个人信息在“裸奔” 大数据如何主动防御

6月1日起,《中华人民共和国网络安全法》正式生效,但即使是有法可依,“勒索病毒”的阴影在业界仍未散去。6月9日,2017中国网络信息安全峰会在京召开,如何构筑坚固的网络安全防线成为热议话题。

刚买完房子,打开手机,装修类信息瞬间“刷屏”;通过网站购买机票,旅游保险推销接踵而至……随着购物、网上支付、信息获取等日常生活的“互联网化”,隐私安全侵权行为发生的频率日渐增加,公民个人信息“裸奔”似乎已成为常态。

6月1日起,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式生效,《网络安全法》对网络诈骗、在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都作出了明确规定。

但即使是有法可依,“勒索病毒”的阴影在业界仍未散去。6月9日,2017中国网络信息安全峰会在京召开,如何构筑坚固的网络安全防线成为热议话题。

个人信息在“裸奔”

互联网时代,网上“留痕”的个人信息采集模式无处不在,个人信息被泄露、被滥用已成为无法回避的难题,就连虹膜识别、指纹识别、人脸识别这些生物识别技术也未幸免于难。

“仅用通过谷歌搜索找到高清晰图像,就可以使用一些虹膜扫描工具进行攻击。”清华大学语音和语言技术中心主任郑方此言一出,满座哗然。他表示,指纹识别和人脸识别抵御攻击的能力也同样很弱。

“在西班牙巴塞罗那举办的世界移动通信大会上,《华尔街日报》的记者把指纹在软胶膜上按压了五分钟,模具成型后,再按压上一层橡皮泥就能形成一个指纹膜,简单几下iPhone指纹解锁就被破解。”郑方说,“美国斯坦福大学还研发出一款人脸跟踪软件,它可以通过摄像头捕捉用户的动作和面部表情,然后驱动视频中的目标人物做出一模一样的动作和表情,效果极其逼真。”

连生物识别都未能给个人信息加把“安全锁”,就不得不让人想起刚刚过去的勒索病毒事件,给网络安全防护带来的教训与反思。

360企业安全集团副总裁左英男就深刻地认识到,我国终端安全管理和漏洞补丁运行能力仍有待加强;内网隔离不能一隔了之,内网也需要建立纵深防护体系;网络安全监测预警、分析响应缺乏有效的技术手段,缺乏体系化的应急响应机制……

国家信息技术安全研究中心常务副主任兼总工程师李京春也表示,目前,网络安全防御技术相对比较传统,智能化设备发展滞后,网络安全与大数据真正的融合还未完全实现,关键信息基础设施保护也亟待解决一系列瓶颈问题。

例如此次的勒索病毒事件,“攻击端攻击链已经形成,而防守端并没有真正形成资源整合,包括数据资源、情报资源的整合与共享等。”李京春说。

在中国工程院院士沈昌祥看来,“由于人们对IT的认识逻辑的局限性,不能穷尽所有组合,只能局限于完成计算任务去设计IT系统,必定存在逻辑不全的缺陷,从而难以应对人为利用缺陷进行的攻击。”

可信计算开启主动防御时代

在互联网领域,安全是永恒的主题。在沈昌祥看来,“老三样”封堵查杀的被动防御已经过时,网络安全防护必须采取主动免疫防护的措施,从逻辑正确验证、计算体系结构和计算模式等方面进行技术创新,以解决逻辑缺陷不被攻击者所利用的问题,从而形成防攻矛盾的统一体。

沈昌祥说,大数据是一个有密码保护的可信计算环境,要有可信边界及安全可信的保护,更要有管理中心进行安全管理。只有构筑这样的安全管理体系,才能应对各种漏洞。

他认为,就像刚出生的宝宝,如果没有免疫系统就容易染病一样,大数据漏洞永远封堵查杀不完,用可信计算来增加自主的免疫力,才是大数据安全未来的出路。

“只有用可信计算才能不被攻击者所利用,就是用中国的可信技术,涉及核心的关键设施用自己的创新技术解决安全问题。”沈昌祥说,“这样才能达到攻击者进不去,即便进去了也拿不到东西,就算拿到了也看不懂、改不了的效果。”

可信计算是指计算运算的同时进行安全防护,使计算全程可测可控,不被干扰,只有这样才能改变只讲求计算效率,而不讲安全防护的片面计算模式。