廣州熱線

談瑞瓊

微軟（中國）有限公司公共及法律事務部執(zhí)行總監(jiān) 高級律師

今天，由云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、混合現(xiàn)實等新興技術所引領的數(shù)字化轉型，正在全球各地掀起一場波瀾壯闊的產(chǎn)業(yè)變革。伴隨技術創(chuàng)新飛躍式的發(fā)展和迅速普及，人們的生活、企業(yè)的效益、經(jīng)濟的發(fā)展，都越來越依賴于信息基礎設施、業(yè)務應用和數(shù)字服務——與此同時，網(wǎng)絡安全和數(shù)據(jù)保護所面臨的潛在威脅也變得日益嚴峻起來。

以經(jīng)濟利益為驅動

網(wǎng)絡犯罪呈現(xiàn)多元化和全球化趨勢

調查顯示，謀求經(jīng)濟利益已經(jīng)成為驅動網(wǎng)絡犯罪的首要動力，當前有超過50%的網(wǎng)絡犯罪都是以獲利為目的。2017年，以特定企業(yè)為目標的“魚叉式”網(wǎng)絡釣魚攻擊，平均每次會給企業(yè)造成160萬美元的經(jīng)濟損失，而一次數(shù)據(jù)泄露的代價平均為360萬美元。據(jù)預測，到2022年，各種形式的網(wǎng)絡犯罪將給全球帶來價值高達8萬億美元的經(jīng)濟損失。

唯利是圖的本性驅動著網(wǎng)絡犯罪不斷尋找新的突破口，也讓網(wǎng)絡安全威脅呈現(xiàn)出多元化發(fā)展的態(tài)勢。2017年5月，勒索病毒的爆發(fā)給全球超過150個國家?guī)砹顺^80億美元的經(jīng)濟損失；而隨著2017年下半年比特幣等數(shù)字貨幣價值暴漲，劫持主機和云計算資源用于“挖礦”的惡意攻擊又呈現(xiàn)出了爆炸式增長——被劫持用于挖礦的終端主機的數(shù)量在2017年暴增了8500%。與此同時，網(wǎng)絡犯罪還盯上了物聯(lián)網(wǎng)設備，2017年被“黑”用于挖礦的物聯(lián)網(wǎng)設備數(shù)量也增加了600%。除此之外，針對智能手機的惡意軟件和隱私泄露事件仍在持續(xù)增長，通過劫持軟件更新程序實施的供應鏈攻擊也呈現(xiàn)出急速增長的勢頭。

不久前，中國國家計算機網(wǎng)絡應急技術處理協(xié)調中心（以下簡稱國家互聯(lián)網(wǎng)應急中心，CNCERT/CC）發(fā)布的《2017年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》指出，木馬和僵尸網(wǎng)絡、移動互聯(lián)網(wǎng)惡意程序、聯(lián)網(wǎng)智能設備惡意程序、拒絕服務攻擊（DDoS）、數(shù)據(jù)泄露、安全漏洞、釣魚和欺詐網(wǎng)站是我國當前網(wǎng)絡安全和數(shù)據(jù)保護面臨的主要挑戰(zhàn)。監(jiān)測數(shù)據(jù)顯示，2017年，我國用戶遭遇的很多安全威脅都來自于境外服務器，網(wǎng)絡犯罪呈現(xiàn)全球化發(fā)展的態(tài)勢：位于境外的約3.2萬個計算機惡意程序控制服務器控制了我國境內約1101萬個主機；拒絕服務攻擊中，反射放大攻擊中的偽造流量來自境外的超過85%；與此同時，釣魚仿冒網(wǎng)站域名和IP地址的境外注冊比例在2017年分別同比上升了14.2%和7.8%，均出現(xiàn)了向境外遷移的趨勢。

微軟與中國伙伴緊密合作

高效應對安全威脅

要有效應對網(wǎng)絡犯罪多元化發(fā)展、全球化蔓延的態(tài)勢，需要在全球范圍內開展更加積極有效的廣泛合作并做出及時的響應。以2017年爆發(fā)的勒索病毒為例，北京時間5月13日上午，微軟接到中國國家互聯(lián)網(wǎng)應急中心關于WannaCry病毒爆發(fā)和協(xié)助處置的通知。當天下午，微軟即發(fā)布了《關于WannaCry惡意攻擊防護的用戶指導》，并針對此前已經(jīng)停止官方支持的Windows XP及Windows Server2003操作系統(tǒng)特別發(fā)布了官方安全更新補丁。6月14日，微軟積極響應國家互聯(lián)網(wǎng)應急中心和其他國家政府的建議，再次發(fā)布針對Windows XP和Windows Server 2003其他安全漏洞的更新補丁。通過與國家互聯(lián)網(wǎng)應急中心的緊密合作，微軟在第一時間為中國政府和企業(yè)用戶仍在使用的老舊操作系統(tǒng)提供了安全支持，幫助降低了潛在損失和影響。

在應對包括惡意軟件、僵尸網(wǎng)絡等安全威脅方面，微軟長期以來與中國國家互聯(lián)網(wǎng)應急中心等相關單位建立了緊密的合作關系。從2010年起，微軟在全球和各個國家的互聯(lián)網(wǎng)服務提供商、互聯(lián)網(wǎng)應急中心以及執(zhí)法機構合作開展了15次旨在打擊僵尸網(wǎng)絡控制服務器的大規(guī)模聯(lián)合行動，其中5次行動微軟與國家互聯(lián)網(wǎng)應急中心密切合作，成功處置了大量僵尸網(wǎng)絡控制服務器。其中包括每月新感染10萬臺主機的DorkBot僵尸網(wǎng)絡，影響500萬用戶的Citadel僵尸網(wǎng)絡，控制了70,000子域名的Nitol僵尸網(wǎng)絡等。微軟與國家互聯(lián)網(wǎng)應急中心的聯(lián)合處置行動，保護了國內廣大電腦用戶的安全，也凈化了互聯(lián)網(wǎng)的使用環(huán)境。

事實上，在網(wǎng)絡安全領域微軟與中國的合作由來已久。2003年2月，中國便與微軟正式簽署了“政府安全計劃（GSP），成為首批與微軟簽署該協(xié)議的國家之一。微軟“政府安全計劃（GSP）”的使命是遵循透明、隱私、合規(guī)、安全原則，為參與計劃的政府與國際組織提供必需的安全信息和資源，通過建立充分互信，幫助其了解微軟技術，并借以保護自己及其公民。目前全球已經(jīng)有代表46個國家和國際組織的92家機構加入這一計劃，參與成員可以對微軟產(chǎn)品的源代碼進行受控訪問，與微軟交換威脅和漏洞信息，參加微軟產(chǎn)品和服務的技術內容討論，并有權訪問位于美國、比利時、新加坡、巴西和中國的微軟技術透明中心。

微軟呼吁：

攜手共建跨國跨行業(yè)跨平臺網(wǎng)絡安全和數(shù)字安全共同體

數(shù)字化轉型的大潮加速了創(chuàng)新技術的發(fā)展和應用，也推高了全球規(guī)模的網(wǎng)絡安全和數(shù)據(jù)保護的潛在風險。作為一家負責任的科技企業(yè)，微軟希望可以未雨綢繆，在網(wǎng)絡安全和數(shù)據(jù)保護領域建立起一套全球共同認可的基本行為規(guī)范和道德準則，盡可能地降低潛在的網(wǎng)絡沖突及由此給全球經(jīng)濟、企業(yè)經(jīng)營和人民生活造成傷害和損失的風險。

正是出于這樣的考慮，微軟在2017年2月舉辦的“全球信息安全產(chǎn)業(yè)大會（RSA）”上，首次提出了制定“數(shù)字日內瓦公約”的倡議，希望可以在網(wǎng)絡世界中制定一條如“日內瓦公約”一樣的國際協(xié)議，以全球各國公認的道德行為準則，約束各方在網(wǎng)絡空間中的行為，盡最大努力降低平民可能受到的潛在傷害和影響。微軟提出的“數(shù)字日內瓦公約”所倡議的主要內容包括：網(wǎng)絡沖突不應針對科技公司、私營企業(yè)或關鍵基礎設施；政府機構應協(xié)助私營企業(yè)發(fā)現(xiàn)、遏制、回應和恢復安全事件；政府應向供應商披露漏洞，而不是存儲、銷售或利用漏洞；在開發(fā)網(wǎng)絡武器方面保持克制，并確保任何開發(fā)都是有限制的、精確的，而不是可重復使用的；致力于防止網(wǎng)絡武器擴散；限制進攻型操作，以避免大規(guī)模安全事件爆發(fā)。

為了真正落實共建全球網(wǎng)絡安全秩序的理念，微軟在2018年的RSA大會上，進一步提出了構建“網(wǎng)絡安全技術協(xié)議（Cybersecurity Tech Accord）”的倡議?！熬W(wǎng)絡安全技術協(xié)議”是一項旨在保護和支持人們上網(wǎng)權益，致力于提高網(wǎng)絡空間的安全性、穩(wěn)定性和靈活性的公開承諾，目前已經(jīng)有44家的全球規(guī)模的企業(yè)宣布加入此協(xié)議，除微軟外還包括思科、戴爾、臉書、領英、甲骨文、Salesforce、SAP、VMWare等。參與這一協(xié)議的公司共同承諾：保護全球各地的用戶和客戶；反對任何針對用戶和客戶的網(wǎng)絡攻擊；幫助用戶、客戶和開發(fā)人員加強網(wǎng)絡安全保護；與志同道合的組織合作，加強網(wǎng)絡安全。兩周前的8月9日，“網(wǎng)絡安全技術協(xié)議”正式認可了“路由安全規(guī)范（MANRS）”。這是一個旨在增強全球互聯(lián)網(wǎng)路由系統(tǒng)適應性和安全性的規(guī)范，也是“網(wǎng)絡安全技術協(xié)議”公開支持的第一個網(wǎng)絡安全行為準則。無論是登陸網(wǎng)站、用信用卡在線交易還是搜索和交換信息，都離不開穩(wěn)定和安全的網(wǎng)絡環(huán)境，但意外事件隨時可能影響路由基礎設施，造成各種延遲。僅在2017年，就發(fā)生了超過1.4萬起路由中斷或者攻擊事件，并由此造成了劫持、數(shù)據(jù)泄露，由欺騙攻擊（Spoofing）導致數(shù)據(jù)丟失等安全事件——“路由安全規(guī)范”將有助于規(guī)范和減少這樣的風險。

微軟云技術助力中國客戶的網(wǎng)絡安全和數(shù)字安全

在呼吁攜手應對網(wǎng)絡安全和數(shù)字安全挑戰(zhàn)的同時，微軟也在充分發(fā)揮自身優(yōu)勢資源，積極應對全球市場對于網(wǎng)絡安全和數(shù)據(jù)保護方面越來越嚴格的要求，助力中國客戶更加安全、高效、合規(guī)地參與國際市場競爭。

在世界各地，Microsoft Azure云服務獲得和通過了超過70項與安全、合規(guī)、隱私保護相關的法律法規(guī)標準認證，有超過90%的全球“財富500強”企業(yè)都在采用微軟云服務。在中國，由世紀互聯(lián)運營的Microsoft Azure通過了中國“可信云”認證和等級保護三級測評。正式商用四年來，在中國市場由世紀互聯(lián)運營的Microsoft Azure贏得了超過11萬企業(yè)用戶及1,400多家云合作伙伴的信任，有超過150萬付費企業(yè)用戶在使用Office 365。

今年5月25日，歐盟《通用數(shù)據(jù)保護條例》（GDPR）正式生效，也讓數(shù)據(jù)保護成為各界關注焦點。微軟全球云服務在GDPR正式實施前已實現(xiàn)全面合規(guī)，在中國市場，由世紀互聯(lián)運營的Microsoft Azure和Office 365也向客戶提供滿足其GDPR合規(guī)需求的技術和合同承諾。微軟相信，無論在中國還是全球市場，隱私和數(shù)據(jù)保護將成為越來越重要的信息安全準則。GDPR不只關乎歐洲，對于在歐洲乃至全球市場上扮演著越來越重要角色的中國企業(yè)來說，GDPR合規(guī)同樣是關系到企業(yè)未來的戰(zhàn)略決策。

作為一家平臺與生產(chǎn)力公司，微軟的使命是予力全球每一人，每一組織，成就不凡。面對新技術變革帶來的機遇，以及隨之而來的種種挑戰(zhàn)和安全風險，微軟將一如既往地以負責任的態(tài)度為全球和中國市場提供安全、可信、合規(guī)的技術、平臺、服務和解決方案，為全球協(xié)力共同建設一個安全的網(wǎng)絡和數(shù)字生態(tài)貢獻自己的力量。