網(wǎng)絡(luò)社區(qū)安全難題待解

對于聚集了大量用戶的網(wǎng)絡(luò)社區(qū)來說，在快速發(fā)展的同時，安全問題也隨之而來。無論是惡意代碼的肆虐，還是利用網(wǎng)絡(luò)交互功能進(jìn)行的犯罪，都在威脅著網(wǎng)絡(luò)社區(qū)的用戶及廣告客戶，且這種威脅正隨著網(wǎng)絡(luò)社區(qū)的發(fā)展而進(jìn)一步泛濫。既然已經(jīng)進(jìn)入了網(wǎng)上交互時代，而這類網(wǎng)絡(luò)社區(qū)也不是曇花一現(xiàn)的產(chǎn)物，顯然就需要更好地解決這些安全難題了。

那么，網(wǎng)絡(luò)社區(qū)該如何提高網(wǎng)絡(luò)安全性，且又不破壞正使它大受歡迎的開放性呢？國內(nèi)外網(wǎng)絡(luò)社區(qū)都在摸索之中。為此，本欄目特組織“網(wǎng)絡(luò)社區(qū)安全”專題，針對目前全球最大的網(wǎng)絡(luò)社區(qū)MySpace進(jìn)行分析，希望其在安全方面的經(jīng)驗(yàn)對國內(nèi)網(wǎng)絡(luò)社區(qū)的發(fā)展有所借鑒。

網(wǎng)絡(luò)社區(qū)的CSO需要為用戶及廣告客戶提高網(wǎng)絡(luò)安全性，但又不能破壞正使網(wǎng)絡(luò)社區(qū)大受歡迎的開放性。

有人說，MySpace網(wǎng)站是Web 2.0的鼓吹者，但也有人說它是數(shù)字化的魔鬼。

就在商業(yè)界關(guān)注這一網(wǎng)絡(luò)社區(qū)與Google（谷歌）達(dá)成后者花9億美元買下廣告權(quán)的交易、業(yè)務(wù)擴(kuò)大到澳大利亞、被《時代》雜志提名為50個最酷網(wǎng)站之一等新聞的同時，安全領(lǐng)域卻被另一類新聞標(biāo)題所吸引。一則標(biāo)題是《兩名少年因非法攻擊MySpace而被捕》，另一則標(biāo)題是《三名少年被指控對他們在MySpace網(wǎng)站上結(jié)識的女孩實(shí)施性侵犯》，還有一則是《一名男子被指控強(qiáng)奸在MySpace上約會的女孩》。

在取得巨大商業(yè)成功、為用戶帶來極大便利的同時，MySpace這類網(wǎng)絡(luò)社區(qū)也面臨著安全困境。作為一個開放性的網(wǎng)絡(luò)社區(qū)，MySpace需要為用戶及廣告客戶提高網(wǎng)絡(luò)安全性，但又不能破壞正使它大受歡迎的開放性。也就是說，網(wǎng)絡(luò)社區(qū)的首席安全官（CSO）需要在商業(yè)與安全之間很好地掌握平衡。

問題亟需解決

在美國達(dá)拉斯的會議上，Hemanshu Nigam要向關(guān)注安全問題的聽眾發(fā)表演講。他很快就會發(fā)現(xiàn)，擔(dān)任福克斯互動媒體公司（新聞集團(tuán)下屬企業(yè)）的CSO后，自己面前的舞臺有多大——新聞集團(tuán)老板Rupert Murdoch將數(shù)字未來方面的計劃寄托在MySpace上。在Nigam出席第一次會議前一小時，他和一名下屬直奔設(shè)在希爾頓酒店的會議室，他們在會議室門口看到那里排著一隊人。

Nigam回憶道：“我們問排隊的人‘你們在等什么？’他們回答‘我們在等MySpace的解釋?！T一打開，許多人蜂擁而入。一下子，你幾乎寸步難行，會議室里面到處站滿了人?！?

一些后來的人只好被勸退。事實(shí)上，大家都想聽一聽MySpace是如何幫助執(zhí)法部門開展刑事調(diào)查的。

現(xiàn)年42歲的Nigam在印度出生，在美國康涅狄格州長大。之前他是一名美國聯(lián)邦檢察官，在打擊兒童犯罪方面有著豐富經(jīng)驗(yàn)。他懷著使命感和同情心，上臺介紹了MySpace開設(shè)的24小時熱線電話、過去幫助找到強(qiáng)奸犯和離家出走的少年方面取得的成績，以及盡快向執(zhí)法官員提供IP地址和其他重要信息付出的努力。他的演講似乎收到了預(yù)期效果：事后，90%以上的與會者對他的演講給予了積極評價。

大會組織者Larry Robbins說：“他顯得很坦率，他說‘我們知道有問題需要解決，我們正在著手解決?！也挥X得他試圖在隱瞞什么?！?

測試了MySpace響應(yīng)能力的執(zhí)法官員說，該網(wǎng)站并非只是嘴皮上說說而已。美國警察局副局長Robert Charette說：“其實(shí)我感到很驚喜。”最近，他與MySpace聯(lián)手追查并逮捕了被兩個州通緝的一名男子，該男子從費(fèi)城的一家公立圖書館登錄進(jìn)入了MySpace賬戶?！耙郧懊铍娫捁窘怀鱿嚓P(guān)信息，可能要等上幾天甚至幾周，對此我們已經(jīng)習(xí)慣了。我還以為MySpace辦事也會像電話公司一樣拖沓。沒想到它馬上就響應(yīng)了，而且極其合作，與他們合作很愉快。”

實(shí)際上，該公司也需要如此。MySpace現(xiàn)在人氣很旺。據(jù)研究服務(wù)公司Hitwise聲稱，2006年7月， MySpace超過Yahoo Mail成為美國訪問量最大的網(wǎng)站。但隨著在其網(wǎng)絡(luò)社區(qū)建立的個人檔案數(shù)量激增——據(jù)MySpace聲稱，目前個人檔案多達(dá)1.5億份，它同樣吸引著形形色色的人，包括毒販、戀童癖患者和殺人犯。畢竟，不法分子成為會員就如同10多歲的孩子想共享踢球照片或者聊聊流行音樂歌手一樣容易。

Nigam面臨的難題是，為用戶以及廣告商提高網(wǎng)站的安全性，又不破壞正使它大受歡迎的那種開放性。這使得Nigam不但成了安全會議的焦點(diǎn)，也恰恰成了文化、商業(yè)和安全這幾方面的交叉點(diǎn)。盡管MySpace在出了問題后似乎能夠及時響應(yīng)，但至于Nigam能不能大大提高網(wǎng)站的安全性、所做的努力能不能足以安撫MySpace的批評人士（包括要求MySpace加強(qiáng)訪問機(jī)制的32名州首席檢察官組成的小組），完全是個未知數(shù)。

Nigam在去年5月上任后，“許多人終于松了口氣，他們覺得，現(xiàn)在至少有些事會得到解決。大門是開著的，他們隨時可以找他聯(lián)系。”派拉蒙數(shù)字娛樂公司的高級副總裁Derek Broes說，“他面臨的最大難題將是實(shí)現(xiàn)MySpace想要實(shí)現(xiàn)的安全目標(biāo)，又不影響公司本身、不帶來糟糕的用戶體驗(yàn)?！?

這顯然絕非易事。

CSO的新舞臺

早在新聞集團(tuán)于2005年10月斥資5.8億美元收購MySpace，并把它并入福克斯互動媒體公司后不久，集團(tuán)高層主管就開始物色人員，希望幫助這家一度惹是生非的新興公司加強(qiáng)安全。盡管存在兒童安全、惡意代碼和版權(quán)侵犯等問題，但MySpace、Facebook和Xanga這些網(wǎng)絡(luò)社區(qū)一直在飛速發(fā)展。

雖然以前MySpace等網(wǎng)站還很難成為人們關(guān)注的焦點(diǎn)，但現(xiàn)在情況不一樣了。不但其中最大的網(wǎng)絡(luò)社區(qū)MySpace的新母公司財大氣粗（新聞集團(tuán)2006年收入為253億美元），而且Murdoch也把MySpace看成是公司發(fā)展戰(zhàn)略的一粒重要棋子。實(shí)際上，新聞集團(tuán)的這位主席兼CEO曾告訴投資者，MySpace是一筆價值60億美元的資產(chǎn)，且IDG控股的一家中國公司正與MySpace商談投資中國版MySpace的事宜。

長期擔(dān)任全國失蹤及被剝削兒童中心主任的Ernie Allen很快接到了?？怂够用襟w公司打來的電話。對方希望他能推薦一名人選來擔(dān)任MySpace的CSO，要求是既善于處理兒童安全問題，又要深入了解技術(shù)。Allen立馬就想到了Nigam。

他們倆認(rèn)識已有十多年，早到可追溯至Nigam在美國司法部擔(dān)任聯(lián)邦檢察官的時候，當(dāng)時他專門接手與互聯(lián)網(wǎng)有關(guān)的兒童色情、兒童侵犯、婦女兒童拐賣以及計算機(jī)犯罪等案件。后來Nigam在微軟公司擔(dān)任消費(fèi)者安全服務(wù)和兒童安全計算部門主任時，兩人也共過事。Allen對Nigam的誠實(shí)為人和辦事能力給予了高度評價。他回憶道：“我想他的背景正是他們所需要的?！?

當(dāng)時在微軟的Nigam接到了電話。他說：“對方說，因?yàn)槟懔私鈨和踩?，那么可以跟我在MySpace的朋友聊聊嗎？后來就成了，你希望來MySpace工作嗎？隨后我打電話給Allen，想聽聽他的意見。我想過去，是因?yàn)槲掖_實(shí)想發(fā)揮作用?！?

Allen確信，?？怂够用襟w公司向Nigam提供這份工作，這表明它在物色的不只是有名無實(shí)的負(fù)責(zé)人，以便負(fù)責(zé)安撫股東或與媒體溝通。Allen回憶：“我對他們說，如果純粹是為了搞公關(guān)，那么你們還是不要聘請Nigam這樣的人，因?yàn)樗騺硎莻€實(shí)干家。他能辦成事兒，會著手處理并設(shè)法解決難題?！?

盡管這份工作將意味著Nigam需要把妻子和四個孩子從美國華盛頓調(diào)到洛杉磯，但這個機(jī)會對他很有吸引力。Nigam說：“實(shí)際上，這家公司當(dāng)時遭到了極大的打擊，但恰恰這也是出現(xiàn)問題的最好時機(jī)，因?yàn)樗€處在發(fā)展初期階段，現(xiàn)在正是可以打下基礎(chǔ)的時候。要是他們?nèi)旰蟠螂娫捊o我，我根本不會考慮?！?

公眾對Nigam被任命迅速作出了積極反應(yīng)。由于他具有法律背景、技術(shù)才能以及捍衛(wèi)兒童權(quán)益的聲譽(yù)，他的所有經(jīng)驗(yàn)似乎都有助于他走上這個崗位。

美國北卡羅來納州首席檢察官Roy Cooper的特別顧問Jay Chaudhuri說：“我們都對MySpace任命Nigam一事持樂觀態(tài)度，因?yàn)槲覀冇X得，他們將來能夠?qū)嵤┯行Т胧！盧oy Cooper領(lǐng)導(dǎo)的由32名首席檢察官組成的小組一直在竭力要求MySpace改進(jìn)安全做法。

不過，挑戰(zhàn)也是巨大的。Chaudhuri說：“在過去的半年里，MySpace無疑作出了一些變化，但它們是否足以在網(wǎng)上保護(hù)兒童？大多數(shù)首席檢察官是否認(rèn)為MySpace就像他們所說的那樣是個安全的‘交友場所’呢？我認(rèn)為，答案是否定的?！?

網(wǎng)絡(luò)社區(qū)的開放性使得MySpace在短期內(nèi)聚集了大量用戶
謀求新變化

在Nigam2006年5月1日走馬上任后的幾周內(nèi)，MySpace就宣布推出加強(qiáng)會員和網(wǎng)站安全的新措施。

首先，網(wǎng)站將禁止自稱年齡在18歲以上的會員聯(lián)系年齡為14歲或15歲的會員，除非成年會員知道年輕會員的全名或者電子郵件地址（雖然MySpace聲稱會員年齡必須至少是14歲，實(shí)際上不核查年齡，這仍是存在很大爭論的話題）；其次，網(wǎng)站將允許任何年齡的會員（而不僅僅是十四五歲的會員）可以將個人檔案設(shè)置成保密狀態(tài)，這樣只有屬于“朋友”網(wǎng)絡(luò)圈的人才能查看他們的全部信息；第三，公司將開始根據(jù)年齡選擇廣告受眾。確保年齡不足18歲的會員不會看到煙酒類廣告或者約會服務(wù)，年齡不足21歲的會員不會看到酒類廣告。

當(dāng)然，這種有針對性地投放廣告的做法無疑符合一項(xiàng)更龐大的戰(zhàn)略。德勤咨詢公司技術(shù)、媒體和電信部門的全國總經(jīng)理Eric Openshaw認(rèn)為，會員們向MySpace提供的大量信息使得該網(wǎng)站成了一座“蘊(yùn)藏大量營銷數(shù)據(jù)的金礦”，新聞集團(tuán)最終有望收回投資。

MySpace還進(jìn)行了動靜比較小的其他變化。譬如說，MySpace的員工注意到：有些年輕會員自稱年齡是69歲（“69”代表一種性愛姿勢）。年齡較大的會員會尋找身高不到四英尺的69歲的人，企圖找到對性感興趣的年輕會員?，F(xiàn)在，會員再也無法瀏覽查找年齡在68歲以上的人。

Nigam對這幾種變化采取了務(wù)實(shí)的態(tài)度。他與工作團(tuán)隊一起擬訂了他所說的問題列表（issue list）。他說：“我們分析黑客們在干什么？色狼們在干什么？然后，我們?nèi)フ夜こ處煟f‘假定你不用擔(dān)心資源問題，我們怎樣能夠解決這些問題？我們是否可以進(jìn)行改變或者添加某項(xiàng)功能？’”一旦這些工程師手里有了這份列表，就會設(shè)法弄清楚去做哪5項(xiàng)工作或者哪10項(xiàng)工作可以把某個問題的80%給解決掉，然后由此擬訂一份工作優(yōu)先表。

從這份問題列表得出的最大變化也許就是，力圖阻止已知的性犯罪者登錄網(wǎng)站。兒童被誘騙與他們在MySpace上聊天的不懷好意的成年人會面，這類新聞報道屢見不鮮，結(jié)果使得該網(wǎng)站名譽(yù)掃地。有位婦女和她14歲的女兒起訴MySpace并索賠3000萬美元，起因是該女孩在MySpace上結(jié)識的19歲男子涉嫌對她進(jìn)行了性侵犯（此案已在今年2月撤訴）?！哆B線》雜志在去年10月公布的一項(xiàng)調(diào)查發(fā)現(xiàn)，數(shù)百名登記在案的性犯罪者用真名在MySpace上建立個人檔案，其中一些人正忙于征集年輕“朋友”。于是在去年12月，MySpace宣布將與背景核查公司Sentinel Tech Holding合作，共同建立記錄有已知性犯罪者信息的全國中央數(shù)據(jù)庫——這些信息之前散布在聯(lián)邦和各州的數(shù)據(jù)庫中。名為Sentinel Safe的這項(xiàng)技術(shù)有望讓MySpace阻止這些用戶登錄網(wǎng)站。不過MySpace也表示，它的競爭對手同樣可以使用該數(shù)據(jù)庫。

批評人士過去往往指出，此舉只會迫使登記在案的性犯罪者使用別名，但MySpace在這方面也一直在向有關(guān)方面游說。它在宣布Sentinel Safe后不久打了一場漂亮的公關(guān)戰(zhàn)：John McCain和Charles Schumer這兩名參議員宣布計劃提議立法，將迫使登記在案的性犯罪者向執(zhí)法部門公布自己的電子郵件地址，使用未登記的電子郵件地址將屬于違反緩刑或者假釋條例。該法一旦通過，將為MySpace提供更多信息，到時它就可以用來比對。弗吉尼亞州的首席檢察官竭力要求本州推行類似立法。

打一場持久戰(zhàn)

與此同時，惡意代碼在MySpace網(wǎng)站上肆虐的說法也極為讓人關(guān)注。在較早的一件案子中，有位名叫“Samy”的少年就利用了一個腳本漏洞，把一段代碼添加到他的個人檔案中，結(jié)果在20個小時內(nèi)就感染了100多萬用戶的個人檔案——自動發(fā)出100多萬次請求，希望成為每個用戶的“朋友”。另一名婦女利用了Apple QuickTime中的一個漏洞，竊取了眾多用戶的登錄資料，隨后肆意發(fā)送垃圾郵件。

因而，Nigam現(xiàn)在把更多的注意力放在了計算機(jī)安全問題上，并專門成立了一個小組，負(fù)責(zé)響應(yīng)事件、致力于加強(qiáng)教育和意識方面的工作。這項(xiàng)工作針對MySpace的工程師，他們需要在如何編寫安全的Web應(yīng)用方面另外接受培訓(xùn)。同時它也針對會員，他們可以通過安裝防病毒軟件和防火墻、給軟件打上補(bǔ)丁來保護(hù)自己。

在這樣的背景下，基本的偵查工作仍在繼續(xù)。MySpace的服務(wù)條款禁止會員發(fā)布含有裸體畫面、仇恨言論或非法使用毒品等內(nèi)容的照片或者視頻，或者侵犯版權(quán)法的照片或視頻，但要讓這幾種內(nèi)容遠(yuǎn)離網(wǎng)站，需要打一場持久戰(zhàn)。

一個全天候支持工作小組（目前占到MySpace 300名員工的40%左右）人工檢查會員們每天發(fā)布的7000萬個圖像和視頻。他們還進(jìn)行搜索，盡量找出從發(fā)布信息可以看出年齡至少不足14歲的未成年用戶，譬如他們就讀小學(xué)的名稱等信息。該公司聲稱，目前它每周要關(guān)閉大約3萬名未成年用戶的個人檔案。不過，Nigam不愿透露版權(quán)侵犯方面的任何詳細(xì)內(nèi)容，只提到了一起正在進(jìn)行的訴訟：環(huán)球唱片公司在去年11月提起訴訟，指控MySpace的家底是“用戶從別人地方竊取的知識產(chǎn)權(quán)”。

不過仍傳出網(wǎng)站上時常出現(xiàn)壞人的報道，只要訪問MyCrimeSpace.com就可以證明這一點(diǎn)，該網(wǎng)站跟蹤與MySpace及其他社交網(wǎng)站有關(guān)的犯罪活動。北卡羅來納州的Trench Reynolds（博客名）在業(yè)余時間打理這個網(wǎng)站，他說：“我不認(rèn)為Nigam實(shí)施的各種安全措施非常有效。從MySpace方面來說，他們只能做這么多，家長們也需要加強(qiáng)對孩子上網(wǎng)活動的監(jiān)控力度?！?

Nigam承認(rèn)：“只要你讓用戶們在某個地方相互交流，最終會有壞人出現(xiàn)?！北粏柕骄W(wǎng)站存在的種種問題時，他顯得非常坦率。他解釋道，對他來說，實(shí)施的安全計劃沒有取得100%的效果，這已經(jīng)不在討論范圍之內(nèi)了。

Nigam說：“壞人有許多辦法來避開我們實(shí)施的系統(tǒng)。不過從我們的角度來看，這并不是說你可以不用實(shí)施系統(tǒng)。你要竭盡所能。你要積極預(yù)測、要先發(fā)制人、要補(bǔ)救問題、要隨時應(yīng)變、要為壞人設(shè)置難題。你在設(shè)置難題的同時，也在不斷讓人們意識到當(dāng)前情況。” (ccw)