小學(xué)美術(shù)本上竟然印有涉黃二維碼,而印刷廠(chǎng)的解釋是:可能是黑客入侵所致�����。近日,發(fā)生在一些學(xué)校的稀奇事,經(jīng)媒體報道后,引發(fā)社會(huì )廣泛關(guān)注����。
移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展帶動(dòng)了二維碼在日常生活中的應用和普及�����。如今,“掃一掃”已經(jīng)成為很多人的日常習慣��。黑白相間的二維碼從外表上看幾乎一模一樣,很難區分開(kāi)來(lái)�。而這里可能隱藏什么安全漏洞?怎樣杜絕?7月中旬,記者采訪(fǎng)了相關(guān)專(zhuān)家�����。
二維碼安全隱患不容忽視
針對小學(xué)美術(shù)本上的涉黃二維碼,奇安信行業(yè)安全研究中心主任裴智勇表示,近兩年,出版物上二維碼被發(fā)現涉黃賭毒等違法信息的情況時(shí)有所見(jiàn)���。通常情況下,這并非出版社疏于審核所致,而是因為對掃碼的網(wǎng)站信息沒(méi)有進(jìn)行“永久性”維護�?����!皞鹘y出版物與二維碼等網(wǎng)絡(luò )資源相結合,是一種適應市場(chǎng)的趨勢,也廣受讀者歡迎,但其中出現的運營(yíng)和監管漏洞也值得重視�?���!?/p>
本質(zhì)上,二維碼只是使用特定的幾何圖形對相關(guān)內容進(jìn)行展示,制碼技術(shù)幾乎“零門(mén)檻”���。相比傳統條碼,二維碼可以容納更多信息,生成流暢的數據流�。利用網(wǎng)上的二維碼生成器,就能把任意網(wǎng)址轉換成二維碼,供用戶(hù)掃碼訪(fǎng)問(wèn)����。不過(guò),很多人在享受二維碼帶來(lái)的便利的同時(shí),很容易忽略暗藏其中的安全隱患����。而且,看似簡(jiǎn)單的二維碼,普通公眾也往往難以辨認真偽,這令不法分子有了可乘之機���。
裴智勇幾年前曾斷言,未來(lái)二維碼可能成為個(gè)人信息安全和通信詐騙新的高發(fā)區�����。事實(shí)佐證了這一判斷��。涉黃的美術(shù)本���、偽造的繳費通知……近年來(lái),一些不法分子頻頻在二維碼上“動(dòng)手腳”,導致部分公眾無(wú)法分辨而“中招”���。
生成和識別環(huán)節風(fēng)險突出
二維碼出現安全問(wèn)題,主要的風(fēng)險點(diǎn)在哪?
“二維碼出現安全問(wèn)題,最大的可能是使用者在生成二維碼時(shí)使用了錯誤的鏈接,問(wèn)題一般出在源頭����?�!闭憬髮W(xué)國際聯(lián)合商學(xué)院數字經(jīng)濟與金融創(chuàng )新研究中心聯(lián)席主任�����、研究員盤(pán)和林指出,生成環(huán)節是二維碼比較集中的風(fēng)險點(diǎn)之一�����。二維碼出現問(wèn)題,要么在生成時(shí)就是一個(gè)錯誤的鏈接指向,要么是原來(lái)對應的二維碼鏈接被篡改或掉包����。
這種情況下,毫無(wú)戒心的用戶(hù)掃描“問(wèn)題二維碼”后,就可能被引到釣魚(yú)網(wǎng)站���。輕則泄露個(gè)人隱私,重則損失錢(qián)財,讓人防不勝防��。
“識別環(huán)節也是維護二維碼安全的關(guān)鍵環(huán)節之一��?���!迸嶂怯抡f(shuō),目前很多支付���、社交軟件以及手機瀏覽器都內置了掃碼功能,但很多掃碼工具缺乏安全監控和識別能力,難以判斷出“問(wèn)題二維碼”����。究其原因,這與二維碼使用企業(yè)缺乏網(wǎng)絡(luò )安全意識和防護能力密不可分���。
目前,我國二維碼的碼制雖有國家標準,但在應用上還沒(méi)有相應的規范���。特別是在生成和識別環(huán)節上,安全軟肋顯而易見(jiàn)��。
“問(wèn)題二維碼”凸顯的監管缺位,亟須引起社會(huì )的高度重視���。
需持續維護和全過(guò)程管理
根據國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數字中國發(fā)展報告(2022年)》,2022年我國網(wǎng)民規模達10.67億,互聯(lián)網(wǎng)普及率達75.6%�����。這也意味著(zhù),我國已經(jīng)成了名副其實(shí)的二維碼大國,擁有廣泛的二維碼應用場(chǎng)景和龐大的用戶(hù)規模���。
業(yè)內人士預計,未來(lái)中國二維碼產(chǎn)業(yè)規模有望達到萬(wàn)億級別��。這將對“問(wèn)題二維碼”的監管提出更高要求�����。
“管理二維碼的難點(diǎn)在于對二維碼的持續管理和異常點(diǎn)追蹤,因為二維碼往往是外部鏈接,大多數二維碼生成之后,缺乏持續跟進(jìn)管理�����?���!痹诒P(pán)和林看來(lái),二維碼需要持續維護和全過(guò)程管理��?���!鞍ǘS碼生成����、適用范圍���、管理和維護���、安全保障體系����、效果評估和優(yōu)化等,都要采取措施,以提高安全性��?���!?/p>
裴智勇則建議對二維碼進(jìn)行專(zhuān)門(mén)的備案制,要求二維碼運營(yíng)主體對二維碼備注有效期,并對相關(guān)網(wǎng)絡(luò )資源進(jìn)行有效維護,一旦發(fā)生問(wèn)題,可以依據網(wǎng)絡(luò )安全法追究運營(yíng)主體的法律責任�����。
值得一提的是,目前,我國廣泛應用的二維碼是日本研制的快速響應碼����。我們對此類(lèi)二維碼缺乏嚴格的管理標準,這在一定程度上導致我國在二維碼應用上安全漏洞頻出�����。二維碼標準的建設任重道遠���。
奇安信董事長(cháng)齊向東認為,數智時(shí)代,網(wǎng)絡(luò )安全“易攻難守”將成為常態(tài)化趨勢,解決網(wǎng)絡(luò )安全問(wèn)題,不能光靠網(wǎng)絡(luò )安全部門(mén),而是要用內生安全的方法,投入更多的資金預算和網(wǎng)絡(luò )防護人才力量����。
◎顧野靈 本報記者 何星輝
中企網(wǎng)微博
中企網(wǎng)微信