僅行業(yè)自律不行 要組合拳式整治

針對治理“瀏覽器主頁劫持”等問題，中國互聯(lián)網(wǎng)協(xié)會、國家互聯(lián)網(wǎng)應(yīng)急中心的有關(guān)人士日前接受了記者的采訪。

中國互聯(lián)網(wǎng)協(xié)會——

僅行業(yè)自律不行

要組合拳式整治

“人民日報(bào)報(bào)道中提及的侵犯網(wǎng)民選擇權(quán)和知情權(quán)等行為，也是中國互聯(lián)網(wǎng)協(xié)會一直關(guān)注的內(nèi)容。”中國互聯(lián)網(wǎng)協(xié)會副秘書長宋茂恩日前接受記者采訪時表示，“人民日報(bào)的權(quán)威發(fā)聲，讓我們從事相關(guān)工作更有底氣和信心。”

早在2006年12月，互聯(lián)網(wǎng)協(xié)會就向社會公布了《抵制惡意軟件自律公約》，明確提出“尊重用戶上網(wǎng)選擇，反對瀏覽器劫持”。2007年6月，互聯(lián)網(wǎng)協(xié)會又公布了《“惡意軟件定義”細(xì)則》，同時成立反惡意軟件認(rèn)定委員會，對“惡意軟件”“惡意行為”等作出了明確界定。

宋茂恩說，雖然互聯(lián)網(wǎng)協(xié)會無法對制造惡意軟件的公司實(shí)施行政處罰，但如果網(wǎng)民舉報(bào)某款軟件具備惡意軟件的性質(zhì)，互聯(lián)網(wǎng)協(xié)會將協(xié)同相關(guān)機(jī)構(gòu)，要求該公司相關(guān)軟件立即停止惡意行為。如果該公司拒絕執(zhí)行，將被互聯(lián)網(wǎng)協(xié)會列入黑名單向社會公布。如果該公司是協(xié)會成員，有可能被除名;如果屬于非會員單位，將直接公布其相關(guān)信息，由社會監(jiān)督。

他介紹，2011年6月，中國互聯(lián)網(wǎng)協(xié)會又發(fā)布了《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》。相比《抵制惡意軟件自律公約》，該公約增加了移動端收集、使用和保存用戶個人信息的原則性意見，一些要求也更細(xì)化。比如，第九條明確要求，“終端軟件安裝、運(yùn)行、升級、修改默認(rèn)設(shè)置等，應(yīng)當(dāng)明確提示用戶，不得違背用戶意愿修改用戶已確認(rèn)的選擇或者設(shè)置”;第十七條明確禁止“惡意排斥”，即禁止“某款終端軟件在設(shè)計(jì)、安裝、運(yùn)行過程中，無正當(dāng)理由，故意給其他合法終端軟件設(shè)置障礙，妨礙用戶安裝或者使用其他合法終端軟件”。

2018年，互聯(lián)網(wǎng)協(xié)會配合相關(guān)部門開展了移動APP治理工作，通報(bào)了一批過度要求授權(quán)的APP，有關(guān)企業(yè)進(jìn)行了整改。

宋茂恩表示，包括“瀏覽器主頁劫持”在內(nèi)的侵犯網(wǎng)民權(quán)益的行為不易根治，一方面是因?yàn)榛ヂ?lián)網(wǎng)技術(shù)發(fā)展較快、劫持手段翻新，管理手段通常滯后;另一方面，劫持網(wǎng)頁背后也有較大的利益，驅(qū)使一些不法分子通過惡意軟件牟利。

宋茂恩認(rèn)為，治理網(wǎng)絡(luò)違法違規(guī)行為，光有行業(yè)自律還不行，必須要有強(qiáng)勁的政府管理和法律法規(guī)的支撐，打好組合拳。

“互聯(lián)網(wǎng)協(xié)會考慮將新發(fā)現(xiàn)的侵犯網(wǎng)民權(quán)益行為寫進(jìn)新一版的自律公約。”宋茂恩表示，互聯(lián)網(wǎng)協(xié)會將積極配合管理部門，與行業(yè)從業(yè)者一起，探索惡意軟件治理的長效機(jī)制，營造健康、和諧、有序的互聯(lián)網(wǎng)發(fā)展環(huán)境。

國家互聯(lián)網(wǎng)應(yīng)急中心——

做到常態(tài)化處置

力求源頭上治理

“我們第一時間就關(guān)注到了人民日報(bào)關(guān)于‘瀏覽器主頁劫持’的報(bào)道。”國家互聯(lián)網(wǎng)應(yīng)急中心(以下簡稱應(yīng)急中心)相關(guān)負(fù)責(zé)人告訴記者，作為我國網(wǎng)絡(luò)安全應(yīng)急體系的核心協(xié)調(diào)機(jī)構(gòu)，應(yīng)急中心一直致力于網(wǎng)絡(luò)安全威脅治理工作。“主頁篡改和瀏覽器劫持作為常見的網(wǎng)絡(luò)安全威脅，是我們治理的重點(diǎn)。”

這位負(fù)責(zé)人說，應(yīng)急中心監(jiān)測的瀏覽器劫持行為，通常是指網(wǎng)民在不知情的情況下，下載并安裝了惡意軟件，導(dǎo)致瀏覽器主頁被鎖、網(wǎng)頁訪問請求被篡改等不符合網(wǎng)民期望的行為。

他介紹，應(yīng)急中心對惡意程序處置的工作已經(jīng)常態(tài)化，力求從源頭上切斷黑色產(chǎn)業(yè)鏈條，保護(hù)網(wǎng)民安全和權(quán)益。2015年起，應(yīng)急中心集中開展網(wǎng)絡(luò)威脅治理行動，對網(wǎng)頁篡改、網(wǎng)絡(luò)“釣魚”等黑色產(chǎn)業(yè)進(jìn)行了專項(xiàng)治理。2018年，成功關(guān)閉772個控制規(guī)模較大的僵尸網(wǎng)絡(luò)，成功切斷了黑客對境內(nèi)約390萬臺感染主機(jī)的控制。

“近些年，移動端的惡意程序激增，違規(guī)行為頻發(fā)。”這位負(fù)責(zé)人說，應(yīng)急中心的工作是，負(fù)責(zé)對移動互聯(lián)網(wǎng)惡意程序樣本進(jìn)行認(rèn)定、命名，對移動互聯(lián)網(wǎng)惡意程序進(jìn)行監(jiān)測、分析、通報(bào)，協(xié)調(diào)處置傳播服務(wù)器、控制服務(wù)器和攻擊源。

“移動端惡意程序多，應(yīng)用管理平臺應(yīng)承擔(dān)起檢測、審核責(zé)任。”他告訴記者，2018年應(yīng)急中心累計(jì)向318家應(yīng)用商店、云盤、網(wǎng)盤或廣告宣傳網(wǎng)站等平臺通報(bào)惡意APP事件3578起。國內(nèi)主流應(yīng)用商店完善檢測、審核、監(jiān)督舉報(bào)、下架等制度，惡意APP數(shù)量快速下降。

“應(yīng)急中心建立了基于全國31個分中心聯(lián)動的惡意程序處置機(jī)制，一旦發(fā)現(xiàn)云盤、網(wǎng)盤和廣告平臺存在惡意程序，第一時間通知網(wǎng)站聯(lián)系人清除惡意程序，控制惡意程序傳播范圍。”這位負(fù)責(zé)人說。

他表示，實(shí)際治理中還存在一些難點(diǎn)。比如，有時候不好界定什么樣的行為屬于瀏覽器劫持。“假如一些惡意軟件利用系統(tǒng)漏洞控制了電腦，我們可以將其定義為惡意攻擊行為并進(jìn)行處置。但一些軟件在安裝過程中，由于一些默認(rèn)選項(xiàng)更改了用戶的首頁，現(xiàn)階段沒有明確的法律依據(jù)證明這屬于瀏覽器劫持，只能通過自律公約約束開發(fā)者。”他說，應(yīng)急中心也沒有足夠的人力幫助每一位網(wǎng)民處置劫持問題，只能多做一些宣傳引導(dǎo)，提升用戶的意識和技術(shù)能力。

他提醒，應(yīng)急中心通過監(jiān)測發(fā)現(xiàn)，網(wǎng)絡(luò)生態(tài)中通過DNS和路由器實(shí)現(xiàn)瀏覽器劫持的行為，影響范圍更大，危害更嚴(yán)重，值得行業(yè)和監(jiān)管部門重視。一旦監(jiān)測發(fā)現(xiàn)這類事件，應(yīng)急中心會在第一時間聯(lián)合運(yùn)營商進(jìn)行集中處置，“同時，普通用戶也應(yīng)增強(qiáng)安全意識，不要隨意下載非正版的應(yīng)用軟件、非官方游戲等;及時更新系統(tǒng)，修復(fù)漏洞，安裝殺毒軟件并及時更新病毒庫;不要點(diǎn)擊來歷不明電子郵件中的鏈接和附件。”

“希望互聯(lián)網(wǎng)開發(fā)者多從網(wǎng)民體驗(yàn)角度出發(fā)，少一些急功近利的行為。隨著網(wǎng)民安全意識的提高，主頁捆綁、瀏覽器劫持等簡單粗暴的牟利手段越來越引起網(wǎng)民的反感，長久來看不利于產(chǎn)品自身的發(fā)展。”這位負(fù)責(zé)人表示。

關(guān)鍵詞： 行業(yè)自律 組合拳式整治