本文首發(fā)于微信公眾號:互聯(lián)網(wǎng)金融電訊。文章內(nèi)容屬作者個人觀點,不代表和訊網(wǎng)立場。投資者據(jù)此操作,風(fēng)險請自擔(dān)。
掃二維碼、用公共充電樁盜竊手機(jī)信息,人臉識別存安全隱患...昨晚落幕的315晚會已連續(xù)多年點名網(wǎng)絡(luò)信息安全、電信詐騙問題。
“黑客的肆虐猖獗,讓互聯(lián)網(wǎng)這個虛擬世界找不到任何安全的角落。沒有絕對的安全,信息安全要靠增強(qiáng)全民信息安全意識。”上海市信息安全行業(yè)協(xié)會會長談劍鋒在3.15上海金融信息安全論壇上坦言。
生物特征識別不適用于開放網(wǎng)絡(luò)環(huán)境
上海市經(jīng)濟(jì)和信息化委員會副主任傅新華提供了一組數(shù)據(jù),2016年上海軟件和信息服務(wù)業(yè)營業(yè)收入6904.35億元,同比增長14.1%,占第三產(chǎn)業(yè)比重達(dá)到10.1%,占全市國內(nèi)生產(chǎn)總值的比重達(dá)到7.1%。互聯(lián)網(wǎng)金融經(jīng)營收入達(dá)到496億元,比上年同期增長28.8%;其中第三方支付收入達(dá)到350億元;重點跟蹤的17家網(wǎng)絡(luò)信貸企業(yè)交易額達(dá)到200.35億元,經(jīng)營收入達(dá)到17.68億元。
互聯(lián)網(wǎng)產(chǎn)業(yè)增長的背后,黑色產(chǎn)業(yè)鏈也日漸繁榮。
數(shù)據(jù)顯示,截至2016年12月,我國網(wǎng)民規(guī)模達(dá)7.31億。其中,僅2016年遭遇網(wǎng)絡(luò)信息安全問題的用戶就占整體網(wǎng)民的70.5%,中病毒或木馬發(fā)生比例占36.2%,賬號或密碼被盜發(fā)生比例占33.8%,個人信息泄露發(fā)生比例占32.9%。
上海市經(jīng)信委信息安全處副處長劉山泉指出,2016年8月,由移動互聯(lián)網(wǎng)系統(tǒng)與應(yīng)用安全國家工程實驗室組成的專門檢測團(tuán)隊,對88個互聯(lián)網(wǎng)金融類移動APP進(jìn)行了深入測試,發(fā)現(xiàn)了包括信息數(shù)據(jù)明文發(fā)送、通信數(shù)據(jù)可解密、敏感數(shù)據(jù)本地可破解、調(diào)試信息泄露、敏感信息泄露、密碼學(xué)誤用、功能泄露、可二次打包、可調(diào)試、代碼可逆向等十大安全隱患。
出人意料的是,常用的互聯(lián)網(wǎng)身份驗證措施,如手機(jī)短信驗證碼、人臉識別、生物特征并不完全可靠。
犯罪分子經(jīng)常會以三種方式獲取手機(jī)驗證碼,來實施違法行為。談劍峰介紹到:第一種是向受害者手機(jī)發(fā)送有木馬病毒的短信,受害者上當(dāng)后點開手機(jī)中毒,犯罪分子從而攔截驗證碼短信;第二種是謊稱快遞地址不清,要求受害者說出地址,然后在受害者所在位置一公里內(nèi)架設(shè)特殊改裝設(shè)備,對手機(jī)信號進(jìn)行干擾,從而攔截驗證碼;第三種是竊取受害者在手機(jī)制造商、電信運營商等網(wǎng)站或具有短信同步功能的軟件上的賬號,開通或查詢短信自動同步信息,獲取驗證碼。
而人臉識別等生物特征同樣也非常危險,易被不法分子重構(gòu)。由于生物特征信息是伴隨終身、不可撤銷的,因此一旦被盜取負(fù)面影響更大。“生物特征識別技術(shù)不適合開放的網(wǎng)絡(luò)環(huán)境。”談劍鋒強(qiáng)調(diào)。
信息安全投入不足
防止信息安全需要企業(yè)、政府和個人的協(xié)力。
從企業(yè)來講,360企業(yè)安全集團(tuán)上海分區(qū)技術(shù)總監(jiān)劉冠認(rèn)為,要形成可落地的行業(yè)規(guī)范,通過合規(guī)檢查等手段,確保每一個行業(yè)從業(yè)單位具有相當(dāng)能力的安全防護(hù)力度;同時對于出現(xiàn)的安全泄露事件做到公開透明,通過問責(zé)機(jī)制,倒逼企業(yè)不斷加強(qiáng)安全建設(shè)意識。
從個人來講,談劍鋒認(rèn)為,安全就是矛和盾的關(guān)系,沒有絕對的安全,信息安全要靠增強(qiáng)全民信息安全意識。
對網(wǎng)絡(luò)信息安全的重視也上升到了法律層面。2016年11月7日,中國《網(wǎng)絡(luò)安全法》獲得通過,并將于2017年6月1日起施行。這是中國第一部關(guān)于網(wǎng)絡(luò)安全的基礎(chǔ)性法律?!毒W(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)空間主權(quán)的原則,網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù)和網(wǎng)絡(luò)運營者的安全義務(wù),完善了個人信息保護(hù)規(guī)則,建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度。12月27日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》,闡述了我國網(wǎng)絡(luò)空間安全的核心理念和戰(zhàn)略主張。
需要指出的是,中國對信息安全產(chǎn)業(yè)的投入目前還不夠,且核心硬件產(chǎn)品大部分依賴于進(jìn)口。
談劍峰列舉一組數(shù)據(jù):2015年網(wǎng)絡(luò)信息安全投入占信息化發(fā)展收入的占比,美國是20%-25%,歐洲是10%-15%,而中國僅為1%-3%。此外,美國和歐洲還運用首席安全官制度,將網(wǎng)絡(luò)安全落實到執(zhí)行責(zé)任制層面。
另一組數(shù)據(jù)顯示,國外巨頭主導(dǎo)占據(jù)了我國信息產(chǎn)品77%,芯片和精密制造設(shè)備85%,電腦操作系統(tǒng)95%,衛(wèi)星導(dǎo)航定位產(chǎn)業(yè)5%的市場。
文章來源:微信公眾號互聯(lián)網(wǎng)金融電訊