杭州都市網

談瑞瓊

微軟（中國）有限公司公共及法律事務部執行總監 高級律師

今天，由云計算、大數據、物聯網、人工智能、混合現實等新興技術所引領的數字化轉型，正在全球各地掀起一場波瀾壯闊的產業變革。伴隨技術創新飛躍式的發展和迅速普及，人們的生活、企業的效益、經濟的發展，都越來越依賴于信息基礎設施、業務應用和數字服務——與此同時，網絡安全和數據保護所面臨的潛在威脅也變得日益嚴峻起來。

以經濟利益為驅動

網絡犯罪呈現多元化和全球化趨勢

調查顯示，謀求經濟利益已經成為驅動網絡犯罪的首要動力，當前有超過50%的網絡犯罪都是以獲利為目的。2017年，以特定企業為目標的“魚叉式”網絡釣魚攻擊，平均每次會給企業造成160萬美元的經濟損失，而一次數據泄露的代價平均為360萬美元。據預測，到2022年，各種形式的網絡犯罪將給全球帶來價值高達8萬億美元的經濟損失。

唯利是圖的本性驅動著網絡犯罪不斷尋找新的突破口，也讓網絡安全威脅呈現出多元化發展的態勢。2017年5月，勒索病毒的爆發給全球超過150個國家帶來了超過80億美元的經濟損失；而隨著2017年下半年比特幣等數字貨幣價值暴漲，劫持主機和云計算資源用于“挖礦”的惡意攻擊又呈現出了爆炸式增長——被劫持用于挖礦的終端主機的數量在2017年暴增了8500%。與此同時，網絡犯罪還盯上了物聯網設備，2017年被“黑”用于挖礦的物聯網設備數量也增加了600%。除此之外，針對智能手機的惡意軟件和隱私泄露事件仍在持續增長，通過劫持軟件更新程序實施的供應鏈攻擊也呈現出急速增長的勢頭。

不久前，中國國家計算機網絡應急技術處理協調中心（以下簡稱國家互聯網應急中心，CNCERT/CC）發布的《2017年中國互聯網網絡安全報告》指出，木馬和僵尸網絡、移動互聯網惡意程序、聯網智能設備惡意程序、拒絕服務攻擊（DDoS）、數據泄露、安全漏洞、釣魚和欺詐網站是我國當前網絡安全和數據保護面臨的主要挑戰。監測數據顯示，2017年，我國用戶遭遇的很多安全威脅都來自于境外服務器，網絡犯罪呈現全球化發展的態勢：位于境外的約3.2萬個計算機惡意程序控制服務器控制了我國境內約1101萬個主機；拒絕服務攻擊中，反射放大攻擊中的偽造流量來自境外的超過85%；與此同時，釣魚仿冒網站域名和IP地址的境外注冊比例在2017年分別同比上升了14.2%和7.8%，均出現了向境外遷移的趨勢。

微軟與中國伙伴緊密合作

高效應對安全威脅

要有效應對網絡犯罪多元化發展、全球化蔓延的態勢，需要在全球范圍內開展更加積極有效的廣泛合作并做出及時的響應。以2017年爆發的勒索病毒為例，北京時間5月13日上午，微軟接到中國國家互聯網應急中心關于WannaCry病毒爆發和協助處置的通知。當天下午，微軟即發布了《關于WannaCry惡意攻擊防護的用戶指導》，并針對此前已經停止官方支持的Windows XP及Windows Server2003操作系統特別發布了官方安全更新補丁。6月14日，微軟積極響應國家互聯網應急中心和其他國家政府的建議，再次發布針對Windows XP和Windows Server 2003其他安全漏洞的更新補丁。通過與國家互聯網應急中心的緊密合作，微軟在第一時間為中國政府和企業用戶仍在使用的老舊操作系統提供了安全支持，幫助降低了潛在損失和影響。

在應對包括惡意軟件、僵尸網絡等安全威脅方面，微軟長期以來與中國國家互聯網應急中心等相關單位建立了緊密的合作關系。從2010年起，微軟在全球和各個國家的互聯網服務提供商、互聯網應急中心以及執法機構合作開展了15次旨在打擊僵尸網絡控制服務器的大規模聯合行動，其中5次行動微軟與國家互聯網應急中心密切合作，成功處置了大量僵尸網絡控制服務器。其中包括每月新感染10萬臺主機的DorkBot僵尸網絡，影響500萬用戶的Citadel僵尸網絡，控制了70,000子域名的Nitol僵尸網絡等。微軟與國家互聯網應急中心的聯合處置行動，保護了國內廣大電腦用戶的安全，也凈化了互聯網的使用環境。

事實上，在網絡安全領域微軟與中國的合作由來已久。2003年2月，中國便與微軟正式簽署了“政府安全計劃（GSP），成為首批與微軟簽署該協議的國家之一。微軟“政府安全計劃（GSP）”的使命是遵循透明、隱私、合規、安全原則，為參與計劃的政府與國際組織提供必需的安全信息和資源，通過建立充分互信，幫助其了解微軟技術，并借以保護自己及其公民。目前全球已經有代表46個國家和國際組織的92家機構加入這一計劃，參與成員可以對微軟產品的源代碼進行受控訪問，與微軟交換威脅和漏洞信息，參加微軟產品和服務的技術內容討論，并有權訪問位于美國、比利時、新加坡、巴西和中國的微軟技術透明中心。

微軟呼吁：

攜手共建跨國跨行業跨平臺網絡安全和數字安全共同體

數字化轉型的大潮加速了創新技術的發展和應用，也推高了全球規模的網絡安全和數據保護的潛在風險。作為一家負責任的科技企業，微軟希望可以未雨綢繆，在網絡安全和數據保護領域建立起一套全球共同認可的基本行為規范和道德準則，盡可能地降低潛在的網絡沖突及由此給全球經濟、企業經營和人民生活造成傷害和損失的風險。

正是出于這樣的考慮，微軟在2017年2月舉辦的“全球信息安全產業大會（RSA）”上，首次提出了制定“數字日內瓦公約”的倡議，希望可以在網絡世界中制定一條如“日內瓦公約”一樣的國際協議，以全球各國公認的道德行為準則，約束各方在網絡空間中的行為，盡最大努力降低平民可能受到的潛在傷害和影響。微軟提出的“數字日內瓦公約”所倡議的主要內容包括：網絡沖突不應針對科技公司、私營企業或關鍵基礎設施；政府機構應協助私營企業發現、遏制、回應和恢復安全事件；政府應向供應商披露漏洞，而不是存儲、銷售或利用漏洞；在開發網絡武器方面保持克制，并確保任何開發都是有限制的、精確的，而不是可重復使用的；致力于防止網絡武器擴散；限制進攻型操作，以避免大規模安全事件爆發。

為了真正落實共建全球網絡安全秩序的理念，微軟在2018年的RSA大會上，進一步提出了構建“網絡安全技術協議（Cybersecurity Tech Accord）”的倡議?！熬W絡安全技術協議”是一項旨在保護和支持人們上網權益，致力于提高網絡空間的安全性、穩定性和靈活性的公開承諾，目前已經有44家的全球規模的企業宣布加入此協議，除微軟外還包括思科、戴爾、臉書、領英、甲骨文、Salesforce、SAP、VMWare等。參與這一協議的公司共同承諾：保護全球各地的用戶和客戶；反對任何針對用戶和客戶的網絡攻擊；幫助用戶、客戶和開發人員加強網絡安全保護；與志同道合的組織合作，加強網絡安全。兩周前的8月9日，“網絡安全技術協議”正式認可了“路由安全規范（MANRS）”。這是一個旨在增強全球互聯網路由系統適應性和安全性的規范，也是“網絡安全技術協議”公開支持的第一個網絡安全行為準則。無論是登陸網站、用信用卡在線交易還是搜索和交換信息，都離不開穩定和安全的網絡環境，但意外事件隨時可能影響路由基礎設施，造成各種延遲。僅在2017年，就發生了超過1.4萬起路由中斷或者攻擊事件，并由此造成了劫持、數據泄露，由欺騙攻擊（Spoofing）導致數據丟失等安全事件——“路由安全規范”將有助于規范和減少這樣的風險。

微軟云技術助力中國客戶的網絡安全和數字安全

在呼吁攜手應對網絡安全和數字安全挑戰的同時，微軟也在充分發揮自身優勢資源，積極應對全球市場對于網絡安全和數據保護方面越來越嚴格的要求，助力中國客戶更加安全、高效、合規地參與國際市場競爭。

在世界各地，Microsoft Azure云服務獲得和通過了超過70項與安全、合規、隱私保護相關的法律法規標準認證，有超過90%的全球“財富500強”企業都在采用微軟云服務。在中國，由世紀互聯運營的Microsoft Azure通過了中國“可信云”認證和等級保護三級測評。正式商用四年來，在中國市場由世紀互聯運營的Microsoft Azure贏得了超過11萬企業用戶及1,400多家云合作伙伴的信任，有超過150萬付費企業用戶在使用Office 365。

今年5月25日，歐盟《通用數據保護條例》（GDPR）正式生效，也讓數據保護成為各界關注焦點。微軟全球云服務在GDPR正式實施前已實現全面合規，在中國市場，由世紀互聯運營的Microsoft Azure和Office 365也向客戶提供滿足其GDPR合規需求的技術和合同承諾。微軟相信，無論在中國還是全球市場，隱私和數據保護將成為越來越重要的信息安全準則。GDPR不只關乎歐洲，對于在歐洲乃至全球市場上扮演著越來越重要角色的中國企業來說，GDPR合規同樣是關系到企業未來的戰略決策。

作為一家平臺與生產力公司，微軟的使命是予力全球每一人，每一組織，成就不凡。面對新技術變革帶來的機遇，以及隨之而來的種種挑戰和安全風險，微軟將一如既往地以負責任的態度為全球和中國市場提供安全、可信、合規的技術、平臺、服務和解決方案，為全球協力共同建設一個安全的網絡和數字生態貢獻自己的力量。