第11版(电脑·网络·通信)
专栏:
信息安全:有没有不透风的墙?
本报记者 杨健
刚刚过去的一周成了一些知名网站的“黑色星期”。星期一,全球最大的网站雅虎遭受攻击,服务中断长达3小时。从星期二到星期四,Buy、eBay、E-Trade、ZDNet和Amazon、CNN等多家网站又遭受类似攻击,前四家一度被迫关闭。
广受关注的信息安全问题重新浮出海面,如何为信息交流和电子交易提供一个安全、受保护的环境,再次成为舆论热点。
“矛”与“盾”的悖论
每当黑客制造事端时,信息安全技术的市场都会升温。近来,众多网络安全服务公司纷纷推出各种软件程序,以防止黑客、窃贼,甚至政府的纳税调查等渗透到网络银行账户、电子邮件或者企业的采购网络。
与此同时,耗资1500万美元建立的美国国防计算机法医实验室正式启用。该实验室装备了目前世界上最先进的刑侦工具。据称,功夫最深的黑客“都将无计可施,什么密码都起不了作用,任何被删除的文件都能找回,就连被剪成碎片的软盘磁片也能恢复如初”。负责这个实验室的官员说,今后他们将在情报和秘密技术方面加强合作,帮助政府执法部门加大打击计算机犯罪的力度。
从本质上讲,这两项旨在加强信息安全的工作却是相互矛盾的:前者在提高信息保密程度的同时,也加大了执法部门监督的难度,因为罪犯同样能依靠这些技术来保护自己;而后者在加强监管力度的同时,不可避免地会侵犯个人隐私和商业机密。
其间的矛盾其实在早些时候就已初现端倪。从理论上讲,英特尔公司在其“奔腾Ⅲ”芯片上设置的序列号,以及微软公司在“视窗”软件中开设的后门,都可以给政府监控网络带来方便。可事实上,它们的这些行为都是秘密或半秘密地进行的。在这样的情况下,这些技术手段反而成了信息安全的隐患。
退一步讲,即使微软和英特尔的这些措施具有政府背景,公众仍然不予认同。他们希望制定强有力的规则,保护网络空间里的隐私权。当年盖世太保收集公民材料的情景,欧洲人至今仍然记忆犹新。
这些担心不是多余的。去年夏天公布的一项报告,描述了一个国际监听站网络和被称为“司令部”的巨型电子计算机如何从世界各地的卫星、海底光缆和微波传送站截取电子信号,并从中找出情报机构感兴趣的关键词汇,从而向公司和贸易机构提供有利的商业信息。所以在美国试图说服欧盟允许让其执法部门和国家安全机构得到因特网密码的“钥匙”时,后者坚决予以拒绝。理由很简单:“欧洲人不会傻到把钥匙放在门前的擦鞋棕垫下,以致别人能够随便走进,并把家中的银器偷走。”
确保个体的安全和加强整体的监控,正在成为一个“矛”与“盾”的悖论。
胎记·米汤·密码学
要在实践中解决这些理论上的矛盾,至少需要一段相当长的时间。但实践不会因为这些必要的搁置而停滞不前。要解决信息安全问题,目前的方法仍然只能从技术手段开始。
密码学是一门有着上千年历史的学问。实际上,它并不像我们想象的那样神秘。密码又称“密钥”,就是打开密码锁的钥匙。在单钥系统中,密钥是不公开的,只有使用密钥的人才知道答案。《红灯记》中李玉和誓死捍卫的那份“密电码”,就是一种单密钥。
没有这份密电码,鸠山即使截获了八路军的电文,也只是得到了一堆毫无意义的文字符号,因为这份电文经过了所谓“加密算法”的处理,只有拿到密电码,他才能把这一堆符号还原成真实的文件。
“加密算法”本身也不神秘。在我们的中学课本中,曾有过方志敏烈士请鲁迅先生转交《可爱的中国》一文的描述。鲁迅将来信用碘酒浸润之后,上面用米汤书写的字迹就逐渐显现出来了。在这里,米汤便是一种“加密算法”,只有知道这种算法本身,并了解碘酒(密钥)能让它显色的人,才能读取用它书写的文字。
1976年,一种新的密码系统出现了。这就是目前密码学技术中最流行的“双密钥系统”,也称“公钥系统”。顾名思义,双密钥系统有两把密钥,即加密密钥和解密密钥,其中一把是公开的,另一把是保密的。
当加密密钥公开时,所有人都可以用它对信息进行加密。这个公开的加密算法就像是一只有很多格子的黑匣子,每个人都只知道自己放进去的是什么东西,而不知道别人放的是什么。只有掌握解密密钥的人才能打开所有人的格子。
当解密密钥公开时,不公开的加密密钥主要是用来指定某个人的身份。这有点像旧话本里的“认亲”:要证明眼前这位小伙子就是你失散多年的儿子,主要是看他背上是否有一块特殊的胎记。解密密钥为你撩开孩子的上衣,而加密密钥的存在,则是制造一块这种独一无二的胎记。
“信息保护利用了人类的无知”
信息安全技术一个重要的原则,就是发明这一技术的人不能“监守自盗”。在清华同方总工程师江亿看来,像微软或英特尔那种开设“后门”的做法不叫信息安全技术,叫它“信息不安全技术”也许更适合些。“信息安全专家提供的应该是这样一种方法:它的原理是透明的,这可以保证它的公正性;但锁做成之后,假如没有钥匙,锁匠也无法把锁打开,这保证它的安全性。”
到目前为止,“因数分解(RSA)”就是这样一种有效的方法。加密者选择两个100位以上的质数,经运算合成一个200位以上的大数,然后将它与另两个相关的数字分别制作成加密密钥和解密密钥。这一套算法是公开的,但即便是最聪明的数学家和功能最强的计算机,也难以将你选择的两个大质数还原。“坦率地讲,这种信息保护实际上是利用了人类的无知。”
然而人类不会让自己的“无知”长久地存在下去。去年秋天,荷兰科学家利用一台大型计算机和300台个人电脑,成功破译了通用的RSA-155密码。后来,以色列的密码破译专家又在两三天内破译了512位的RSA加密密钥。随着量子计算机从实验走向实用,估计这一进程将缩短到2至3秒甚至更短。
俗话说,“没有不透风的墙”。技术的进步与扩散总会将坚实的墙壁变成透风的篱笆。但人类的认识能力总是有限度的,所谓信息安全,就是在那些眼前还不透风的屋檐下暂避风雨。
第11版(电脑·网络·通信)
专栏:IT纵横
网络世界须设防
胡占凡
网络现在变得越来越叫人不放心了。
事情就是这样:一个事物如果对你没多大用处,你就不大关心它是否安全;一旦觉得离不开它的时候,你必然会掂量它是不是牢靠。
按理说,网络应该是最安全的地方。它太隐蔽了,匿名是它最突出的特色之一。只要你在网上,真如同鱼在水,鸟在林,你想夸谁骂谁恨谁,悉听尊便;如果你有很强的倾诉欲,你也尽可在网上把你的隐私一吐为快,不必担心出乖露丑。当然,你更可以向任何人提问,向任何人求援,甚至向任何人求爱,没人拦你。
大家得以在网上通行,一是因为人人都在暗处,信息是公用的,可信息的出处却不知隐藏在哪个深巷里;二是信息的提供者即使露面,你也难辨真伪,本是五大三粗的老爷们儿,却完全可以化装成年方二八的黄花闺女,做娇滴滴状,更不必说学历、职业、所在地、家庭、宠物一类可以信口胡诌的选项了;三是网上客的不确定性,人人可以随时游走,打一枪换一个地方,今天在海南,明天可能出现在西藏,后天说不定又从黑龙江冒出来,神出鬼没。
如此来无影去无踪,难免人们会丧失网上安全感,未曾上路,先要祈祷可别碰上强盗骗子,特别是一些紧要关口万万大意不得。比如:
网上购物。有些花花绿绿的网上商店,铺面打扮得诱人又诚恳,骨子里却未必。它告诉你,只要在我这里花上一元钱,你就能得到十元甚至上百元的回报。千万别头脑发热,这等便宜事哪个傻瓜商家会给你?麻烦还不止这一条,你在网上订了货,什么时候能得到真东西?得到的是不是你在网上见到的?你付的人民币会不会肉包子打狗有去无回?这些都没人为你打包票,全看你的运气和胆量。你要在网上从事商务活动,先得有冒这些风险的勇气。
网上查阅信息。网络无疑是信息的海洋,有的信息可能价值连城,有的则是大路货的相互克隆,有的干脆就是假信息,有的甚至是有毒信息。比如,同是一场灾难,有的说是天灾,有的说是人祸,有的说死人无数,有的却说无一伤亡。你信谁?如果不加分析,囫囵吞枣,迟早要被这些虚假信息误导。误是误了,却不会有人为此负责,谁叫你轻信?
网上聊天。网上聊天室比比皆是,推门就进,但你可能永远不会知道有哪些人在座。你可以聊得海阔天空,昏天黑地,但你没法知道你的谈伴是男是女,是老是少,是正人君子,还是人面兽心。大家都躲在面纱后面发言,没谁想为自己的议论承担后果。如果只图一时痛快,信口开河,把别人的随口敷衍当真,引为同道知己,接下来多半是尴尬、麻烦和悲剧在等你。
网站安全。“黑客”是一个又贴切又吓人的网络名词。但专有人以此为乐,以此为荣,不但乐此不疲,而且越闹越凶,今天在这个网站上贴上一张黄色照片,明天在那个网站上发一堆垃圾邮件。就在前两天,世界上最大的网站雅虎就不幸遭遇了一批黑客,众多的黑客以虚假的交易行为访问雅虎,结果造成网上交通大阻塞,雅虎因此瘫痪了三四个小时,据说损失不小。事情闹到这步田地,你还敢小看黑客,还敢不想着网站的生存安全吗?
如此说来,网络岂不成了处处是陷阱、事事藏玄机的雷区吗?从安全的角度我们不妨把它看重些,问题在于我们要有在雷区里行走的路径。
首先要有安全的概念,心理上要设防。网上越是没有秩序,越是没有保卫,网上客就越要自我保护。购物也好,聊天也好,冲浪也好,都要陪上三分小心。未曾开言先想想他是谁,如何认证他的可靠程度,如果不能,索性放弃。不要天真地以为我是匿名我怕谁,须知网上高手多如牛毛,道高一尺,魔高一丈,一不留神,你就成了他的俘虏,别想摆脱。
再是要有技术。问题与解决问题的方法总是同时产生的,但你要能尽早发现和掌握这个方法。比如网上结算,找到一种科学而简便的方式,就能有效地防止欺诈。当今的信息新技术是以几何级数发展的,而掌握这些技术的人有恪守道德的,也有丧失道德、天良泯灭的。因此,有网络就有黑客,有电子商务就有网上欺诈。对这些反社会的行为,一个最有效的手段就是采用先进技术,加强网上防务,如同歌中所唱,“若是那豺狼来了,迎接它的有猎枪”。
还有就是应当立规矩。网上泥沙俱下,鱼龙混杂,必须过滤。色情、赌博、迷信、反动站点不计其数,不能坐视不管。事实上,无论在什么国家,管理网络都是政府工作的题中应有之义,先立下规矩一二三四,违者如何处治,有言在先。紧接着就是相应的措施跟上,对有毒的站点毫不客气,该关就关,不容分说。
有了网络,我们多了一扇窗,我们新开了一个世界,我们看到了新的天空,也发现了新的天空中竟也有苍蝇蚊子在飞舞盘旋。不必吃惊,它们毁不了网络这个新生儿,它蓬勃的生命力是什么力量也扼杀不了的。但是,我们必须设防,必须拿起武器。呵护如今还很脆弱的网络,应当是全社会有良知的人们共同的责任与义务。
(作者系中央人民广播电台副台长)
第11版(电脑·网络·通信)
专栏:
寻找信息时代的“真我”
——悄然兴起的指纹像片智能防伪认证技术
□王永平
作为北京大学应用数学专业的博士,许传祥坚信自己不会落后于这个“数字化生存”的网络时代。尽管如此,许博士还是被生活中越来越多的需要记忆的数字搅得心烦意乱。身份证号码就不用说了,车牌号也还不算难记,电话号码可以编一个电子表格,但电子信箱、IP电话、计算机登录以及银行存折等等一大堆东西的密码就不那么好办了———写在纸上怕丢,记在心里怕忘。
为了方便起见,约有50%的人会将自己的生日定为密码,也有相当多的人以电话号码作为密码。这就为窃取密码和伪造证件留下了可乘之机。假证件的泛滥给我国实行居民存款实名制、防止公款私存、有效征税等都带来极大的困难,也给个人的日常生活带来了诸多不便。
公安部物证鉴定专家白燕平研究员拿出一大摞卷宗,来证明许博士的担心决不是杞人忧天:
有人在自动取款机或刷卡机附近隐藏微型摄像头,偷录用户输入的密码;有店主将柜台前的读卡机与后台的计算机相连,窃取用户信用卡信息和密码;不少罪犯盗取信用卡和身份证后,根据失主的生日推知密码……
“这还只是窃取个人密码的例子。实际上,制作假身份证、刻制假公章等案件危害更大,”这位研究员说,“公安部规定,从去年11月20日起启用18位数码身份证,11月17日,在北大南门就有人兜售伪造的新身份证;山东青州市居民朱成芳私刻公章案,骗取贷款达1100余万元;而最近在台湾地区发生的假信用卡诈骗案,涉案金额高达1.5亿元新台币。”
“除了少数明火执仗的杀人越货外,大多数罪犯都是伪造或隐匿身份实施其犯罪行为。而信息时代的一大特征,就是身份的数字化和隐性化”,白燕平针对上面这些案例强调说:“如何准确鉴定其身份,是保护信息安全、经济安全乃至国家安全的重要内容之一。”
怎样让“证件持用人”与“证件拥有人”相符,是公安部第二研究所近年来十分重视的一项工作。他们与科瑞奇公司共同开发的指纹、像片防伪智能身份认证系统首家通过了公安部的技术鉴定,并获得国家密码管理委员会的授权。
技术的发展,令“魔”与“道”的较量“此起彼伏”,最可靠的办法还是利用人体的生物特征。指纹———人各不同且终生不变,因此,可以把指纹作为鉴别身份的可靠依据。在国外,指纹识别技术在居民身份证、驾驶证、社会福利卡等方面得到了较为广泛的运用。国内的一些高校也长期致力于指纹自动识别的研究,取得了可喜的成绩,但主要集中在利用指纹进行警用破案和指纹考勤机、指纹锁等方面,没有充分发掘指纹作为身份认证依据的功能。
公安部第二研究所和科瑞奇公司独创性地将像片和指纹信息进行加密,压缩在1K字节的二维条形码或IC卡内,开发出一系列智能防伪身份认证产品。
在制证机前,数字摄像机摄下持证人的1英寸彩色照片,并在0.5秒钟内完成指纹采集,不到1分钟,加密压缩的信息就被分别存入了证件和中心数据库。他们研制成功的台式和便携式智能身份识别器可以方便地查验证卡,识别器迅速读入证卡中信息,持证人在识别机上摁入自己的指纹,检查人员可以核查像片,机器则自动识别指纹是否相符;如果还不放心,可将指纹信息上传至中心数据库,进一步与原始信息相比对。三方面相印证,真称得上“万无一失”。春节前南昌市发放的80万张社会卡就采用了这一被列入科技部火炬计划的技术。
“有了这项技术,再厉害的窃贼也没法造假,而且再也不用花心思去记那些恼人的密码了,只要您拥有自己的手指,一切身份认证的问题都可以得到解决,利用这一技术,我们又开发出安全防伪电子支票系统,有了它,私刻公章的假支票犯罪也会受到有效的遏制。除了证件的指纹身份认证外,现在我们还利用指纹进行计算机开机登录和网络登录!”科瑞奇公司的技术人员显得格外兴奋。更让他们自豪的是,所有这些系统都是在拥有自主知识产权的平台上开发的,智能身份识别器使用的是具有源码的操作系统,加密技术使用的是国家密码管理委员会批准的加密算法和芯片,不用担心信息失窃的“后门”,这一下持证人该彻底踏实了。
第11版(电脑·网络·通信)
专栏:数字中国
眺望无线互联网
章晓斌
在国外,使用呼机、手机、PDA(个人数字助理)等功能相对单一、应用简单、可以随时移动的设备上网已经比较普及,而且其发展趋势大有超过有线互联网之势。国际知名的调查机构IDC预计:无线互联网将成为互联网发展的下一个热点。
为什么说无线互联网具有极其广阔的发展前景呢?让我们先来看看手机、呼机为何能成为互联网终端设备。以北京量子网络通讯有限公司开发的“全球呼”和“全球通”这两套系统为例,它们是寻呼、手机系统与互联网连接的桥梁,互联网上的信息可以通过该系统传送到呼机和手机系统上,再传送到用户的无线接受系统上,从而实现了用户与互联网的双向交流。这样,呼机、手机的用户不仅能够像用PC上网的人们一样收发电子邮件,能够通过该套系统到取之不尽、包罗万象的互联网世界中去点播自己所需要的各类资讯,还可以通过自己的呼台和移动局进行时髦的电子商务,如网上拍卖、旧货交易等等。
我们可以想象无线互联网时代人们的生活情景:在匆忙的出差旅途中,可以随时取出自己的呼机查看家人的问候,即使你使用的不是全国联网的呼机,信息一样可以送到你的身边;繁忙的工作常使你回到家里看不上新闻联播,而呼机、手机可以根据你关注的方面为你编辑好一份属于你自己的新闻;你要是炒股的话,也不用天天跑到营业厅了,可以用呼机、手机点播相关的股票信息。
就像VCD在别的国家卖不出去,而在中国大行其道一样,在中国推广互联网也要讲求“中国特色”。目前,国内有4000万手机用户、7000多万呼机用户,如果他们都能够利用这些现有的价格低廉、携带方便的设备享受到互联网服务,互联网在中国该有一个多么大的发展空间!
21世纪是一个数字化的时代,这个时代的社会生存状态大概可以概括为数字化管理、数字化生活,而这两种生存状态的主体就是提供服务和接受服务的人。我们已经很难分清楚谁在提供服务、谁在享受服务,因为互联网的开放将给人们带来更多的价值和更多的角色。
第11版(电脑·网络·通信)
专栏:IT时评
安全的分寸
斯壮
对于信息安全,目前谈论得最多的似乎不是它的必要性,也不是技术上的可行性,更多的时候,人们关心的其实是分寸的把握。
在有些人眼里,我们对安全性过于看重了。“美国人每年通过信用卡花出去的钱已经超过了现钞,这些信用卡甚至没有密码,但他们好像并没有被信用卡欺诈等形形色色的案件吓倒。”在他们看来,设置一个5“分”高的门槛挡住99.5%的人,比设置一个5“寸”高的门槛挡住99.9%的人也许更合算。甚至有人怀疑,震动了整个世界的“千年虫危机”是人类有史以来最大的骗局。
的确,英美国家现存的信用卡体系还未受到过致命的打击。这也与西方国家的信用体制有关———在那种环境下,个人的信用一旦丧失,他将终生尝不完由此带来的苦果。不过信用体制是所谓“防君子不防小人”,而“小人”与“君子”的区别在于,小人会在监督松懈的情况下蠢蠢欲动甚至铤而走险。众多计算机病毒和黑客案件的出现,就是最好的例子:有谁能保证他们不会彻底摧毁现有的信息安全框架呢?
在这种情形之下,业务部门的担心就可以理解了:在老百姓对金融信息安全还不十分放心时,即使是概率再小的破绽,也可能使新建安全系统的信誉毁于一旦。同时,假如我们辛辛苦苦搭建起的系统经常受到攻击,需要不断更新,它所付出的代价是否会比固守传统方式遭受的损失还要惨重?有人认为,正是这种担心延缓了我国一些行业信息化的进程。
话说到这里,我们倒似乎找到了把握信息安全的“分寸”———安全是必需的,但一定要掌握好一种平衡,那就是确保提高信息安全标准的支出小于按兵不动所受到的损失。
第11版(电脑·网络·通信)
专栏:网络与生活
半数网民在家上网
随着个人计算机的逐渐普及,越来越多的网民开始在家里畅游互联网络。中国互联网络信息中心的最新调查结果显示:我国50%的网民在家中上网,在单位上网的比例则下降到37%,11%的人在网吧里上网。
调查显示,21%的人利用公费上网,59%的人自费上网,两者都有的占21%。每月的上网费用总额中,自费和公费基本相当,表明自费上网的网民有着较强的“时间概念”。(李斌)
第11版(电脑·网络·通信)
专栏:网络与生活
网上拜年成为时尚
通过电脑在互联网上拜年,正成为人们新年的新选择。
在西宁市电信局的网吧里,坐满了正在上网的人。这里的负责人告诉记者,他们春节期间一直营业,这两天来上网的每天都有上百人次。张月是一位在外地读书的大学生。她说,她今年给老师、同学拜年差不多都是用电子贺卡。第一次上网的何先生正在朋友的帮助之下给美国的一个同学发电子邮件。他说,以前没上过网,今天来学习学习,以后自己会买台电脑在家上网。(钱荣)
第11版(电脑·网络·通信)
专栏:
电脑迷丈夫
林忠业画
亲爱的,你叫我拿的碟子,我已经摆在餐桌上了。