邓锋:其实我觉得立法并不是很难,最难的是说执法。在执法当中最难的就是取证。行业合作,在取证上有一些合作,比如规定一些规范,有些取证能够很快找到问题,然后要重罚。现在有的觉得说这个事跟我没有关系,我就不管。其实DDOS攻击很多东西今天跟你没有关系,但是过两天就会攻击你。包括行业制定一些规范,某些关键点信息给你,大家一凑起来就知道怎么回事,这样就可以在执行上给的惩罚更高。然后在之后就推进这个东西。其实很好的一个例子就是中国视频,今天跟多少年前很不一样了,现在你稍微有点违法,很快可以给你很重的惩罚。就是进步在取证这方面,法院认可取证这方面取得进展很大,这一点可以通过行业合作订一些规范来做到这些事。信息到处都有痕迹,也都不是很高难度,我们讲的就是普通的,想把我的东西放到你那里头,偷一点信息,然后就卖了。这个取证相对来说不是很难,这一点上可以配合。
肖新光:关于立法的问题,当前一部分是关于整个立法,刚才谈到是不是有独立的网络安全立法,是不是有非常可行的技术上的延展等等,包括司法解释等等。但是另一方面这里有一个综合治理的问题,从当前来看,我们当前网络,据说从事地下经济灰色人群是数以数万、甚至百万,他已经形成了一个既定事实存在,这个既定事实存在就不是简单的你怎么样把它堵住,他一旦是一个既定事实存在,就会在另外一个地方冒出来。一定是一个综合治理,这里面有些观念需要改变。比如网络安全绝对不是建立在一个非常混乱的治理体系下,绝不是说网络整个安全问题越多,整个网络安全保障越低下,网络安全行业就越能够良性发展。网络立法和有效的执法及其配套的综合治理也是网络安全厂商良性发展的一个非常好的基础。网络安全企业、网络安全技术和服务人员首先建立在他是技术和技术博弈的基础上,假设我们作为防病毒的,我们对抗的对象是病毒,而不是做病毒那个人,做病毒那个人由公权部门治理,如果公权部门不能把这个人行为限制住,他就会持续进行这种制作,这种制造有其经济动力。这种经济动力并不是像有些人理解的那样,反病毒厂商的事情越来越多,实际上反病毒厂商是处理不暇的。第二,关于DDOS的问题,国内曾经有一段DDOS的狂潮被压制住一段时间,那一段时间是在某地打掉了某号称反DDOS产品的所谓安全厂商,他就是采用先救用户,再敲诈用户方式,如果没有一个综合治理方式,既一定程度遏制住地下经济发展,然后使攻守双方进入一个基本平衡性这样的保障博弈,同时又能够有效地限制一些厂商滥用权限甚至违法犯罪行为的话,那么整个产业乱象绝对不是产业的福音,所以我还是要呼唤综合治理。
邓锋:我补充一下,取证的事我举一个很简单的例子,大家每天收到很多垃圾短信。我有一个同事接到电话,说要砍你一条腿的。如果运营商设置一个键,垃圾短信也好或者恶意短信也好、电话也好,一个键一按过去,这个号码就报上去,很快的这个号码在很短时间很多人报,马上这个电话就坏了,这个事不难,但是没有人做,这就是取证很快被解决的问题。实际上意识到技术的问题都会跟得上,都可以做到。
丁健:最后一个问题既比较敏感,也比较技术,我希望开放给所有人。最近网络讲的比较多的一件事情,对于国外的应用,比如gmail、google这些应用,都把他们挡在外面,这种担心肯定是有。但是我们制造这个防火墙也使得我们很多国内的网民在使用很多先进技术、应用的时候遇到很多困难。一次大会上一位非常有名的企业家就在讲,他讲你们要创新,首先能不能让我们不要翻墙。大家都是技术大咖,能不能请你们给政府部门提出一些技术上的建议,我们除了防火墙完完全全把大家挡在外面这种方法之外,我们能不能提一些更加柔性一点但是又能达到同样目的的,技术手段你们有没有好的建议给国家有关部门采取,既让国内产业不受到技术封闭的影响,和国外交流的影响,又能够帮助国家相关部门解决他们的一些担忧。这个方面不可能马上一下有这方面的东西,能不能从宏观角度讲一讲有没有可能性做到这些东西?
丁健:这个问题我知道是比较敏感。但是肯定也是大家比较关心的。这两天包括我们闭门会都涉及到这个问题。我们从技术角度上上讲,大家觉得有没有一些方法能够使得我们能够更柔性一点,能够让我们,如果胳膊上出了一点伤口,大家能不能给他上点药,而不是把胳膊切了。
本文来源投资界,原文:https://news.pedaily.cn/201503/20150323380160.shtml