e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

专访杨义先:维护信息安全需多管齐下

2016/12/15    来源:中国信息界    作者:杨义先      
关键字:大数据应用  隐私保护  
随着社会的发展与进步,我国网络的普及越来越快。据中国互联网络信息中心发布的《第37次中国互联网络发展状况统计报告》显示,截至 2015 年 12 月,中国网民规模达 6.88 亿人;中国手机网民规模达6.20亿。
    随着社会的发展与进步,我国网络的普及越来越快。据中国互联网络信息中心发布的《第37次中国互联网络发展状况统计报告》显示,截至2015年12月,中国网民规模达6.88亿人;中国手机网民规模达6.20亿。网民中使用手机上网人群占比由2014年的85.8%提升至90.1%。当人民享受着网络普及带来的便利之时,一大波儿风险也向人们走来,网络、信息安全的威胁如影随形、挥之不去。个人信息被泄露也早已不是什么新鲜事。然而,在人们对网络、信息安全由担心到侥幸,再到麻木的思想“转变”时,今年,接连发生的“徐玉玉事件”、“宋振宁案”刺痛了人们对于网络、信息安全的“敏感神经”,网络、信息安全再次被推向了风口浪尖。
 
    可是,被推向了风口浪尖的网络、信息安全又能如何?在网络时代,大数据、物联网、可穿戴设备、智能汽车……万物互联、信息开放的智慧时代越来越近的情况下,网络、信息安全又该如何?人民应如何与之对抗……
 
    为此,记者特别专访了北京邮电大学教授、博士生导师灾备技术国家工程实验室主任、北京邮电大学信息安全中心主任杨义先。他自1985年起开始研究编码和密码学理论,在编码密码学、信息与网络安全、信号与信息处理等领域有深厚的造诣;在网络信息安全、现代密码学和纠错编码等方面获得了众多在国内外很有影响的成果。希望杨义先的观点能为读者答疑解惑。
 
杨义先
 
杨义先
 
    保护隐私要做好匿名工作
 
    随着数据越来越廉价易得,大数据应用领域也不断扩展,个人隐私保护和数据安全变得非常紧迫。在大数据时代,如何注重个人隐私保护和数据安全?
 
    杨义先:必须承认,就当前的现实情况来说,“大数据隐私挖掘”的杀伤力,已经远远超过了“大数据隐私保护”所需要的能力。换句话说,在数据挖掘面前,当前人类还有点不知所措。因为,自互联网诞生以后,在过去几十中,人们都不遗余力地将若干碎片信息永远留在网上;其中,每个碎片虽然都完全无害,可谁也不曾意识到,至少没有刻意去关注,当众多无害碎片融合起来,竟然后患无穷!
 
    不过,大家也没必要过于担心,因为,在人类历史上,类似的被动局面已经出现过不止一次了,而且每次最终都会有惊无险地顺利过关;比如,天花病毒突然爆发引发恐慌后,人类便很快将其彻底消灭。其实,只要已经意识到出了问题,人类都一定能够想办法,直到圆满解决。
 
    历史上,“隐私保护”与“隐私挖掘”之间是这样“走马灯”的:人类通过对隐私的“挖掘”,在获得空前好处的同时,又产生了更多需要保护的“隐私”。于是,又不得不再回过头来,认真研究如何保护这些隐私。当隐私积累得越来越多时,“挖掘”它们就会变得越来越有利可图,于是,新一轮的“魔高一尺道高一丈”又开始了。如果以时间长度为标准来判断的话,那么,人类在“自身隐私保护”方面整体处于优势地位,因为,在网络大数据挖掘之前,“隐私泄露”好像并不是一个突出的问题。
 
    针对过去已经遗留在网上的海量碎片信息,如何进行隐私保护呢?如果单靠技术,显然无能为力,甚至会越“保护”就越“泄露隐私”,因此,必须多管齐下。从法律上,禁止以“人肉搜索”为目的的大数据挖掘行为。增加“网民的被遗忘权”等法律条款,即,网民有权要求相关网络删除“与自己直接相关的信息碎片”;从管理角度,也可以采取措施,对一些恶意的大数据行为进行发现、监督和管控。另外,在必要的时候,还需要重塑“隐私”概念,因为,毕竟“隐私”本身就是一个与时间、地点、民族、宗教、文化等有关的东西,在某种意义上也是一种约定俗成的东西,从来就没有过永恒不变的“隐私”,特别是当某种东西已经不可保密时,无论如何它也不该再被看成是“隐私”了。
 
    针对今后的网络行为,在大数时代,应该如何来保护自己的隐私,我认为,至少不要把过多的没必要的碎片信息遗留在网上。另外,要做好匿名工作。匿名的重点包括:一是身份匿名。任何绯闻或丑事儿,当大家并不知道你就是当事人时,请问你的隐私被泄露了吗?当然没有。二是属性匿名。如果你觉得自己的某些属性(比如,在哪里工作、有啥爱好、病史纪录等)需要保密,那么,请记住:打死也不要在网上发布自己的这些消息,甚至要有意避开与这些属性相关的东西。这样别人就很难对你顺藤摸瓜了。三是关系匿名。如果你不想让别人知道你与张三是朋友,那么,最好在网上离张三远一点,不要去关注与他相关的任何事情,更别与他搭讪。四是位置匿名。别主动在社交媒体上随时暴露自己的行踪。
 
    总的来说,今后,大数据隐私保护的哲学是:把“私”公开(实际上是没法不公开),而我的身份却被藏起来,即,匿名。
 
    当然,要想实现绝对的匿名,也是不可能的。因此,在隐私保护方面,绝没有万能的灵丹妙药,任何手段也都有其局限性,否则,科学和技术就不会前进了。保护隐私的最高境界就是:没有隐私(这显然是不可能的)。比如,假若某些人和事是你的隐私,如果你不愿意告诉别人,那就得想办法让别人无法知晓。
 
    谨慎严防范恶意代码
 
  记者:中共中央总书记、国家主席习近平指出,“没有网络安全,就没有国家安全”。近年来,我国网络与信息技术发展迅猛,而网络与信息安全问题频发:病毒木马入侵、恶意代码、恶意钓鱼网站、账号密码失窃、网银资金被盗等事件,威胁、困扰着国家与人民群众。其中,恶意代码与病毒最令人头痛,让人防不胜防,请问您怎么看?有何建议?
 
    杨义先:恶意代码能有多恶?这样说吧,从理论上看,它想有多恶,就能多恶。如果说普通代码(或善意代码)是佛,那么,恶意代码就是魔。佛与魔除了分别代表正义和邪恶之外,其他本领其实都不相上下。也可以说恶意代码的作恶能力只有你想不到,没有它做不到;你若今天想到,也许明天它就能做到。
 
    真不是我吓唬你,震网病毒你知道吗?这是一个席卷全球工业界的病毒,于2010年发现,截至2011年,感染了全球超过45000个网络,其中,伊朗遭到的攻击最为严重,60%的个人电脑感染了这种病毒。
 
    “震网”能够成功的关键,是它同时调用了几个所谓的“零日漏洞”,即,新发现的还未被他人恶意利用过的软件漏洞,或软件缺陷。这几个漏洞分别叫RPC远程执行漏洞、快捷方式文件解析漏洞、打印机后台程序服务漏洞、内核模式驱动程序漏洞、任务计划程序漏洞。如果你搞不懂这些漏洞的细节,也没关系;形象地说吧,这几个漏洞既分工又合作:有的打掩护感染U盘;有的四下侦探,寻找攻击目标;有的假冒长官,向其它电脑发号施令,让它们胡作非为;有的蒙骗操作人员,让他们以为平安无事;有的消除痕迹,让网络巡警麻痹大意,甚至事后都找不到踪迹,至今也不知“凶手”是何方神圣。终于,一场精妙绝伦的科幻电影,就这样实实在在地,被几行代码就给演绎了。
 
    今年,DDOS病毒也出名了,据悉,2016年10月22日凌晨美国域名服务器管理服务供应商Dyn被DDOS攻击了,顿时,半个美国的网络瘫痪,东海岸的许多网站“毙命”,诸如Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等都“横尸街头”。
 
    DDOS如何攻击的呢?DDOS就是“分布式拒绝服务攻击”的简称,形象地说,它意指黑客借用恶意代码,从世界各地,无偿雇佣了一大批“农民工”,让他们同时挤向Dyn公司的大门,使其水泄不通;于是,Dyn便无法像以往那样,出门向正常客户提供服务了。据事后权威调查,本次这批“农民工”,人数多达上千万,主要包含被恶意代码控制了的常规设备,其中,几百万主力是物联网中的“智能家居”产品。
 
    讲这些,是想告诉大家,像世界超级大哥美国这样的“铁汉”,都会被莫名其妙地被 “调戏”,更不用说你我等普通人了。
 
    那么,恶意代码为什么能有这么恶呢?这就得从电脑说起了。电脑由硬件和软件两部分组成,前者决定了它的体力,后者决定了它的智力。软件的具体表现形式,其实就是称作代码的东西,它们不过只是一些逻辑命令而已,指令让电脑干什么,它就干什么,而从电脑角度来看,恶意代码与善意代码都是代码,是应该一视同仁地执行的命令。
 
    另外,编写恶意代码比编写善意更容易,因为,普遍规律是:败事容易,成事难。
 
    那么,普通个人用户,应该如何防范恶意代码呢?我认为,一是永远不要执行任何来历不明的软件或程序;二是永远不要相信你邮箱不会收到含有恶意代码的邮件;三是用电邮给朋友发软件时,记得叮嘱对方先查毒,因为,在你电脑上不发作的病毒,没准在朋友电脑上就复活了;四是永远不要因为对方是你的好朋友,就轻易执行他发过来的软件或程序,因为你无法确信他是否安装过病毒防火墙,也许你的朋友中了黑客程序还不知道;五是千万不要随便留下你的个人资料;六是不要轻易相信网络上认识的新朋友。
 
    防诈骗需研读“社会工程学”
 
    记者:今年,由信息泄露引发的电信诈骗“血案”:“徐玉玉事件”、“宋振宁案”令人震惊。在网络时代下,电信诈骗更精准、便捷,骗子们利用网络、社保、邮局、公检法、银行、医院、计生、快递等渠道获取个人信息,实施“精准诈骗”的案例越来越多,手法不断更新,令百姓防不胜防。对此,您怎么看?有何建议?
 
    杨义先:听说过吗,“社会工程学”这个名词?如果没听说过,那就太正常不过了。不但普通百姓没听过,就算是网络空间安全界的专家们,对它也比较陌生,因为,直到最近这几年,“社会工程学”这个名词才浮出水面。
 
    与黑客的所有其他工具不同,“社会工程学”对电脑几乎不感兴趣,对硬件、软件、系统等所有你严加防范的东西,也几乎都不感兴趣。它只攻击有血有肉、能说会道、还自以为是的“人”,而且它基本上可以百发百中。
 
    那么,到底什么是“社会工程学”呢?
 
    从网络空间安全的角度来看,所谓“社会工程学”主要指的是一类特殊的黑客攻击手段。它的攻击目标是人,是要钻人性的空子,更准确地说是要充分利用人性的弱点、本能反应、好奇心、信任、贪婪等心理特质,来对受害者进行诸如欺骗、恐骇、威逼等,以获取自身利益。随着网络化程度的不断提高,“社会工程学”的运用门槛越来越低,难度越来越小,危害也越来越大,甚至有被滥用的趋势。因此,必须让普通网民对它有所了解,促使大家提高警惕,避免上当受骗,减少不必要的损失。
 
    擅长“社会工程学”的黑客,首先需要做的,也是最重要的,事情就是“收集你的信息”,否则,再巧的媳妇,也做不出无米之炊!他可以借助于任何工具,从网上获取尽可能多的相关信息;也可利用任何机会,从你的亲朋好友、邻居同事等处,获得大量的间接资料;这些手段大家可能都已经想到,也不用我再赘述了。但是,有个损招,一定会出乎大家的意料!那就是,最直接,最私密的信息,却大部分都隐藏在人们每天随手丢弃的垃圾里。通过翻捡垃圾,获得他们想得到的信息。
 
    其次,“拉关系”也是大家见得较少的,“社会工程学者”收集信息的重要手段。其原理是:通过获得被攻击者的认可,营造出信任的氛围,然后,诱导你说出有价值的信息,或让你去点击某个链接,或做任何危害自己的蠢事等。这怎么可能呢?确实可能!因为,人性中至少有这样的善良弱点:当别人对你敞开心扉,愿意信任你并分享他们的生活信息时,你也会在这种“亲近感”(或“信任感”)的驱使下,毫不犹豫地说出自己的秘密。
 
    另外,伪装也是其基本原则,比如,事前调查越充分,收集信息越丰富,那么,伪装的成功率就越大。如果伪装的角色有鲜明的个人爱好,那么,伪装成功的可能性就越大,与面对面伪装相比,“通过电话伪装”被识破的概率更低,虽然电话伪装需要做的预备工作并未减少。
 
    最后,在“社会工程学”中,最难的也是最关键的环节,就是所谓的“诱导”;即,牢牢控制你,让你像僵尸那样,乖乖地接受指挥,叫干啥就干啥。
 
    那么,对此,应如何防范?专家们总结了“反欺骗十大招”:一是备份资料。系统永远不会是无懈可击的,灾难性的数据损失发生只需一条蠕虫或一只木马就已足够;二是选择很难猜的口令。不要随意填上几个与自己有关的数字当作口令,在任何情况下,都要及时修改默认口令;三是安装杀毒软件,并让它及时更新升级;四是及时更新操作系统,时刻留意软件制造商发布的各种补丁,并及时安装应用;五是不用电脑时,千万别忘了断开网线和电源;六是在浏览器中会出现一些黑客钓鱼,对此要保持清醒,拒绝点击,同时将电子邮件客户端的自动脚本功能关闭;七是在发送敏感邮件时要加密,也可用加密软件保护硬盘数据;八是安装一个或几个反间谍程序,并且要经常运行检查;九是使用个人防火墙并正确设置它,阻止其他计算机、网络和网址与自己的计算机建立连接,指定哪些程序可以自动连接到网络;十是关闭所有不使用的系统服务,特别是那些可以让别人远程控制计算机的服务,如RemoteDesktop、RealVNC和NetBIOS等。
 
    量子通信并非绝对安全
 
    记者:自“墨子号”量子卫星成功发射后,量子通信备受关注,并且还引发了众多激烈争论。那么,什么是量子通信?量子通信系统绝对(无条件)安全吗?
 
    杨义先:任何时候,“安全”都只是相对的,“不安全”才是绝对的。更可能的情况是:网络世界会越来越不安全,量子通信普及后,安全问题将更多。因为,几千年来的历史经验已经反复证明,任何先进的技术都会带来新的安全威胁。
 
    从系统学角度看,仅仅靠“测不准原理”等是不能包打天下的,不可能就天衣无缝了,就不与其他设备或系统衔接了。仅在几年前,光纤专家还说“光纤通信就是安全,因为光纤很难插接……”,结果话音未落,底裤就曝光了。所以,量子通信到底是不是“绝对安全”,甚至到底是不是安全,这个问题还是交给时间或安全专家来回答吧。但是,历史上从来就没有过“黑客攻不破的系统”,但愿量子通信能够改变历史。当然,必须承认,即使存在安全隐患,量子通信的价值也绝不可否认,利用量子特性来设计新型保密系统的想法也绝对应该鼓励,因为,它山之石从来就安全专家的攻玉之器。
 
    从逻辑上看,“量子通信绝对安全”这个结论也下得很唐突。在咬定“量子通信”如何之前,至少要先把“量子通信”做出来,因此,该结论的大前提显然不成立。就算“量子通信”已经小规模实用了,那么它到底是不是绝对安全,也应该拿事实说话,因为安全只相信实证,不相信猜测。
 
    从理论上说,信息论之父香农博士,于1948年,在其著名论文《保密系统的通信理论》中,确实证明过:如果密钥流序列是绝对随机的,那么,“1次1密”的密码系统是理论上不可破。这也是人类至今知道的,唯一“绝对安全”的密码系统吧。但是,请注意,香农“绝对安全”的前提是“密钥流绝对随机”而且“密钥流的长度与待加密信息的长度相等”。换句话说,包括香农本人在内,全球安全界的所有专家都清楚:香农的所谓“绝对安全”,在实际中是绝对不可用的。所以,过去近70年来,人们只好用“算法产生的伪随机序列”去代替“绝对随机的密钥流序列”,其代价就是“不再绝对安全”。当然,必须承认,用量子来产生“绝对随机的密钥流序列”是一个很好的手段,而且已经成功,商用产品也已面市。但这只能算是技术上的成就,并非理论上的突破,更不能将其提升为实现了“绝对安全”的密码系统,因为,密码学家们,一直就在用电噪音等手段来产生“绝对随机的密钥流序列”,而且几乎每台密码机上,都已标配有这样的成熟设备。
 
    从技术上说,量子通信系统由两个信道组成:传递纠缠状态的量子信道和传递测量结果的经典信道。单独控制这两个信道中的任何一个,确实都不可能获得被传消息的任何内容,并且那个量子信道还是“摸不得的老虎屁股”。量子通信的两信道分离,也仅仅是技术手段的突破,而非理论上的颠覆。虽然确实是重大技术进步,但远未达到“绝对安全”的程度。
 
责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐