劉鋒:操作行為保密亦屬信息安全范疇

【技術(shù)達(dá)人秀4】清華同方電腦總工程師劉鋒

廣義的信息安全是指使用者在特定的時間與特定的對象通信。也就是說，在某些使用場合操作本身是需要加密的。即使通信內(nèi)容已被加密，使用者仍需要注意操作行為本身的保密性。其原因是密集的通信聯(lián)系在很多時候就代表一定的信息。

這一點在個人信息安全方面表現(xiàn)得比較突出。最典型的例子就是個人進(jìn)行網(wǎng)銀操作時可能遇到安全風(fēng)險——如何將口令、操作金額、操作細(xì)節(jié)等在本地正確加密，以確保這些信息不被木馬盜走，以及如何保證這些信息在傳遞過程中不被中間人攻擊。目前，從技術(shù)層面解決這些問題最有利的武器是密碼算法。

需要強(qiáng)調(diào)地是，密碼算法并不神秘，自人類有通信手段以來，密碼算法就被應(yīng)用到實踐中。最初，人類在寫密信時，要將部分文字變換算法，替換成內(nèi)容。當(dāng)電臺出現(xiàn)后，人類將信息內(nèi)容換算成數(shù)字電報代碼進(jìn)行發(fā)送，收報人要使用同樣的密碼本對數(shù)字代碼進(jìn)行還原，從而譯出信息。為了方便使用，人類后來發(fā)明了可以輪換密碼的自動密碼機(jī)。如今，隨著信息技術(shù)日益進(jìn)步，人類開始在計算機(jī)上使用各種各樣的密碼算法。

其他保護(hù)信息安全的手段，比如反木馬、病毒工具、終端防護(hù)工具等，存在的意義就是保護(hù)計算機(jī)的操作環(huán)境不受污染。之所以要對操作環(huán)境進(jìn)行保護(hù)，是因為目前密碼算法在計算機(jī)上的加密和還原過程對其他設(shè)備而言是可見的，為了保證信息在此過程中不被泄漏，就必須要對操作終端實行設(shè)防。

仍以網(wǎng)銀操作為例，當(dāng)使用者輸入密碼并發(fā)送后，信息實際上就已被加密。在此過程中，使用者敲擊鍵盤向電腦輸送的是明文。例如，使用者按下W鍵，電腦就會自動掃描并將其輸送到操作系統(tǒng)中，系統(tǒng)接收到該指令后，瀏覽器等任何與系統(tǒng)連接的第三方程序都會存儲該信息。在這種情況下，這些程序既會知道瀏覽器在運行過程中鏈接了某銀行的網(wǎng)銀，又會知道使用者按下了W鍵，如果有其他使用者把存儲在這些程序中的當(dāng)前屏幕進(jìn)行截屏并傳遞出去，外人就可從信息中推測出很多內(nèi)容。

對于政府辦公的加密文件而言，技術(shù)道理是一樣的。因為文件首先要以明文的形式存在，然后才能被加密成密文傳遞。在這一系列的操作過程中，明文可能由于在錄入過程中被截取而繼續(xù)存留在最初的機(jī)器中。因此，保護(hù)信息安全的核心是不斷加強(qiáng)加密算法的安全性，從而更有力地保護(hù)信息本身以及信息在保存、傳遞過程中的安全性。(梁爽)