刘锋:操作行为保密亦属信息安全范畴

【技术达人秀4】清华同方电脑总工程师刘锋

广义的信息安全是指使用者在特定的时间与特定的对象通信。也就是说，在某些使用场合操作本身是需要加密的。即使通信内容已被加密，使用者仍需要注意操作行为本身的保密性。其原因是密集的通信联系在很多时候就代表一定的信息。

这一点在个人信息安全方面表现得比较突出。最典型的例子就是个人进行网银操作时可能遇到安全风险——如何将口令、操作金额、操作细节等在本地正确加密，以确保这些信息不被木马盗走，以及如何保证这些信息在传递过程中不被中间人攻击。目前，从技术层面解决这些问题最有利的武器是密码算法。

需要强调地是，密码算法并不神秘，自人类有通信手段以来，密码算法就被应用到实践中。最初，人类在写密信时，要将部分文字变换算法，替换成内容。当电台出现后，人类将信息内容换算成数字电报代码进行发送，收报人要使用同样的密码本对数字代码进行还原，从而译出信息。为了方便使用，人类后来发明了可以轮换密码的自动密码机。如今，随着信息技术日益进步，人类开始在计算机上使用各种各样的密码算法。

其他保护信息安全的手段，比如反木马、病毒工具、终端防护工具等，存在的意义就是保护计算机的操作环境不受污染。之所以要对操作环境进行保护，是因为目前密码算法在计算机上的加密和还原过程对其他设备而言是可见的，为了保证信息在此过程中不被泄漏，就必须要对操作终端实行设防。

仍以网银操作为例，当使用者输入密码并发送后，信息实际上就已被加密。在此过程中，使用者敲击键盘向电脑输送的是明文。例如，使用者按下W键，电脑就会自动扫描并将其输送到操作系统中，系统接收到该指令后，浏览器等任何与系统连接的第三方程序都会存储该信息。在这种情况下，这些程序既会知道浏览器在运行过程中链接了某银行的网银，又会知道使用者按下了W键，如果有其他使用者把存储在这些程序中的当前屏幕进行截屏并传递出去，外人就可从信息中推测出很多内容。

对于政府办公的加密文件而言，技术道理是一样的。因为文件首先要以明文的形式存在，然后才能被加密成密文传递。在这一系列的操作过程中，明文可能由于在录入过程中被截取而继续存留在最初的机器中。因此，保护信息安全的核心是不断加强加密算法的安全性，从而更有力地保护信息本身以及信息在保存、传递过程中的安全性。(梁爽)