僅行業(yè)自律不行 要組合拳式整治

針對治理“瀏覽器主頁劫持”等問題，中國互聯(lián)網(wǎng)協(xié)會、國家互聯(lián)網(wǎng)應急中心的有關(guān)人士日前接受了記者的采訪。

中國互聯(lián)網(wǎng)協(xié)會——

僅行業(yè)自律不行

要組合拳式整治

“人民日報報道中提及的侵犯網(wǎng)民選擇權(quán)和知情權(quán)等行為，也是中國互聯(lián)網(wǎng)協(xié)會一直關(guān)注的內(nèi)容。”中國互聯(lián)網(wǎng)協(xié)會副秘書長宋茂恩日前接受記者采訪時表示，“人民日報的權(quán)威發(fā)聲，讓我們從事相關(guān)工作更有底氣和信心。”

早在2006年12月，互聯(lián)網(wǎng)協(xié)會就向社會公布了《抵制惡意軟件自律公約》，明確提出“尊重用戶上網(wǎng)選擇，反對瀏覽器劫持”。2007年6月，互聯(lián)網(wǎng)協(xié)會又公布了《“惡意軟件定義”細則》，同時成立反惡意軟件認定委員會，對“惡意軟件”“惡意行為”等作出了明確界定。

宋茂恩說，雖然互聯(lián)網(wǎng)協(xié)會無法對制造惡意軟件的公司實施行政處罰，但如果網(wǎng)民舉報某款軟件具備惡意軟件的性質(zhì)，互聯(lián)網(wǎng)協(xié)會將協(xié)同相關(guān)機構(gòu)，要求該公司相關(guān)軟件立即停止惡意行為。如果該公司拒絕執(zhí)行，將被互聯(lián)網(wǎng)協(xié)會列入黑名單向社會公布。如果該公司是協(xié)會成員，有可能被除名;如果屬于非會員單位，將直接公布其相關(guān)信息，由社會監(jiān)督。

他介紹，2011年6月，中國互聯(lián)網(wǎng)協(xié)會又發(fā)布了《互聯(lián)網(wǎng)終端軟件服務行業(yè)自律公約》。相比《抵制惡意軟件自律公約》，該公約增加了移動端收集、使用和保存用戶個人信息的原則性意見，一些要求也更細化。比如，第九條明確要求，“終端軟件安裝、運行、升級、修改默認設(shè)置等，應當明確提示用戶，不得違背用戶意愿修改用戶已確認的選擇或者設(shè)置”;第十七條明確禁止“惡意排斥”，即禁止“某款終端軟件在設(shè)計、安裝、運行過程中，無正當理由，故意給其他合法終端軟件設(shè)置障礙，妨礙用戶安裝或者使用其他合法終端軟件”。

2018年，互聯(lián)網(wǎng)協(xié)會配合相關(guān)部門開展了移動APP治理工作，通報了一批過度要求授權(quán)的APP，有關(guān)企業(yè)進行了整改。

宋茂恩表示，包括“瀏覽器主頁劫持”在內(nèi)的侵犯網(wǎng)民權(quán)益的行為不易根治，一方面是因為互聯(lián)網(wǎng)技術(shù)發(fā)展較快、劫持手段翻新，管理手段通常滯后;另一方面，劫持網(wǎng)頁背后也有較大的利益，驅(qū)使一些不法分子通過惡意軟件牟利。

宋茂恩認為，治理網(wǎng)絡違法違規(guī)行為，光有行業(yè)自律還不行，必須要有強勁的政府管理和法律法規(guī)的支撐，打好組合拳。

“互聯(lián)網(wǎng)協(xié)會考慮將新發(fā)現(xiàn)的侵犯網(wǎng)民權(quán)益行為寫進新一版的自律公約。”宋茂恩表示，互聯(lián)網(wǎng)協(xié)會將積極配合管理部門，與行業(yè)從業(yè)者一起，探索惡意軟件治理的長效機制，營造健康、和諧、有序的互聯(lián)網(wǎng)發(fā)展環(huán)境。

國家互聯(lián)網(wǎng)應急中心——

做到常態(tài)化處置

力求源頭上治理

“我們第一時間就關(guān)注到了人民日報關(guān)于‘瀏覽器主頁劫持’的報道。”國家互聯(lián)網(wǎng)應急中心(以下簡稱應急中心)相關(guān)負責人告訴記者，作為我國網(wǎng)絡安全應急體系的核心協(xié)調(diào)機構(gòu)，應急中心一直致力于網(wǎng)絡安全威脅治理工作。“主頁篡改和瀏覽器劫持作為常見的網(wǎng)絡安全威脅，是我們治理的重點。”

這位負責人說，應急中心監(jiān)測的瀏覽器劫持行為，通常是指網(wǎng)民在不知情的情況下，下載并安裝了惡意軟件，導致瀏覽器主頁被鎖、網(wǎng)頁訪問請求被篡改等不符合網(wǎng)民期望的行為。

他介紹，應急中心對惡意程序處置的工作已經(jīng)常態(tài)化，力求從源頭上切斷黑色產(chǎn)業(yè)鏈條，保護網(wǎng)民安全和權(quán)益。2015年起，應急中心集中開展網(wǎng)絡威脅治理行動，對網(wǎng)頁篡改、網(wǎng)絡“釣魚”等黑色產(chǎn)業(yè)進行了專項治理。2018年，成功關(guān)閉772個控制規(guī)模較大的僵尸網(wǎng)絡，成功切斷了黑客對境內(nèi)約390萬臺感染主機的控制。

“近些年，移動端的惡意程序激增，違規(guī)行為頻發(fā)。”這位負責人說，應急中心的工作是，負責對移動互聯(lián)網(wǎng)惡意程序樣本進行認定、命名，對移動互聯(lián)網(wǎng)惡意程序進行監(jiān)測、分析、通報，協(xié)調(diào)處置傳播服務器、控制服務器和攻擊源。

“移動端惡意程序多，應用管理平臺應承擔起檢測、審核責任。”他告訴記者，2018年應急中心累計向318家應用商店、云盤、網(wǎng)盤或廣告宣傳網(wǎng)站等平臺通報惡意APP事件3578起。國內(nèi)主流應用商店完善檢測、審核、監(jiān)督舉報、下架等制度，惡意APP數(shù)量快速下降。

“應急中心建立了基于全國31個分中心聯(lián)動的惡意程序處置機制，一旦發(fā)現(xiàn)云盤、網(wǎng)盤和廣告平臺存在惡意程序，第一時間通知網(wǎng)站聯(lián)系人清除惡意程序，控制惡意程序傳播范圍。”這位負責人說。

他表示，實際治理中還存在一些難點。比如，有時候不好界定什么樣的行為屬于瀏覽器劫持。“假如一些惡意軟件利用系統(tǒng)漏洞控制了電腦，我們可以將其定義為惡意攻擊行為并進行處置。但一些軟件在安裝過程中，由于一些默認選項更改了用戶的首頁，現(xiàn)階段沒有明確的法律依據(jù)證明這屬于瀏覽器劫持，只能通過自律公約約束開發(fā)者。”他說，應急中心也沒有足夠的人力幫助每一位網(wǎng)民處置劫持問題，只能多做一些宣傳引導，提升用戶的意識和技術(shù)能力。

他提醒，應急中心通過監(jiān)測發(fā)現(xiàn)，網(wǎng)絡生態(tài)中通過DNS和路由器實現(xiàn)瀏覽器劫持的行為，影響范圍更大，危害更嚴重，值得行業(yè)和監(jiān)管部門重視。一旦監(jiān)測發(fā)現(xiàn)這類事件，應急中心會在第一時間聯(lián)合運營商進行集中處置，“同時，普通用戶也應增強安全意識，不要隨意下載非正版的應用軟件、非官方游戲等;及時更新系統(tǒng)，修復漏洞，安裝殺毒軟件并及時更新病毒庫;不要點擊來歷不明電子郵件中的鏈接和附件。”

“希望互聯(lián)網(wǎng)開發(fā)者多從網(wǎng)民體驗角度出發(fā)，少一些急功近利的行為。隨著網(wǎng)民安全意識的提高，主頁捆綁、瀏覽器劫持等簡單粗暴的牟利手段越來越引起網(wǎng)民的反感，長久來看不利于產(chǎn)品自身的發(fā)展。”這位負責人表示。

關(guān)鍵詞： 行業(yè)自律 組合拳式整治