5月16日，有報道(dao)顯示中國(guo)銀(yin)聯通過大數據統(tong)計(ji)分(fen)析，得出個人網(wang)絡財產(chan)安全的(de)“蟻潰之堤”——個人信(xin)息泄露是90%電信(xin)詐騙(pian)案件成(cheng)因。

　　這意味著(zhu)，在網(wang)絡世界中，別人可以通過(guo)證明“他是我”，借(jie)由“我”的(de)身份“招(zhao)搖撞騙”，擄走“我”的(de)財產。在安全(quan)(quan)專家(jia)的(de)語系里，這樣的(de)產業鏈條被稱為黑(hei)產。亞信安全(quan)(quan)副總裁陸(lu)光(guang)明表示，“從產業規模看，2016年底我國網(wang)絡電子(zi)認(ren)證市(shi)場還不(bu)到200億(yi)元，但是黑(hei)產的(de)規模已經高達(da)千(qian)億(yi)元左右。”

　　網(wang)絡(luo)可(ke)信(xin)(xin)身份(fen)(fen)認證該(gai)出手了。“《中(zhong)華人民共和國(guo)居民身份(fen)(fen)證法》確定(ding)居民身份(fen)(fen)證是公民身份(fen)(fen)管理的可(ke)信(xin)(xin)依據，網(wang)絡(luo)身份(fen)(fen)驗證也(ye)需(xu)要可(ke)信(xin)(xin)度、權威級相(xiang)當的可(ke)信(xin)(xin)平臺。”中(zhong)國(guo)工程院院士沈昌祥在日前召開的C3安全峰會(hui)上表(biao)示(shi)，網(wang)絡(luo)身份(fen)(fen)可(ke)信(xin)(xin)驗證工作刻不容(rong)緩。

　　身份信息在黑市上被明碼標價

　　“850塊錢(qian)，就能(neng)買(mai)到開房記錄、列車記錄、航班記錄等(deng)11項(xiang)個人隱私(si)數(shu)據，在身份(fen)黑市上(shang)，隱私(si)的(de)(de)買(mai)賣(mai)是被明碼標價的(de)(de)，能(neng)夠(gou)用于(yu)制作(zuo)假通緝令等(deng)的(de)(de)身份(fen)證戶(hu)籍信息，一(yi)條只需(xu)要10—40元。”中國(guo)科學院信息工(gong)程(cheng)研(yan)究(jiu)所副(fu)所長荊(jing)繼武展(zhan)示了(le)一(yi)張(zhang)明晰的(de)(de)價碼賬單，仿造一(yi)個企業(ye)身份(fen)信息的(de)(de)“五證”僅需(xu)要千元左右。無論對于(yu)自然(ran)人還是法(fa)人來說(shuo)，我國(guo)網絡信息保護的(de)(de)形勢都非常嚴峻。

　　“易獲得”是(shi)個人電子信(xin)息難(nan)以規避的(de)“軟肋”。安全(quan)領域內，八成以上的(de)信(xin)息泄露由內部(bu)人員所為。“很少(shao)有黑客愿(yuan)意花那(nei)么大的(de)代(dai)價從外攻(gong)破(po)系統獲取信(xin)息，從內攻(gong)破(po)是(shi)更便利、更容易的(de)。”陸光明說(shuo)。

　　“既(ji)然防不(bu)勝防，能不(bu)能讓這些偷竊(qie)泄(xie)露(lu)來的信息分文不(bu)值呢？現實(shi)生活中(zhong)身份證(zheng)的使用(yong)對(dui)此提供了(le)很好的借鑒。”陸光明說。

　　如(ru)何讓網絡身(shen)份(fen)認證(zheng)與(yu)現實(shi)身(shen)份(fen)認證(zheng)一樣“強(qiang)有力”“無漏洞”，成為一個系(xi)統(tong)工程，關系(xi)到新(xin)技術應用、新(xin)體(ti)系(xi)構建(jian)、以及與(yu)已(yi)有法律體(ti)系(xi)的共(gong)享(xiang)共(gong)建(jian)。國際上，歐(ou)盟(meng)2006年(nian)出臺了開(kai)展網絡可(ke)信身(shen)份(fen)體(ti)系(xi)建(jian)設(she)的法規。美(mei)國2011年(nian)公布網絡空間可(ke)信身(shen)份(fen)國家戰略(lve)，提出10年(nian)時間建(jian)設(she)美(mei)國網絡身(shen)份(fen)體(ti)系(xi)。

　　網絡身份驗證難有“防騙”功效

　　當下(xia)使用的(de)網絡身份(fen)驗證(zheng)難(nan)(nan)有“防(fang)騙”功效，沈昌祥將(jiang)問(wen)題歸納(na)為3類：方法不安全、難(nan)(nan)保(bao)真實(shi)性(xing)(xing)；欠(qian)公(gong)平(ping)公(gong)正、難(nan)(nan)防(fang)篡改(gai)；缺乏(fa)法律效力、難(nan)(nan)以執法。沈昌祥解釋：“例(li)如大量匯集在(zai)微信、支付寶上的(de)個(ge)人信息(xi)，雖然是(shi)實(shi)名認證(zheng)，但(dan)隸屬于第(di)三方企業，難(nan)(nan)以保(bao)障(zhang)它們(men)的(de)不可更改(gai)性(xing)(xing)、不可復(fu)制性(xing)(xing)。”

　　陸光明對此(ci)持相同觀點，他(ta)表示，在國(guo)外以(yi)企(qi)業公(gong)信(xin)力作為社會公(gong)信(xin)力的商(shang)業行(xing)為居多，例如谷歌的互聯網賬號(hao)可用作其他(ta)跨行(xing)業的社會認(ren)證。但(dan)是，Facebook的身份數據泄露，嚴重到甚(shen)至可能會對美國(guo)高層政策施以(yi)影(ying)響，這一事件令人對這種模(mo)式(shi)的安(an)全(quan)性產(chan)生顧慮。

　　被(bei)泄露(lu)之外(wai)，被(bei)利用更使身份(fen)信(xin)息安(an)全問題(ti)“雪上(shang)加(jia)霜(shuang)”。陸光(guang)明說，韓(han)國(guo)2011年就爆發過一(yi)次(ci)非常嚴重(zhong)的身份(fen)數(shu)據泄露(lu)事件(jian)，當(dang)時(shi)(shi)有3500萬用戶數(shu)據泄露(lu)，占當(dang)時(shi)(shi)韓(han)國(guo)網(wang)(wang)民(min)的95%左(zuo)右。此(ci)事使得韓(han)國(guo)政(zheng)府開始限制(zhi)網(wang)(wang)絡身份(fen)收集，也(ye)宣告了(le)其網(wang)(wang)絡實名(ming)制(zhi)的結束。

　　“身(shen)份非法買(mai)賣嚴重影響網(wang)絡實名制的實施效果。”荊繼武說，身(shen)份黑(hei)市交(jiao)易可以將(jiang)個人的網(wang)絡身(shen)份綁定(ding)到一個完全不屬于本人的現(xian)實身(shen)份上。

　　“黑(hei)戶”的(de)存在，不僅侵害(hai)了可能并不知情的(de)個人的(de)利益，也使得真正(zheng)需要準確(que)掌握身份信息數據的(de)電商深感困擾。“一(yi)家電商的(de)責任(ren)人表示(shi)，他每天有(you)(you)幾十萬(wan)新注冊(ce)用(yong)戶，其中有(you)(you)很多(duo)黑(hei)產用(yong)戶，電商企(qi)業需要花(hua)費很多(duo)精力、成本去校驗新用(yong)戶，將‘黑(hei)戶’挑揀出來，確(que)保系統安全。”陸光明(ming)說(shuo)。

　　荊(jing)繼武(wu)總結道：“現有的身(shen)份信息(xi)管理技術手段單一、難(nan)奏效，需要完備(bei)的身(shen)份信息(xi)數(shu)據管理體系(xi)。”

　　搭建有公信力的第三方驗證平臺

　　“一些(xie)互聯網(wang)公司(si)開(kai)發的APP，注(zhu)冊時需(xu)要(yao)身份證、姓名、電(dian)話等信(xin)(xin)息(xi)(xi)。我相信(xin)(xin)很多人都不(bu)愿意透(tou)露、被捆綁。”陸光明說，用戶很難(nan)確定企業是否會將這些(xie)信(xin)(xin)息(xi)(xi)挪作他用。

　　通過搭建第三方平臺的方法，或(huo)能解(jie)決這個“隱患(huan)”。

　　陸光(guang)明(ming)表示，一(yi)個(ge)(ge)保(bao)有用(yong)戶信(xin)息的(de)第三方認證平(ping)臺，可(ke)以幫助(zhu)互聯網(wang)企(qi)業(ye)(ye)認證用(yong)戶、也確(que)保(bao)用(yong)戶的(de)信(xin)息只用(yong)于(yu)約定的(de)用(yong)途。“對(dui)于(yu)新(xin)型互聯網(wang)企(qi)業(ye)(ye)來說，平(ping)臺把(ba)認證結果反饋給企(qi)業(ye)(ye)，企(qi)業(ye)(ye)獲得的(de)是平(ping)臺處(chu)理過的(de)可(ke)信(xin)的(de)用(yong)戶認證。而用(yong)戶（消費者）需要面對(dui)的(de)則是一(yi)個(ge)(ge)有公信(xin)力(li)的(de)平(ping)臺，而不(bu)是多個(ge)(ge)信(xin)息不(bu)對(dui)等(deng)的(de)企(qi)業(ye)(ye)。”

　　先前已經(jing)(jing)聚集了(le)大量客戶(hu)信息(xi)的淘寶(bao)、微(wei)信等(deng)(deng)已經(jing)(jing)開始擔負起這樣的角(jiao)色，目前，已經(jing)(jing)有“授權認證”等(deng)(deng)模式，讓用(yong)戶(hu)無需(xu)再次注冊新應用(yong)的賬號。荊繼武表(biao)示，背后基于(yu)多模式多安全(quan)等(deng)(deng)級的電子認證技術，也保證了(le)“不(bu)同等(deng)(deng)級的數據庫使用(yong)者，能(neng)夠接(jie)觸到(dao)的信息(xi)是不(bu)同的。”

　　“基于龐大的(de)(de)互(hu)聯網用戶數據基礎，亞信安全(quan)之前就曾做過(guo)類似的(de)(de)平臺(tai)構(gou)建。”陸光(guang)明說，隨著(zhu)國家互(hu)聯網+政務戰(zhan)略部署的(de)(de)提(ti)出，亞信安全(quan)希望構(gou)建一個能夠打通政務體系的(de)(de)、擁有(you)法律效力(li)的(de)(de)認證平臺(tai)。

　　目前國家(jia)層面正在(zai)構(gou)建(jian)具有法律效力的權(quan)威性(xing)公民(min)網絡(luo)(luo)(luo)電(dian)子(zi)身份(fen)標識(shi)基(ji)礎設施(shi)，并加快與電(dian)子(zi)身份(fen)應用(yong)相(xiang)關的技術(shu)和標準的研制(zhi)推廣(guang)工作，未(wei)來將(jiang)會(hui)加速構(gou)建(jian)和網絡(luo)(luo)(luo)電(dian)子(zi)身份(fen)基(ji)礎設施(shi)配套的基(ji)礎服務能力，基(ji)于網絡(luo)(luo)(luo)電(dian)子(zi)身份(fen)標識(shi)基(ji)礎設施(shi)將(jiang)會(hui)出(chu)現(xian)更多的行業化、跨領域(yu)的高可(ke)信、互信任的認證(zheng)平臺系統。

　　陸光(guang)明介紹，由國(guo)家不同部委授權建(jian)(jian)設，亞信(xin)安全參與搭(da)建(jian)(jian)統一(yi)的身份信(xin)息(xi)認(ren)證平臺，不僅(jin)僅(jin)要完成個人(ren)身份認(ren)證業(ye)務，還(huan)提(ti)供涉及到法人(ren)、營業(ye)執照(zhao)等證照(zhao)信(xin)息(xi)的認(ren)證服(fu)務。縱(zong)向來看，整個平臺包括國(guo)家中(zhong)心平臺的建(jian)(jian)設，也包括中(zhong)心平臺與各個部委、各省市的對接建(jian)(jian)設。

　　為了擔負起龐大的信息處理量，平臺將構(gou)建(jian)分布式的數據(ju)存儲，并推動數據(ju)共(gong)享，打(da)破數據(ju)孤島，推進電子簽名應用等，以期形成跨(kua)行(xing)業的身份信息認證的傳遞和互(hu)認。通過推動單(dan)緯度、單(dan)系統、特定場景(jing)的可(ke)信身份，向多維度、綜合(he)性(xing)、可(ke)交(jiao)叉的可(ke)信身份體(ti)系，助(zhu)力(li)網絡安全身份體(ti)系發展。

　　相關鏈接

　　新技術讓網上身份識別更可靠

　　居民身(shen)份證作為電子法定(ding)證件，本身(shen)兼有“線(xian)下”和“線(xian)上”法律作證的(de)地位。沈昌祥表示，2代身(shen)份證識(shi)別體系(xi)建(jian)設時(shi)，預(yu)留了指(zhi)紋識(shi)別的(de)端口，當時(shi)由于種(zhong)種(zhong)原因(yin)暫時(shi)未被整合的(de)認(ren)證手段，最近可能再被啟用。

　　“公民網(wang)絡電子身(shen)份標識基礎設施將融合(he)各種新技(ji)術(shu)。”陸光明說，企(qi)業將持續創新可交(jiao)互、易操作、高可信的新型認證技(ji)術(shu)，例如聲紋識別、指紋識別、相貌識別等。

　　之前的身份可信判斷(duan)，通過“我(wo)(wo)所(suo)擁有+我(wo)(wo)所(suo)知道”，未來將轉向“我(wo)(wo)的特征+我(wo)(wo)所(suo)知道”。也(ye)就是(shi)說，之前“我(wo)(wo)擁有”的u盾(dun)、短信驗(yan)證碼+口(kou)令(ling)等方(fang)式(shi)，將被(bei)替換“我(wo)(wo)”特有的指紋、聲(sheng)紋、面相(xiang)+口(kou)令(ling)等方(fang)式(shi)。通過新技術的加入最大限度(du)做到只有“我(wo)(wo)”才能證明“我(wo)(wo)自己”。

　　在系統底層(ceng)建設中，陸光(guang)明介紹(shao)，目前平(ping)臺(tai)的主流技(ji)術仍(reng)是基于(yu)強密碼實現安全(quan)(quan)保(bao)障，并(bing)會適時利(li)用安全(quan)(quan)大(da)數據，進行態勢感知(zhi)的風險預測和控制(zhi)。對于(yu)新興的區塊(kuai)鏈(lian)技(ji)術、時間(jian)戳等安全(quan)(quan)保(bao)障方式，平(ping)臺(tai)將(jiang)做到(dao)端口預留。

　　巨大(da)的(de)用(yong)(yong)戶量是對(dui)該平(ping)臺的(de)另一個嚴(yan)峻(jun)考驗。據統計，2016年支付寶(bao)實名(ming)用(yong)(yong)戶達到(dao)4.5億人(ren)(ren)。與之相比，要構建覆蓋中國全體居民以及法人(ren)(ren)單位的(de)統一身(shen)份認證(zheng)平(ping)臺，數據處理量可想而知。

　　為此(ci)，亞(ya)信安全咨詢戰(zhan)略總監吳(wu)大明表(biao)示，平(ping)臺在建設和使用的(de)過程(cheng)中將(jiang)會不斷(duan)有新(xin)的(de)應(ying)用加(jia)入，因(yin)此(ci)平(ping)臺具備可(ke)擴(kuo)展。一個公民出生、入托再(zai)到上學，需要跑(pao)到各個地方去辦(ban)(ban)各種手續的(de)體驗(yan)，未來可(ke)能變成可(ke)跨省、隨時辦(ban)(ban)。（記者 張(zhang)佳星）

【糾錯】

責任編輯： 韓家慧