劉鋒:操作行為保密亦屬信息安全范疇

【技術達人秀4】清華同方電腦總工程師劉鋒

廣義的信息安全是指使用者在特定的時間與特定的對象通信。也就是說，在某些使用場合操作本身是需要加密的。即使通信內容已被加密，使用者仍需要注意操作行為本身的保密性。其原因是密集的通信聯系在很多時候就代表一定的信息。

這一點在個人信息安全方面表現得比較突出。最典型的例子就是個人進行網銀操作時可能遇到安全風險——如何將口令、操作金額、操作細節等在本地正確加密，以確保這些信息不被木馬盜走，以及如何保證這些信息在傳遞過程中不被中間人攻擊。目前，從技術層面解決這些問題最有利的武器是密碼算法。

需要強調地是，密碼算法并不神秘，自人類有通信手段以來，密碼算法就被應用到實踐中。最初，人類在寫密信時，要將部分文字變換算法，替換成內容。當電臺出現后，人類將信息內容換算成數字電報代碼進行發送，收報人要使用同樣的密碼本對數字代碼進行還原，從而譯出信息。為了方便使用，人類后來發明了可以輪換密碼的自動密碼機。如今，隨著信息技術日益進步，人類開始在計算機上使用各種各樣的密碼算法。

其他保護信息安全的手段，比如反木馬、病毒工具、終端防護工具等，存在的意義就是保護計算機的操作環境不受污染。之所以要對操作環境進行保護，是因為目前密碼算法在計算機上的加密和還原過程對其他設備而言是可見的，為了保證信息在此過程中不被泄漏，就必須要對操作終端實行設防。

仍以網銀操作為例，當使用者輸入密碼并發送后，信息實際上就已被加密。在此過程中，使用者敲擊鍵盤向電腦輸送的是明文。例如，使用者按下W鍵，電腦就會自動掃描并將其輸送到操作系統中，系統接收到該指令后，瀏覽器等任何與系統連接的第三方程序都會存儲該信息。在這種情況下，這些程序既會知道瀏覽器在運行過程中鏈接了某銀行的網銀，又會知道使用者按下了W鍵，如果有其他使用者把存儲在這些程序中的當前屏幕進行截屏并傳遞出去，外人就可從信息中推測出很多內容。

對于政府辦公的加密文件而言，技術道理是一樣的。因為文件首先要以明文的形式存在，然后才能被加密成密文傳遞。在這一系列的操作過程中，明文可能由于在錄入過程中被截取而繼續存留在最初的機器中。因此，保護信息安全的核心是不斷加強加密算法的安全性，從而更有力地保護信息本身以及信息在保存、傳遞過程中的安全性。(梁爽)