針對(duì)治理“瀏覽器主頁(yè)劫持”等問(wèn)題，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的有關(guān)人士日前接受了記者的采訪。

中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)——

僅行業(yè)自律不行

要組合拳式整治

“人民日?qǐng)?bào)報(bào)道中提及的侵犯網(wǎng)民選擇權(quán)和知情權(quán)等行為，也是中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)一直關(guān)注的內(nèi)容。”中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)副秘書(shū)長(zhǎng)宋茂恩日前接受記者采訪時(shí)表示，“人民日?qǐng)?bào)的權(quán)威發(fā)聲，讓我們從事相關(guān)工作更有底氣和信心。”

早在2006年12月，互聯(lián)網(wǎng)協(xié)會(huì)就向社會(huì)公布了《抵制惡意軟件自律公約》，明確提出“尊重用戶(hù)上網(wǎng)選擇，反對(duì)瀏覽器劫持”。2007年6月，互聯(lián)網(wǎng)協(xié)會(huì)又公布了《“惡意軟件定義”細(xì)則》，同時(shí)成立反惡意軟件認(rèn)定委員會(huì)，對(duì)“惡意軟件”“惡意行為”等作出了明確界定。

宋茂恩說(shuō)，雖然互聯(lián)網(wǎng)協(xié)會(huì)無(wú)法對(duì)制造惡意軟件的公司實(shí)施行政處罰，但如果網(wǎng)民舉報(bào)某款軟件具備惡意軟件的性質(zhì)，互聯(lián)網(wǎng)協(xié)會(huì)將協(xié)同相關(guān)機(jī)構(gòu)，要求該公司相關(guān)軟件立即停止惡意行為。如果該公司拒絕執(zhí)行，將被互聯(lián)網(wǎng)協(xié)會(huì)列入黑名單向社會(huì)公布。如果該公司是協(xié)會(huì)成員，有可能被除名;如果屬于非會(huì)員單位，將直接公布其相關(guān)信息，由社會(huì)監(jiān)督。

他介紹，2011年6月，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)又發(fā)布了《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》。相比《抵制惡意軟件自律公約》，該公約增加了移動(dòng)端收集、使用和保存用戶(hù)個(gè)人信息的原則性意見(jiàn)，一些要求也更細(xì)化。比如，第九條明確要求，“終端軟件安裝、運(yùn)行、升級(jí)、修改默認(rèn)設(shè)置等，應(yīng)當(dāng)明確提示用戶(hù)，不得違背用戶(hù)意愿修改用戶(hù)已確認(rèn)的選擇或者設(shè)置”;第十七條明確禁止“惡意排斥”，即禁止“某款終端軟件在設(shè)計(jì)、安裝、運(yùn)行過(guò)程中，無(wú)正當(dāng)理由，故意給其他合法終端軟件設(shè)置障礙，妨礙用戶(hù)安裝或者使用其他合法終端軟件”。

2018年，互聯(lián)網(wǎng)協(xié)會(huì)配合相關(guān)部門(mén)開(kāi)展了移動(dòng)APP治理工作，通報(bào)了一批過(guò)度要求授權(quán)的APP，有關(guān)企業(yè)進(jìn)行了整改。

宋茂恩表示，包括“瀏覽器主頁(yè)劫持”在內(nèi)的侵犯網(wǎng)民權(quán)益的行為不易根治，一方面是因?yàn)榛ヂ?lián)網(wǎng)技術(shù)發(fā)展較快、劫持手段翻新，管理手段通常滯后;另一方面，劫持網(wǎng)頁(yè)背后也有較大的利益，驅(qū)使一些不法分子通過(guò)惡意軟件牟利。

宋茂恩認(rèn)為，治理網(wǎng)絡(luò)違法違規(guī)行為，光有行業(yè)自律還不行，必須要有強(qiáng)勁的政府管理和法律法規(guī)的支撐，打好組合拳。

“互聯(lián)網(wǎng)協(xié)會(huì)考慮將新發(fā)現(xiàn)的侵犯網(wǎng)民權(quán)益行為寫(xiě)進(jìn)新一版的自律公約。”宋茂恩表示，互聯(lián)網(wǎng)協(xié)會(huì)將積極配合管理部門(mén)，與行業(yè)從業(yè)者一起，探索惡意軟件治理的長(zhǎng)效機(jī)制，營(yíng)造健康、和諧、有序的互聯(lián)網(wǎng)發(fā)展環(huán)境。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心——

做到常態(tài)化處置

力求源頭上治理

“我們第一時(shí)間就關(guān)注到了人民日?qǐng)?bào)關(guān)于‘瀏覽器主頁(yè)劫持’的報(bào)道。”國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(以下簡(jiǎn)稱(chēng)應(yīng)急中心)相關(guān)負(fù)責(zé)人告訴記者，作為我國(guó)網(wǎng)絡(luò)安全應(yīng)急體系的核心協(xié)調(diào)機(jī)構(gòu)，應(yīng)急中心一直致力于網(wǎng)絡(luò)安全威脅治理工作。“主頁(yè)篡改和瀏覽器劫持作為常見(jiàn)的網(wǎng)絡(luò)安全威脅，是我們治理的重點(diǎn)。”

這位負(fù)責(zé)人說(shuō)，應(yīng)急中心監(jiān)測(cè)的瀏覽器劫持行為，通常是指網(wǎng)民在不知情的情況下，下載并安裝了惡意軟件，導(dǎo)致瀏覽器主頁(yè)被鎖、網(wǎng)頁(yè)訪問(wèn)請(qǐng)求被篡改等不符合網(wǎng)民期望的行為。

他介紹，應(yīng)急中心對(duì)惡意程序處置的工作已經(jīng)常態(tài)化，力求從源頭上切斷黑色產(chǎn)業(yè)鏈條，保護(hù)網(wǎng)民安全和權(quán)益。2015年起，應(yīng)急中心集中開(kāi)展網(wǎng)絡(luò)威脅治理行動(dòng)，對(duì)網(wǎng)頁(yè)篡改、網(wǎng)絡(luò)“釣魚(yú)”等黑色產(chǎn)業(yè)進(jìn)行了專(zhuān)項(xiàng)治理。2018年，成功關(guān)閉772個(gè)控制規(guī)模較大的僵尸網(wǎng)絡(luò)，成功切斷了黑客對(duì)境內(nèi)約390萬(wàn)臺(tái)感染主機(jī)的控制。

“近些年，移動(dòng)端的惡意程序激增，違規(guī)行為頻發(fā)。”這位負(fù)責(zé)人說(shuō)，應(yīng)急中心的工作是，負(fù)責(zé)對(duì)移動(dòng)互聯(lián)網(wǎng)惡意程序樣本進(jìn)行認(rèn)定、命名，對(duì)移動(dòng)互聯(lián)網(wǎng)惡意程序進(jìn)行監(jiān)測(cè)、分析、通報(bào)，協(xié)調(diào)處置傳播服務(wù)器、控制服務(wù)器和攻擊源。

“移動(dòng)端惡意程序多，應(yīng)用管理平臺(tái)應(yīng)承擔(dān)起檢測(cè)、審核責(zé)任。”他告訴記者，2018年應(yīng)急中心累計(jì)向318家應(yīng)用商店、云盤(pán)、網(wǎng)盤(pán)或廣告宣傳網(wǎng)站等平臺(tái)通報(bào)惡意APP事件3578起。國(guó)內(nèi)主流應(yīng)用商店完善檢測(cè)、審核、監(jiān)督舉報(bào)、下架等制度，惡意APP數(shù)量快速下降。

“應(yīng)急中心建立了基于全國(guó)31個(gè)分中心聯(lián)動(dòng)的惡意程序處置機(jī)制，一旦發(fā)現(xiàn)云盤(pán)、網(wǎng)盤(pán)和廣告平臺(tái)存在惡意程序，第一時(shí)間通知網(wǎng)站聯(lián)系人清除惡意程序，控制惡意程序傳播范圍。”這位負(fù)責(zé)人說(shuō)。

他表示，實(shí)際治理中還存在一些難點(diǎn)。比如，有時(shí)候不好界定什么樣的行為屬于瀏覽器劫持。“假如一些惡意軟件利用系統(tǒng)漏洞控制了電腦，我們可以將其定義為惡意攻擊行為并進(jìn)行處置。但一些軟件在安裝過(guò)程中，由于一些默認(rèn)選項(xiàng)更改了用戶(hù)的首頁(yè)，現(xiàn)階段沒(méi)有明確的法律依據(jù)證明這屬于瀏覽器劫持，只能通過(guò)自律公約約束開(kāi)發(fā)者。”他說(shuō)，應(yīng)急中心也沒(méi)有足夠的人力幫助每一位網(wǎng)民處置劫持問(wèn)題，只能多做一些宣傳引導(dǎo)，提升用戶(hù)的意識(shí)和技術(shù)能力。

他提醒，應(yīng)急中心通過(guò)監(jiān)測(cè)發(fā)現(xiàn)，網(wǎng)絡(luò)生態(tài)中通過(guò)DNS和路由器實(shí)現(xiàn)瀏覽器劫持的行為，影響范圍更大，危害更嚴(yán)重，值得行業(yè)和監(jiān)管部門(mén)重視。一旦監(jiān)測(cè)發(fā)現(xiàn)這類(lèi)事件，應(yīng)急中心會(huì)在第一時(shí)間聯(lián)合運(yùn)營(yíng)商進(jìn)行集中處置，“同時(shí)，普通用戶(hù)也應(yīng)增強(qiáng)安全意識(shí)，不要隨意下載非正版的應(yīng)用軟件、非官方游戲等;及時(shí)更新系統(tǒng)，修復(fù)漏洞，安裝殺毒軟件并及時(shí)更新病毒庫(kù);不要點(diǎn)擊來(lái)歷不明電子郵件中的鏈接和附件。”

“希望互聯(lián)網(wǎng)開(kāi)發(fā)者多從網(wǎng)民體驗(yàn)角度出發(fā)，少一些急功近利的行為。隨著網(wǎng)民安全意識(shí)的提高，主頁(yè)捆綁、瀏覽器劫持等簡(jiǎn)單粗暴的牟利手段越來(lái)越引起網(wǎng)民的反感，長(zhǎng)久來(lái)看不利于產(chǎn)品自身的發(fā)展。”這位負(fù)責(zé)人表示。