扫二维码、用公共充电桩盗窃手机信息，人脸识别存安全隐患...昨晚落幕的315晚会已连续多年点名网络信息安全、电信诈骗问题。

　　“黑客的肆虐猖獗，让互联网这个虚拟世界找不到任何安全的角落。没有绝对的安全，信息安全要靠增强全民信息安全意识。”上海市信息安全行业协会会长谈剑锋在3.15上海金融信息安全论坛上坦言。

　　生物特征识别不适用于开放网络环境

　　上海市经济和信息化委员会副主任傅新华提供了一组数据，2016年上海软件和信息服务业营业收入6904.35亿元，同比增长14.1%，占第三产业比重达到10.1%，占全市国内生产总值的比重达到7.1%。互联网金融经营收入达到496亿元，比上年同期增长28.8%;其中第三方支付收入达到350亿元;重点跟踪的17家网络信贷企业交易额达到200.35亿元，经营收入达到17.68亿元。

　　互联网产业增长的背后，黑色产业链也日渐繁荣。

　　数据显示，截至2016年12月，我国网民规模达7.31亿。其中，仅2016年遭遇网络信息安全问题的用户就占整体网民的70.5%，中病毒或木马发生比例占36.2%，账号或密码被盗发生比例占33.8%，个人信息泄露发生比例占32.9%。

　　上海市经信委信息安全处副处长刘山泉指出，2016年8月，由移动互联网系统与应用安全国家工程实验室组成的专门检测团队，对88个互联网金融类移动APP进行了深入测试，发现了包括信息数据明文发送、通信数据可解密、敏感数据本地可破解、调试信息泄露、敏感信息泄露、密码学误用、功能泄露、可二次打包、可调试、代码可逆向等十大安全隐患。

　　出人意料的是，常用的互联网身份验证措施，如手机短信验证码、人脸识别、生物特征并不完全可靠。

　　犯罪分子经常会以三种方式获取手机验证码，来实施违法行为。谈剑峰介绍到：第一种是向受害者手机发送有木马病毒的短信，受害者上当后点开手机中毒，犯罪分子从而拦截验证码短信;第二种是谎称快递地址不清，要求受害者说出地址，然后在受害者所在位置一公里内架设特殊改装设备，对手机信号进行干扰，从而拦截验证码;第三种是窃取受害者在手机制造商、电信运营商等网站或具有短信同步功能的软件上的账号，开通或查询短信自动同步信息，获取验证码。

　　而人脸识别等生物特征同样也非常危险，易被不法分子重构。由于生物特征信息是伴随终身、不可撤销的，因此一旦被盗取负面影响更大。“生物特征识别技术不适合开放的网络环境。”谈剑锋强调。

　　信息安全投入不足

　　防止信息安全需要企业、政府和个人的协力。

　　从企业来讲，360企业安全集团上海分区技术总监刘冠认为，要形成可落地的行业规范，通过合规检查等手段，确保每一个行业从业单位具有相当能力的安全防护力度;同时对于出现的安全泄露事件做到公开透明，通过问责机制，倒逼企业不断加强安全建设意识。

　　从个人来讲，谈剑锋认为，安全就是矛和盾的关系，没有绝对的安全，信息安全要靠增强全民信息安全意识。

　　对网络信息安全的重视也上升到了法律层面。2016年11月7日，中国《网络安全法》获得通过，并将于2017年6月1日起施行。这是中国第一部关于网络安全的基础性法律。《网络安全法》明确了网络空间主权的原则，网络产品和服务提供者的安全义务和网络运营者的安全义务，完善了个人信息保护规则，建立了关键信息基础设施安全保护制度。12月27日，国家互联网信息办公室发布《国家网络空间安全战略》，阐述了我国网络空间安全的核心理念和战略主张。

　　需要指出的是，中国对信息安全产业的投入目前还不够，且核心硬件产品大部分依赖于进口。

　　谈剑峰列举一组数据：2015年网络信息安全投入占信息化发展收入的占比，美国是20%-25%，欧洲是10%-15%，而中国仅为1%-3%。此外，美国和欧洲还运用首席安全官制度，将网络安全落实到执行责任制层面。

　　另一组数据显示，国外巨头主导占据了我国信息产品77%，芯片和精密制造设备85%，电脑操作系统95%，卫星导航定位产业5%的市场。