关键词: 生物识别 白色生物技术
美国电视连续剧“犯罪现场调查”(CSI)在世界各地广受欢迎,剧中的科学鉴证调查组人员通过搜集遗留在犯罪现场的生物线索,利用DNA或指膜等蛛丝马迹,令疑云重重的谋杀案真相大白,真凶无所遁形。原来生物(biometrics)鉴别技术也能用于防止网络罪恶,而专家更表示这将是政府部门及企业用于网络防御的未来支柱,然而此等先进技术必需配合保安实施程序及配套的人员培训计划,才能达到最佳的效果。
网络犯罪日益猖獗
Unisys 公司联邦安全解决方案部总经理兼副总裁J. Michael Gibbons日前出席了《2005年泛珠三角网络安全论坛》香港首站活动并作为专题演讲嘉宾,他表示互联网对促进环球经济贸易功不可没,然而它也成为犯罪的新温床, 他并罗列出一连串数据来显示网络犯罪的严重性,例如每天黑客成功攻破网站的数目, 在2000年不到100 宗,而2004年却接近1,600宗;去年平均每个IP地址在每天会遭受350次黑客刺探、每个月有300多个新涌现的“特洛伊木马”及Bot 病毒,而在2004年6月,与金融机构有关的“网页仿冒”(phlishing)行为多达1,400宗!
Gibbons指出,网络犯罪日益猖獗的其中一个诱因是每个人在网络中的身份有相当程度的暧昧性,这容易触发人们心中的阴暗面,以为在虚拟空间中犯罪将是神不知、鬼不觉,因此只要消除这种误解,让人们明白网络是“天网恢恢,疏而不漏”,网络作案者的真正身份不能被隐藏,这将对潜在作案者产生很大的阻吓性,而把“天网”落实、让它不会变成一只纸老虎的法宝就是先进的身份鉴别技术。
生物鉴别技术将成主流
Gibbons介绍说,传统的身份鉴别方法包括核对密码、身份证明文件、公钥基础设施(PKI)令牌等,这些方法有一个很大的漏洞,就是它们有机会被盗窃,不法之徒便可以盗用他人身份作案。现在业界普通认为“生物身份鉴别”技术的保险系数相当较高,可以较有效假冒作弊的机会。
“生物身份鉴别”技术大致上是根据人的生理及行为两类特征来鉴别身份,生理特征包括DNA、指膜、虹膜、面相、声线、手相、视网膜等,而行为特征包括签名、行路的步态等。目前采用较多的鉴别特征是手相、指膜、面相及虹膜。
Gibbons 指出,各种生物特征在准确性、容易实施及被接收程度方面各有长短,例如手相主要是根据手掌的长度、厚度及宽度作鉴别标准,但由于有机会出现雷同的量度数据,因此手相一般只可用作基本身份确认的程序。指膜在准确性方面无可比拟、而且在全球采用已久,拥有庞大的资料记录供参考,但许多被鉴别人士认为只有罪犯入狱前才需提供指膜,因此对这种识别方法有抗拒感。虹膜的准确性也是十分高的,两个虹膜出现相同特征的机率是10的78次方之一,可说是微乎其微,然而有人误以为电脑红外线射进眼球作虹膜检测,有可能令虹膜受损害。
Gibbons表示,政府部门及企业选择采用某一种生物身份鉴别技术,应该从多个因素作整体考虑,这包括准确性、用户接收程度、成本、多种生物技术间的兼容性、安全度及私隐、资料记录需要等。
外包服务有助企业掌握安全方案
Gibbons 表示,机构不应把实施身份鉴别技术视为一次性的行为,这应该是一个具有延续性的举措,因此机构需要设立应用于整个机构范围的身份鉴别及访问政策,这不仅限于规定谁能访问及控制客户数据及建立有关的责任制度,同时它也决定鉴别用户身份的方法。
Gibbons表示,现在大众、以至监管部门对企业的数据安全策略有更高的要求和期望,企业必需确保其收集、处理、储存及丢掉客户数据的每一个程序都能符合严谨的要求,目前美国更酝酿立法要求企业设置首席隐私官(Chief Privacy Officer),确保公司的客户数据得到最佳的隐私保护。
他补充说,要达到理想的安全保护效果,企业不能只是着眼在解决方案及技术,而是通盘的考虑有关安全作业程序及安排充分的人员培训,近年许多企业大幅度削减IT投入,安全保护只是整体IT基础设施的一环,不可能占用太多资源,因此企业不可能通过本身达到上述的程序、人才及技术配合效果,比较可行的方法是企业把安全保护工作外包给专业的顾问公司,这样便可确保得到理想的安全保护、掌握最新的行业经验及具备成本效益。通过把安全工作外包,企业只需监控安全程序的实施及训练人员如何掌控监管工作,把其大部分精力及资源投放在核心业务上。
(责任编辑:admin)
