網絡社區(qū)安全難題待解

對于聚集了大量用戶的網絡社區(qū)來說，在快速發(fā)展的同時，安全問題也隨之而來。無論是惡意代碼的肆虐，還是利用網絡交互功能進行的犯罪，都在威脅著網絡社區(qū)的用戶及廣告客戶，且這種威脅正隨著網絡社區(qū)的發(fā)展而進一步泛濫。既然已經進入了網上交互時代，而這類網絡社區(qū)也不是曇花一現的產物，顯然就需要更好地解決這些安全難題了。

那么，網絡社區(qū)該如何提高網絡安全性，且又不破壞正使它大受歡迎的開放性呢？國內外網絡社區(qū)都在摸索之中。為此，本欄目特組織“網絡社區(qū)安全”專題，針對目前全球最大的網絡社區(qū)MySpace進行分析，希望其在安全方面的經驗對國內網絡社區(qū)的發(fā)展有所借鑒。

網絡社區(qū)的CSO需要為用戶及廣告客戶提高網絡安全性，但又不能破壞正使網絡社區(qū)大受歡迎的開放性。

有人說，MySpace網站是Web 2.0的鼓吹者，但也有人說它是數字化的魔鬼。

就在商業(yè)界關注這一網絡社區(qū)與Google（谷歌）達成后者花9億美元買下廣告權的交易、業(yè)務擴大到澳大利亞、被《時代》雜志提名為50個最酷網站之一等新聞的同時，安全領域卻被另一類新聞標題所吸引。一則標題是《兩名少年因非法攻擊MySpace而被捕》，另一則標題是《三名少年被指控對他們在MySpace網站上結識的女孩實施性侵犯》，還有一則是《一名男子被指控強奸在MySpace上約會的女孩》。

在取得巨大商業(yè)成功、為用戶帶來極大便利的同時，MySpace這類網絡社區(qū)也面臨著安全困境。作為一個開放性的網絡社區(qū)，MySpace需要為用戶及廣告客戶提高網絡安全性，但又不能破壞正使它大受歡迎的開放性。也就是說，網絡社區(qū)的首席安全官（CSO）需要在商業(yè)與安全之間很好地掌握平衡。

問題亟需解決

在美國達拉斯的會議上，Hemanshu Nigam要向關注安全問題的聽眾發(fā)表演講。他很快就會發(fā)現，擔任?？怂够用襟w公司（新聞集團下屬企業(yè)）的CSO后，自己面前的舞臺有多大——新聞集團老板Rupert Murdoch將數字未來方面的計劃寄托在MySpace上。在Nigam出席第一次會議前一小時，他和一名下屬直奔設在希爾頓酒店的會議室，他們在會議室門口看到那里排著一隊人。

Nigam回憶道：“我們問排隊的人‘你們在等什么？’他們回答‘我們在等MySpace的解釋?！T一打開，許多人蜂擁而入。一下子，你幾乎寸步難行，會議室里面到處站滿了人?！?

一些后來的人只好被勸退。事實上，大家都想聽一聽MySpace是如何幫助執(zhí)法部門開展刑事調查的。

現年42歲的Nigam在印度出生，在美國康涅狄格州長大。之前他是一名美國聯邦檢察官，在打擊兒童犯罪方面有著豐富經驗。他懷著使命感和同情心，上臺介紹了MySpace開設的24小時熱線電話、過去幫助找到強奸犯和離家出走的少年方面取得的成績，以及盡快向執(zhí)法官員提供IP地址和其他重要信息付出的努力。他的演講似乎收到了預期效果：事后，90%以上的與會者對他的演講給予了積極評價。

大會組織者Larry Robbins說：“他顯得很坦率，他說‘我們知道有問題需要解決，我們正在著手解決。’我不覺得他試圖在隱瞞什么?！?

測試了MySpace響應能力的執(zhí)法官員說，該網站并非只是嘴皮上說說而已。美國警察局副局長Robert Charette說：“其實我感到很驚喜?！弊罱?，他與MySpace聯手追查并逮捕了被兩個州通緝的一名男子，該男子從費城的一家公立圖書館登錄進入了MySpace賬戶?！耙郧懊铍娫捁窘怀鱿嚓P信息，可能要等上幾天甚至幾周，對此我們已經習慣了。我還以為MySpace辦事也會像電話公司一樣拖沓。沒想到它馬上就響應了，而且極其合作，與他們合作很愉快?！?

實際上，該公司也需要如此。MySpace現在人氣很旺。據研究服務公司Hitwise聲稱，2006年7月， MySpace超過Yahoo Mail成為美國訪問量最大的網站。但隨著在其網絡社區(qū)建立的個人檔案數量激增——據MySpace聲稱，目前個人檔案多達1.5億份，它同樣吸引著形形色色的人，包括毒販、戀童癖患者和殺人犯。畢竟，不法分子成為會員就如同10多歲的孩子想共享踢球照片或者聊聊流行音樂歌手一樣容易。

Nigam面臨的難題是，為用戶以及廣告商提高網站的安全性，又不破壞正使它大受歡迎的那種開放性。這使得Nigam不但成了安全會議的焦點，也恰恰成了文化、商業(yè)和安全這幾方面的交叉點。盡管MySpace在出了問題后似乎能夠及時響應，但至于Nigam能不能大大提高網站的安全性、所做的努力能不能足以安撫MySpace的批評人士（包括要求MySpace加強訪問機制的32名州首席檢察官組成的小組），完全是個未知數。

Nigam在去年5月上任后，“許多人終于松了口氣，他們覺得，現在至少有些事會得到解決。大門是開著的，他們隨時可以找他聯系?！迸衫蓴底謯蕵饭镜母呒壐笨偛肈erek Broes說，“他面臨的最大難題將是實現MySpace想要實現的安全目標，又不影響公司本身、不帶來糟糕的用戶體驗。”

這顯然絕非易事。

CSO的新舞臺

早在新聞集團于2005年10月斥資5.8億美元收購MySpace，并把它并入?？怂够用襟w公司后不久，集團高層主管就開始物色人員，希望幫助這家一度惹是生非的新興公司加強安全。盡管存在兒童安全、惡意代碼和版權侵犯等問題，但MySpace、Facebook和Xanga這些網絡社區(qū)一直在飛速發(fā)展。

雖然以前MySpace等網站還很難成為人們關注的焦點，但現在情況不一樣了。不但其中最大的網絡社區(qū)MySpace的新母公司財大氣粗（新聞集團2006年收入為253億美元），而且Murdoch也把MySpace看成是公司發(fā)展戰(zhàn)略的一粒重要棋子。實際上，新聞集團的這位主席兼CEO曾告訴投資者，MySpace是一筆價值60億美元的資產，且IDG控股的一家中國公司正與MySpace商談投資中國版MySpace的事宜。

長期擔任全國失蹤及被剝削兒童中心主任的Ernie Allen很快接到了?？怂够用襟w公司打來的電話。對方希望他能推薦一名人選來擔任MySpace的CSO，要求是既善于處理兒童安全問題，又要深入了解技術。Allen立馬就想到了Nigam。

他們倆認識已有十多年，早到可追溯至Nigam在美國司法部擔任聯邦檢察官的時候，當時他專門接手與互聯網有關的兒童色情、兒童侵犯、婦女兒童拐賣以及計算機犯罪等案件。后來Nigam在微軟公司擔任消費者安全服務和兒童安全計算部門主任時，兩人也共過事。Allen對Nigam的誠實為人和辦事能力給予了高度評價。他回憶道：“我想他的背景正是他們所需要的。”

當時在微軟的Nigam接到了電話。他說：“對方說，因為你了解兒童安全，那么可以跟我在MySpace的朋友聊聊嗎？后來就成了，你希望來MySpace工作嗎？隨后我打電話給Allen，想聽聽他的意見。我想過去，是因為我確實想發(fā)揮作用?！?

Allen確信，?？怂够用襟w公司向Nigam提供這份工作，這表明它在物色的不只是有名無實的負責人，以便負責安撫股東或與媒體溝通。Allen回憶：“我對他們說，如果純粹是為了搞公關，那么你們還是不要聘請Nigam這樣的人，因為他向來是個實干家。他能辦成事兒，會著手處理并設法解決難題?！?

盡管這份工作將意味著Nigam需要把妻子和四個孩子從美國華盛頓調到洛杉磯，但這個機會對他很有吸引力。Nigam說：“實際上，這家公司當時遭到了極大的打擊，但恰恰這也是出現問題的最好時機，因為它還處在發(fā)展初期階段，現在正是可以打下基礎的時候。要是他們三年后打電話給我，我根本不會考慮?！?

公眾對Nigam被任命迅速作出了積極反應。由于他具有法律背景、技術才能以及捍衛(wèi)兒童權益的聲譽，他的所有經驗似乎都有助于他走上這個崗位。

美國北卡羅來納州首席檢察官Roy Cooper的特別顧問Jay Chaudhuri說：“我們都對MySpace任命Nigam一事持樂觀態(tài)度，因為我們覺得，他們將來能夠實施有效措施?！盧oy Cooper領導的由32名首席檢察官組成的小組一直在竭力要求MySpace改進安全做法。

不過，挑戰(zhàn)也是巨大的。Chaudhuri說：“在過去的半年里，MySpace無疑作出了一些變化，但它們是否足以在網上保護兒童？大多數首席檢察官是否認為MySpace就像他們所說的那樣是個安全的‘交友場所’呢？我認為，答案是否定的?！?

網絡社區(qū)的開放性使得MySpace在短期內聚集了大量用戶
謀求新變化

在Nigam2006年5月1日走馬上任后的幾周內，MySpace就宣布推出加強會員和網站安全的新措施。

首先，網站將禁止自稱年齡在18歲以上的會員聯系年齡為14歲或15歲的會員，除非成年會員知道年輕會員的全名或者電子郵件地址（雖然MySpace聲稱會員年齡必須至少是14歲，實際上不核查年齡，這仍是存在很大爭論的話題）；其次，網站將允許任何年齡的會員（而不僅僅是十四五歲的會員）可以將個人檔案設置成保密狀態(tài)，這樣只有屬于“朋友”網絡圈的人才能查看他們的全部信息；第三，公司將開始根據年齡選擇廣告受眾。確保年齡不足18歲的會員不會看到煙酒類廣告或者約會服務，年齡不足21歲的會員不會看到酒類廣告。

當然，這種有針對性地投放廣告的做法無疑符合一項更龐大的戰(zhàn)略。德勤咨詢公司技術、媒體和電信部門的全國總經理Eric Openshaw認為，會員們向MySpace提供的大量信息使得該網站成了一座“蘊藏大量營銷數據的金礦”，新聞集團最終有望收回投資。

MySpace還進行了動靜比較小的其他變化。譬如說，MySpace的員工注意到：有些年輕會員自稱年齡是69歲（“69”代表一種性愛姿勢）。年齡較大的會員會尋找身高不到四英尺的69歲的人，企圖找到對性感興趣的年輕會員?，F在，會員再也無法瀏覽查找年齡在68歲以上的人。

Nigam對這幾種變化采取了務實的態(tài)度。他與工作團隊一起擬訂了他所說的問題列表（issue list）。他說：“我們分析黑客們在干什么？色狼們在干什么？然后，我們去找工程師，說‘假定你不用擔心資源問題，我們怎樣能夠解決這些問題？我們是否可以進行改變或者添加某項功能？’”一旦這些工程師手里有了這份列表，就會設法弄清楚去做哪5項工作或者哪10項工作可以把某個問題的80%給解決掉，然后由此擬訂一份工作優(yōu)先表。

從這份問題列表得出的最大變化也許就是，力圖阻止已知的性犯罪者登錄網站。兒童被誘騙與他們在MySpace上聊天的不懷好意的成年人會面，這類新聞報道屢見不鮮，結果使得該網站名譽掃地。有位婦女和她14歲的女兒起訴MySpace并索賠3000萬美元，起因是該女孩在MySpace上結識的19歲男子涉嫌對她進行了性侵犯（此案已在今年2月撤訴）?！哆B線》雜志在去年10月公布的一項調查發(fā)現，數百名登記在案的性犯罪者用真名在MySpace上建立個人檔案，其中一些人正忙于征集年輕“朋友”。于是在去年12月，MySpace宣布將與背景核查公司Sentinel Tech Holding合作，共同建立記錄有已知性犯罪者信息的全國中央數據庫——這些信息之前散布在聯邦和各州的數據庫中。名為Sentinel Safe的這項技術有望讓MySpace阻止這些用戶登錄網站。不過MySpace也表示，它的競爭對手同樣可以使用該數據庫。

批評人士過去往往指出，此舉只會迫使登記在案的性犯罪者使用別名，但MySpace在這方面也一直在向有關方面游說。它在宣布Sentinel Safe后不久打了一場漂亮的公關戰(zhàn)：John McCain和Charles Schumer這兩名參議員宣布計劃提議立法，將迫使登記在案的性犯罪者向執(zhí)法部門公布自己的電子郵件地址，使用未登記的電子郵件地址將屬于違反緩刑或者假釋條例。該法一旦通過，將為MySpace提供更多信息，到時它就可以用來比對。弗吉尼亞州的首席檢察官竭力要求本州推行類似立法。

打一場持久戰(zhàn)

與此同時，惡意代碼在MySpace網站上肆虐的說法也極為讓人關注。在較早的一件案子中，有位名叫“Samy”的少年就利用了一個腳本漏洞，把一段代碼添加到他的個人檔案中，結果在20個小時內就感染了100多萬用戶的個人檔案——自動發(fā)出100多萬次請求，希望成為每個用戶的“朋友”。另一名婦女利用了Apple QuickTime中的一個漏洞，竊取了眾多用戶的登錄資料，隨后肆意發(fā)送垃圾郵件。

因而，Nigam現在把更多的注意力放在了計算機安全問題上，并專門成立了一個小組，負責響應事件、致力于加強教育和意識方面的工作。這項工作針對MySpace的工程師，他們需要在如何編寫安全的Web應用方面另外接受培訓。同時它也針對會員，他們可以通過安裝防病毒軟件和防火墻、給軟件打上補丁來保護自己。

在這樣的背景下，基本的偵查工作仍在繼續(xù)。MySpace的服務條款禁止會員發(fā)布含有裸體畫面、仇恨言論或非法使用毒品等內容的照片或者視頻，或者侵犯版權法的照片或視頻，但要讓這幾種內容遠離網站，需要打一場持久戰(zhàn)。

一個全天候支持工作小組（目前占到MySpace 300名員工的40%左右）人工檢查會員們每天發(fā)布的7000萬個圖像和視頻。他們還進行搜索，盡量找出從發(fā)布信息可以看出年齡至少不足14歲的未成年用戶，譬如他們就讀小學的名稱等信息。該公司聲稱，目前它每周要關閉大約3萬名未成年用戶的個人檔案。不過，Nigam不愿透露版權侵犯方面的任何詳細內容，只提到了一起正在進行的訴訟：環(huán)球唱片公司在去年11月提起訴訟，指控MySpace的家底是“用戶從別人地方竊取的知識產權”。

不過仍傳出網站上時常出現壞人的報道，只要訪問MyCrimeSpace.com就可以證明這一點，該網站跟蹤與MySpace及其他社交網站有關的犯罪活動。北卡羅來納州的Trench Reynolds（博客名）在業(yè)余時間打理這個網站，他說：“我不認為Nigam實施的各種安全措施非常有效。從MySpace方面來說，他們只能做這么多，家長們也需要加強對孩子上網活動的監(jiān)控力度?！?

Nigam承認：“只要你讓用戶們在某個地方相互交流，最終會有壞人出現?！北粏柕骄W站存在的種種問題時，他顯得非常坦率。他解釋道，對他來說，實施的安全計劃沒有取得100%的效果，這已經不在討論范圍之內了。

Nigam說：“壞人有許多辦法來避開我們實施的系統。不過從我們的角度來看，這并不是說你可以不用實施系統。你要竭盡所能。你要積極預測、要先發(fā)制人、要補救問題、要隨時應變、要為壞人設置難題。你在設置難題的同時，也在不斷讓人們意識到當前情況?！?(ccw)