来源:新华网

当可信身份认证体系成为一种通用基础设施时,是否意味着它也更容易成为黑客的攻击目标?

随着数据的商业价值和社会价值的快速提升以及信息技术的快速发展,数据安全问题成为各国立法者的关注重点。大数据时代,数据不仅成为重要的商业资源,更是国家基础性战略资源。大数据安全已然成为超越个体,关涉国家安全的核心环节。为保障大数据安全,各国正加紧推进个人数据保护、数据本地化与跨境传输、执法数据的跨境调取等多方面的立法工作。

  网络可信身份认证该出手了。“《中华人民共和国居民身份证法》确定居民身份证是公民身份管理的可信依据,网络身份验证也需要可信度、权威级相当的可信平台。”中国工程院院士沈昌祥在日前召开的C3安全峰会上表示,网络身份可信验证工作刻不容缓。

如何打造可信身份认证体系?

京东法律研究院院长丁道勤指出,大数据安全主要是保障数据不被窃取、破坏和滥用,以及确保大数据系统的安全可靠运行。要构建包括基础系统层面、中间数据层面和上层应用层面的大数据安全框架,从技术保障、管理保障、过程保障和运行保障,多纬度保障大数据应用和数据安全。为此,他建议重视大数据安全体系建设,健全大数据安全的法律法规体系建设,加强重要领域敏感数据监管,加大大数据安全核心技术的研发,加大大数据安全应用标准的研究。

  为此,亚信安全咨询战略总监吴大明表示,平台在建设和使用的过程中将会不断有新的应用加入,因此平台具备可扩展。一个公民出生、入托再到上学,需要跑到各个地方去办各种手续的体验,未来可能变成可跨省、随时办。

图片 1

中国工程院院士沈昌祥指出,网络空间的极大威胁是有利可图、全方位攻击。杀病毒、防火墙、入侵检测的传统“封堵查杀”不仅不起作用并且还会起反作用,难以应对新型的网络威胁。现下的人脸识别等高科技智能验证手段存在缺陷,只能解决真实身份信息确定问题,欠公平性且缺乏法律效力,同时造成大量的个人信息泄露。

  如何让网络身份认证与现实身份认证一样“强有力”“无漏洞”,成为一个系统工程,关系到新技术应用、新体系构建、以及与已有法律体系的共享共建。国际上,欧盟2006年出台了开展网络可信身份体系建设的法规。美国2011年公布网络空间可信身份国家战略,提出10年时间建设美国网络身份体系。

什么是可信身份认证体系?

信息保护应尽快立法

  “基于庞大的互联网用户数据基础,亚信安全之前就曾做过类似的平台构建。”陆光明说,随着国家互联网+政务战略部署的提出,亚信安全希望构建一个能够打通政务体系的、拥有法律效力的认证平台。

可信身份认证体系有着广阔的应用前景。在陆光明看来,未来单维度、解决特定场景的身份认证技术将向多维度、综合性、可交叉的技术发展,安全、便捷且成本可控将成为市场应用的趋势。而实现可信身份的互联互通,需要将可信身份认证服务平台作为国家的关键信息基础设施来建设。

如何兼顾大数据安全和个人信息保护专家呼吁

  居民身份证作为电子法定证件,本身兼有“线下”和“线上”法律作证的地位。沈昌祥表示,2代身份证识别体系建设时,预留了指纹识别的端口,当时由于种种原因暂时未被整合的认证手段,最近可能再被启用。

如果网络服务提供商不注重用户隐私和体验,不对黑客入侵、信息盗取和非法信息交易进行有效防控,就会导致用户对网络实名制丧失信心,造成企业信誉度下降,阻碍互联网发展。陆光明表示,从这个角度看,加强顶层设计,推动数据共享,打破数据孤岛,对可信身份认证体系建设来说,是当务之急。

□ 本报记者 杨傲多

  “身份非法买卖严重影响网络实名制的实施效果。”荆继武说,身份黑市交易可以将个人的网络身份绑定到一个完全不属于本人的现实身份上。

当前,国内身份认证技术产品日趋丰富,支撑了可信身份认证体系的安全发展。非对称加密算法、散列算法为主的基础密码技术正逐步替代国外算法,基于数字证书的身份认证技术也日益成熟,但安全性的短板仍然存在。

本报成都9月19日电

  被泄露之外,被利用更使身份信息安全问题“雪上加霜”。陆光明说,韩国2011年就爆发过一次非常严重的身份数据泄露事件,当时有3500万用户数据泄露,占当时韩国网民的95%左右。此事使得韩国政府开始限制网络身份收集,也宣告了其网络实名制的结束。

会更容易被黑客攻击吗?

网络认证势在必行

  通过搭建第三方平台的方法,或能解决这个“隐患”。

网络应用系统由于使用各自的认证体系,账号无法互信互认,身份认证服务互不相通,已成为突出的问题。陆光明举例说,多数应用系统都独立管理用户信息,用户使用不同系统必须重复登录,设置不同的密码非常麻烦,而使用同样的密码则很容易遭受网络攻击,带来个人数据信息泄露的风险。

“这样不改变现有身份认证的流程,不影响国家网络系统的安全,对我国现有的二代身份证信息平台进行扩充延伸,进行认证即可。”沈昌祥说。

  “易获得”是个人电子信息难以规避的“软肋”。安全领域内,八成以上的信息泄露由内部人员所为。“很少有黑客愿意花那么大的代价从外攻破系统获取信息,从内攻破是更便利、更容易的。”陆光明说。

比如,在互联网+政务服务上,有了国家统一身份认证系统,就能通过可信的前端认证技术保障和权威的后端身份核实机制,以及全国范围的互认通道,实现自然人和法人一地注册、各地互认和一次认证、全网通办。陆光明说。

正在举行的2018年国家网络安全宣传周“大数据安全和个人信息保护”分论坛上,针对近年来公安机关侦破侵犯个人信息犯罪案件呈上升趋势且违法分子手段不断升级的现状,中国工程院院士、与会的大数据安全和个人信息保护方面的专家学者、行业精英从增强相关部门主体责任、提高公众参与意识两方面,对信息保护问题进行了深刻的剖析并共商对策,最终达成多项共识。

  陆光明对此持相同观点,他表示,在国外以企业公信力作为社会公信力的商业行为居多,例如谷歌的互联网账号可用作其他跨行业的社会认证。但是,Facebook的身份数据泄露,严重到甚至可能会对美国高层政策施以影响,这一事件令人对这种模式的安全性产生顾虑。

在网络中确保你是你,而不是别人,是通向虚拟社会的第一道关卡

信息泄露后果严重

相关文章