云计算、大数据、物联网、人工智能、混合现实等新兴技术所引领的数字化转型,正在全球各地掀起一场波澜壮阔的产业变革。伴随技术创新飞跃式的发展和迅速普及,人们的生活、企业的效益、经济的发展,都越来越依赖于信息基础设施、业务应用和数字服务——与此同时,网络安全和数据保护所面临的潜在威胁也变得日益严峻起来。
以经济利益为驱动,网络犯罪呈现多元化和全球化趋势
调查显示,谋求经济利益已经成为驱动网络犯罪的首要动力,当前有超过50%的网络犯罪都是以获利为目的[ https://cybersecurity.isaca.org/state-of-cybersecurity#3-part-2-june]。2017年,以特定企业为目标的“鱼叉式”网络钓鱼攻击,平均每次会给企业造成160万美元的经济损失,而一次数据泄露的代价平均为360万美元[ 2017 Cost of Data Breach Study: Global Overview]。据预测,到2022年,各种形式的网络犯罪将给全球带来价值高达8万亿美元的经济损失[ The Future of Cybercrime & Security: 2017-2022 (Juniper Research)]。
谈瑞琼
微软(中国)有限公司公共及法律事务部执行总监 高级律师
唯利是图的本性驱动着网络犯罪不断寻找新的突破口,也让网络安全威胁呈现出多元化发展的态势。2017年5月,勒索病毒的爆发给全球超过150个国家带来了超过80亿美元的经济损失;而随着2017年下半年比特币等数字货币价值暴涨,劫持主机和云计算资源用于“挖矿”的恶意攻击又呈现出了爆炸式增长——被劫持用于挖矿的终端主机的数量在2017年暴增了8500%。与此同时,网络犯罪还盯上了物联网设备,2017年被“黑”用于挖矿的物联网设备数量也增加了600%。除此之外,针对智能手机的恶意软件和隐私泄露事件仍在持续增长,通过劫持软件更新程序实施的供应链攻击也呈现出急速增长的势头。
不久前,中国国家计算机网络应急技术处理协调中心(以下简称国家互联网应急中心,CNCERT/CC)发布的《2017年中国互联网网络安全报告》指出,木马和僵尸网络、移动互联网恶意程序、联网智能设备恶意程序、拒绝服务攻击(DDoS)、数据泄露、安全漏洞、钓鱼和欺诈网站是我国当前网络安全和数据保护面临的主要挑战。监测数据显示,2017年,我国用户遭遇的很多安全威胁都来自于境外服务器,网络犯罪呈现全球化发展的态势:位于境外的约3.2万个计算机恶意程序控制服务器控制了我国境内约1101万个主机;拒绝服务攻击中,反射放大攻击中的伪造流量来自境外的超过 85%;与此同时,钓鱼仿冒网站域名和IP地址的境外注册比例在2017年分别同比上升了14.2%和7.8%,均出现了向境外迁移的趋势。
微软与中国伙伴紧密合作,高效应对安全威胁
要有效应对网络犯罪多元化发展、全球化蔓延的态势,需要在全球范围内开展更加积极有效的广泛合作并做出及时的响应。以2017年爆发的勒索病毒为例,北京时间5月13日上午,微软接到中国国家互联网应急中心关于WannaCry病毒爆发和协助处置的通知。当天下午,微软即发布了《关于WannaCry恶意攻击防护的用户指导》,并针对此前已经停止官方支持的Windows XP及 Windows Server 2003操作系统特别发布了官方安全更新补丁。6月14日,微软积极响应国家互联网应急中心和其他国家政府的建议,再次发布针对Windows XP和Windows Server 2003其他安全漏洞的更新补丁。通过与国家互联网应急中心的紧密合作,微软在第一时间为中国政府和企业用户仍在使用的老旧操作系统提供了安全支持,帮助降低了潜在损失和影响。
在应对包括恶意软件、僵尸网络等安全威胁方面,微软长期以来与中国国家互联网应急中心等相关单位建立了紧密的合作关系。从2010年起,微软在全球和各个国家的互联网服务提供商、互联网应急中心以及执法机构合作开展了15次旨在打击僵尸网络控制服务器的大规模联合行动,其中5次行动微软与国家互联网应急中心密切合作,成功处置了大量僵尸网络控制服务器。其中包括每月新感染10万台主机的DorkBot僵尸网络,影响500万用户的Citadel僵尸网络,控制了70,000子域名的Nitol僵尸网络等。微软与国家互联网应急中心的联合处置行动,保护了国内广大电脑用户的安全,也净化了互联网的使用环境。
事实上,在网络安全领域微软与中国的合作由来已久。2003年2月,中国便与微软正式签署了“政府安全计划(GSP),成为首批与微软签署该协议的国家之一。微软“政府安全计划(GSP)”的使命是遵循透明、隐私、合规、安全原则,为参与计划的政府与国际组织提供必需的安全信息和资源,通过建立充分互信,帮助其了解微软技术,并借以保护自己及其公民。目前全球已经有代表46个国家和国际组织的92家机构加入这一计划,参与成员可以对微软产品的源代码进行受控访问,与微软交换威胁和漏洞信息,参加微软产品和服务的技术内容讨论,并有权访问位于美国、比利时、新加坡、巴西和中国的微软技术透明中心。
微软呼吁:携手共建跨国跨行业跨平台网络安全和数字安全共同体
数字化转型的大潮加速了创新技术的发展和应用,也推高了全球规模的网络安全和数据保护的潜在风险。作为一家负责任的科技企业,微软希望可以未雨绸缪,在网络安全和数据保护领域建立起一套全球共同认可的基本行为规范和道德准则,尽可能地降低潜在的网络冲突及由此给全球经济、企业经营和人民生活造成伤害和损失的风险。
正是出于这样的考虑,微软在2017年2月举办的“全球信息安全产业大会(RSA)”上,首次提出了制定“数字日内瓦公约”的倡议,希望可以在网络世界中制定一条如“日内瓦公约”一样的国际协议,以全球各国公认的道德行为准则,约束各方在网络空间中的行为,尽最大努力降低平民可能受到的潜在伤害和影响。微软提出的“数字日内瓦公约”所倡议的主要内容包括:网络冲突不应针对科技公司、私营企业或关键基础设施;政府机构应协助私营企业发现、遏制、回应和恢复安全事件;政府应向供应商披露漏洞,而不是存储、销售或利用漏洞;在开发网络武器方面保持克制,并确保任何开发都是有限制的、精确的,而不是可重复使用的;致力于防止网络武器扩散;限制进攻型操作,以避免大规模安全事件爆发。
为了真正落实共建全球网络安全秩序的理念,微软在2018年的RSA大会上,进一步提出了构建“网络安全技术协议(Cybersecurity Tech Accord)”的倡议。“网络安全技术协议”是一项旨在保护和支持人们上网权益,致力于提高网络空间的安全性、稳定性和灵活性的公开承诺,目前已经有44家的全球规模的企业宣布加入此协议,除微软外还包括思科、戴尔、脸书、领英、甲骨文、Salesforce、SAP、VMWare等。参与这一协议的公司共同承诺:保护全球各地的用户和客户;反对任何针对用户和客户的网络攻击;帮助用户、客户和开发人员加强网络安全保护;与志同道合的组织合作,加强网络安全。两周前的8月9日,“网络安全技术协议”正式认可了“路由安全规范(MANRS)”。这是一个旨在增强全球互联网路由系统适应性和安全性的规范,也是“网络安全技术协议”公开支持的第一个网络安全行为准则。无论是登陆网站、用信用卡在线交易还是搜索和交换信息,都离不开稳定和安全的网络环境,但意外事件随时可能影响路由基础设施,造成各种延迟。仅在2017年,就发生了超过1.4万起路由中断或者攻击事件,并由此造成了劫持、数据泄露,由欺骗攻击(Spoofing)导致数据丢失等安全事件——“路由安全规范”将有助于规范和减少这样的风险。
微软云技术助力中国客户的网络安全和数字安全
在呼吁携手应对网络安全和数字安全挑战的同时,微软也在充分发挥自身优势资源,积极应对全球市场对于网络安全和数据保护方面越来越严格的要求,助力中国客户更加安全、高效、合规地参与国际市场竞争。
在世界各地,Microsoft Azure云服务获得和通过了超过70项与安全、合规、隐私保护相关的法律法规标准认证,有超过90%的全球“财富500强”企业都在采用微软云服务。在中国,由世纪互联运营的Microsoft Azure通过了中国“可信云”认证和等级保护三级测评。正式商用四年来,在中国市场由世纪互联运营的Microsoft Azure赢得了超过11万企业用户及1,400多家云合作伙伴的信任,有超过150万付费企业用户在使用Office 365。
今年5月25日,欧盟《通用数据保护条例》(GDPR)正式生效,也让数据保护成为各界关注焦点。微软全球云服务在GDPR正式实施前已实现全面合规,在中国市场,由世纪互联运营的Microsoft Azure和Office 365也向客户提供满足其GDPR合规需求的技术和合同承诺。微软相信,无论在中国还是全球市场,隐私和数据保护将成为越来越重要的信息安全准则。GDPR不只关乎欧洲,对于在欧洲乃至全球市场上扮演着越来越重要角色的中国企业来说,GDPR合规同样是关系到企业未来的战略决策。
作为一家平台与生产力公司,微软的使命是予力全球每一人,每一组织,成就不凡。面对新技术变革带来的机遇,以及随之而来的种种挑战和安全风险,微软将一如既往地以负责任的态度为全球和中国市场提供安全、可信、合规的技术、平台、服务和解决方案,为全球协力共同建设一个安全的网络和数字生态贡献自己的力量。