扎紧安全“篱笆”要科技更要法律_新闻台

本报记者彭德倩

　　刚刚过去的2011年，网络信息安全领域并不平静，从年初的3Q大战，到年末的多个网站明文口令泄露，让公众感到疑惑：我们信赖的网站难道一直在“裸奔”？网上信息究竟能获得怎样的保护？昨天举行的中国计算机学会青年科技论坛上，专家不约而同指出，从信息技术角度来看，安全从来只是暂时的，而不安全恰恰是永恒的命题。信息不安全正在挑战全球现代化，摆脱危机，需要科技更需要法律。

　　信息安全越来越难

　　在今天，网络攻击导致用户信息资料泄露，已经成为全球性难题。去年1月，以色列一批网络账号外泄；4-7月，日本索尼公司多个子网站被黑客攻陷，将近1000万用户资料泄露。令人关注的是，去年2月，国外一家为该国政府提供信息安全服务的公司同样遭遇网上入侵，资料外泄。在网站和黑客之间，技术的博弈始终存在，无论网站采用多么复杂的加密算法和管理方式，理论上黑客都能找到漏洞。

　　在复旦大学计算机学院院长张晓阳教授看来，“信息安全”与“保密性”不能简单画上等号。前者还包括了对信息完整性和可获得性的要求。然而，要实现这种完全意义上的安全正变得越来越难。首先，社会经济发展和公众生活对电子信息的依赖性日增，间接提升了侵犯信息安全可能获得的收益；其次，已经实现的远程、匿名入侵技术，令信息安全领域不再有“国界”，入侵成本降低；更重要的是，网络用户群体中，绝大部分是非计算机专业人士。这些原因，直接造成了“信息不安全”的扩大化。

　　斗争永远不会终结

　　近年来，传统的信息安全“篱笆”正勉力抵挡不断发展的黑客技术。上海电力学院电力网络安全研究所所长王勇举例，在输入股票交易密码等重要密文信息时，往往被要求采用软键盘输入（通过鼠标点击屏幕上的虚拟键盘输入密码），此举能够很好地防止密码被具有键盘输入记录功能的软件截获，是当前比较通用的防范方法。然而，很多人不知道，许多系统的设置都在内存中划出一个专门区域存放密码的明文内容，也就是说，无论是键盘输入，还是软键盘输入，最终都在内存中留下了痕迹。目前，已有一款特殊软件可以直接读取内存中“密码区”的内容。

　　而发生在2010年11月的“震网（STUXNET）病毒”事件，同样值得一提。黑客利用这一病毒，令伊朗网络安全措施极其严密的离心机两成中招报废。它不同于只在程序运行中起作用的传统病毒，而是直捣程序运行的基础――集成电路，通过编程逻辑起作用。这对当时的安全措施而言，如同一个人武装到了牙齿，严阵以待，却发现脚下的地板裂开了，防不胜防。

　　如今，克制这些黑客技术的新型安全技术也相继问世，但越来越多研究人员认识到，“道高一尺魔高一丈”的斗争永远不会终结，扎紧“篱笆”，不仅仅依靠计算机技术，更需要经济学理论、法学研究等多个学科综合发力。例如，经济学、计算机专业人士可以联手研究，评估黑客攻破一个系统所需投入的成本和可能获得的收益，尽力压低黑客入侵的“性价比”，减少其动力。再比如，加快制定、完善电子财产保障、信息完全等方面的法律，从制度上降低信息外泄的风险。