網絡沒有絕對的安全!在不同場合見過談劍鋒多次,這句話他幾乎每次都說。每逢新的互聯網技術應用概念出爐,他總要潑上一盆冷水。iPhoneX面世,人臉識別炒得火熱時,他說:密碼丟了可以換,但生物信息是不可再生的,一旦泄露,對不起,你不可能再有第二張臉了
網絡沒有**的安全!”在不同場合見過談劍鋒多次,這句話他幾乎每次都說。每逢新的互聯網技術應用概念出爐,他總要潑上一盆冷水。iPhoneX面世,“人臉識別”炒得火熱時,他說:“密碼丟了可以換,但生物信息是不可再生的,一旦泄露,對不起,你不可能再有第二張臉了。”
他有兩部手機,一部是iPhone,用來上網;另一部是華為,只用來打電話,完全斷網。作為互聯網行業的人,這樣的生活方式,未免有些“反互聯網”。考慮到他的身份,上海眾人網絡安全技術有限公司董事長,上海市信息安全行業協會會長,以及早年他作為****代“紅客”的赫赫“戰績”,那些言論聽上去有些嚇人,還似乎有些“砸自己飯碗”。這些天,作為新委員,談劍鋒又將這個話題帶到了**政協十三屆一次會議的會場,建議**加大對網絡信息安全產業的投入。
“紅客”,“魔獸”玩家,到“安全衛士”
談劍鋒的微信名前,掛著一個五星紅旗的圖標。不僅因為出身三代軍人世家的他,從小就耳濡目染,想必還與他這些年間的經歷有關。
上世紀90年代末,談劍鋒從軍校畢業,經營起了拿到上海001號許可證的網吧,創建了中國*早的“紅客”組織“綠色兵團”——不入侵自己**電腦,而是維護**利益的黑客。
2005年,網絡游戲“魔獸世界”登陸中國,談劍鋒注冊了賬號“銀龍”——老玩家們對這個名字一定不陌生,因為這個“銀龍”僅用23.5小時就成為****個達到70級的玩家,并刷新了世界紀錄。不過沒過多久,叱咤虛擬戰場的他就遇到了惱火的事:“隊友經常玩著玩著就沒影了,問了才知道,他們又被盜號了!”辛苦玩出來的戰績屢屢不翼而飛,談劍鋒萌生了開發能保護賬號的密碼產品的念頭。當時,國內只有“U盾”一種身份認證密碼產品,2007年他創立了“眾人科技”,開始著手開發一款既安全又便捷的賬號密碼保護產品:動態密碼器。
很快,他就帶領另外5名伙伴,窩進了張江集電港的一間老民宅,昏天黑地地搞起了技術開發,但資質問題卻成了難以逾越的障礙。
石家莊網站建設提示網絡安全是個特殊領域,密碼行業更是被“高門檻”嚴格管控,動態密碼在國內尚屬空白,要投入市場,須由多個主管部門許可,通過層層檢測和評審。
然而在向銀行、證券等金融企業推廣產品時,卻無人敢**個“吃螃蟹”,談劍鋒一家家上門“磨”:“我送你們一批產品免費使用。”卻屢吃“閉門羹”,*艱難的那段時期,公司沒有一分錢收入,連續4個月發不出工資。從公司創立到拿到**份訂單,堅持了近6年時間。
功夫不負有心人。如今,眾人科技研發的動態密碼技術和產品,已被**相關機構認定為“******,國際先進水平”,在很多核心技術上擁有完全自主知識產權。不僅如此,我國動態密碼技術相關的所有**標準、行業標準等,都是眾人科技作為組長單位牽頭起草制定的,其中國標成為國內****認證安全技術標準被國際標準組織所采用。
雖然是因網絡游戲走上了“網絡安全衛士”創業的道路,談劍鋒卻對我國當前大量青少年沉迷網絡游戲的現象十分擔憂。“有新聞說,《**榮耀》*多1天就能收入2億!你想想看,有多少人在打?動輒就有人充值上萬元,很多用戶都投入了大量時間。”
打牢安全“地基”,才能建起網絡萬丈高樓
“網上支付我都不用,不靠譜。” 熟悉談劍鋒的人都知道,他既不用微信支付,也不用支付寶。在他眼里,相當數量的互聯網公司只顧及流量,卻不顧用戶安全,只顧及體驗,卻不顧隱私保護。
“人臉識別出來時,很多公司宣傳時都標榜自己的識別準確率有多高,但事實上準確率越高,風險可能越大。”大概是見得多了,談劍鋒面對記者滿臉的不解,并沒有停下話頭,繼續說了下去。他解釋道,因為這些公司都沒有提示,或者說用戶都沒有去考慮后臺服務器的問題:在互聯網環境下,一旦采用生物特征認證,就一定會有特征數據庫,所有的生物特征數據,只要進入計算機,就會被轉換為計算機代碼。只要是代碼就可以被截獲、被重放、被重構。
他介紹,服務器端存儲大量用戶的特征數據庫,特征數據庫一旦被黑客或犯罪分子獲取,后果無法挽回。“棱鏡”事件和近期維基解密曝光CIA的機密文件就是很好的佐證。因此,生物認證的核心”痛點”,就是生物特征的不可再生性:“有人說,我1個手指信息泄露了不是還有9個?不好意思,實際上那個手指還是你的。”
“所以我肯定不用人臉識別作為網絡身份認證。”
談劍鋒格外關注信息安全方面的新聞。他隨口就報出了一連串:2016年2月,好萊塢一家醫療中心的系統受到黑客攻擊,院方繳納40比特幣,系統才恢復正常。2017年5月,立陶宛的一家整形外科醫院系統遭到攻擊,約25000多張個人隱私照片和信息被泄露。而在今年2月,我國連續有2家醫院系統被植入勒索病毒……
“有些人家里攝像頭一年開到頭,攝像頭可不是這么用的!”談劍鋒說,網絡技術的發展一方面降低了犯罪成本,另一方面也提高了犯罪的效率。“以前家里沒裝監控攝像頭,小偷還要到你家來踩踩點,現在只要黑了你家裝的攝像頭,家里啥時候沒人、錢放哪里都一清二楚了。”
不少人都飽受垃圾短信困擾,談劍鋒指出,這是因為個人信息和隱私在使用網絡時不知不覺就泄露了。他認為,用戶平時缺乏對信息保護的重視,《網絡安全法》實施后,落地執行也需要過程。
“各種各樣的信息化,各種各樣的數據化,我們有沒有真正想過:這樣做安全嗎?”他反問道。
他擺出了一組數據:有調查顯示,在信息安全投入占信息化投入的比重方面,美國占到了20%—25%,歐洲的數據為10%—15%,而中國還僅有1%—3%。這意味著,作為世界**的互聯網應用大國,我國在網絡安全上的投入還遠遠落后于發達**,網絡信息安全產業存在巨大的發展空間。
他建議,從**安全角度出發,將網絡安全產業定義為戰略性新興產業。要從戰略層面進行網絡安全的體系化和層次化設計,克服認知盲點,梳理網絡安全需求,建立政府、企業間信息共享機制,定期為各機構培訓網絡安全。同時制定積極的網絡安全產業發展政策,實行主動縱向的產業政策,在政府及國有企業采購中增加網絡安全產品和服務采購比例,提振產業空間。
而在“一帶一路”的數字經濟建設方面,談劍鋒認為,民營IT企業也大有可為。“當前,在企業參與度較高的國際技術標準體系中,仍然以歐美**、美國IT企業和一些國際組織等為主導。而我國民營IT企業自主研制和參與國際標準的實踐經驗不足,相較于谷歌、蘋果等科技企業輸出能力較弱。”標準在應用中發揮著重要作用,標準水平的高低,往往代表一個**或地區質量水平的高低,他建議,民營IT企業應積極推進互聯網等關鍵領域的標準研制,推動中國標準“走出去”,同時積極開展項目合作,助推中國自主創新標準的實施與落地,以及中國標準的國際輸出,提升國際話語權和影響力。“‘一帶一路’沿線**有大量合作機遇,我們完全有機會乘上這陣東風。”
產業發展也要靠人才,在談劍鋒看來,網絡安全人才隊伍建設也需進一步加強。“20年前開公司都知道要招一個IT人員,但現在企業里的IT人員,絕不僅是發發郵件、搞搞辦公系統了,還一定要懂安全知識。”
“只有將網絡信息安全產業做大、做強,把握核心技術,‘地基’才能打牢,建起萬丈高樓。否則‘互聯網+’的發展只能是海市蜃樓。”
| 
