信息安全近期成为热门话题。日前在上海举行的中国计算机学会青年计算机科技论坛隐私特别论坛上,密码学和信息安全领域的专家就“个人隐私,谁来保护?”的主题进行了讨论。
“不安全是永恒的,安全是暂时的。” 复旦大学计算机科学技术学院院长王晓阳指出,信息安全问题早在上世纪六七十年代初就产生了,但主要出现在行业领域,主谋也大多是内部人士。现代社会对电子信息有很强的依赖性,导致大量用户的大量数据以电子形式存在,包括政要机密、商务机密、个人信息。还有网络可实现远程、匿名入侵,信息安全领域早已“无国界”。用户群非专业化虽然是计算机科学的重大成就,但同时这些用户也变成信息安全的“薄弱点”。而计算机系统日益复杂化,也是造成信息不安全的原因之一。
王晓阳认为,所谓的信息安全,其实就是指信息(不)安全的“现代化”。社会对信息的需求日益增大,包括人口统计、疾病控制、金融管理、反恐反谍报安全执法、商业规划、交通管理等。个人对信息的要求同样增长迅速:社交网站,健康档案、金钱税务记录等。
此外,越来越多的“系统控制器”由计算机控制,汽车、船、机器人、工业生产线、物联网、电网。
面对如此多的信息不安全因素怎么办?
“计算机系统安全不光是技术的问题。”王晓阳表示,要多管齐下,经济、法律、技术方法三方面结合,才能把系统安全做好。
从法律和规范角度上看,现在还没有制定电子财产法,在漏洞不可避免的情况下,泄密情况及时通报也变得颇为重要。制定一个计算机信息安全评估系统,根据不同的安全系数来规范各个层面上的信息工作,这是计算机专家给出的建议。
在Ucloud公司CEO季昕华看来,中国黑客事件背后都隐藏着巨大的经济利益。为此,季昕华对地下黑客的产业链进行了摸底调查。
他发现,APT攻击方式针对性强,隐秘性好、价值高,黑客获取账号和密码后可以登录用户个人和公司邮箱,获取工作信息,拿去售卖。同时还可以取得域名权限,以及关系链,家人、朋友、同事信息一网打尽。有人把窃取的号码在各大公司尝试登陆,登陆成功后盗取游戏账号里的装备和资金。或是在微博、开心网做广告,甚至进行诈骗。“2007年前后,攻击方式变成撞号攻击,后来又演变为营销广告、人肉搜索,这条产业链已经形成五六年了。最后这批号码被榨干了价值,所以才泄露出来。” 季昕华说。
另一方面,互联网公司的安全意识不强,让季昕华这位多年从事网络安全的业界人士颇为担忧。首先是组织保障,当安全与业务冲突时,如何协调?季昕华发现,大部分公司都是以业务优先,因为不做业务公司也许就撑不过明天。而在技术保障、流程保障之外,季昕华认为,业界交流也值得重视。但是目前这方面的现状却是攻防不对称,攻击者之间往往保持着紧密交流,但是防守方却因为利益上的冲突而互相保密,一交流就生怕对方挖了自己墙脚,不利于互联网公司在技术上的进步。
至于个人隐私保护,季昕华也支了几招:把重要账号和非重要账号分开,最好能为不同账号设置不同的密码。在你的密码内加上网站的名称,一旦密码泄露,也能知道是从哪儿泄露。