今天，由云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、混合現(xiàn)實(shí)等新興技術(shù)所引領(lǐng)的數(shù)字化轉(zhuǎn)型，正在全球各地掀起一場波瀾壯闊的產(chǎn)業(yè)變革。伴隨技術(shù)創(chuàng)新飛躍式的發(fā)展和迅速普及，人們的生活、企業(yè)的效益、經(jīng)濟(jì)的發(fā)展，都越來越依賴于信息基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用和數(shù)字服務(wù)——與此同時(shí)，網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)所面臨的潛在威脅也變得日益嚴(yán)峻起來。

以經(jīng)濟(jì)利益為驅(qū)動，網(wǎng)絡(luò)犯罪呈現(xiàn)多元化和全球化趨勢

調(diào)查顯示，謀求經(jīng)濟(jì)利益已經(jīng)成為驅(qū)動網(wǎng)絡(luò)犯罪的首要動力，當(dāng)前有超過50%的網(wǎng)絡(luò)犯罪都是以獲利為目的[ https://cybersecurity.isaca.org/state-of-cybersecurity#3-part-2-june]。2017年，以特定企業(yè)為目標(biāo)的“魚叉式”網(wǎng)絡(luò)釣魚攻擊，平均每次會給企業(yè)造成160萬美元的經(jīng)濟(jì)損失，而一次數(shù)據(jù)泄露的代價(jià)平均為360萬美元[ 2017 Cost of Data Breach Study: Global Overview]。據(jù)預(yù)測，到2022年，各種形式的網(wǎng)絡(luò)犯罪將給全球帶來價(jià)值高達(dá)8萬億美元的經(jīng)濟(jì)損失[ The Future of Cybercrime & Security: 2017-2022 (Juniper Research)]。

[[241611]]

談瑞瓊

微軟（中國）有限公司公共及法律事務(wù)部執(zhí)行總監(jiān)  高級律師

唯利是圖的本性驅(qū)動著網(wǎng)絡(luò)犯罪不斷尋找新的突破口，也讓網(wǎng)絡(luò)安全威脅呈現(xiàn)出多元化發(fā)展的態(tài)勢。2017年5月，勒索病毒的爆發(fā)給全球超過150個(gè)國家?guī)砹顺^80億美元的經(jīng)濟(jì)損失；而隨著2017年下半年比特幣等數(shù)字貨幣價(jià)值暴漲，劫持主機(jī)和云計(jì)算資源用于“挖礦”的惡意攻擊又呈現(xiàn)出了爆炸式增長——被劫持用于挖礦的終端主機(jī)的數(shù)量在2017年暴增了8500%。與此同時(shí)，網(wǎng)絡(luò)犯罪還盯上了物聯(lián)網(wǎng)設(shè)備，2017年被“黑”用于挖礦的物聯(lián)網(wǎng)設(shè)備數(shù)量也增加了600%。除此之外，針對智能手機(jī)的惡意軟件和隱私泄露事件仍在持續(xù)增長，通過劫持軟件更新程序?qū)嵤┑墓?yīng)鏈攻擊也呈現(xiàn)出急速增長的勢頭。

不久前，中國國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（以下簡稱國家互聯(lián)網(wǎng)應(yīng)急中心，CNCERT/CC）發(fā)布的《2017年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》指出，木馬和僵尸網(wǎng)絡(luò)、移動互聯(lián)網(wǎng)惡意程序、聯(lián)網(wǎng)智能設(shè)備惡意程序、拒絕服務(wù)攻擊（DDoS）、數(shù)據(jù)泄露、安全漏洞、釣魚和欺詐網(wǎng)站是我國當(dāng)前網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)面臨的主要挑戰(zhàn)。監(jiān)測數(shù)據(jù)顯示，2017年，我國用戶遭遇的很多安全威脅都來自于境外服務(wù)器，網(wǎng)絡(luò)犯罪呈現(xiàn)全球化發(fā)展的態(tài)勢：位于境外的約3.2萬個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器控制了我國境內(nèi)約1101萬個(gè)主機(jī)；拒絕服務(wù)攻擊中，反射放大攻擊中的偽造流量來自境外的超過 85%；與此同時(shí)，釣魚仿冒網(wǎng)站域名和IP地址的境外注冊比例在2017年分別同比上升了14.2%和7.8%，均出現(xiàn)了向境外遷移的趨勢。

微軟與中國伙伴緊密合作，高效應(yīng)對安全威脅

要有效應(yīng)對網(wǎng)絡(luò)犯罪多元化發(fā)展、全球化蔓延的態(tài)勢，需要在全球范圍內(nèi)開展更加積極有效的廣泛合作并做出及時(shí)的響應(yīng)。以2017年爆發(fā)的勒索病毒為例，北京時(shí)間5月13日上午，微軟接到中國國家互聯(lián)網(wǎng)應(yīng)急中心關(guān)于WannaCry病毒爆發(fā)和協(xié)助處置的通知。當(dāng)天下午，微軟即發(fā)布了《關(guān)于WannaCry惡意攻擊防護(hù)的用戶指導(dǎo)》，并針對此前已經(jīng)停止官方支持的Windows XP及 Windows Server 2003操作系統(tǒng)特別發(fā)布了官方安全更新補(bǔ)丁。6月14日，微軟積極響應(yīng)國家互聯(lián)網(wǎng)應(yīng)急中心和其他國家政府的建議，再次發(fā)布針對Windows XP和Windows Server 2003其他安全漏洞的更新補(bǔ)丁。通過與國家互聯(lián)網(wǎng)應(yīng)急中心的緊密合作，微軟在第一時(shí)間為中國政府和企業(yè)用戶仍在使用的老舊操作系統(tǒng)提供了安全支持，幫助降低了潛在損失和影響。

在應(yīng)對包括惡意軟件、僵尸網(wǎng)絡(luò)等安全威脅方面，微軟長期以來與中國國家互聯(lián)網(wǎng)應(yīng)急中心等相關(guān)單位建立了緊密的合作關(guān)系。從2010年起，微軟在全球和各個(gè)國家的互聯(lián)網(wǎng)服務(wù)提供商、互聯(lián)網(wǎng)應(yīng)急中心以及執(zhí)法機(jī)構(gòu)合作開展了15次旨在打擊僵尸網(wǎng)絡(luò)控制服務(wù)器的大規(guī)模聯(lián)合行動，其中5次行動微軟與國家互聯(lián)網(wǎng)應(yīng)急中心密切合作，成功處置了大量僵尸網(wǎng)絡(luò)控制服務(wù)器。其中包括每月新感染10萬臺主機(jī)的DorkBot僵尸網(wǎng)絡(luò)，影響500萬用戶的Citadel僵尸網(wǎng)絡(luò)，控制了70,000子域名的Nitol僵尸網(wǎng)絡(luò)等。微軟與國家互聯(lián)網(wǎng)應(yīng)急中心的聯(lián)合處置行動，保護(hù)了國內(nèi)廣大電腦用戶的安全，也凈化了互聯(lián)網(wǎng)的使用環(huán)境。

事實(shí)上，在網(wǎng)絡(luò)安全領(lǐng)域微軟與中國的合作由來已久。2003年2月，中國便與微軟正式簽署了“政府安全計(jì)劃（GSP），成為首批與微軟簽署該協(xié)議的國家之一。微軟“政府安全計(jì)劃（GSP）”的使命是遵循透明、隱私、合規(guī)、安全原則，為參與計(jì)劃的政府與國際組織提供必需的安全信息和資源，通過建立充分互信，幫助其了解微軟技術(shù)，并借以保護(hù)自己及其公民。目前全球已經(jīng)有代表46個(gè)國家和國際組織的92家機(jī)構(gòu)加入這一計(jì)劃，參與成員可以對微軟產(chǎn)品的源代碼進(jìn)行受控訪問，與微軟交換威脅和漏洞信息，參加微軟產(chǎn)品和服務(wù)的技術(shù)內(nèi)容討論，并有權(quán)訪問位于美國、比利時(shí)、新加坡、巴西和中國的微軟技術(shù)透明中心。

微軟呼吁：攜手共建跨國跨行業(yè)跨平臺網(wǎng)絡(luò)安全和數(shù)字安全共同體

數(shù)字化轉(zhuǎn)型的大潮加速了創(chuàng)新技術(shù)的發(fā)展和應(yīng)用，也推高了全球規(guī)模的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的潛在風(fēng)險(xiǎn)。作為一家負(fù)責(zé)任的科技企業(yè)，微軟希望可以未雨綢繆，在網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)領(lǐng)域建立起一套全球共同認(rèn)可的基本行為規(guī)范和道德準(zhǔn)則，盡可能地降低潛在的網(wǎng)絡(luò)沖突及由此給全球經(jīng)濟(jì)、企業(yè)經(jīng)營和人民生活造成傷害和損失的風(fēng)險(xiǎn)。

正是出于這樣的考慮，微軟在2017年2月舉辦的“全球信息安全產(chǎn)業(yè)大會（RSA）”上，首次提出了制定“數(shù)字日內(nèi)瓦公約”的倡議，希望可以在網(wǎng)絡(luò)世界中制定一條如“日內(nèi)瓦公約”一樣的國際協(xié)議，以全球各國公認(rèn)的道德行為準(zhǔn)則，約束各方在網(wǎng)絡(luò)空間中的行為，盡最大努力降低平民可能受到的潛在傷害和影響。微軟提出的“數(shù)字日內(nèi)瓦公約”所倡議的主要內(nèi)容包括：網(wǎng)絡(luò)沖突不應(yīng)針對科技公司、私營企業(yè)或關(guān)鍵基礎(chǔ)設(shè)施；政府機(jī)構(gòu)應(yīng)協(xié)助私營企業(yè)發(fā)現(xiàn)、遏制、回應(yīng)和恢復(fù)安全事件；政府應(yīng)向供應(yīng)商披露漏洞，而不是存儲、銷售或利用漏洞；在開發(fā)網(wǎng)絡(luò)武器方面保持克制，并確保任何開發(fā)都是有限制的、精確的，而不是可重復(fù)使用的；致力于防止網(wǎng)絡(luò)武器擴(kuò)散；限制進(jìn)攻型操作，以避免大規(guī)模安全事件爆發(fā)。

為了真正落實(shí)共建全球網(wǎng)絡(luò)安全秩序的理念，微軟在2018年的RSA大會上，進(jìn)一步提出了構(gòu)建“網(wǎng)絡(luò)安全技術(shù)協(xié)議（Cybersecurity Tech Accord）”的倡議。“網(wǎng)絡(luò)安全技術(shù)協(xié)議”是一項(xiàng)旨在保護(hù)和支持人們上網(wǎng)權(quán)益，致力于提高網(wǎng)絡(luò)空間的安全性、穩(wěn)定性和靈活性的公開承諾，目前已經(jīng)有44家的全球規(guī)模的企業(yè)宣布加入此協(xié)議，除微軟外還包括思科、戴爾、臉書、領(lǐng)英、甲骨文、Salesforce、SAP、VMWare等。參與這一協(xié)議的公司共同承諾：保護(hù)全球各地的用戶和客戶；反對任何針對用戶和客戶的網(wǎng)絡(luò)攻擊；幫助用戶、客戶和開發(fā)人員加強(qiáng)網(wǎng)絡(luò)安全保護(hù)；與志同道合的組織合作，加強(qiáng)網(wǎng)絡(luò)安全。兩周前的8月9日，“網(wǎng)絡(luò)安全技術(shù)協(xié)議”正式認(rèn)可了“路由安全規(guī)范（MANRS）”。這是一個(gè)旨在增強(qiáng)全球互聯(lián)網(wǎng)路由系統(tǒng)適應(yīng)性和安全性的規(guī)范，也是“網(wǎng)絡(luò)安全技術(shù)協(xié)議”公開支持的第一個(gè)網(wǎng)絡(luò)安全行為準(zhǔn)則。無論是登陸網(wǎng)站、用信用卡在線交易還是搜索和交換信息，都離不開穩(wěn)定和安全的網(wǎng)絡(luò)環(huán)境，但意外事件隨時(shí)可能影響路由基礎(chǔ)設(shè)施，造成各種延遲。僅在2017年，就發(fā)生了超過1.4萬起路由中斷或者攻擊事件，并由此造成了劫持、數(shù)據(jù)泄露，由欺騙攻擊（Spoofing）導(dǎo)致數(shù)據(jù)丟失等安全事件——“路由安全規(guī)范”將有助于規(guī)范和減少這樣的風(fēng)險(xiǎn)。

微軟云技術(shù)助力中國客戶的網(wǎng)絡(luò)安全和數(shù)字安全

在呼吁攜手應(yīng)對網(wǎng)絡(luò)安全和數(shù)字安全挑戰(zhàn)的同時(shí)，微軟也在充分發(fā)揮自身優(yōu)勢資源，積極應(yīng)對全球市場對于網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)方面越來越嚴(yán)格的要求，助力中國客戶更加安全、高效、合規(guī)地參與國際市場競爭。

在世界各地，Microsoft Azure云服務(wù)獲得和通過了超過70項(xiàng)與安全、合規(guī)、隱私保護(hù)相關(guān)的法律法規(guī)標(biāo)準(zhǔn)認(rèn)證，有超過90%的全球“財(cái)富500強(qiáng)”企業(yè)都在采用微軟云服務(wù)。在中國，由世紀(jì)互聯(lián)運(yùn)營的Microsoft Azure通過了中國“可信云”認(rèn)證和等級保護(hù)三級測評。正式商用四年來，在中國市場由世紀(jì)互聯(lián)運(yùn)營的Microsoft Azure贏得了超過11萬企業(yè)用戶及1,400多家云合作伙伴的信任，有超過150萬付費(fèi)企業(yè)用戶在使用Office 365。

今年5月25日，歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）正式生效，也讓數(shù)據(jù)保護(hù)成為各界關(guān)注焦點(diǎn)。微軟全球云服務(wù)在GDPR正式實(shí)施前已實(shí)現(xiàn)全面合規(guī)，在中國市場，由世紀(jì)互聯(lián)運(yùn)營的Microsoft Azure和Office 365也向客戶提供滿足其GDPR合規(guī)需求的技術(shù)和合同承諾。微軟相信，無論在中國還是全球市場，隱私和數(shù)據(jù)保護(hù)將成為越來越重要的信息安全準(zhǔn)則。GDPR不只關(guān)乎歐洲，對于在歐洲乃至全球市場上扮演著越來越重要角色的中國企業(yè)來說，GDPR合規(guī)同樣是關(guān)系到企業(yè)未來的戰(zhàn)略決策。

作為一家平臺與生產(chǎn)力公司，微軟的使命是予力全球每一人，每一組織，成就不凡。面對新技術(shù)變革帶來的機(jī)遇，以及隨之而來的種種挑戰(zhàn)和安全風(fēng)險(xiǎn)，微軟將一如既往地以負(fù)責(zé)任的態(tài)度為全球和中國市場提供安全、可信、合規(guī)的技術(shù)、平臺、服務(wù)和解決方案，為全球協(xié)力共同建設(shè)一個(gè)安全的網(wǎng)絡(luò)和數(shù)字生態(tài)貢獻(xiàn)自己的力量。