互联网+时代的信息安全挑战及可能应对

未央网 作者: 李中元

“互联网+”是指以互联网为主的一整套信息技术(包括移动互联网、云计算、大数据技术等)在经济、社会生活各部门的扩散、应用过程。互联网作为一种通用目的技术(General Purpose Technology),和100年前的电力技术,200年前的蒸汽机技术一样,将对人类经济社会产生巨大、深远而广泛的影响。

“互联网+”给中国经济社会转型发展带来前所未有的战略机遇,这场机遇的正式表述并得到首肯,是2015年的全国两会:在当年的中央政府工作报告中,“互联网+”上升为国家战略。

在国家政策的鼓励支持下,国内各行业积极拥抱互联网,将互联网的技术和思维运用到生产、运输、营销、服务等环节,新技术、新模式、新业态不断涌现。然而机遇往往与挑战并存,“互联网+”火热的背后暗藏风险,信息安全便是众多风险中重之又重的一个方面。

一、互联网+的信息安全挑战

1. 个人消费者层面

(1)个人信息泄露风险增大

“互联网+”时代,每个人都是数据的贡献者,在个人贡献信息的同时,信息泄露成为一个突出的安全问题。2011—2014年,已确认被泄露的我国公民个人信息就多达11.27亿条,非法采集、窃取、贩卖和利用个人信息的黑色产业链不断“做大”,2014年支付宝前员工非法贩卖超过2G的个人信息,以及携程网的“安全门“事件,都给人们敲响了警钟。

(2)在线交易安全受到严峻考验

在线交易一般采用静态密码、手机验证码、动态密码技术等保障安全。静态密码具有其局限性,一是弱口令攻击;二是客户的风险意识不强,无意识地泄露;三是容易被恶意偷窥、木马窃取等方式盗用。手机验证码的攻击方式也很多,一是手机病毒木马,例如人民银行2016年3月正式下发的《金融业信息安全风险提示》中提到的“Android/Spy.Agent.SI”;二是伪基站,向手机用户发送骚扰、诈骗短信;三是盗换SIM卡。动态密码技术,一次一密,安全性较高,但采用短信链接+假网站方式很容易获取到动态密码。

“互联网+”时代,随着越来越多的行业互联网化,对于个人用户来说,也会有越来越多的消费和支付转移至互联网,信息泄露和交易安全的脆弱性直接带来用户的财产安全问题。

2. 企业层面

“互联网+”加的是多个传统行业,包括金融、教育、旅游、交通、房地产、农业、制造业等等,涉及社会经济的方方面面,每个传统行业都有其自身的业务特征,在与互联网结合的过程中,会产生各不相同的新技术、新业态,带来不同的信息安全问题,例如“互联网+金融”,其产业链包括资金募集、理财、支付、网络货币、金融信息服务等多个环节,在这样庞大的金融全业务链中,一方面互联网金融交易双方无法见面,无法面对面鉴别真实身份;另一方面如何保障在网络中传输的数据如电子合同等是可信的、未被篡改的;再有,如果发生纠纷,如何通过电子证据证明用户的交易行为,这些电子证据是否可以作为可靠的法律证据来使用?这些问题是“互联网+金融”不可回避的关键信息安全问题。

二、互联网+的信息安全可能应对

互联网+的信息安全主要包括三方面问题:一是身份问题,个人消费者担心信息泄露,企业担心消费者信息不真实;二是交易安全问题,常用验证方式安全性不高,安全的验证方式资金、技术门槛高;三是可靠电子合同问题,除各大银行及政府部门,绝大部分企业可望而不可及。

以上问题用数字证书可以很容易解决。数字证书由权威公正的第三方机构即CA中心签发的证书,包含公开密钥拥有者信息以及公开密钥,对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性及交易的不可抵赖性。尤其是置于key内的硬数字证书,可以做到即用即插,用完收存,有效避免被窃取,具有更高的安全性。而这种安全性极高的工具就在我们身边:我们到各商业银行开通网银特别是专业版网银时,一般都会被推荐办理一个类似U盘的东西,不同银行对其的命名各异,如usbkey、Ukey、优K、K宝、U盾、网银盾等。

深圳市市场监督管理局的各种事项就可以使用工行U盾、建行U盾在深圳市全流程网上商事登记系统办理,而不必去管理局现场。分享银行Key是互联网+的信息安全一个可能的应对方案。

银行key需要客户到各银行分支机构亲自办理,不支持代办,客户需要经过严格的身份认证资料审核、面签等过程,才能取得银行key。可见银行key发放过程非常严格,和身份是严格对应的,企业不必担心身份的真实性问题,数字证书不明示用户身份,用户不担心身份信息泄露问题

Key采用挑战/应答(Challenge/Response)方式进行交易认证。客户向服务器发出交易请求;服务器内部产生一个随机数(或附带交易概要),作为”提问”,发送给客户;客户使用私钥对随机数签名,生成一个密文字节串作为应答;服务器将密文字节串发给验签服务器;验签服务器使用公钥验签,取出明文返回服务器;服务器将验签服务器返回明文与产生的随机数比较,相同则挑战成功,验证通过。这种方式是目前最安全的交易方式,但需要巨大的资金、技术投入,通过分享银行key可以大幅降低门槛,绝大部分互联网+企业不再望key兴叹

《电子签名法》对电子签名的可靠性的要求,在第十三条中说的非常明确:电子签名同时符合下列条件的,视为可靠的电子签名:

(一)电子签名制作数据用于电子签名时,属于电子签名人专有;

(二)签署时电子签名制作数据仅由电子签名人控制;

(三)签署后对电子签名的任何改动能够被发现;

(四)签署后对数据电文内容和形式的任何改动能够被发现。

当事人也可以选择使用符合其约定的可靠条件的电子签名。

银行key显然是符合要求的,可以作为可靠的电子签名,分享银行key可以成为互联网+应对信息安全挑战的神器,小投入,大产出