专家:不仅人脸识别,信息验证、生物特征都不可靠

  扫二维码、用公共充电桩盗窃手机信息,人脸识别存安全隐患...昨晚落幕的315晚会已连续多年点名网络信息安全、电信诈骗问题。

  “黑客的肆虐猖獗,让互联网这个虚拟世界找不到任何安全的角落。没有绝对的安全,信息安全要靠增强全民信息安全意识。”上海市信息安全行业协会会长谈剑锋在3.15上海金融信息安全论坛上坦言。

  生物特征识别不适用于开放网络环境

  上海市经济和信息化委员会副主任傅新华提供了一组数据,2016年上海软件和信息服务业营业收入6904.35亿元,同比增长14.1%,占第三产业比重达到10.1%,占全市国内生产总值的比重达到7.1%。互联网金融经营收入达到496亿元,比上年同期增长28.8%;其中第三方支付收入达到350亿元;重点跟踪的17家网络信贷企业交易额达到200.35亿元,经营收入达到17.68亿元。

  互联网产业增长的背后,黑色产业链也日渐繁荣。

  数据显示,截至2016年12月,我国网民规模达7.31亿。其中,仅2016年遭遇网络信息安全问题的用户就占整体网民的70.5%,中病毒或木马发生比例占36.2%,账号或密码被盗发生比例占33.8%,个人信息泄露发生比例占32.9%。

  上海市经信委信息安全处副处长刘山泉指出,2016年8月,由移动互联网系统与应用安全国家工程实验室组成的专门检测团队,对88个互联网金融类移动APP进行了深入测试,发现了包括信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄露、敏感信息泄露、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等十大安全隐患。

  出人意料的是,常用的互联网身份验证措施,如手机短信验证码、人脸识别、生物特征并不完全可靠。

  犯罪分子经常会以三种方式获取手机验证码,来实施违法行为。谈剑峰介绍到:第一种是向受害者手机发送有木马病毒的短信,受害者上当后点开手机中毒,犯罪分子从而拦截验证码短信;第二种是谎称快递地址不清,要求受害者说出地址,然后在受害者所在位置一公里内架设特殊改装设备,对手机信号进行干扰,从而拦截验证码;第三种是窃取受害者在手机制造商、电信运营商等网站或具有短信同步功能的软件上的账号,开通或查询短信自动同步信息,获取验证码。

  而人脸识别等生物特征同样也非常危险,易被不法分子重构。由于生物特征信息是伴随终身、不可撤销的,因此一旦被盗取负面影响更大。“生物特征识别技术不适合开放的网络环境。”谈剑锋强调。

  信息安全投入不足

  防止信息安全需要企业、政府和个人的协力。

  从企业来讲,360企业安全集团上海分区技术总监刘冠认为,要形成可落地的行业规范,通过合规检查等手段,确保每一个行业从业单位具有相当能力的安全防护力度;同时对于出现的安全泄露事件做到公开透明,通过问责机制,倒逼企业不断加强安全建设意识。

  从个人来讲,谈剑锋认为,安全就是矛和盾的关系,没有绝对的安全,信息安全要靠增强全民信息安全意识。

  对网络信息安全的重视也上升到了法律层面。2016年11月7日,中国《网络安全法》获得通过,并将于2017年6月1日起施行。这是中国第一部关于网络安全的基础性法律。《网络安全法》明确了网络空间主权的原则,网络产品和服务提供者的安全义务和网络运营者的安全义务,完善了个人信息保护规则,建立了关键信息基础设施安全保护制度。12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,阐述了我国网络空间安全的核心理念和战略主张。

  需要指出的是,中国对信息安全产业的投入目前还不够,且核心硬件产品大部分依赖于进口。

  谈剑峰列举一组数据:2015年网络信息安全投入占信息化发展收入的占比,美国是20%-25%,欧洲是10%-15%,而中国仅为1%-3%。此外,美国和欧洲还运用首席安全官制度,将网络安全落实到执行责任制层面。

 

  另一组数据显示,国外巨头主导占据了我国信息产品77%,芯片和精密制造设备85%,电脑操作系统95%,卫星导航定位产业5%的市场。