隨著近年來生物識別技術的不斷發展，“指紋認證”因其方便、快捷等優勢被廣泛應用于各個領域。但在方便快捷的同時，其帶來的風險也是不容小覷的。

此前不久，有位日本專家指出，拍照時的光線如果夠明亮，且焦點又恰巧對準指紋，便可通過照片復原其指紋信息。如若由此制作出人工手指“義指”，便可冒充本人登錄各種指紋識別的終端。因此拍照時一定要慎擺V字手勢。

此消息一出，便引起了社會各界的廣泛熱議。“我們目前還沒有做過類似的實驗，但從原理上講，這種情況還是有可能發生的。”中國信息安全測評中心總工程師王軍在接受《中國產經新聞》記者采訪時表示，現在的照相機分辨率都非常高，用長焦鏡頭將圖像拉的足夠近，還是有可能泄露指紋信息的。

“但反過來講，我們在利用指紋識別的時候，通常還會增加其他的因素。如檢查手指的溫度，即活體鑒別技術等。”王軍強調道，從這個角度考慮的話，僅利用拍照擺V字手勢來泄露指紋信息就不一定能達到某種冒充的效果。

盡管近日來對其的關注似乎有所減少，但有關信息泄露的問題卻是一直存在的。

多途徑致信息泄露

據了解，指紋識別原理可以分為常見的兩種，即光感式和電容式。西安電子科技大學網絡與信息安全學院副教授楊超在接受《中國產經新聞》記者采訪時表示，光感式的指紋識別原理就是識別指紋的形狀。例如常見的指紋打卡機，這種識別方式確實存在上述的“剪刀手”攻擊。

“現在拍照、錄像設備隨處可得，且隨著成本的下降，其性能和參數也越來越好。通過高分辨率的圖像及其一定的圖像處理算法，在理論上講，確實能夠較好地還原指紋的形狀，從而使得指紋信息遭到泄露與竊取，甚至身份假冒攻擊的目的。”楊超坦言道。

而對于電容式指紋識別原理，他告訴記者，這種原理是通過給手指皮膚帶電之后，檢測出指紋的紋路，即指紋的谷和脊的距離差導致陣列中的不同電容上出現差異，并通過一定的算法，可以獲得指紋信息的采樣。

“但這種指紋識別原理必須是接觸式的，而且需要"真實皮膚"的手指進行指紋驗證，用假的指紋紙是不能通過驗證的。”楊超強調道，由于假的指紋紙沒有真實皮膚的電阻，即不會產生電容上的差異。因此，攻擊者即便拿到了“剪刀手”的高清指紋照片，也不能通過此類驗證。現在的蘋果iPhone手機所用的就是這種驗證方式。

事實上，有關指紋信息的泄露還只是很小的一方面，信息泄露的表現形式還有很多。四川大學網絡空間安全研究院特聘副研究員洪延青在接受《中國產經新聞》記者采訪時表示，一是來自于內部人的有意泄露，他們憑借自身掌握的大量信息去換取利益；二是自身安全工作未能做好，被黑客攻擊，致相關的信息遭到了泄露；三是由于信息流轉的環節較多，呈鏈條式的向外流動，在流動的過程中，風險點增多，被攻擊的面也就會更為廣泛。

除此之外，洪延青還告訴記者另一個可能會出現信息泄露的情形。“目前，無論是政府還是企業，均希望自身掌握的數據越來越多，這就要求多來源的數據匯聚。但這同時也會帶來更大的風險。”他解釋道，之所以這樣說，主要還是由于此前的信息經常是分布式存儲，一個信息被打碎分別儲存在四五個區域。這樣即便被黑客攻破一個區域，也不能看到全貌，還需要逐一攻破才能達到其目的。但現在都在開展講究大數據產業，數據被大量匯聚在一起，黑客攻擊也會相對容易，只需攻破一個區域即可。

以個人信息為例，其所有的隱私信息很可能存在泄漏的風險。楊超指出，這其中包括了個人的身份信息、位置信息、社交信息、購物信息、事務辦理信息、網上瀏覽行為信息、生物特征信息以及家庭背景信息等。各個方面的信息都有可能被攻擊者利用。

“之所以會如此，主要還是由于目前的網絡空間已經成為陸、海、空、天四大空間后的第五空間，且這一新出現的網絡空間內的信息存儲、傳輸、加工等各個環節大多都由信息系統進行。”楊超補充道，盡管其方便程度遠遠高于傳統的四大空間，但也更具隱藏、不直觀、技術門檻低、對普通用戶不透明和不易了解等特點。這便催生了網絡空間下的各種信息泄露事件以及網絡安全犯罪猖獗情況的發生。

還記得如家、七天等連鎖酒店于2013年10月被曝有多達2000萬條客戶的開房信息遭到泄露。包括身份證號、生日、手機號碼、公司、地址、郵箱、登記日期等真實信息只需通過輸入姓名或身份證號即可獲得。

根據媒體此前的報道，在該事件發生一周以前，國內安全漏洞監測平臺烏云便發布報告稱，多家酒店開房記錄被無線上網認證管理系統供應商——浙江慧達驛站網絡有限公司存儲，并因系統有漏洞而存在泄露的隱患。

需明確細化負責制

毋庸置疑，信息泄露所帶來的危害是防不勝防的。因此，對于信息安全的保護工作也受到各領域的足夠重視。

在王軍看來，信息安全的防護主要有三大方面，包括國家、企業、個人。從國家層面上看，一方面，對于一些涉及到國家秘密的數據和信息，各國家都有相應的法律、制度、技術等層面的措施。另一方面，對于敏感數據、公民數據等，如受到大范圍的泄露，在經過分析后，也有可能會得到單個數據之外的某種程度的重要信息。因此，要加強對跨境數據的流動的關注，更要高度重視信息泄露的問題。

而對于當下的企業而言，大多都更加重視對其數據的保護。王軍指出，通常認為數據是一個企業的戰略性資產，特別是在大數據時代，此前被認為不太重要的數據變得更為重要。既然如此，就該從多方入手，加強對其的保護工作。包括在宏觀認識上的加強、具體保護措施的制定和實施，亦或是法律層面的制定等，均需引起足夠的重視。

事實上，“有許多企業認為只要其自身的防護系統做得好就夠了，但實際上，如若有內部人倒賣個人信息，外部技術做得再好也沒有用。由于系統對內部人是不設防的。因此，相關企業做到管理和技術并行是至關重要的。”洪延青坦言道。

在個人信息安全的保護方面，還是應先增強自我保護意識，了解相關的保護措施。當個人信息遭到非法泄露時，要利用法律武器來維護自身的權益。

“個人在填寫信息時，能少填盡量少填寫，能不完整填寫就不要填寫得那么清楚。另外，在填寫電話號碼時，盡量不要填寫常用號碼，可專門準備一個不常用的號碼。在網上交易購物，盡量用ID 或不常用的手機號，盡量少用個人的真實信息。”楊超說道。

不僅如此，楊超還提出，在立法層面應該嚴厲打擊此類個人隱私信息的竊取和濫用。需要看到的是，《中華人民共和國網絡安全法》第四十條指出，網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

在業內人士看來，無論是由于內部人員倒賣或外部的黑客攻破導致信息泄露等，收集以及使用個人信息的網絡運營者都是第一主體責任人。

“誰收集、使用信息，誰就要對信息安全負總責。”洪延青說道，這個總責主要有兩層意思，一是主體責任，信息從哪里泄露，哪里就要負責任。二是指信息通過交易或共享流轉至第二家、第三家、第四家時，要尤為慎重，確保第二家、第三家等也有相應的安全水平和安全責任。否則，一旦信息泄露，即便問題出現在第二家、第三家，第一家也脫離不開連帶責任。

據了解，通過明確相應的責任，既能引起網絡運營商對其掌握的個人信息保護工作予以足夠的重視，又能有效地避免個人信息泄露導致嚴重后果時出現的無人負責的局面。

最后，楊超還提醒道，在個人信息保護方面要注意，賬戶分級管理最重要的銀行卡，不要開通網銀及第三方支付平臺。即便開通了第三方支付平臺的銀行卡，也不要儲存過多的現金。同時，還要重視設置密碼，各類金融服務密碼盡量設置復雜并定期修改，以提高其安全指數。尤其不可將網銀賬戶、QQ、郵箱等設置為同一密碼。