Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

信息安全漏洞亟待责任补位

$
0
0
信息安全漏洞亟待责任补位

一点号中国产经新闻头条3天前

[新朋友]点击标题下“中国产经新闻”免费订阅

摘要:此前不久,有位日本专家指出,拍照时的光线如果够明亮,且焦点又恰巧对准指纹,便可通过照片复原其指纹信息。如若由此制作出人工手指“义指”,便可冒充本人登录各种指纹识别的终端。


php?url=0FcksY7cvw" alt="信息安全漏洞亟待责任补位" />

随着近年来生物识别技术的不断发展,“指纹认证”因其方便、快捷等优势被广泛应用于各个领域。但在方便快捷的同时,其带来的风险也是不容小觑的。

此前不久,有位日本专家指出,拍照时的光线如果够明亮,且焦点又恰巧对准指纹,便可通过照片复原其指纹信息。如若由此制作出人工手指“义指”,便可冒充本人登录各种指纹识别的终端。因此拍照时一定要慎摆V字手势。

此消息一出,便引起了社会各界的广泛热议。“我们目前还没有做过类似的实验,但从原理上讲,这种情况还是有可能发生的。”中国信息安全测评中心总工程师王军在接受《中国产经新闻》记者采访时表示,现在的照相机分辨率都非常高,用长焦镜头将图像拉的足够近,还是有可能泄露指纹信息的。

“但反过来讲,我们在利用指纹识别的时候,通常还会增加其他的因素。如检查手指的温度,即活体鉴别技术等。”王军强调道,从这个角度考虑的话,仅利用拍照摆V字手势来泄露指纹信息就不一定能达到某种冒充的效果。

尽管近日来对其的关注似乎有所减少,但有关信息泄露的问题却是一直存在的。

多途径致信息泄露

据了解,指纹识别原理可以分为常见的两种,即光感式和电容式。西安电子科技大学网络与信息安全学院副教授杨超在接受《中国产经新闻》记者采访时表示,光感式的指纹识别原理就是识别指纹的形状。例如常见的指纹打卡机,这种识别方式确实存在上述的“剪刀手”攻击。

“现在拍照、录像设备随处可得,且随着成本的下降,其性能和参数也越来越好。通过高分辨率的图像及其一定的图像处理算法,在理论上讲,确实能够较好地还原指纹的形状,从而使得指纹信息遭到泄露与窃取,甚至身份假冒攻击的目的。”杨超坦言道。

而对于电容式指纹识别原理,他告诉记者,这种原理是通过给手指皮肤带电之后,检测出指纹的纹路,即指纹的谷和脊的距离差导致阵列中的不同电容上出现差异,并通过一定的算法,可以获得指纹信息的采样。

“但这种指纹识别原理必须是接触式的,而且需要‘真实皮肤’的手指进行指纹验证,用假的指纹纸是不能通过验证的。”杨超强调道,由于假的指纹纸没有真实皮肤的电阻,即不会产生电容上的差异。因此,攻击者即便拿到了“剪刀手”的高清指纹照片,也不能通过此类验证。现在的苹果iPhone手机所用的就是这种验证方式。

事实上,有关指纹信息的泄露还只是很小的一方面,信息泄露的表现形式还有很多。四川大学网络空间安全研究院特聘副研究员洪延青在接受《中国产经新闻》记者采访时表示,一是来自于内部人的有意泄露,他们凭借自身掌握的大量信息去换取利益;二是自身安全工作未能做好,被黑客攻击,致相关的信息遭到了泄露;三是由于信息流转的环节较多,呈链条式的向外流动,在流动的过程中,风险点增多,被攻击的面也就会更为广泛。

除此之外,洪延青还告诉记者另一个可能会出现信息泄露的情形。“目前,无论是政府还是企业,均希望自身掌握的数据越来越多,这就要求多来源的数据汇聚。但这同时也会带来更大的风险。”他解释道,之所以这样说,主要还是由于此前的信息经常是分布式存储,一个信息被打碎分别储存在四五个区域。这样即便被黑客攻破一个区域,也不能看到全貌,还需要逐一攻破才能达到其目的。但现在都在开展讲究大数据产业,数据被大量汇聚在一起,黑客攻击也会相对容易,只需攻破一个区域即可。

以个人信息为例,其所有的隐私信息很可能存在泄漏的风险。杨超指出,这其中包括了个人的身份信息、位置信息、社交信息、购物信息、事务办理信息、网上浏览行为信息、生物特征信息以及家庭背景信息等。各个方面的信息都有可能被攻击者利用。

“之所以会如此,主要还是由于目前的网络空间已经成为陆、海、空、天四大空间后的第五空间,且这一新出现的网络空间内的信息存储、传输、加工等各个环节大多都由信息系统进行。”杨超补充道,尽管其方便程度远远高于传统的四大空间,但也更具隐藏、不直观、技术门槛低、对普通用户不透明和不易了解等特点。这便催生了网络空间下的各种信息泄露事件以及网络安全犯罪猖獗情况的发生。

还记得如家、七天等连锁酒店于2013年10月被曝有多达2000万条客户的开房信息遭到泄露。包括身份证号、生日、手机号码、公司、地址、邮箱、登记日期等真实信息只需通过输入姓名或身份证号即可获得。

根据媒体此前的报道,在该事件发生一周以前,国内安全漏洞监测平台乌云便发布报告称,多家酒店开房记录被无线上网认证管理系统供应商――浙江慧达驿站网络有限公司存储,并因系统有漏洞而存在泄露的隐患。

需明确细化负责制

毋庸置疑,信息泄露所带来的危害是防不胜防的。因此,对于信息安全的保护工作也受到各领域的足够重视。

在王军看来,信息安全的防护主要有三大方面,包括国家、企业、个人。从国家层面上看,一方面,对于一些涉及到国家秘密的数据和信息,各国家都有相应的法律、制度、技术等层面的措施。另一方面,对于敏感数据、公民数据等,如受到大范围的泄露,在经过分析后,也有可能会得到单个数据之外的某种程度的重要信息。因此,要加强对跨境数据的流动的关注,更要高度重视信息泄露的问题。

而对于当下的企业而言,大多都更加重视对其数据的保护。王军指出,通常认为数据是一个企业的战略性资产,特别是在大数据时代,此前被认为不太重要的数据变得更为重要。既然如此,就该从多方入手,加强对其的保护工作。包括在宏观认识上的加强、具体保护措施的制定和实施,亦或是法律层面的制定等,均需引起足够的重视。

事实上,“有许多企业认为只要其自身的防护系统做得好就够了,但实际上,如若有内部人倒卖个人信息,外部技术做得再好也没有用。由于系统对内部人是不设防的。因此,相关企业做到管理和技术并行是至关重要的。”洪延青坦言道。

在个人信息安全的保护方面,还是应先增强自我保护意识,了解相关的保护措施。当个人信息遭到非法泄露时,要利用法律武器来维护自身的权益。

“个人在填写信息时,能少填尽量少填写,能不完整填写就不要填写得那么清楚。另外,在填写电话号码时,尽量不要填写常用号码,可专门准备一个不常用的号码。在网上交易购物,尽量用ID 或不常用的手机号,尽量少用个人的真实信息。”杨超说道。

不仅如此,杨超还提出,在立法层面应该严厉打击此类个人隐私信息的窃取和滥用。需要看到的是,《中华人民共和国网络安全法》第四十条指出,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

在业内人士看来,无论是由于内部人员倒卖或外部的黑客攻破导致信息泄露等,收集以及使用个人信息的网络运营者都是第一主体责任人。

“谁收集、使用信息,谁就要对信息安全负总责。”洪延青说道,这个总责主要有两层意思,一是主体责任,信息从哪里泄露,哪里就要负责任。二是指信息通过交易或共享流转至第二家、第三家、第四家时,要尤为慎重,确保第二家、第三家等也有相应的安全水平和安全责任。否则,一旦信息泄露,即便问题出现在第二家、第三家,第一家也脱离不开连带责任。

据了解,通过明确相应的责任,既能引起网络运营商对其掌握的个人信息保护工作予以足够的重视,又能有效地避免个人信息泄露导致严重后果时出现的无人负责的局面。

最后,杨超还提醒道,在个人信息保护方面要注意,账户分级管理最重要的银行卡,不要开通网银及第三方支付平台。即便开通了第三方支付平台的银行卡,也不要储存过多的现金。同时,还要重视设置密码,各类金融服务密码尽量设置复杂并定期修改,以提高其安全指数。尤其不可将网银账户、QQ、邮箱等设置为同一密码。

另外,在网上注册身份信息时,尽量不要填写过于详细,不明链接不要点,不清楚的二维码也不要扫。

新闻拼盘 品味中国

中国产经新闻,经济成功人士的标志读物


Viewing all articles
Browse latest Browse all 12749

Trending Articles