论文部分内容阅读
在由账户名、密码和短信组成的身份认证体系中,短信成为了非常关键的一个认证要素。飞天诚信科技股份有限公司的技术专家朱博士告诉记者,从技术层面来讲,短信属于双信道通信,其实是一种简单有效的增强安全的机制。它与其他安全机制并不冲突,经过合理的设计,可以与其他安全机制进行结合,发挥更好的作用。“我们就曾经设计了一个结合现有短信认证码和动态口令的方案。这个方案保留了短信认证码的形态,用户体验没有任何改变,但在背后融入了一整套动态口令认证系统,不仅提高了系统的安全性,新方案中的认证码还有交易回溯的功能,可以根据认证码追溯交易发生的时刻。”朱博士介绍说。
“在非智能手机时代,短信认证的方式还是相对安全的。但是在智能手机中,操作系统开发接口允许应用对短信进行读取,这就带来了安全隐患。”万仁国表示。
增强移动终端安全性
如果说互联网给人类社会带来了翻天覆地的变革,那么智能手机和移动互联网所带来的变革毫不逊色。实际上,智能手机所承载的功能已经远远超出了传统意义上对手机打电话、发短信功能的界定,它已经成为可以随身携带、随时随地使用的小电脑,这也让以前电脑上存在的安全问题转移到了智能手机上。
就目前智能手机搭载最广泛的两大操作系统安卓和苹果iOS来讲,安卓系统的开源和免费使用的特性,支持各个手机厂商和运营商的“定制”,导致安卓系统碎片化问题越来越严重。一方面,安卓系统的碎片化令其及时更新非常困难;另一方面,厂商定制在某种程度上破坏了原生安卓系统的安全机制,并在引入新功能时将新的安全漏洞同时引入到系统中。
这就导致了安卓手机上的安全问题比PC更严重的情况出现。“现在越来越多的应用从PC端转移到了智能手机上,而在智能手机特别是安卓平台的智能手机上的安全问题确实非常突出。”万仁国举例来说,“安全软件由于在某些安卓手机上不能获得root权限,导致扫描和拦截功能受到限制,这一点和PC平台并不相同。”在万仁国看来,强健智能移动终端的安全性,实现PC端和智能移动终端的跨平台统一安全防护非常关键。
谨防网络钓鱼
所谓网络钓鱼,是指攻击者通过伪装,利用网络诱骗受害人透露自己的账号、密码等信息的欺诈活动。11月20日,360安全中心发布的《网络投资理财诈骗现状及防范措施报告》显示,2012年360安全中心共截获新增金融投资类钓鱼网站有4.5万个,而2013年前三季度,这一数字已经达到6.4万个,较去年全年增长42%。金融投资类钓鱼网站的影响范围较去年呈明显扩大趋势。
“2006年至2009年,随着宽带的普及,木马成为主要工具,而受害者以游戏用户居多。2009年以后,随着安全软件的普及,现在木马的生存空间越来越小,网络钓鱼则成为攻击者最主要采用的方式。近年来,网络钓鱼案件呈逐渐上升的趋势,受害群体的范围也更为广泛。”万仁国介绍。
绿盟科技发布的《个人网上银行登录安全研究报告》同样指出网络钓鱼、恶意代码攻击、暴力破解密码、登录的恶意滥用以及用户身份假冒是目前中国网上银行登录领域的五大安全威胁,其中网络钓鱼居首。“钓鱼网站的存活期以小时计算,仅靠黑名单的防护方法并不及时和足够,如何在客户端动态有效地甄别钓鱼网站是一项有挑战性的课题。”绿盟科技项目经理蔡昆认为,虽然网络钓鱼的技术原理并不高深,但是它利用了人们心理上的弱点,成为攻击者屡试不爽的欺诈手段。
“心病还须心药医”,要降低网络钓鱼的危害,用户最重要的是努力克服心理上的弱点并提升安全意识。360公司资深安全研究员裴智勇告诉记者:“在我们接到的网络欺诈报案中,很多都是以超低价格或者超高收益为诱饵。如果能够冷静地分析一下,相信受害人就不会遭受如此严重的损失。”
在提升安全意识方面,朱博士则建议用户在进行电子支付之前,要对相应的电子支付渠道的安全状况增加了解,选用有安全保障的电子支付产品,尽量避免使用二维码扫描这种刚刚出现、片面强调创新而过于缺乏安全保障的电子支付渠道。
“此外,应该随时留意可能造成信息泄露的场景。我夫人每次都会对家里要丢弃的快递包装进行检查,撕掉单据上面的个人信息。如果单据粘在包装上撕不掉,我们就把电话、地址等信息用笔涂黑。”朱博士向记者介绍切身经验。
确保支付安全
毫无疑问,支付是信息消费最重要的环节,支付安全也成为信息消费环境安全的关键。
“支付安全一定是系统工程,需要主管机构、支付机构和用户多方一齐努力,才能在最大程度上实现支付安全。”朱博士告诉记者,对于主管机构而言,应该推动安全性更强的新一代电子支付体系的部署和建设,如以金融IC卡为支付载体的卡基支付系统。
“现行的银行磁条卡安全性相当脆弱。受到磁条卡的限制,数字签名等强力的信息安全保障手段没法跟磁条卡结合,更无法在支付系统中使用。而金融IC卡无论是在计算、存储能力还是在安全强度方面都有极大的提高。一方面,它大大增加了破解、复制银行卡的难度,另一方面,它也使数字签名等强力安全手段与支付系统的结合能够成为现实。相应地,围绕金融IC卡研发建设的新一代支付系统也具有比现在更加完善的安全保障。”朱博士告诉记者,“今年年初发布的金融行业标准JR/T 0025-2013(业内俗称PBOC3.0)对新一代卡基支付系统进行了全面的规划。目前,已有若干银行推出了金融IC卡的信用卡。”
实际上,对于支付机构而言,一方面要在创新支付手段的同时关注配套的信息安全保障体系建设,另一方面也要对已有的电子支付系统做好安全保障工作。“在电子支付领域,网上银行的历史算得上‘悠久’了,以现在的眼光来看,网上银行最初的安全强度并不高,采取的安全防护手段也不是特别的完善。但是随着网上银行的普及,主管机构对网上银行的安全性高度重视,支付机构也努力提升安全水平。现在网上银行的信息安全保障标准化工作已经从单纯的技术层面延伸到管理、运营层面。”朱博士告诉记者。 产业链深度合作
以补卡攻击为例,攻击者的行为涉及到了用户、运营商、支付机构等各方,在实现资金转移后,攻击者还会利用一些商户进行洗钱,最终将受害者的资金转移到自己的口袋中。显然,信息消费环境安全是一个链条,很难凭借某个厂商的一己之力完全解决问题。
“我们希望银行、支付公司、安全厂商、商家等链条上的各个角色能够更为深入地展开合作。”万仁国如此向记者打比方说,“这就相当于看病。从我们安全厂商的角度,只能看到病人的一个部位,难免会造成头痛医头脚痛医脚,只有整个链条上的所有角色展开深入的合作,才能看清病人的病症并对症下药。目前,各个企业之间连接的地方仍然是短板,要打造更为安全的支付环境,在连接处一定要加强。”
10月17日,由中国银联联合多方机构共同发起的互联网金融支付安全联盟成立。中国银联、公安部经济犯罪侦查局和网络安全保卫局、17家全国性商业银行以及9家主要非金融支付机构成为首批成员单位。相信这种联盟的成立会对信息消费环境安全起到积极的促进作用。
如今,智能手机、网上银行、支付宝……这些新的技术、产品和服务让电子商务能够有效地运转,同时它们也推动了电子商务的持续发展。但是,由这些要素组成的信息消费环境逐渐融入到每个人的生活,甚至成为每个人生活中不可分割的一部分时,其中存在的任何一个安全隐患都有可能伤害到成千上万的消费者,从而伤害整个信息消费环境,影响到整个产业的发展。
“我相信,案例中的受害人可能会很长一段时间内都不会再使用基于手机和互联网的支付方式。”万仁国还向记者透露,在几年前,自己也有过在网上购物被骗的经历。“我当时在网上买了一部手机,结果收到的却是鼠标。经过一个多月的反复交涉,这件事情才得到解决。”看着万仁国凝重又略显无奈的表情,记者仿佛看到了,打造一个安全可控的信息消费环境任重道远。
相关链接
加强信息消费环境建设
(节选自《国务院关于促进信息消费扩大内需的若干意见》)
构建安全可信的信息消费环境基础。大力推进身份认证、网站认证和电子签名等网络信任服务,推行电子营业执照。推动互联网金融创新,规范互联网金融服务,开展非金融机构支付业务设施认证,建设移动金融安全可信公共服务平台,推动多层次支付体系的发展。推进国家基础数据库、金融信用信息基础数据库等数据库的协同,支持社会信用体系建设。
提升信息安全保障能力。依法加强信息产品和服务的检测和认证,鼓励企业开发技术先进、性能可靠的信息技术产品,支持建立第三方安全评估与监测机制。加强与终端产品相连接的集成平台的建设和管理,引导信息产品和服务发展。加强应用商店监管。加强政府和涉密信息系统安全管理,保障重要信息系统互联互通和部门间信息资源共享安全。落实信息安全等级保护制度,加强网络与信息安全监管,提升网络与信息安全监管能力和系统安全防护水平。
加强个人信息保护。落实全国人大常委会关于加强网络信息保护的决定,积极推动出台网络信息安全、个人信息保护等方面的法律制度,明确互联网服务提供者保护用户个人信息的义务,制定用户个人信息保护标准,规范服务商对个人信息收集、储存及使用。
规范信息消费市场秩序。依法加强对信息服务、网络交易行为、产品及服务质量等的监管,查处侵犯知识产权、网络欺诈等违法犯罪行为。加强从业规范宣传,引导企业诚信经营,切实履行社会责任,抵制排挤或诋毁竞争对手、侵害消费者合法权益等违法行为。强化行业自律机制,积极发挥行业协会作用,鼓励符合条件的第三方信用服务机构开展商务信用评估。完善企业争议调解机制,防止企业滥用市场支配地位等不正当竞争行为。进一步拓宽和健全消费维权渠道,强化社会监督。
“在非智能手机时代,短信认证的方式还是相对安全的。但是在智能手机中,操作系统开发接口允许应用对短信进行读取,这就带来了安全隐患。”万仁国表示。
增强移动终端安全性
如果说互联网给人类社会带来了翻天覆地的变革,那么智能手机和移动互联网所带来的变革毫不逊色。实际上,智能手机所承载的功能已经远远超出了传统意义上对手机打电话、发短信功能的界定,它已经成为可以随身携带、随时随地使用的小电脑,这也让以前电脑上存在的安全问题转移到了智能手机上。
就目前智能手机搭载最广泛的两大操作系统安卓和苹果iOS来讲,安卓系统的开源和免费使用的特性,支持各个手机厂商和运营商的“定制”,导致安卓系统碎片化问题越来越严重。一方面,安卓系统的碎片化令其及时更新非常困难;另一方面,厂商定制在某种程度上破坏了原生安卓系统的安全机制,并在引入新功能时将新的安全漏洞同时引入到系统中。
这就导致了安卓手机上的安全问题比PC更严重的情况出现。“现在越来越多的应用从PC端转移到了智能手机上,而在智能手机特别是安卓平台的智能手机上的安全问题确实非常突出。”万仁国举例来说,“安全软件由于在某些安卓手机上不能获得root权限,导致扫描和拦截功能受到限制,这一点和PC平台并不相同。”在万仁国看来,强健智能移动终端的安全性,实现PC端和智能移动终端的跨平台统一安全防护非常关键。
谨防网络钓鱼
所谓网络钓鱼,是指攻击者通过伪装,利用网络诱骗受害人透露自己的账号、密码等信息的欺诈活动。11月20日,360安全中心发布的《网络投资理财诈骗现状及防范措施报告》显示,2012年360安全中心共截获新增金融投资类钓鱼网站有4.5万个,而2013年前三季度,这一数字已经达到6.4万个,较去年全年增长42%。金融投资类钓鱼网站的影响范围较去年呈明显扩大趋势。
“2006年至2009年,随着宽带的普及,木马成为主要工具,而受害者以游戏用户居多。2009年以后,随着安全软件的普及,现在木马的生存空间越来越小,网络钓鱼则成为攻击者最主要采用的方式。近年来,网络钓鱼案件呈逐渐上升的趋势,受害群体的范围也更为广泛。”万仁国介绍。
绿盟科技发布的《个人网上银行登录安全研究报告》同样指出网络钓鱼、恶意代码攻击、暴力破解密码、登录的恶意滥用以及用户身份假冒是目前中国网上银行登录领域的五大安全威胁,其中网络钓鱼居首。“钓鱼网站的存活期以小时计算,仅靠黑名单的防护方法并不及时和足够,如何在客户端动态有效地甄别钓鱼网站是一项有挑战性的课题。”绿盟科技项目经理蔡昆认为,虽然网络钓鱼的技术原理并不高深,但是它利用了人们心理上的弱点,成为攻击者屡试不爽的欺诈手段。
“心病还须心药医”,要降低网络钓鱼的危害,用户最重要的是努力克服心理上的弱点并提升安全意识。360公司资深安全研究员裴智勇告诉记者:“在我们接到的网络欺诈报案中,很多都是以超低价格或者超高收益为诱饵。如果能够冷静地分析一下,相信受害人就不会遭受如此严重的损失。”
在提升安全意识方面,朱博士则建议用户在进行电子支付之前,要对相应的电子支付渠道的安全状况增加了解,选用有安全保障的电子支付产品,尽量避免使用二维码扫描这种刚刚出现、片面强调创新而过于缺乏安全保障的电子支付渠道。
“此外,应该随时留意可能造成信息泄露的场景。我夫人每次都会对家里要丢弃的快递包装进行检查,撕掉单据上面的个人信息。如果单据粘在包装上撕不掉,我们就把电话、地址等信息用笔涂黑。”朱博士向记者介绍切身经验。
确保支付安全
毫无疑问,支付是信息消费最重要的环节,支付安全也成为信息消费环境安全的关键。
“支付安全一定是系统工程,需要主管机构、支付机构和用户多方一齐努力,才能在最大程度上实现支付安全。”朱博士告诉记者,对于主管机构而言,应该推动安全性更强的新一代电子支付体系的部署和建设,如以金融IC卡为支付载体的卡基支付系统。
“现行的银行磁条卡安全性相当脆弱。受到磁条卡的限制,数字签名等强力的信息安全保障手段没法跟磁条卡结合,更无法在支付系统中使用。而金融IC卡无论是在计算、存储能力还是在安全强度方面都有极大的提高。一方面,它大大增加了破解、复制银行卡的难度,另一方面,它也使数字签名等强力安全手段与支付系统的结合能够成为现实。相应地,围绕金融IC卡研发建设的新一代支付系统也具有比现在更加完善的安全保障。”朱博士告诉记者,“今年年初发布的金融行业标准JR/T 0025-2013(业内俗称PBOC3.0)对新一代卡基支付系统进行了全面的规划。目前,已有若干银行推出了金融IC卡的信用卡。”
实际上,对于支付机构而言,一方面要在创新支付手段的同时关注配套的信息安全保障体系建设,另一方面也要对已有的电子支付系统做好安全保障工作。“在电子支付领域,网上银行的历史算得上‘悠久’了,以现在的眼光来看,网上银行最初的安全强度并不高,采取的安全防护手段也不是特别的完善。但是随着网上银行的普及,主管机构对网上银行的安全性高度重视,支付机构也努力提升安全水平。现在网上银行的信息安全保障标准化工作已经从单纯的技术层面延伸到管理、运营层面。”朱博士告诉记者。 产业链深度合作
以补卡攻击为例,攻击者的行为涉及到了用户、运营商、支付机构等各方,在实现资金转移后,攻击者还会利用一些商户进行洗钱,最终将受害者的资金转移到自己的口袋中。显然,信息消费环境安全是一个链条,很难凭借某个厂商的一己之力完全解决问题。
“我们希望银行、支付公司、安全厂商、商家等链条上的各个角色能够更为深入地展开合作。”万仁国如此向记者打比方说,“这就相当于看病。从我们安全厂商的角度,只能看到病人的一个部位,难免会造成头痛医头脚痛医脚,只有整个链条上的所有角色展开深入的合作,才能看清病人的病症并对症下药。目前,各个企业之间连接的地方仍然是短板,要打造更为安全的支付环境,在连接处一定要加强。”
10月17日,由中国银联联合多方机构共同发起的互联网金融支付安全联盟成立。中国银联、公安部经济犯罪侦查局和网络安全保卫局、17家全国性商业银行以及9家主要非金融支付机构成为首批成员单位。相信这种联盟的成立会对信息消费环境安全起到积极的促进作用。
如今,智能手机、网上银行、支付宝……这些新的技术、产品和服务让电子商务能够有效地运转,同时它们也推动了电子商务的持续发展。但是,由这些要素组成的信息消费环境逐渐融入到每个人的生活,甚至成为每个人生活中不可分割的一部分时,其中存在的任何一个安全隐患都有可能伤害到成千上万的消费者,从而伤害整个信息消费环境,影响到整个产业的发展。
“我相信,案例中的受害人可能会很长一段时间内都不会再使用基于手机和互联网的支付方式。”万仁国还向记者透露,在几年前,自己也有过在网上购物被骗的经历。“我当时在网上买了一部手机,结果收到的却是鼠标。经过一个多月的反复交涉,这件事情才得到解决。”看着万仁国凝重又略显无奈的表情,记者仿佛看到了,打造一个安全可控的信息消费环境任重道远。
相关链接
加强信息消费环境建设
(节选自《国务院关于促进信息消费扩大内需的若干意见》)
构建安全可信的信息消费环境基础。大力推进身份认证、网站认证和电子签名等网络信任服务,推行电子营业执照。推动互联网金融创新,规范互联网金融服务,开展非金融机构支付业务设施认证,建设移动金融安全可信公共服务平台,推动多层次支付体系的发展。推进国家基础数据库、金融信用信息基础数据库等数据库的协同,支持社会信用体系建设。
提升信息安全保障能力。依法加强信息产品和服务的检测和认证,鼓励企业开发技术先进、性能可靠的信息技术产品,支持建立第三方安全评估与监测机制。加强与终端产品相连接的集成平台的建设和管理,引导信息产品和服务发展。加强应用商店监管。加强政府和涉密信息系统安全管理,保障重要信息系统互联互通和部门间信息资源共享安全。落实信息安全等级保护制度,加强网络与信息安全监管,提升网络与信息安全监管能力和系统安全防护水平。
加强个人信息保护。落实全国人大常委会关于加强网络信息保护的决定,积极推动出台网络信息安全、个人信息保护等方面的法律制度,明确互联网服务提供者保护用户个人信息的义务,制定用户个人信息保护标准,规范服务商对个人信息收集、储存及使用。
规范信息消费市场秩序。依法加强对信息服务、网络交易行为、产品及服务质量等的监管,查处侵犯知识产权、网络欺诈等违法犯罪行为。加强从业规范宣传,引导企业诚信经营,切实履行社会责任,抵制排挤或诋毁竞争对手、侵害消费者合法权益等违法行为。强化行业自律机制,积极发挥行业协会作用,鼓励符合条件的第三方信用服务机构开展商务信用评估。完善企业争议调解机制,防止企业滥用市场支配地位等不正当竞争行为。进一步拓宽和健全消费维权渠道,强化社会监督。