國家信息安全工程技術研究中心首席專家文仲慧

　　新浪財經訊 “CC講壇”(第十一期)于2016年1月15日在北京舉行。

　　我們生活在一個信息爆炸的互聯網大數據時代，有無數雙眼睛在窺探著最私密的個人信息。我們生活的每一天都像是一部活生生的諜戰劇，我在明、敵在暗，數不清的數據陷阱環繞在周圍。如何能躲過“暗算”？國家信息安全工程技術研究中心首席專家文仲慧給我們傳授制勝法寶。

　　以下為演講實錄：

　　信息安全也叫網絡空間安全，是近幾年十分時髦的一個詞匯。

　　什么是信息安全？我們大家可能理解不完全一樣。有的可能廣一點，有的可能窄一點，有的可能多一點，有的可能少一點。但是不管我們怎么理解，我們現在都承認人類社會現在已經進入到了一個信息化網絡化的時代。

　　信息在這個時代，它的重要意義和作用地位是以往任何一個時代所不能比擬的！人的信息屬性本質上是人的自然屬性和社會屬性的表達，需要強調的是人、是生活在社會中的人。比如說，一個國家公職人員，他就職于國家某個機關，他還了解很多這個機關的一些信息。某一個人他就職于某一個企事業單位，他還了解很多這個企事業單位的信息。這些信息和他的個人信息已經完全融為一體，也是人的固有的信息屬性的范疇！

　　在信息化、網絡化的社會中，信息會發生什么樣的變化？它最大的變化是信息的存在形式發生了變化。它是以電子形式存在的，信息的傳輸、信息的存儲、還有信息的處理，它都發生了重大變化。信息的傳輸采用了什么？采用了是光電技術，現在信息的存儲采用了是光磁技術，信息的處理采用了計算機技術、云計算技術、大數據技術等等。總之，由于信息的存在形式發生了變化，信息的存儲處理和傳輸發生了重大變化，信息的安全問題由此而來。信息的安全問題與我們在座的每一個人都密切相關了。其次，我們看三個例子：第一個例子是涉及到國家層面的信息安全。1990年，美國在制定國家信息安全戰略時，就明確提出網絡攻擊武器與核武器、生物武器、化學武器并列為大規模毀滅性武器。當時，我們不甚理解。后來我們明白了，可以想象一個國家的信息系統，甚至再小一點，一個國家的某一個重要行業的信息系統，如果在戰時被破壞了，它是什么樣的損失？它可能損失到幾百萬平方公里，可能涉及到幾億人。這和一般的核武器涉及到幾千平方公里，涉及到幾十萬人或者幾百萬人不可同日而語。而這種涉及到國計民生的、涉及到國家經濟命脈的行業的信息系統比比皆是，例如我們的通信系統、金融系統、銀行系統、電力系統、能源系統、交通系統等等這些系統，這些信息系統都不能毀壞。所以說，網絡攻擊武器是“不戰而屈人之兵的”最重要的武器之一。所以說，最近幾年，世界幾乎所有的國家，不是強國，所有的國家都開始建立網軍，所有大國都不遺余力地開始擴建網絡作戰部隊，這是國家層面的信息安全。

　　咱們再看一個企業層面的信息安全。我曾經處理過一個大型的能源企業的信息系統的信息安全事故。當時是一個特殊的日子，我們接到報警，迅速地趕到這個大型的能源企業。企業很大，信息系統有2000多臺終端。到了以后呢，發現這個企業的信息系統完全癱瘓了。它的所有的登錄密碼都被置入了隨機數，經過查證，它(系統)里邊有兩個病毒。我們權且叫做A病毒、B病毒，B病毒還沒有發作，沒有被激活。但是以我們當時到場人員的經驗和技術，以我們現場到場的軟硬件設備，我們拿B病毒一點辦法都沒有。我們只能把病毒樣本拿回來做了分析，第二天又去殺了毒。當時發作的是A病毒，企業的負責人跟我說，當時這個企業正在維修期間。如果維修延遲一天，他要損失600萬人民幣！對A病毒進行了認真地分析，大概是有這么三個重要結論——第一個結論，它的技術難度中等。為什么呢？這個A病毒是利用的Windows操作系統的已經公布的一個漏洞，它不像當時那個伊朗那個核電站那個“震網”病毒，那是沒有公布的漏洞。它的技術難度是中等。為什么呢？它只是把那2000多臺終端的登錄密碼改成了隨機數，沒有進一步破壞這個信息系統里邊的內部的信息，它沒有進一步破壞這個信息系統里邊的軟硬件設備。它的危害程度中等。因為它是在這個企業在維修期間發作的、被激活的。如果這個企業是在生產期間被激活的，后果不敢想象。

　　第三個例子是一個個人層面的信息安全。我的一個朋友是個年輕的黑客，他干了一件很奇葩的事。有一天，他的朋友去他家里玩，看到旁邊那個鄰居小姑娘長得挺漂亮，他提出了一個請求，能不能通過隱蔽手段搞到這個小女孩的微信號，甚至微信密碼。于是，這個黑客就開始行動了。首先，干了一件非常簡單的事，查一查附近有哪些無線路由器。其中有一個無線路由器的名字是“**LOVE**”，挺像這個小女孩給路由器起的名字。那就好辦了，繼續從網上下載破解軟件，從網上下載破解字典。大概一杯咖啡的工夫，這一層密碼破開了198707××，很像這個小女孩的生日。第二步，進入管理員界面web管理界面。繼續找她那個賬號，繼續破譯她那個管理員的密碼。很簡單，繼續下載破譯軟件，繼續下載破譯字典。時間長一點，這層密碼稍微難破一點。大概用了幾個小時，也破開了。之后開始簡單了，為什么呢？發現這個wifi無線路由器，上面有五個設備，兩個安卓設備、一個iPhone、一個iPad、還有一個PC，五個設備。一個設備一個設備地開始嗅探，嗅探到iPhone之后，就發現了很多很多。這個小女孩刷微博，這個小女孩上人人網，這個小女孩上淘寶網，這個小女孩有QQ等等等等。最后，這個小男孩搞到了什么呢？搞到這個小女孩的微信號、微信密碼、QQ號、QQ密碼、人人網的上網帳戶及密碼、淘寶網的上網帳戶及密碼、手機號通過淘寶網獲得的，還有一堆一堆的自己和家里人的照片。出于善意，這個年輕的黑客給這小女孩最后發一條微信，說“你的這個wifi的密碼設計得太弱，你這個web管理員界面的密碼設計得太弱，建議你要重新設計。”小女孩回了三個字符：“您是？”注意這個例子中，年輕的黑客沒有編寫任何一段程序，他完全是只下載了那些網上免費的(黑客程序)，而且只有一般的攻擊能力的那些攻擊軟件和攻擊字典。

　　總之，在信息化、網絡化的社會中，我們的個人信息的相當一部分它必須要暴露于外界，必須要暴露于各個的信息系統之中。個人信息的外露大概主要有三條途徑：第一條途徑，我們叫主動途徑。比如說你去看病，一定要把你的信息向醫院暴露；你要到銀行去開設一個賬號，你就要暴露你相當多的個人信息；你要辦一個手機的SIM卡，你肯定要實名制；特別是你要去就業，你一定要向單位要暴露相當多的，相當多的你的個人信息。不暴露你這些個人信息，不向信息系統暴露你的個人信息，你無法在社會生活中取得自由。

　　第二個途徑，我們叫被動途徑。比方說，我們城市或者我們鄉村的主要街道安裝了大量的攝像頭，它無時無刻地不在監視著路過這個攝像頭的人的面部特征、衣著特征、行為特征。比如說我們的RFID設備，有沒有公交卡、有沒有開過ETC車道的車，那都是RFID設備，它無時無刻地不在監視著那些RFID的信息。比如說，我們的大數據分析系統，它無時無刻地不在分析著，本質上是由我們個人信息所組成的那些大數據。我們的出行信息、我們的旅游信息、我們的住店信息、我們的購物信息等等等等。

　　第三條途徑，非法途徑。剛才那個例子就是非法途徑。那個年輕的黑客通過非法的途徑獲取了鄰居小女孩的眾多信息，這種非法途徑可能有意、可能無意、可能是惡意或者可能不惡意。

　　那如何更好地保護好我們的個人信息？我們提出三個要素：第一個要素，信息安全意識，意識最重要，我們要像防火、防盜、防災一樣的樹立信息安全意識。沒有這個意識，我們以下的問題無從談起。

　　第二個，信息安全知識。我們要大概了解基本的、簡單的、行之有效那些信息安全知識。就像我們了解防火、防盜、防災的知識一樣，這樣可以盡量避免我們個人信息不至受到太大的危害。個人信息的危害很多，濫用、冒用、散布等等等等。比如說，我們向一個信息系統要提交我們的信息，我們大概要知道這個信息系統，它的安全措施怎樣，如果不安全的信息系統我們不應該向它提交我們的個人信息。進一步，我們向一個信息系統提交了我們的個人信息，如果我們個人信息一旦被泄露，我們有權通過法律手段來追責，這是我們公民的權益和權力。

　　第三，我們還可以想一些辦法，自行采取一些措施使我們的信息放到那些信息系統上之后得到一定的保護。比方說，我們可以采用密碼技術把我們的信息進行加密，保證我們信息在其他的信息系統上它的存儲安全和它的傳輸安全等等。

　　有了這個信息安全防護的三個重要要素，我們還要特別特別強調是信息安全技能，技能也很重要！這里邊我只講四類個人主要用的設備和一個支撐技術：第一類，計算機。你關閉沒關閉你的上網功能？你關閉沒關閉你的局域網功能？你關閉沒關閉你的文件共享功能？你關閉沒關閉那些你根本永遠也不會用的那些端口？第二，無線路由器。剛才講到的例子，你的密碼設置得好不好？這是第一層，第二層你的web的密碼設置得好不好？第三，你是不是經常上web管理界面去查看一下有沒有其他莫名的或者陌生的設備來接入你這個wifi等等。第三類設備，我們叫存儲設備。最大量，現在就是U盤。你的U盤有沒有強口令措施？有沒有分區措施，采沒采取密碼技術保護等等。第四類設備，我們的移動通信終端、手機、iPad等等。放沒放防病毒軟件？這個可太有效了。哪怕是一個低檔次的防病毒軟件都特別有效，放沒放防木馬軟件，你對下載APP那些應用有沒有提高革命警惕？多一個信息安全意識等等。還有一個支撐技術，支撐這四類的個人主要用的電器設備是密碼技術。你的密碼設置的隨機性如何？你的密碼更換周期如何？你的密碼是不是又便于記憶又難于破譯等等。

　　大家有了信息安全意識、有了信息安全知識、有了信息安全技能之后，我們還要強調三個原則：第一個原則叫規避關注原則。規避關注就是不要成為眾矢之的，不要成為社會或公眾或集團或他人關心的重點或焦點。這個原則很重要！一旦你成為社會或公眾或他人或集團關心的焦點，你的個人信息沒法保護。你的個人成長信息、你的親屬信息、你的其他同事的信息也沒法保護。我跟黑客常有接觸，我有很多黑客朋友。黑客圈有一句名言，叫做“不是我黑不了你，是你沒有被黑的價值！”重復一遍，“不是我黑不了你，是因為你沒有被黑的價值！”這句話屢試不爽，這句話也從這一個側面說明規避關注原則是非常重要的。當然，一旦我們成為了重點或焦點我們可以采取一些積極有效的措施，使這種重點和焦點逐步淡化或者弱化使我們逐步退出那個關注的范圍或視野。這是第一個原則。

　　第二個原則叫最小集合原則。個人的信息很多、很寬、很廣，如果你什么都要保護那么你什么也保護不了。我們一定要根據不同情況不同場合、不同時間，我們劃定一個我們要保護的個人信息的最小集合。保護這個最小集合，它的代價很小，效果很高。比如說我們去看病我們只需要向醫院透露我們與疾病有關的個人信息，其他的個人信息我們不需要透露，我們也有權利不透露。比如說，我們絕大部分人，他最需要保護是那些他辛辛苦苦積攢下來的錢，那么跟這個有關的個人信息的最小集合，大概主要是那些銀行卡或者與卡有關的密碼等等，把這個要保護好。

　　第三個原則我們叫雙向驗證原則。雙向驗證也可以作為多項驗證，也可以叫多項驗證原則。簡單講，是通過不同的途徑去通過兩個以上的途徑去驗證一個事實。舉個例子，我在網上網銀購物。我輸了我的賬號之后，我的手機收到了一個驗證碼，讓我在通過網上發去。我用了兩個途徑，第一個是有線的網絡通信途徑，第二個是無線的移動通信途徑。同時對兩個不同的信道進行監控成本太高，也難以做到，這就是雙向驗證道理。比方說，我們經常收到一些，現在太多了，那個詐騙電話、那個詐騙短信、什么孩子突然生病了、什么我得大獎了、什么銀行卡等等，收到了很多，怎么辦？再找一個途徑進行驗證。小孩突然得疾病了，給學校打個電話，校長、老師甚至找你的朋友住在學校附近去學校看一看。通過雙向或者多向驗證很多謊言可以不攻自破。

　　如果我們在技術上目前不能做到剛才我說的那一些，如果我們在實踐上不能做到自如地應用這三個原則，那么我有一個最真誠的忠告，也是三條：第一條，遵守所有現在的或者將來會出臺的規章制度和規定要求。比如上網不設密，設密不上網。比如進入辦公場所要上繳你的移動通信設備，比如進了關鍵的會議室要關閉手機并且取出電池，比如還有我們這個U盤公用和私用一定要分開。第二條忠告，不懂的或不大了解的千萬不要去試。第三條忠告，加強學習，不斷地使不知變為知之。

　　總之，社會在前進，文明在發展，科技在進步。保護好個人信息，有利于國家、有利于社會、有利于個人。我們要向防火、防盜、防災一樣，樹立起最基本的信息安全意識，了解最基本的信息安全知識，掌握最根本的信息安全技能，這三個“最基本”。我們就可以在很大程度上保護好我們個人的信息，這樣我們就能在現在生活中，既能充分享受科學技術發展所帶來的種種便利和舒適，也能夠在社會生活中取得更大的自由。

　　新浪聲明：所有會議實錄均為現場速記整理，未經演講者審閱，新浪網登載此文出于傳遞更多信息之目的，并不意味著贊同其觀點或證實其描述。

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：梁斌 SF055