5月16日,有報道顯示中國銀聯通過大數據統計分析,得出個人網路財産安全的“蟻潰之堤”——個人資訊洩露是90%電信詐騙案件成因。
這意味著,在網路世界中,別人可以通過證明“他是我”,借由“我”的身份“招搖撞騙”,擄走“我”的財産。在安全專家的語系裏,這樣的産業鏈條被稱為黑産。亞信安全副總裁陸光明表示,“從産業規模看,2016年底我國網路電子認證市場還不到200億元,但是黑産的規模已經高達千億元左右。”
網路可信身份認證該出手了。“《中華人民共和國居民身份證法》確定居民身份證是公民身份管理的可信依據,網路身份驗證也需要可信度、權威級相當的可信平臺。”中國工程院院士沈昌祥在日前召開的C3安全峰會上表示,網路身份可信驗證工作刻不容緩。
身份資訊在黑市上被明碼標價
“850塊錢,就能買到開房記錄、列車記錄、航班記錄等11項個人隱私數據,在身份黑市上,隱私的買賣是被明碼標價的,能夠用於製作假通緝令等的身份證戶籍資訊,一條只需要10—40元。”中國科學院資訊工程研究所副所長荊繼武展示了一張明晰的價碼帳單,倣造一個企業身份資訊的“五證”僅需要千元左右。無論對於自然人還是法人來説,我國網路資訊保護的形勢都非常嚴峻。
“易獲得”是個人電子資訊難以規避的“軟肋”。安全領域內,八成以上的資訊洩露由內部人員所為。“很少有駭客願意花那麼大的代價從外攻破系統獲取資訊,從內攻破是更便利、更容易的。”陸光明説。
“既然防不勝防,能不能讓這些偷竊洩露來的資訊分文不值呢?現實生活中身份證的使用對此提供了很好的借鑒。”陸光明説。
如何讓網路身份認證與現實身份認證一樣“強有力”“無漏洞”,成為一個系統工程,關係到新技術應用、新體系構建、以及與已有法律體系的共用共建。國際上,歐盟2006年出臺了開展網路可信身份體系建設的法規。美國2011年公佈網路空間可信身份國家戰略,提出10年時間建設美國網路身份體系。
網路身份驗證難有“防騙”功效
當下使用的網路身份驗證難有“防騙”功效,沈昌祥將問題歸納為3類:方法不安全、難保真實性;欠公平公正、難防篡改;缺乏法律效力、難以執法。沈昌祥解釋:“例如大量匯集在微信、支付寶上的個人資訊,雖然是實名認證,但隸屬於第三方企業,難以保障它們的不可更改性、不可複製性。”
陸光明對此持相同觀點,他表示,在國外以企業公信力作為社會公信力的商業行為居多,例如谷歌的網際網路賬號可用作其他跨行業的社會認證。但是,Facebook的身份數據洩露,嚴重到甚至可能會對美國高層政策施以影響,這一事件令人對這種模式的安全性産生顧慮。
被洩露之外,被利用更使身份資訊安全問題“雪上加霜”。陸光明説,南韓2011年就爆發過一次非常嚴重的身份數據洩露事件,當時有3500萬用戶數據洩露,佔當時南韓網民的95%左右。此事使得南韓政府開始限制網路身份收集,也宣告了其網路實名制的結束。
“身份非法買賣嚴重影響網路實名制的實施效果。”荊繼武説,身份黑市交易可以將個人的網路身份綁定到一個完全不屬於本人的現實身份上。
“黑戶”的存在,不僅侵害了可能並不知情的個人的利益,也使得真正需要準確掌握身份資訊數據的電商深感困擾。“一家電商的責任人表示,他每天有幾十萬新註冊用戶,其中有很多黑産用戶,電商企業需要花費很多精力、成本去校驗新用戶,將‘黑戶’挑揀出來,確保系統安全。”陸光明説。
荊繼武總結道:“現有的身份資訊管理技術手段單一、難奏效,需要完備的身份資訊數據管理體系。”
搭建有公信力的第三方驗證平臺
“一些網際網路公司開發的APP,註冊時需要身份證、姓名、電話等資訊。我相信很多人都不願意透露、被捆綁。”陸光明説,用戶很難確定企業是否會將這些資訊挪作他用。
通過搭建第三方平臺的方法,或能解決這個“隱患”。
陸光明表示,一個保有用戶資訊的第三方認證平臺,可以幫助網際網路企業認證用戶、也確保用戶的資訊只用於約定的用途。“對於新型網際網路企業來説,平臺把認證結果反饋給企業,企業獲得的是平臺處理過的可信的用戶認證。而用戶(消費者)需要面對的則是一個有公信力的平臺,而不是多個資訊不對等的企業。”
先前已經聚集了大量客戶資訊的淘寶、微信等已經開始擔負起這樣的角色,目前,已經有“授權認證”等模式,讓用戶無需再次註冊新應用的賬號。荊繼武表示,背後基於多模式多安全等級的電子認證技術,也保證了“不同等級的數據庫使用者,能夠接觸到的資訊是不同的。”
“基於龐大的網際網路用戶數據基礎,亞信安全之前就曾做過類似的平臺構建。”陸光明説,隨著國家網際網路+政務戰略部署的提出,亞信安全希望構建一個能夠打通政務體系的、擁有法律效力的認證平臺。
目前國家層面正在構建具有法律效力的權威性公民網路電子身份標識基礎設施,並加快與電子身份應用相關的技術和標準的研製推廣工作,未來將會加速構建和網路電子身份基礎設施配套的基礎服務能力,基於網路電子身份標識基礎設施將會出現更多的行業化、跨領域的高可信、互信任的認證平臺系統。
陸光明介紹,由國家不同部委授權建設,亞信安全參與搭建統一的身份資訊認證平臺,不僅僅要完成個人身份認證業務,還提供涉及到法人、營業執照等證照資訊的認證服務。縱向來看,整個平臺包括國家中心平臺的建設,也包括中心平臺與各個部委、各省市的對接建設。
為了擔負起龐大的資訊處理量,平臺將構建分佈式的數據存儲,並推動數據共用,打破數據孤島,推進電子簽名應用等,以期形成跨行業的身份資訊認證的傳遞和互認。通過推動單緯度、單系統、特定場景的可信身份,向多維度、綜合性、可交叉的可信身份體系,助力網路安全身份體系發展。
相關連結
新技術讓網上身份識別更可靠
居民身份證作為電子法定證件,本身兼有“線下”和“線上”法律作證的地位。沈昌祥表示,2代身份證識別體系建設時,預留了指紋識別的端口,當時由於種種原因暫時未被整合的認證手段,最近可能再被啟用。
“公民網路電子身份標識基礎設施將融合各種新技術。”陸光明説,企業將持續創新可交互、易操作、高可信的新型認證技術,例如聲紋識別、指紋識別、相貌識別等。
之前的身份可信判斷,通過“我所擁有+我所知道”,未來將轉向“我的特徵+我所知道”。也就是説,之前“我擁有”的u盾、短信驗證碼+密碼等方式,將被替換“我”特有的指紋、聲紋、面相+密碼等方式。通過新技術的加入最大限度做到只有“我”才能證明“我自己”。
在系統底層建設中,陸光明介紹,目前平臺的主流技術仍是基於強密碼實現安全保障,並會適時利用安全大數據,進行態勢感知的風險預測和控制。對於新興的區塊鏈技術、時間戳等安全保障方式,平臺將做到端口預留。
巨大的用戶量是對該平臺的另一個嚴峻考驗。據統計,2016年支付寶實名用戶達到4.5億人。與之相比,要構建覆蓋中國全體居民以及法人單位的統一身份認證平臺,數據處理量可想而知。
為此,亞信安全諮詢戰略總監吳大明表示,平臺在建設和使用的過程中將會不斷有新的應用加入,因此平臺具備可擴展。一個公民出生、入托再到上學,需要跑到各個地方去辦各種手續的體驗,未來可能變成可跨省、隨時辦。(記者 張佳星)