互联网+时代的信息安全挑战及可能应对

扫描分享

本文共字，预计阅读时间。

“互联网+”是指以互联网为主的一整套信息技术（包括移动互联网、云计算、大数据技术等）在经济、社会生活各部门的扩散、应用过程。互联网作为一种通用目的技术（General Purpose Technology），和100年前的电力技术，200年前的蒸汽机技术一样，将对人类经济社会产生巨大、深远而广泛的影响。

“互联网+”给中国经济社会转型发展带来前所未有的战略机遇，这场机遇的正式表述并得到首肯，是2015年的全国两会：在当年的中央政府工作报告中，“互联网+”上升为国家战略。

在国家政策的鼓励支持下，国内各行业积极拥抱互联网，将互联网的技术和思维运用到生产、运输、营销、服务等环节，新技术、新模式、新业态不断涌现。然而机遇往往与挑战并存，“互联网+”火热的背后暗藏风险，信息安全便是众多风险中重之又重的一个方面。

一、互联网+的信息安全挑战

1. 个人消费者层面

（1）个人信息泄露风险增大

“互联网+”时代，每个人都是数据的贡献者，在个人贡献信息的同时，信息泄露成为一个突出的安全问题。2011—2014年，已确认被泄露的我国公民个人信息就多达11.27亿条，非法采集、窃取、贩卖和利用个人信息的黑色产业链不断“做大”，2014年支付宝前员工非法贩卖超过2G的个人信息，以及携程网的“安全门“事件，都给人们敲响了警钟。

（2）在线交易安全受到严峻考验

在线交易一般采用静态密码、手机验证码、动态密码技术等保障安全。静态密码具有其局限性，一是弱口令攻击；二是客户的风险意识不强，无意识地泄露；三是容易被恶意偷窥、木马窃取等方式盗用。手机验证码的攻击方式也很多，一是手机病毒木马，例如人民银行2016年3月正式下发的《金融业信息安全风险提示》中提到的“Android/Spy.Agent.SI”；二是伪基站，向手机用户发送骚扰、诈骗短信；三是盗换SIM卡。动态密码技术，一次一密，安全性较高，但采用短信链接+假网站方式很容易获取到动态密码。

“互联网+”时代，随着越来越多的行业互联网化，对于个人用户来说，也会有越来越多的消费和支付转移至互联网，信息泄露和交易安全的脆弱性直接带来用户的财产安全问题。

2. 企业层面

“互联网+”加的是多个传统行业，包括金融、教育、旅游、交通、房地产、农业、制造业等等，涉及社会经济的方方面面，每个传统行业都有其自身的业务特征，在与互联网结合的过程中，会产生各不相同的新技术、新业态，带来不同的信息安全问题，例如“互联网+金融”，其产业链包括资金募集、理财、支付、网络货币、金融信息服务等多个环节，在这样庞大的金融全业务链中，一方面互联网金融交易双方无法见面，无法面对面鉴别真实身份；另一方面如何保障在网络中传输的数据如电子合同等是可信的、未被篡改的；再有，如果发生纠纷，如何通过电子证据证明用户的交易行为，这些电子证据是否可以作为可靠的法律证据来使用？这些问题是“互联网+金融”不可回避的关键信息安全问题。

二、互联网+的信息安全可能应对

互联网+的信息安全主要包括三方面问题：一是身份问题，个人消费者担心信息泄露，企业担心消费者信息不真实；二是交易安全问题，常用验证方式安全性不高，安全的验证方式资金、技术门槛高；三是可靠电子合同问题，除各大银行及政府部门，绝大部分企业可望而不可及。

以上问题用数字证书可以很容易解决。数字证书由权威公正的第三方机构即CA中心签发的证书，包含公开密钥拥有者信息以及公开密钥，对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性及交易的不可抵赖性。尤其是置于key内的硬数字证书，可以做到即用即插，用完收存，有效避免被窃取，具有更高的安全性。而这种安全性极高的工具就在我们身边：我们到各商业银行开通网银特别是专业版网银时，一般都会被推荐办理一个类似U盘的东西，不同银行对其的命名各异，如usbkey、Ukey、优K、K宝、U盾、网银盾等。

深圳市市场监督管理局的各种事项就可以使用工行U盾、建行U盾在深圳市全流程网上商事登记系统办理，而不必去管理局现场。分享银行Key是互联网+的信息安全一个可能的应对方案。

银行key需要客户到各银行分支机构亲自办理，不支持代办，客户需要经过严格的身份认证资料审核、面签等过程，才能取得银行key。可见银行key发放过程非常严格，和身份是严格对应的，企业不必担心身份的真实性问题，数字证书不明示用户身份，用户不担心身份信息泄露问题。

Key采用挑战/应答（Challenge/Response）方式进行交易认证。客户向服务器发出交易请求；服务器内部产生一个随机数（或附带交易概要），作为"提问"，发送给客户；客户使用私钥对随机数签名，生成一个密文字节串作为应答；服务器将密文字节串发给验签服务器；验签服务器使用公钥验签，取出明文返回服务器；服务器将验签服务器返回明文与产生的随机数比较，相同则挑战成功，验证通过。这种方式是目前最安全的交易方式，但需要巨大的资金、技术投入，通过分享银行key可以大幅降低门槛，让绝大部分互联网+企业不再望key兴叹。

《电子签名法》对电子签名的可靠性的要求，在第十三条中说的非常明确：电子签名同时符合下列条件的，视为可靠的电子签名：

（一）电子签名制作数据用于电子签名时，属于电子签名人专有；

（二）签署时电子签名制作数据仅由电子签名人控制；

（三）签署后对电子签名的任何改动能够被发现；

（四）签署后对数据电文内容和形式的任何改动能够被发现。

当事人也可以选择使用符合其约定的可靠条件的电子签名。

银行key显然是符合要求的，可以作为可靠的电子签名，分享银行key可以成为互联网+应对信息安全挑战的神器，小投入，大产出。