9月17日,在上海开幕的2017网络安全博览会暨网络安全成就展上,86家参展企业带来的展示与体验项目让观众大饱眼福。
作为2017国家网络安全宣传周的一项重要内容,此次展览展示了5年来国家网络安全取得的成就,也提示着新技术、新产品和新生态中可能隐藏的安全隐患。
人脸识别真的靠谱吗?物联网设备被劫持了怎么办?5G时代网络安全又会有什么不同?在这次展览上,一扇通向未来的安全之门正被徐徐推开。
生物识别技术尚在途中
“我扮演‘黑客’开始攻击,现在你再试试,是不是‘刷脸’进不去了?那是因为我用自己的人脸信息取代了你。”极棒实验室总监王海兵在电脑上输入了几行代码,然后站在人脸识别智能门禁前,门开了。
苹果新品iPhone X用人脸识别代替指纹识别,国内人脸支付商用化……一系列新闻让人脸识别为代表的生物可识别技术成为大众的焦点。在本届国家网络安全宣传周上,不少专家颇有些担忧,上海市信息安全行业协会会长谈剑峰就表示:“生物识别信息唯一且不可再生,一旦储存了大量生物识别信息的数据库被攻击,用户总不能换张脸来应对。”赛迪网络空间研究所所长刘权也表示:“在诸如机场、火车站这样的局域网里,生物识别技术安全性比较高,但作为互联网范围内的身份识别手段依然存在风险,比如它们在传输过程中,有可能被复制和模仿。”
那生物识别技术还能用吗?在蚂蚁金服的展台上,包括声纹识别、眼纹识别、人脸识别的种种展示吸引了观众。蚂蚁金服安全运营专家王亦菲告诉记者:“其实在实际场景中,这些因素都已经被考虑到了,拿金融级别的人脸支付来说,一方面叠加了包括眼纹、虹膜等多个维度的生物识别技术,另一方面在其上还有智能风控系统,会结合用户的位置、消费习惯等来判断一笔交易是否可靠。”
“生物识别技术具有唯一性,从原理上来说肯定是可靠的,包括储存、传输这些其实都是生物识别技术之外的问题,现在需要的就是从轻到重不断丰富应用场景,新技术一定要应用才会有用。”安全厂商志翔科技创始人蒋天仪表示。腾讯副总裁马斌也告诉记者:“生物识别技术正在经历一个沉淀的过程,各家公司选择应用场景时也会以安全作为优先考量,同时通过丰富的应用来不断进行改进。”
为生物识别技术加上另一把锁的,是不断推进的标准建设。中国电子技术标准化研究院院长赵波向记者透露,目前生物识别技术还没有一个准入的门槛,企业在实践中依照的都是自己的标准:“但我们已经成立了一个生物识别方面的安全标准委员会,包括掌纹、人脸、虹膜甚至最前沿的基因识别,都在研究制定标准,甚至其中一些已经公开征求意见。”马斌也表示,一旦形成标准,有了门槛,将极大地提升生物识别技术在行业应用中的安全水平。
“万物互联”接受考验
在亚信安全的展台上,有很多看起来和互联网没什么关系的设备:监控摄像头、警铃甚至红绿灯,但它们都可以被控制。亚信安全政府技术方案中心高级专家郑海刚现场演示了如何攻击监控摄像头:“我利用漏洞提交一个脚本,然后就可以看到摄像头录制的东西,还可以随便删除。”
这正是“万物互联”时代新的安全挑战。市场研究机构Gartner预计2017年新型物联网设备将达到84亿台,2020年有望增至260亿台。而在国内,随着5G试商用进入倒计时,物联网也将迎来爆发性增长。
在蒋天仪看来,“万物互联”时代网络安全形势将发生根本性的变化。“筑墙式、边界式的防护彻底过时了,必须打破内外网的边界对数据进行贴身防护,同时安全防护也要从事后溯源向事中阻止再向事前预防迁徙。”极棒创始人王琦则告诉记者:“物联网安全形势依然严峻,去年全球的物联网设备出现的漏洞高达1117个,通过攻击物联网设备,不但可以窃取隐私数据,甚至会改变设备的功能,对用户造成人身威胁,或者污染数据,让企业和政府作出错误的决策。”
终端厂商和安全厂商已经开始着手解决问题。中兴通讯副总裁白波表示,在物联网时代,手机会成为一个管控各种设备的中心,中兴构建了一个“硬件+系统+平台+通信”四大安全能力全方位加密体系,“不仅要覆盖安全智能终端,也要覆盖安全接入平台和多样化的应用服务平台,帮助政企来应对新的安全形势变化”。