本報記者 彭德倩

　　剛剛過去的2011年，網絡信息安全領域並不平靜，從年初的3Q大戰，到年末的多個網站明文口令洩露，讓公眾感到疑惑：我們信賴的網站難道一直在“裸奔”？網上信息究竟能獲得怎樣的保護？昨天舉行的中國計算機學會青年科技論壇上，專家不約而同指出，從信息技術角度來看，安全從來只是暫時的，而不安全恰恰是永恒的命題。信息不安全正在挑戰全球現代化，擺脫危機，需要科技更需要法律。

　　信息安全越來越難

　　在今天，網絡攻擊導致用戶信息資料洩露，已經成為全球性難題。去年1月，以色列一批網絡賬號外泄；4-7月，日本索尼公司多個子網站被黑客攻陷，將近1000萬用戶資料洩露。令人關注的是，去年2月，國外一家為該國政府提供信息安全服務的公司同樣遭遇網上入侵，資料外泄。在網站和黑客之間，技術的博弈始終存在，無論網站採用多麼複雜的加密算法和管理方式，理論上黑客都能找到漏洞。

　　在復旦大學計算機學院院長張曉陽教授看來，“信息安全”與“保密性”不能簡單畫上等號。前者還包括了對信息完整性和可獲得性的要求。然而，要實現這種完全意義上的安全正變得越來越難。首先，社會經濟發展和公眾生活對電子信息的依賴性日增，間接提升了侵犯信息安全可能獲得的收益；其次，已經實現的遠程、匿名入侵技術，令信息安全領域不再有“國界”，入侵成本降低；更重要的是，網絡用戶群體中，絕大部分是非計算機專業人士。這些原因，直接造成了“信息不安全”的擴大化。

　　鬥爭永遠不會終結

　　近年來，傳統的信息安全“籬笆”正勉力抵擋不斷發展的黑客技術。上海電力學院電力網絡安全研究所所長王勇舉例，在輸入股票交易密碼等重要密文信息時，往往被要求採用軟鍵盤輸入（通過鼠標點擊屏幕上的虛擬鍵盤輸入密碼），此舉能夠很好地防止密碼被具有鍵盤輸入記錄功能的軟體截獲，是當前比較通用的防範方法。然而，很多人不知道，許多系統的設置都在內存中劃出一個專門區域存放密碼的明文內容，也就是説，無論是鍵盤輸入，還是軟鍵盤輸入，最終都在內存中留下了痕跡。目前，已有一款特殊軟體可以直接讀取內存中“密碼區”的內容。

　　而發生在2010年11月的“震網（STUXNET）病毒”事件，同樣值得一提。黑客利用這一病毒，令伊朗網絡安全措施極其嚴密的離心機兩成中招報廢。它不同於只在程序運行中起作用的傳統病毒，而是直搗程序運行的基礎──集成電路，通過編程邏輯起作用。這對當時的安全措施而言，如同一個人武裝到了牙齒，嚴陣以待，卻發現腳下的地板裂開了，防不勝防。

　　如今，克制這些黑客技術的新型安全技術也相繼問世，但越來越多研究人員認識到，“道高一尺魔高一丈”的鬥爭永遠不會終結，紮緊“籬笆”，不僅僅依靠計算機技術，更需要經濟學理論、法學研究等多個學科綜合發力。例如，經濟學、計算機專業人士可以聯手研究，評估黑客攻破一個系統所需投入的成本和可能獲得的收益，盡力壓低黑客入侵的“性價比”，減少其動力。再比如，加快制定、完善電子財産保障、信息完全等方面的法律，從制度上降低信息外泄的風險。