【专家视点】移动互联信息安全问题凸显 国产创新技术提供应对之道
今年5月4日,经过多年的争论,欧盟终于向全世界公布了期待已久的《一般数据保护法规》(The EU General Data Protection Regulation, 简称“GDPR”)的正式文本。这部具有里程碑意义的法规堪称当今全球“个人信息保护”领域最为严格、管辖范围最宽、处罚最严厉、以及立法水平最高的一部法律。GDPR的通过也意味着欧盟对个人信息保护的重视及其监管达到了前所未有的高度。
相对于欧美发达国家,在个人信息保护方面,中国显然还处在“荒蛮时代”。2015年,机锋网、IT168、网易163/126邮箱相继发生邮箱账密泄露事件,大量用户数据被窃取。网易邮箱系统泄露数据更是超过5.4亿条,引发了社会公众对个人信息泄露的大面积恐慌。同年,30余省市社保、户籍、疾控等系统,以及国家旅游局的账户系统漏洞,均造成了逾千万的信息泄露,包括身份证、社保参保、财务、薪酬、房屋、旅行行程等信息均在此列。个人信息毫无限制地被收集、分析、使用和转移,然而却得不到有效的保护,成为了黑客主要攻击的目标。
在各种商业服务高度互联网化的今天,在大数据技术的帮助下个人隐私成了一个特别奢侈的事情。“电信和互联网企业收集处理大量用户个人数据、生产运行数据、政务数据等重要数据,面临着很大的安全挑战。信息窃取、数据泄露等事件时有发生,网络数据安全和用户信息保护形势日趋严峻。”工信部相关领导如是说。除了个人信息以外,我国面临的网络安全形势也日益严峻。6月22日举行的2016中国网络安全论坛上,工信部网络安全管理局副局长李学林介绍,针对工业控制系统和重要信息系统的高级持续威胁等网络攻击愈演愈烈,应用软件、供应链、智能联网设备等安全问题开始显现。
面临如此严峻的网络安全形势,近日备受关注的网络安全法草案在十二届全国人大常委会第二十一次会议上迎来了第二次审议。草案二审稿在强调关键信息基础设施保护的同时,大量增加了数据安全保护的内容,并同时提出了对个人信息泄露的防护。二审稿还增加规定,网络运营者留存网络日志不得少于6个月;网络运营者对有关部门依法实施的监督检查应当予以配合。
目前,移动互联网应用程序(APP)已成为移动互联网信息服务的主要载体,对提供民生服务和促进经济社会发展发挥了重要作用。据不完全统计,在国内应用商店上架的APP超过400万款,且数量还在高速增长。与此同时,少数APP也被不法分子利用,传播暴力恐怖、淫秽色情及谣言等违法违规信息,有的还存在窃取隐私、恶意扣费、诱骗欺诈等损害用户合法权益的行为,社会反映强烈。为此,国家网信办6月28日发布移动互联网应用程序(APP)管理规定,要求移动互联网应用程序提供者应当建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。网络信息全已经与政治安全、经济安全、国防安全、文化安全共同成为国家安全的重要组成部分。
防护自主可控才是解决之道
用户个人信息(包括姓名、身份证号码、银行卡号、手机号码、支付账号等)一旦泄露,在支付的关键环节,身份认证方法是否可靠,将直接关系到用户的资金安全。不法分子依托从黑市交易得来的用户个人信息,利用可轻易被劫持的短信验证码漏洞,使用银行卡快捷支付绑卡和手机号码密码找回功能,可发起资金窃取和资金转移的犯罪行为。如何避免个人信息及数据被收集、泄露和利用成为极大的困扰。上海信息安全行业协会会长、上海众人网络安全技术有限公司董事长谈剑峰指出:“网络安全关乎国计民生,更关乎一个国家的安全,要想保证国家的网络安全,就一定要有自己的核心技术。”因此,他所带领的团队一直坚持自主设计、自主研发、自主生产的自主可控国产化发展战略,已申报国家发明专利过百项。
“从技术的角度来看,信息安全的第一道 门 是身份认证,其核心是密码技术。当前移动互联网的安全需求对以往的基于固定密码算法如PKI(Public Key Infrastructure,公钥基础设施)的密码技术提出了根本性挑战,介质化安全手段早已不能适应消费者对移动便捷性客户体验的安全需求。此外,老旧的固定算法密码技术也无法应对不断更新的破解工具的攻击。未来,无卡去介质化必将成为发展趋势,而安全则需要新的技术做支撑。”
如何解决当前互联网环境下信息安全领域的难题——安全与便捷的平衡?上海众人网络安全技术有限公司推出面向于移动互联网认证和支付安全的创新性密码技术SOTP(Super One-Time-Password)提供了很好的应用解决之道。对于用户来说,只要安装采用SOTP支付认证技术的手机APP,就能有效防御网络钓鱼、木马拦截、电信诈骗等一系列攻击,在保证高安全性的前提下享受便捷的用户体验。同时有了SOTP技术的保护,用户的个人信息将以一种标识化的形式在网络上存在,即使被第三方或黑客非法获取,也无法得到真实信息。
SOTP技术创新地实现了密钥与算法的融合,在无需增加硬件SE的前提下,采用软件实现的技术路径开创式地解决了移动设备中轻量化安全存储密钥的关键性问题。同时可基于“一人一算法”+“一机一算法”+“一次一密”+“一时一密”的极高安全特性,有效保护了移动互联网用户的身份认证安全、个人信息安全以及应用数据安全,并实现了云端统一化认证。更重要的是,该项填补国际国内空白的技术是众人科技自主研发,拥有自主产权,将能够在未来工业4.0、网络空间可信管理、大数据隐私保护等领域为国家快速部署网络空间主权提供底层战术保证,将掌握信息安全之“门”的钥匙牢牢握在中国人自己手中。
随着智能终端的进一步普及和移动应用的不断丰富,移动互联网对于日常生活各个领域的“渗透”还将更加深入,国内移动互联网用户仍会不断增加,接触使用也会更加频繁。在创新技术之外,公众不断提升自身信息安全的保护意识和防护技能也同样重要,齐头并进才能共促移动互联网的健康发展。