腾讯研究院杂志内容

万物互联的时代，互联网连接一切，互联网从工具属性上升到了网络空间属性，人类的各项社会活动都表现为现实空间与网络空间的渗透与融合。人们不断在网络空间注入新的社会行为模式，网络空间中海量的数据沉淀使得数据的资源化特征更加明显。但是基于海量数据产生的安全事故也呈现不确定性、不对称性、多元化等特征。2014年我国互联网行业安全问题突出集中在数据安全、不良信息以及行为安全三个方面。

一、网络安全环境更加复杂

网络安全面临更为复杂的风险挑战。信息化技术迅猛发展，催化出了更多的安全风险源，安全问题在风险链上交叉动态影响，造成的网络安全事故影响更加深远。一是万物互联的趋势使传统行业越来越多地置入传感器、操作系统、应用软件等软硬件设备，在智能化程度提升的同时，广泛的网络接入也使网络攻击深入到传统领域。二是网络数据越来越多地迁往云端，在降低成本提高效率的同时，也面临着被网络攻击而集中泄漏的风险。2014年，行业内爆发了多起规模化的数据安全事故，给互联网企业和用户带来了难以估量的损失。

表 SEQ 表 \* ARABIC 1：2014大规模用户数据泄露事件不完全统计

网民低龄化影响网络舆情环境。20岁以下的群体，在社交网络用户中的比例已经占到三分之一左右，正在逐步成为社交网络用户主力军。低龄群体易产生地域攻击、人身攻击、言语冒犯等行为，对时事新闻的解读也比较随意，网络舆情向偏激化、情绪化方向发展。此外，低龄群体喜好的娱乐平台会以极快的传播速度和极大规模的传播量传播该群体发布的诸如色情、谣言、人格侮辱等不良信息，直接冲击正常的舆情生态。

违法、不良信息与互联网多重耦合。信息技术更迭速度快，违法、不良信息与互联网技术及以互联网技术为依托的互联网产品加速耦合，以网络谣言、暴恐信息、淫秽色情信息等为代表的网络不良信息传播数量呈量级态势。网络谣言方面，北京地区网站联合辟谣平台成立一年内即辟谣超过百万条；网络色情方面，2014年中国互联网违法和不良信息举报中心共受理和处置公众举报淫秽色情有害信息82.3万件；网络暴恐影音方面，恐怖组织“东伊运”发布的视频数量从2010年的8部增长到2013年的109部，2014年半年内又发布了73部，2014年3月31日至5月9日，仅新疆公安机关清就理暴恐音视频、链接等有害信息2229条。

二、互联网行业安全三大威胁

入侵数据流动链薄弱点对数据资源的破坏。数据在软硬件设备上流经采集、处理、存储、传输等一整套的流动过程。一旦软硬件设施中存在的薄弱环节被攻破，大量有价值数据资源就会发生泄露，国家、企业和用户的相关权益就会受到严重的影响。

违法与不良信息内容对网络舆论环境带来冲击。违法与不良信息以数据形式存在、传播并在传播链条中再次生产数据。信息技术的更迭和交互影响不断催化更多的不良数据信息，波及面更广，影响程度也更深。典型的违法与不良信息类型突出集中在不实信息、网络色情信息和网络涉恐信息三大类。

不当使用数据行为对行业秩序形成冲击。良性数据的不当使用也会冲击正常的行业秩序。随着越来越多的行业触网，各类的线下行为逐步线上化、数据化，不当使用数据行为也在不断扩充边界，冲击正常的行业生态。不正当使用数据行为包括未授权情况下使用数据、干扰数据正常使用和盗取数据等。

三、年度互联网数据安全事故主要特征

年度数据安全事故态势表现在全球范围内跨域渗透、数据安全威胁入口动态多元、威胁成本与收益不对称的特征。

全球范围内跨域渗透，跨领域和跨疆域是2014年数据安全事故的两大突出特点。随着信息化技术的发展，安全事故频发领域已经不仅仅局限于金融、电信和互联网等行业，网络攻击逐步向各类联网终端和业务系统渗透，向汽车、医疗、家居、能源工控等人类生活的几乎所有角落辐射。此外，数据跨境流动成为常态，数据跨境流动基础之上的产生的国家层面和商业层面的冲突或纠纷会更加显现。如2014年8月，小米就回传数据至北京服务器事件造台湾“国家通讯传播委员会”和新加坡个人信息保护委员会调查。小米手机连续遭遇两起海外隐私问题调查，对我国正在走向全球化的互联网企业敲响了隐私保护的警钟。

数据安全威胁入口动态多元，数据安全的威胁源存在于数据的全部生命周期中，数据的整个流转链以及技术思路、产品开发、用户使用、服务管理等产品系统各环节都可能成为安全威胁的入口。以安卓系统上的APP为例，一款App应用从开发到安装到用户的手机，涉及到产业链的多个环节，数据安全风险源存在于APP产业链的各个环节中。

资料来源：互联网实验室，2015年4月

图 1：App产业链的风险点

威胁成本与收益不对称。一方面，数据资源现已成为企业发展的战略性资源，企业违规越限收集用户隐私信息的成本较低，相当部分的互联网公司收集用户信息用于谋取非法利益，或者储备权限范围外的用户数据资源以待寻求新的业务方向等。另一方面，以“脱库”、“撞库”和“洗库”环节为主的低成本、高收益的黑色产业链已经非常成熟。”拖库“是指黑客入侵有价值的网络站点，通过社工或者技术把注册用户的资料数据库全部盗走的行为。在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作“洗库”。因为很多用户喜欢使用统一的用户名密码，最后黑客将得到的数据在其它网站上进行尝试登陆，叫做”撞库“。2014年12306网站被攻击就是”撞库”行为所致。

四、违法与不良信息内容产生新问题

违法与不良信息内容产生新问题，突出表现为不良信息转移到移动端、色情产业形势升级、暴恐内容多点散发形成跨域影响力。

不良信息转移到移动端。2014年以微信、新闻客户端为代表的热门产品出现舆情热点。互联网陈旧的不良信息被改头换面重新发布的问题在移动端重现。突发事件中，片面内容形成的难以判断真假的信息仍然是舆情发酵的核心因素。舆情发酵后，舆论热点与事件本身分离，抽象化、对立性的是非价值争论提高了事件升级的风险。

2014年5月央视《焦点访谈》栏目在“微波炉的秘密”节目中提到微信公众平台存在大量虚假信息的现象。节目提到微信平台中一则关注度极高的《微波炉厂家打死都不说的惊人秘密》帖子，被一些账号借用虚假信息吸引眼球后，充当营销推广养生品、药品的工具。

色情产业形式升级。当前新兴技术仍然面临被“色情”组织滥用的风险。目前，智能硬件、微电影、3DS摄像头等都出现了“色情”应用的现象。基于LBS技术的色情O2O交易模式也凸显出来，通过线上位置定位，信息展示，进行交易沟通，最后实现线下消费。

随着新网络应用的普及，网络色情的商业模式也比较成熟。2014年曝光城通网盘案和草榴社区运营信息图，城通网盘鼓励用户通过推广自己上传内容的下载链接，以点击量获利。案件中李某将“色情”信息上传到城通网盘再将链接发布到“色情”网站，最终以点击量从城通网盘结算收入。而有报道称草榴社区也可以通过网盘获得广告收益[i]。

常见的“色情”网站产业链条主要是广告模式和用户付费模式。网站通过色情内容吸引用户，并通过出售刺激性更高的内容的浏览权限获得收益，此外网站也通过在页面嵌入的各种广告获取收益。依附于色情网站，已经形成包括广告制作、广告联盟、网站建设技术支持、木马生产与分销、网站推广等一系列利益链条，各环节上已聚集了一定规模的企业、服务商和代理商。

资料来源：互联网实验室，2015年4月

图 2：以“色情”网站为核心的产业链

当前网络色情存在平台治理难点。一方面，单一平台安全审核与技术体系承载能力难以应对网络“色情”产业链的整体攻势。互联网平台上产生的网络“色情”信息背后有分工清晰、配合默契的产业链支持，单独的互联网企业难以应对。另一方面，网络色情的表现形式多样化，发现和识别存在技术难度。当前网络色情的识别方法主要在基于网址黑名单的过滤方法、基于关键字的过滤方法、基于图像内容分析的过滤方法三部分。但是当前色情信息、图像、视频等敏感图像复杂和多样化，为网络敏感信息过滤技术和肤色监测技术、基于人体模型的敏感图像识别技术带来了挑战。

网络日常监管也存在难点。一方面，复杂耦合之下，多平台间色情信息传播过程的研究和监管存在空白。目前我国互联网色情的监管仍然针对单个互联网产品，管理方式一刀切，所以在网络色情产业链上，灰色产业链上的主体能轻易躲避管理，正常平台网站由于承载色情信息而成为追责对象。另一方面，网络色情的跨国运营回流难以设立有效屏障。根据12321举报平台数据核实所举报的淫秽色情数据一共11万件次，87.27%的淫秽色情网站通过IP归属，显示是来自于美国，第二位和第三位分别是日本和欧洲，来自于中国的淫秽色情网站仅有1.9% 。“色情”网站依托海外服务器从一开始就绕过了我国网站备案的基础管理制度，以此获得了稳定的运营空间，又通过利用第三方合法的网站发布所经营论坛的最新登录地址，源源不断将国内网民吸引到网站上去。从全球其他国家的经验看，“色情”组织利用国家间法律规则不同采取跨国运作和内容回流等方式规避本国管理，例如日本AV业也存在利用日美之间的法律差异生产无码视频回流本国牟利的行为。目前由于缺乏对网络色情传播犯罪界定和执法机制的全球一致的认识，国家间的色情治理合作存在大量障碍，这种网络色情的跨国运营将会在未来一段时间内继续存在。

暴恐内容多点散发形成跨域影响力。近年来，国内发生的恐怖袭击和死亡人数出现了一定的上涨。我国发生的恐怖袭击出现利用互联网突破国境限制的现象。境外恐怖组织利用互联网工具在境内招募、培训恐怖分子，并利用更灵活的机制一方面将尽量多的极端分子纳入到恐怖组织内，另一方面以独立小组的形式鼓励极端分子发动暴力袭击。

恐怖组织对暴恐音视频使用不断进化。从传播恐怖思想到暴恐培训，恐怖组织传播暴恐音视频的行为也在不断升级。近年来恐怖分子开始以体能、射击、格斗、制作炸弹等为内容制作音视频，从引导思想极端化转向推动暴恐行动。

早期恐怖组织的网络活动以建设网站和邮件沟通为主。随着视频网站、社交网站的兴起，恐怖分子活动也开始利用这些网络新工具。“东伊运”等境外“疆独”势力利用视频网站Youtube、社交应用Facebook、Twitter等，发布暴恐影视频，煽动和吸纳境内外恐怖分子活动；此外，由于境内互联网针对恐怖主义进行了屏蔽，恐怖组织一方面通过向境内散播翻墙软件来突破网络审查，另一方面也开始积极向境内网站渗透；最后，暴恐音视频下载后存储和播放，形成了数据线下二次传播扩散的风险。我国暴恐音视频的传播主要集中在存储类网络产品上，这种较为隐蔽的传播方式背后往往已经形成相对封闭的极端化小圈子，这种传播渠道往往很难被普通群众发现和举报。

五、不当使用数据数据行为冲击行业正常生态

干扰数据、盗取数据等不当使用数据行为冲击行业正常生态。

干扰数据行为泛滥，移动支付与电商行业良性发展受阻。干扰数据行为一个重要途径是通过技术手段伪造、假冒真实信息数据，使用户的流量流向虚假目标，黑产从业者进而从中获利。

移动支付领域，黑产从业者通过虚假Wi-Fi、伪基站、手机钓鱼网站、诈骗短信、诈骗电话等多种渠道，在支付前、支付中、支付后三大环节对用户实施资金盗取或诈骗等行为，使用户财产遭受损失。

电商行业干扰数据行为突出表现在炒信行为。炒信即不法分子利用各种途径和手法进行虚假交易、炒作信用的行为。炒信已经形成链条化，在虚假交易的各个环节中，上下游行业同样分工明确，利益体涉及商家、炒信组织、手机服务商、快递公司、刷客甚至欺诈团伙等，形成一条完整且成熟的利益链条；炒信产业规模大，仅2013年淘宝网查获虚假交易买家账号总计就有800万家，交易额超百亿；炒信监管力度不足，但是我国法律对此尚无明确具体的禁止性规定。只有在商家通过炒信销售假冒伪劣产品，或者构成骗取他人财物时，才涉嫌销售假冒伪劣产品罪或诈骗罪，可以受到法律制裁。从目前的司法实践来看，对炒信类案件以非法经营罪定罪量刑全国尚无判例。

盗取数据行为频发，移动支付安全保障体系受冲击。用户在互联网平台上留下的数据和行为数据等蕴含着巨大的价值，如用户的身份信息、支付信息等。这对于黑产从业者而言极具吸引力，由此衍生了数据盗取行为。数据盗取行为多发生在移动支付领域，数据盗取行为发生后，用户财产权益会遭受到巨大的损失。

2014年，支付病毒数量规模巨大，盗取数据是其重要行为特征。腾讯移动安全实验室数据显示，2014年全年手机支付类病毒包累计达到18.46万个。从病毒包数量看，累计支付病毒包数呈现逐月持续递增的趋势。从感染用户数看，支付类病毒感染用户人次也呈现四季度持续快速增长的趋势，全年感染用户人次达到1597.6万。从这些支付病毒的行为看，存在隐私数据上传、静默删除并转发短信的病毒行为的病毒包数量占比分别达到38.99%与29.31%。

移动支付黑产从业者能够造成巨大威胁，一方面源于目前移动端安全防护仍不如PC端成熟，尤其是安卓生态系统内病毒木马侵害用户手机安全的情况仍较为严重；另一方面，银行、电信运营商、即时通讯厂商、第三方支付、电商等主体之间存在信息割裂，黑产从业者在盗取用户信息后可以较容易地从事各种欺诈，这加剧了移动支付安全保障的难度；再一方面，移动支付应用场景在不断拓展，目前在移动端各种类型的O2O、移动购物、跨境电商等应用不断丰富。黑产从业者可利用多样化的支付场景，植入支付病毒，支付病毒可以侵入交易环节套取用户重要信息或资金。如果业内各类主体可以共享移动支付安全信息，形成立体防护，搭建共同联盟对黑产从业者信息进行全面定位，将可以压缩黑产从业者的操作空间。

六、互联网行业安全形势及应对建议

要解决互联网行业安全问题，一方面要从安全焦点的独立分支入手，解决其中的具体问题和直接矛盾；另一方面要建立互联网安全全局观，从互联网的发展和整体生态系统出发解决互联网安全问题。

首先，政府应在规律中寻求治理机制优化突破。

网络生态安全具有一定的独立性，其发展与演化都有自身的规则，需要将信息要素、技术要素和互联网产品类型要素和特征纳入到开展治理工作和政策制定的考量中去。坚持以平衡数据安全、行业发展和用户体验为原则，在开展打击治理工作，优化互联网安全环境的同时，不影响行业的良好发展和用户的产品体验。

其次，推动行业自我完善，构建网络安全治理机制。

保有海量用户数据的行业领军企业在互联网行业安全保障工作中已经成为重要的责任节点。我国互联网行业领头企业承载着中国用户的海量数据信息，其对于保障用户数据安全、构建网络清朗环境有一定的社会责任。因此大型互联网企业有必要完善组织架构、配套团队和部门，进行社会化联动保障行业安全。

在组织架构方面，在大型互联网企业及其各事业部落实首席责任人制度，明确首席责任人的权利范围和工作内容等；畅通自上而下和自下而上的双向沟通渠道，高层引导贯彻落实企业的网络安全政策、指导大型数据安全事故的处理等工作，下级反馈数据安全执行障碍、向上级寻求技术支持等；建设或完善数据安全响应中心和智库的配套团队或部门。数据安全响应中心在重要紧急事件处理中，可引导形成联接监管方和内部能力的信息枢纽和指挥部。智库负责对企业业务和行业上的网络安全进行研究分析，形成研究成果指导企业网络安全保障能力的构建。

在社会化联动方面，实行互联网企业之间内容关键词库、网址黑名单库、样本库等数据库的信息共享机制；协同政府、公共机构、私营企业、协会组织、社团组织、公民个人等各方力量，共同治理网络安全环境。

在技术支撑方面，探索各个领域的技术支撑。如虚假信息方面，通过探索信息的传播规律，合理使用来阻断不良信息的扩散链条；反恐方面，利用已经发现的暴恐样本积累规则信息，斩断暴恐内容上网的途径、建立风险预警机制；网络色情方面，图像识别能力有待突破，图像识别技术直接制约着互联网企业能否建立智能化色情内容处理系统，从国内企业现状和国外相关报道[ii]综合评估认为，技术手段尚不能完全承担识别、屏蔽暴力、色情信息的工作。因此国外也没有成熟的技术手段可以完整引入解决我国网络色情问题，相关技术研发和实践仍需依靠国内企业、科研单位力量完成。

最后，全方位加强用户网络安全意识教育。

政府部门进行战略规划，持续开展网民网络安全的意识教育工作，如坚持大力度推广网络安全周等工作，并及时根据网络安全现实问题调整教育宣传内容。此外应考虑建立、更新或补足教育体系，将网络安全意识的培养纳入低龄学生教育课程，系统培养公民的网络安全意识。

互联网企业从产品本身出发，向用户灌输网络安全问题形态，引导用户积极参与互联网企业的网络安全治理工作，协同参与治理网络色情、网络反恐、数据安全和移动支付风险等问题。积极举报传播淫秽色情、暴恐信息的账号和信息等。

引入媒体和社会舆论监督机制。媒体通过对大规模或者波及面广、影响力度深远的网络安全事件进行宣传，对政府和互联网企业对网络安全清朗环境治理的力度进行传播，强化用户个人隐私保护意识和抵制不良信息的意识。