天天都扫二维码?那你要小心了!
近年来,二维码作为物联网的核心感知技术和互联网的重要信息入口技术发展迅猛,已逐步渗透到国民经济与社会生活的各个领域,成为我国实体经济的重要组成部分和全球新兴信息产业竞争的重要战略支点。然而,二维码在快速普及的同时,安全问题也日益突出,因扫描不明来源或含有木马、病毒等安全风险的二维码而遭受经济损失或泄露重要信息的事件时有发生。可以说,二维码已经成为不法分子实施网络诈骗、传播不良信息的新工具。客观来看,二维码安全问题亟待解决,二维码的安全管理体系亟待建立和完善。
信息入口价值凸显
二维码是上世纪70年代在一维条码技术基础上,由日本发明的一项将数据信息记录在图形中的条码技术。它依靠具有特定排列顺序的黑白相间点状方块表示二进制文字数值信息,通过图像输入装置或光电扫描设备自助识读以实现信息自动处理。
二维码相比一维条码,具有信息容量大、密度高、纠错能力强、存储信息范围广、译码可靠性高、保密防伪性强、信息传输效率高等优势,已发展成为信息传播的重要载体和入口。
美国、日本等发达国家在二维码诞生之初就高度重视,二维码的应用普及率达到96%以上。相比发达国家,我国二维码产业虽然起步较晚,但随着移动互联网和智能终端的普及,再加上二维码是目前唯一一款能够有效表达汉字的图码字符,我国二维码产业也呈现出爆发式增长,已广泛应用于物品身份标识、广告宣传、仓储物流、产品追溯、移动支付等诸多方面,成为我国信息化建设和数字经济的重要支撑。
安全形势日益严峻
伴随着二维码在全球范围内的广泛使用,安全问题越来越突出。
首先,从国家层面来看
由于美国、日本等发达国家高度关注二维码行业的发展,长期引领着二维码的技术发展、设备的研发以及应用的创新。若西方发达国家进一步巩固其在二维码技术发展和应用领域的主导地位,迫使我国接受其技术标准甚至设备,我国重要物品资源、数据资源乃至国家战略信息就存在被掌握的风险,严重威胁我国的国家安全。
其次,从产业发展层面来看
虽然我国是全球二维码最大的应用市场之一,但我国统一自主的二维码的标准体系尚未建立,产业处于无序竞争状态。目前,在中国市场上流通的码制、技术和设备基本都被国外厂商垄断,国产码的制造应用比例不到5%。与此同时,业界尚无统一的二维码编码、注册解析等基础标准。目前,我国市场上已发布的免费二维码制作和扫描软件多达数千种,均未采用统一的编码标准。统一自主的标准体系缺失造成产业分散、无序,市场难以互联互通,无法形成产业集聚效应,二维码巨大的潜在价值难以转化为现实的经济增长点,严重影响我国二维码产业以及整体经济的发展。
最后,从社会应用层面来看
二维码在移动互联网领域的快速广泛传播,带来了巨大的应用安全风险和信息安全风险。风险主要表现在以下几个方面:第一,由于二维码承载内容具有“不直接可见”的特征,因此已逐渐成为木马病毒、钓鱼网站的传播新渠道。第二,随着移动支付的发展,越来越多的用户开始使用二维码支付,但由于目前缺乏二维码的安全检测技术,使其成为金融诈骗新手段。第三,市场常用的日本QR码、美国DM码等多为开源、通用码制,直接对信息明文编码,增加了二维码承载的个人、企业、政府等用户信息的泄露风险。例如,早期火车票实名制实施初期票面二维码采用的就是明文QR编码,曾被不法分子用来收集旅客姓名、身份证等用户隐私信息,后经特殊码制加密处理后方进行了有效遏制。
挑战背后有原因
二维码的安全形势之所以会日益严峻,这与背后的安全监管体系、应用监管体系尚不完善密切相关。
一方面,二维码的安全监管部门尚不明确,监管体系尚不健全。二维码作为一个跨学科、跨领域、跨行业的信息化应用工具,与百姓生活、社会公共安全、经济运行安全和国家网络信息安全息息相关。但由于我国目前暂无二维码安全监管责任部门,且配套管理政策法律缺失,统一协调管理机制相对滞后,尚未建立起自主安全的监管体系。
另一方面,二维码应用监管薄弱,二维码应用领域已经产生了巨大的安全隐患。由于我国二维码统一注册解析认证机制以及面向二维码生成识读系统和发布平台的管理机制尚未形成,因此无法对二维码生成和识读形成系统化监管。与此同时,常用的二维码编码和码制技术及知识产权大多来自国外,技术来源不可控。
“三步走”提升安全特性
为了让蓬勃发展的二维码变得更加安全,需要在政策引导、标准制订、提高用户防范意识等诸多领域下功夫。
首先,加强政策引导。明确二维码安全监管责任部门,组织建立协调统一的服务支撑工作体系,研究制定二维码安全发展政策及法律法规,加强我国二维码安全管理体系建设,统筹推进二维码产业发展,建立“自主、安全、规范、可控”的二维码产业体系。
其次,建立健全标准规范体系,推动二维码产业规范发展。加快推进二维码统一编码、注册管理、安全识读、安全认证等关键环节的统一标准规范的编制工作,建立规范统一的二维码标准体系。加大二维码标准宣贯实施工作,加快推进统一的二维码标准的规范应用,建立二维码安全管理长效机制,加快建立二维码产业发展服务体系,推动二维码产业规范发展。
再次,强化安全管理技术手段,增强安全支撑能力。引入敏感信息过滤、风险检测、签名认证、发布预审、加密等技术手段,提高二维码防篡改、反逆向、可溯源、安全检测等安全支撑能力,实现二维码生成及识读工具软件的统一规范管理以及二维码信息内容的有效追溯,抓好二维码“生成”和“识读”两个关键环节,系统化解决二维码安全问题。
最后,通过推出一系列的宣贯活动,提高用户防范意识。例如,进行二维码基础知识、安全防范知识、案例剖析等普及教育工作,定期发布安全警示,制作安全使用手册。又如,组织二维码创新大赛、高峰论坛、技术应用培训等活动,营造良好的社会氛围,促使企业注册使用安全规范的二维码,引导公众使用符合安全认证要求的二维码软件。