劉鋒:操作行為保密亦屬信息安全范疇

【技術(shù)達(dá)人秀4】清華同方電腦總工程師劉鋒

廣義的信息安全是指使用者在特定的時(shí)間與特定的對(duì)象通信。也就是說(shuō)，在某些使用場(chǎng)合操作本身是需要加密的。即使通信內(nèi)容已被加密，使用者仍需要注意操作行為本身的保密性。其原因是密集的通信聯(lián)系在很多時(shí)候就代表一定的信息。

這一點(diǎn)在個(gè)人信息安全方面表現(xiàn)得比較突出。最典型的例子就是個(gè)人進(jìn)行網(wǎng)銀操作時(shí)可能遇到安全風(fēng)險(xiǎn)——如何將口令、操作金額、操作細(xì)節(jié)等在本地正確加密，以確保這些信息不被木馬盜走，以及如何保證這些信息在傳遞過(guò)程中不被中間人攻擊。目前，從技術(shù)層面解決這些問(wèn)題最有利的武器是密碼算法。

需要強(qiáng)調(diào)地是，密碼算法并不神秘，自人類有通信手段以來(lái)，密碼算法就被應(yīng)用到實(shí)踐中。最初，人類在寫(xiě)密信時(shí)，要將部分文字變換算法，替換成內(nèi)容。當(dāng)電臺(tái)出現(xiàn)后，人類將信息內(nèi)容換算成數(shù)字電報(bào)代碼進(jìn)行發(fā)送，收?qǐng)?bào)人要使用同樣的密碼本對(duì)數(shù)字代碼進(jìn)行還原，從而譯出信息。為了方便使用，人類后來(lái)發(fā)明了可以輪換密碼的自動(dòng)密碼機(jī)。如今，隨著信息技術(shù)日益進(jìn)步，人類開(kāi)始在計(jì)算機(jī)上使用各種各樣的密碼算法。

其他保護(hù)信息安全的手段，比如反木馬、病毒工具、終端防護(hù)工具等，存在的意義就是保護(hù)計(jì)算機(jī)的操作環(huán)境不受污染。之所以要對(duì)操作環(huán)境進(jìn)行保護(hù)，是因?yàn)槟壳懊艽a算法在計(jì)算機(jī)上的加密和還原過(guò)程對(duì)其他設(shè)備而言是可見(jiàn)的，為了保證信息在此過(guò)程中不被泄漏，就必須要對(duì)操作終端實(shí)行設(shè)防。

仍以網(wǎng)銀操作為例，當(dāng)使用者輸入密碼并發(fā)送后，信息實(shí)際上就已被加密。在此過(guò)程中，使用者敲擊鍵盤(pán)向電腦輸送的是明文。例如，使用者按下W鍵，電腦就會(huì)自動(dòng)掃描并將其輸送到操作系統(tǒng)中，系統(tǒng)接收到該指令后，瀏覽器等任何與系統(tǒng)連接的第三方程序都會(huì)存儲(chǔ)該信息。在這種情況下，這些程序既會(huì)知道瀏覽器在運(yùn)行過(guò)程中鏈接了某銀行的網(wǎng)銀，又會(huì)知道使用者按下了W鍵，如果有其他使用者把存儲(chǔ)在這些程序中的當(dāng)前屏幕進(jìn)行截屏并傳遞出去，外人就可從信息中推測(cè)出很多內(nèi)容。

對(duì)于政府辦公的加密文件而言，技術(shù)道理是一樣的。因?yàn)槲募紫纫悦魑牡男问酱嬖冢缓蟛拍鼙患用艹擅芪膫鬟f。在這一系列的操作過(guò)程中，明文可能由于在錄入過(guò)程中被截取而繼續(xù)存留在最初的機(jī)器中。因此，保護(hù)信息安全的核心是不斷加強(qiáng)加密算法的安全性，從而更有力地保護(hù)信息本身以及信息在保存、傳遞過(guò)程中的安全性。(梁爽)