近年來,二維碼作為物聯(lián)網(wǎng)的核心感知技術(shù)和互聯(lián)網(wǎng)的重要信息入口技術(shù)發(fā)展迅猛����,已逐步滲透到國民經(jīng)濟與社會生活的各個領(lǐng)域,成為我國實體經(jīng)濟的重要組成部分和全球新興信息產(chǎn)業(yè)競爭的重要戰(zhàn)略支點��。然而�,二維碼在快速普及的同時,安全問題也日益突出��,因掃描不明來源或含有木馬�、病毒等安全風(fēng)險的二維碼而遭受經(jīng)濟損失或泄露重要信息的事件時有發(fā)生?���?梢哉f,二維碼已經(jīng)成為不法分子實施網(wǎng)絡(luò)詐騙�、傳播不良信息的新工具?��?陀^來看����,二維碼安全問題亟待解決��,二維碼的安全管理體系亟待建立和完善。
信息入口價值凸顯
二維碼是上世紀(jì)70年代在一維條碼技術(shù)基礎(chǔ)上����,由日本發(fā)明的一項將數(shù)據(jù)信息記錄在圖形中的條碼技術(shù)。它依靠具有特定排列順序的黑白相間點狀方塊表示二進(jìn)制文字?jǐn)?shù)值信息����,通過圖像輸入裝置或光電掃描設(shè)備自助識讀以實現(xiàn)信息自動處理。二維碼相比一維條碼�����,具有信息容量大��、密度高��、糾錯能力強�����、存儲信息范圍廣�����、譯碼可靠性高�、保密防偽性強、信息傳輸效率高等優(yōu)勢�,已發(fā)展成為信息傳播的重要載體和入口。
美國���、日本等發(fā)達(dá)國家在二維碼誕生之初就高度重視���,二維碼的應(yīng)用普及率達(dá)到96%以上。相比發(fā)達(dá)國家���,我國二維碼產(chǎn)業(yè)雖然起步較晚�,但隨著移動互聯(lián)網(wǎng)和智能終端的普及��,再加上二維碼是目前唯一一款能夠有效表達(dá)漢字的圖碼字符���,我國二維碼產(chǎn)業(yè)也呈現(xiàn)出爆發(fā)式增長�����,已廣泛應(yīng)用于物品身份標(biāo)識���、廣告宣傳、倉儲物流�、產(chǎn)品追溯����、移動支付等諸多方面����,成為我國信息化建設(shè)和數(shù)字經(jīng)濟的重要支撐。
安全形勢日益嚴(yán)峻
伴隨著二維碼在全球范圍內(nèi)的廣泛使用����,安全問題越來越突出。
首先���,從國家層面來看����,由于美國��、日本等發(fā)達(dá)國家高度關(guān)注二維碼行業(yè)的發(fā)展���,長期引領(lǐng)著二維碼的技術(shù)發(fā)展、設(shè)備的研發(fā)以及應(yīng)用的創(chuàng)新�。若西方發(fā)達(dá)國家進(jìn)一步鞏固其在二維碼技術(shù)發(fā)展和應(yīng)用領(lǐng)域的主導(dǎo)地位,迫使我國接受其技術(shù)標(biāo)準(zhǔn)甚至設(shè)備���,我國重要物品資源�、數(shù)據(jù)資源乃至國家戰(zhàn)略信息就存在被掌握的風(fēng)險,嚴(yán)重威脅我國的國家安全�。
其次,從產(chǎn)業(yè)發(fā)展層面來看��,雖然我國是全球二維碼最大的應(yīng)用市場之一����,但我國統(tǒng)一自主的二維碼的標(biāo)準(zhǔn)體系尚未建立,產(chǎn)業(yè)處于無序競爭狀態(tài)����。目前,在中國市場上流通的碼制�����、技術(shù)和設(shè)備基本都被國外廠商壟斷�,國產(chǎn)碼的制造應(yīng)用比例不到5%。與此同時�,業(yè)界尚無統(tǒng)一的二維碼編碼、注冊解析等基礎(chǔ)標(biāo)準(zhǔn)����。目前����,我國市場上已發(fā)布的免費二維碼制作和掃描軟件多達(dá)數(shù)千種��,均未采用統(tǒng)一的編碼標(biāo)準(zhǔn)�����。統(tǒng)一自主的標(biāo)準(zhǔn)體系缺失造成產(chǎn)業(yè)分散����、無序,市場難以互聯(lián)互通��,無法形成產(chǎn)業(yè)集聚效應(yīng)��,二維碼巨大的潛在價值難以轉(zhuǎn)化為現(xiàn)實的經(jīng)濟增長點����,嚴(yán)重影響我國二維碼產(chǎn)業(yè)以及整體經(jīng)濟的發(fā)展。
最后����,從社會應(yīng)用層面來看���,二維碼在移動互聯(lián)網(wǎng)領(lǐng)域的快速廣泛傳播�,帶來了巨大的應(yīng)用安全風(fēng)險和信息安全風(fēng)險。風(fēng)險主要表現(xiàn)在以下幾個方面:第一���,由于二維碼承載內(nèi)容具有“不直接可見”的特征�����,因此已逐漸成為木馬病毒����、釣魚網(wǎng)站的傳播新渠道����。第二,隨著移動支付的發(fā)展�,越來越多的用戶開始使用二維碼支付,但由于目前缺乏二維碼的安全檢測技術(shù)���,使其成為金融詐騙新手段�。第三�����,市場常用的日本QR碼、美國DM碼等多為開源��、通用碼制�����,直接對信息明文編碼����,增加了二維碼承載的個人、企業(yè)�����、政府等用戶信息的泄露風(fēng)險����。例如,早期火車票實名制實施初期票面二維碼采用的就是明文QR編碼�,曾被不法分子用來收集旅客姓名、身份證等用戶隱私信息���,后經(jīng)特殊碼制加密處理后方進(jìn)行了有效遏制��。
挑戰(zhàn)背后有原因
二維碼的安全形勢之所以會日益嚴(yán)峻���,這與背后的安全監(jiān)管體系、應(yīng)用監(jiān)管體系尚不完善密切相關(guān)��。
一方面���,二維碼的安全監(jiān)管部門尚不明確��,監(jiān)管體系尚不健全�。二維碼作為一個跨學(xué)科��、跨領(lǐng)域��、跨行業(yè)的信息化應(yīng)用工具����,與百姓生活、社會公共安全���、經(jīng)濟運行安全和國家網(wǎng)絡(luò)信息安全息息相關(guān)�����。但由于我國目前暫無二維碼安全監(jiān)管責(zé)任部門����,且配套管理政策法律缺失,統(tǒng)一協(xié)調(diào)管理機制相對滯后�����,尚未建立起自主安全的監(jiān)管體系���。
另一方面�����,二維碼應(yīng)用監(jiān)管薄弱���,二維碼應(yīng)用領(lǐng)域已經(jīng)產(chǎn)生了巨大的安全隱患。由于我國二維碼統(tǒng)一注冊解析認(rèn)證機制以及面向二維碼生成識讀系統(tǒng)和發(fā)布平臺的管理機制尚未形成����,因此無法對二維碼生成和識讀形成系統(tǒng)化監(jiān)管。與此同時�����,常用的二維碼編碼和碼制技術(shù)及知識產(chǎn)權(quán)大多來自國外,技術(shù)來源不可控���。
“三步走”提升安全特性
為了讓蓬勃發(fā)展的二維碼變得更加安全�����,需要在政策引導(dǎo)���、標(biāo)準(zhǔn)制訂����、提高用戶防范意識等諸多領(lǐng)域下功夫。
首先����,加強政策引導(dǎo)。明確二維碼安全監(jiān)管責(zé)任部門��,組織建立協(xié)調(diào)統(tǒng)一的服務(wù)支撐工作體系����,研究制定二維碼安全發(fā)展政策及法律法規(guī),加強我國二維碼安全管理體系建設(shè)����,統(tǒng)籌推進(jìn)二維碼產(chǎn)業(yè)發(fā)展���,建立“自主、安全����、規(guī)范、可控”的二維碼產(chǎn)業(yè)體系���。
其次����,建立健全標(biāo)準(zhǔn)規(guī)范體系�����,推動二維碼產(chǎn)業(yè)規(guī)范發(fā)展���。加快推進(jìn)二維碼統(tǒng)一編碼�、注冊管理����、安全識讀���、安全認(rèn)證等關(guān)鍵環(huán)節(jié)的統(tǒng)一標(biāo)準(zhǔn)規(guī)范的編制工作,建立規(guī)范統(tǒng)一的二維碼標(biāo)準(zhǔn)體系���。加大二維碼標(biāo)準(zhǔn)宣貫實施工作�����,加快推進(jìn)統(tǒng)一的二維碼標(biāo)準(zhǔn)的規(guī)范應(yīng)用����,建立二維碼安全管理長效機制�,加快建立二維碼產(chǎn)業(yè)發(fā)展服務(wù)體系�����,推動二維碼產(chǎn)業(yè)規(guī)范發(fā)展�����。
再次�,強化安全管理技術(shù)手段,增強安全支撐能力���。引入敏感信息過濾����、風(fēng)險檢測、簽名認(rèn)證��、發(fā)布預(yù)審����、加密等技術(shù)手段,提高二維碼防篡改���、反逆向�、可溯源����、安全檢測等安全支撐能力,實現(xiàn)二維碼生成及識讀工具軟件的統(tǒng)一規(guī)范管理以及二維碼信息內(nèi)容的有效追溯���,抓好二維碼“生成”和“識讀”兩個關(guān)鍵環(huán)節(jié)�����,系統(tǒng)化解決二維碼安全問題��。
最后�,通過推出一系列的宣貫活動,提高用戶防范意識���。例如��,進(jìn)行二維碼基礎(chǔ)知識����、安全防范知識�、案例剖析等普及教育工作,定期發(fā)布安全警示�����,制作安全使用手冊���。又如,組織二維碼創(chuàng)新大賽�、高峰論壇、技術(shù)應(yīng)用培訓(xùn)等活動�����,營造良好的社會氛圍,促使企業(yè)注冊使用安全規(guī)范的二維碼��,引導(dǎo)公眾使用符合安全認(rèn)證要求的二維碼軟件��。(中國信息通信研究院安全研究所 王榕 廖璇)
轉(zhuǎn)自:人民郵電報
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力����。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊,僅代表作者個人觀點���,不代表本網(wǎng)觀點和立場��。版權(quán)事宜請聯(lián)系:010-65363056����。
延伸閱讀
