互联网经济展望2012：安全和隐私趋势与风险

第七章　安全和隐私

本章主要揭示了安全和隐私领域的研发投资趋势以及相关专利申请的动态变化。同时，从商标的角度解释了安全和隐私相关产品和服务创新的不断涌现，并对推广应用这些新产品新服务所亟需的商业模式创新展开了分析。最后对职业和技能促进安全和隐私创新的作用进行简要讨论，这些内容重点围绕安全和隐私专业人才的可用性统计数据来展开。

互联网在经济中的最终作用取决于用户、企业和政府在使用网络的过程中所产生的安全感以及对关键应用和服务的信任程度。因此，政府对因互联网产生的网络安全和数据隐私威胁的关注力度不断增强。与此同时，媒体对互联网各参与方在信息系统和网络保密性、完整性和/或可用性相关事件的报道也不断增多。

恶意软件、拒绝服务（denial of service，DoS）攻击或其他安全威胁（专栏7.1）是引发此类事件的典型原因。而最近引起高度关注的数据泄露事件1则表明，若事件涉及个人数据的收集、储存或处理，将对个人隐私产生严重影响。2008年至2009年间，某恶意软件黑客非法入侵了哈特兰支付系统公司（Heartland Payment Systems Inc.）——一家总部设于美国的在线支付和信用卡公司，该事件涉及的信用卡和借记卡超过1亿3千万张（Voreacos，2009；Zetter，2009）。2010年至2011年间，索尼公司的游戏网络PlayStation Network和索尼在线娱乐系统的数据泄露事件导致1.04亿条包含姓名、地址、生日、密码和详细登录资料等个人可识别信息被曝光（Goodin，2011；Reuters，2011；Seybold，2011）。

●专栏7.1

与安全相关的威胁

●恶意软件是指“被嵌入到某信息系统中的软件，可导致该系统或其他系统受损，或在用于非恶意软件所有者预期用途时对系统进行破坏”（OECD，2009b）。恶意软件代码常被称为“病毒”、“蠕虫病毒”和“特洛伊木马”。

●拒绝服务（DoS）或分布式拒绝服务（distributed Denial of Service，DDoS）通过“在用户打开机构网站或请求其他网络服务时通过异常庞大的数据通信量造成系统瘫痪”进行攻击（OECD，2009b）。根据美国计算机应急准备小组（United States Computer Emergency Readiness Team，US CERT）的分类，DoS攻击事件是指“成功导致正常授权网络功能受阻或受损，该行为包括DoS的受害者和参与方”（US CERT，日期不详）。

●未经授权访问是指在未经许可条件下成功侵入某信息系统进行逻辑或物理访问的行为。例如：“网络攻击者通过运行溢出工具来获取服务器密码文件的访问权限”或“作案者非授权获得某系统的管理人访问权限”（NIST，2004）。

●网络钓鱼是指通过伪装成可靠企业的网站或电子邮件获取用户名、信用卡资料等用户信息的恶意工具。

由于网络安全和数据隐私威胁，新的技术（通常以新产品形式出现）、程序和业务模式应运而生，其中部分专门为强化安全和隐私保护而设计和部署。例如杀毒工具，它们可以帮助用户控制通过浏览器进行的个人数据收集，从而保护计算机免受恶意软件和cookie管理侵害。此外，缺乏相关安全隐私防护的新技术、新程序和新业务模式也开始融入这些元素以避免未来可能的安全和隐私风险。(www.xing528.com)

本章将就私营部门在应对安全和隐私威胁发展的过程中，在产品、程序和业务模式上作出新的或重大改善进行说明，强调创新在互联网经济中对确保安全、隐私和信任的重要性，明确恶意用户和恶意操作在创新过程中的驱动作用（专栏7.2）。考虑到技能作为创新促因的重要作用，本章还将针对安全和隐私相关技术、程序和业务模式所需技能的可用性展开讨论。

●专栏7.2

创新的定义

由OECD和欧盟统计局联合编订的《奥斯陆手册》（Oslo Manual）将创新定义为“新的或经重大改良后的产品（商品或服务）或程序，新的市场营销方法，或新的商业实践、工作场所组织或外部关系组织方法的实施。”（OECD Eurostat，2005）。此定义包括4种类型的创新：

●产品创新：对产品或服务的特性或预期用途进行创新或重大改良。包括在技术规范、元件与材料、所用软件、用户友好或其他功能性特征等方面的重大改善。

●程序创新：新的或经重大改良后的生产或交付方法的实施。包括技术、设备和/或软件的重大改变。

●市场营销创新：一种在产品设计或包装、植入式广告、宣传或定价方面进行重大改变的新型市场营销方法的实施。

●组织创新：新的企业商务实践、工作场所组织或外部关系组织方法的实施。

来源：OECD（2010a）。

本章第一节将就研发投资的趋势和专利成果展开介绍。第二节将通过商标对创新性产品（商品和服务）的出现以及因部署此类产品而产生的新型业务模式进行说明。第三节将对就业和技能促进安全和隐私的创新作用展开简单讨论，讨论将重点围绕安全和隐私专业人才可用性的现有统计数据展开。最后，结论部分将对主要发现进行总结。