“這是網(wǎng)絡安全最好的時代，也是最壞的時代。”在日前召開的2017網(wǎng)絡安全生態(tài)峰會上，阿里巴巴集團董事局秘書長、風險委員會主席邵曉鋒以這句話開局。

以互聯(lián)網(wǎng)技術為基礎的新信息技術革命正進入關鍵時期，對社會產生巨大積極作用的同時也帶來一些風險。尤其是大量網(wǎng)絡黑灰產業(yè)成形，利用互聯(lián)網(wǎng)平臺進行敲詐、偷盜、勒索的犯罪行為迅速增長，并利用云計算、大數(shù)據(jù)和人工智能等新技術實現(xiàn)了全新升級，互聯(lián)網(wǎng)安全形勢越發(fā)嚴峻。

黑灰產業(yè)產值上千億 網(wǎng)絡安全不容忽視

“在座諸位，有誰沒被詐騙短信或詐騙電話騷擾過？我相信沒有。”在2017網(wǎng)絡安全生態(tài)峰會上，浙江大學光華法學院刑法研究所所長高艷東問道。在他看來，我國互聯(lián)網(wǎng)目前呈現(xiàn)“黑白共生”的局面，一方面，互聯(lián)網(wǎng)領域很繁榮能創(chuàng)新，另一方面，互聯(lián)網(wǎng)違法犯罪不容忽視，尤其黑灰產業(yè)發(fā)展猖獗，已發(fā)展到了千億級的規(guī)模，“這種不安全狀態(tài)隱藏著巨大隱患”。

工業(yè)和信息化部網(wǎng)絡安全管理局副局長張新也認為，目前網(wǎng)絡安全形勢依然非常嚴峻，網(wǎng)絡安全的任務依然繁重。

據(jù)國家互聯(lián)網(wǎng)應急中心監(jiān)測，今年上半年我國境內被植入的網(wǎng)站達到1.8萬，捕獲網(wǎng)絡樣本3.7萬個，收入高危漏洞2412個，還爆發(fā)了勒索病毒和木馬大面積感染等突發(fā)事件。同時，融合發(fā)展帶來網(wǎng)絡安全的新威脅，特別是工業(yè)制造、金融、智能設備等領域的信息網(wǎng)絡規(guī)模龐大、復雜度高、數(shù)據(jù)豐富。一旦發(fā)生重大泄露事件，后果不堪設想，今年曝光的多款主流設備、攝像頭存在高危漏洞，這也給網(wǎng)絡安全工作敲響了警鐘。

電子商務生態(tài)安全聯(lián)盟近日發(fā)布的《2017電子商務生態(tài)安全白皮書》顯示，電子商務生態(tài)面臨一條龐大的黑灰產業(yè)鏈，行業(yè)生態(tài)存在基礎網(wǎng)絡安全、系統(tǒng)應用安全及數(shù)據(jù)安全風險。

從細分環(huán)節(jié)來看，由于部分網(wǎng)站的數(shù)據(jù)庫泄露，黑產整理掌握了數(shù)十億對賬號密碼關系。盜號產業(yè)由黑產數(shù)據(jù)、撞庫工具、釣魚網(wǎng)站服務、打碼平臺、手機驗證碼平臺、洗錢、銷贓等環(huán)節(jié)組成，賬戶類的風險衍生出來的黑灰產業(yè)年獲利超過百億元。垃圾注冊產業(yè)方面主要有注冊軟件服務、打碼平臺、手機驗證碼平臺、身份信息買賣等環(huán)節(jié)，產業(yè)規(guī)模上億。而作為惡意行為之一的大量搶購低價營銷商品或市場緊缺型商品，已成為一個細分產業(yè)遍布各大電商平臺，整體產業(yè)規(guī)模上百億。

“網(wǎng)絡安全這件事情不僅涉及每一家企業(yè)自身的發(fā)展，它也關系著全體公民的利益保障。”邵曉鋒說。

黑灰產搭上高科技快車 打擊量刑難

螞蟻金服集團安全管理部總經理邵曉東介紹稱，如今整個黑灰產業(yè)鏈已經從上游、中游、下游三個階段為網(wǎng)絡犯罪提供了信息獲取渠道和技術支持。在產業(yè)鏈以外，還有輔助的產業(yè)鏈繼續(xù)提供相關服務。目前黑灰產業(yè)體量很大，“我相信到今年的數(shù)據(jù)還會更大，他們的發(fā)展確實很快，但我們會繼續(xù)加大打擊力度。”

“網(wǎng)絡黑灰產業(yè)每年的產值大概過千億，但是網(wǎng)絡安全產業(yè)的產值不到300億，所以很明顯黑灰產業(yè)跑得更快一些。原因在哪？”中國人民公安大學網(wǎng)絡安全與法制協(xié)同創(chuàng)新中心研究員陳琴說道，整體來看，網(wǎng)絡黑灰產業(yè)鏈的構成比較完善，并且從業(yè)者趨之若鶩。另一方面，黑灰產業(yè)的競爭也非常激烈，沒有核心競爭力很難在龐大的地下市場里面存活。“核心在于高科技的應用，黑灰產業(yè)的核心資源在于黑客的技術，這是很多黑灰產業(yè)模式成立的關鍵。”陳琴說。

她表示，黑灰產業(yè)呈現(xiàn)一些特征：首先是依托互聯(lián)網(wǎng)巨頭的產品生態(tài)而生存，例如會有依托于騰訊系的黑灰產業(yè)生態(tài)，還有針對阿里系產品的刷單和百度的競價排名產品的黑灰產業(yè)。其次，黑灰產之所以如此發(fā)達且從業(yè)人員眾多，就在于它非常具有互聯(lián)網(wǎng)特色，能夠精準地抓住用戶的心理訴求和痛點，它會觀察最新的產業(yè)熱點，利用人工智能，不斷更新騙術。

最高人民法院中國應用法學研究所副所長李玉萍也表示，如今技術黑產已經成為網(wǎng)絡犯罪的技術支撐，處于產業(yè)鏈的最上端。同時，技術黑產種類齊全，各類惡意軟件，種類繁多，只要有需求，就會出現(xiàn)。

值得注意的是，黑灰產業(yè)也在呈現(xiàn)新變化。螞蟻金服集團高級專家王瓊瑜表示，黑灰產業(yè)這兩年發(fā)展非常快，特別是去年以來升級迭代，并且從組織方式上出現(xiàn)了非常明顯的變化。

一是黑灰產業(yè)鏈更清晰，各環(huán)節(jié)之間的合作更緊密。阿里巴巴集團首席風險官劉振飛表示，過去兩年，阿里巴巴集團通過跟公安機關合作發(fā)現(xiàn)并破獲了很多黑灰產業(yè)案件，最大的體會就是，在中國，黑灰產業(yè)的從業(yè)者之間盡管不認識，且在網(wǎng)上有不同的團伙，但他們之間的合作水平可能遠遠超過互聯(lián)網(wǎng)企業(yè)，“甚至我們開玩笑說，黑灰產業(yè)鏈之間的合作比企業(yè)內不同部門之間的合作都來得順暢。”

二是黑灰產業(yè)正在從粗放式的生產模式走向精加工模式，原來的數(shù)據(jù)獲取或許就是買包含公民信息的數(shù)據(jù)包，但現(xiàn)在黑灰產業(yè)開始走向大數(shù)據(jù)，走向數(shù)據(jù)挖掘，走向人工智能。

“山東徐玉玉案件就體現(xiàn)了新特點：分工非常明確，數(shù)據(jù)應用很精準。不再是粗放式的應用，而是經過研判對侵害對象進行刻畫，這種案例損失的金額也會越來越大。”王瓊瑜說。

《2017電子商務生態(tài)安全白皮書》也佐證了這一點：數(shù)據(jù)顯示，在黑灰產業(yè)的利益價值驅使和推動下，電子商務行業(yè)如今面臨的WEB攻擊風險中，云市場的發(fā)展給黑灰產業(yè)人員提供了很大的便利條件，現(xiàn)有的WEB攻擊掃描來自各類云平臺和IDC機房的流量達到90%以上，75%的攻擊源來自國內，較常規(guī)的用途是“肉機”的獲取，用于黑產人員后續(xù)的DDos攻擊、數(shù)據(jù)的盜取和系統(tǒng)入侵。

三是黑灰產業(yè)逐漸呈現(xiàn)國際化特征，對象的選擇也開始從企業(yè)到個人，被侵害者對象的防范能力在降低。

而與此同時，李玉萍也指出，針對黑灰產業(yè)的量刑定罪，司法應對中存在一些難題，一方面，技術黑產難以被發(fā)現(xiàn)；另外，案件定性問題分歧比較大，法律適用亟待統(tǒng)一，難以進入立案偵查和量刑。“特別期待的是能夠在秩序安全和發(fā)展之間做好一個平衡，尤其是要避免司法過程中不當抑制甚至是扼殺技術發(fā)展的新動力。”

新安全需要共擔當

新形勢下，有效打擊防范網(wǎng)絡黑灰產業(yè)保證網(wǎng)絡安全，已成為非常重要的議題。專家稱，網(wǎng)絡安全問題已逐漸超出技術安全、系統(tǒng)保護范疇，網(wǎng)絡安全的生態(tài)建設離不開健全的法制和監(jiān)管體系，面對新形勢，行業(yè)各方正合力為網(wǎng)絡安全織就“保護網(wǎng)”。

公安部網(wǎng)絡安全保衛(wèi)局副局長鐘忠認為，當前大數(shù)據(jù)已經成為全球治理的重要工具，這就要求我們，不僅要借助大數(shù)據(jù)提升網(wǎng)絡安全治理的智慧治理、數(shù)據(jù)決策、風險預警等宏觀治理能力，還要利用大數(shù)據(jù)提供全息數(shù)據(jù)呈現(xiàn)，使網(wǎng)絡治理從以前“主觀主義”、“經驗主義”、“模糊治理”的方式向實事求是的數(shù)據(jù)驅動的精準治理方式轉變，強化大數(shù)據(jù)網(wǎng)絡治理的深度應用，在政府主導下建立一個多元化的治理模式。

“新安全需要共擔當。在這種復雜的情況下，提升網(wǎng)絡安全應急協(xié)作能力，構建網(wǎng)絡安全產業(yè)，落實網(wǎng)絡安全責任，都需要我們共同擔當，維護網(wǎng)絡安全已成為全社會的共同責任，需要政府、企業(yè)、社會組織、科研院所等方方面面共同參與。”張新說道。

工業(yè)和信息化部網(wǎng)絡安全管理局網(wǎng)安處處長付景廣表示，下一步，工信部將出臺幾個重要政策，一是數(shù)據(jù)安全保護條例，制定關于電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全保護的執(zhí)法意見，進一步細化個人信息的搜集、使用、存儲、共享、保護以及數(shù)據(jù)跨境等有關的規(guī)定和標準。二是網(wǎng)絡安全檢測、網(wǎng)絡安全威脅的檢測和處置辦法。主要目的是集合基礎電信企業(yè)和互聯(lián)網(wǎng)企業(yè)以及運營的注冊機構以及網(wǎng)絡安全企業(yè)的力量，形成合力，對網(wǎng)絡空間暴露的一些重要系統(tǒng)的漏洞進行的相應的處置。

螞蟻金服CEO井賢棟認為，新形勢下的網(wǎng)絡安全，企業(yè)也需要在三個方面進行升級：一個是技術驅動，數(shù)字化的時代，生物識別技術在網(wǎng)絡安全中的應用非常關鍵；第二是要實現(xiàn)行業(yè)生態(tài)共建；第三是要責任擔當，目前螞蟻金服已經搭建了整套完善的數(shù)據(jù)安全保護體系，支付寶宣布升級保障計劃，從2005年的“你敢付，我敢賠”升級成“你敢掃，我敢賠”。如果用戶在線下掃碼被盜，全額賠償，如果商戶被覆蓋導致資損也將賠付。

“只有當網(wǎng)絡安全生態(tài)能夠保持在一個非常良好的狀態(tài)下，相應新的產業(yè)、新的技術才能得到健康持續(xù)的發(fā)展。”邵曉鋒說道。