二維碼安全問題及應(yīng)對策略.doc

二維碼的安全問題與應(yīng)對策略摘要近年來，隨著移動互聯(lián)網(wǎng)與移動智能手機(jī)的普及，二維碼產(chǎn)業(yè)蓬勃發(fā)展，二維碼的身影在我們的生產(chǎn)生活中隨處可見。通過掃描二維碼進(jìn)行移動支付、獲取信息、網(wǎng)站跳轉(zhuǎn)、廣告推送的方式也越來越普及。未來，二維碼的應(yīng)用也必將多元化，豐富化。但二維碼也會被用于不良企圖，由此引發(fā)的信息泄露、信息篡改、二維碼病毒等安全問題。本文主要探討二維碼的安全問題和應(yīng)對策略。關(guān)鍵詞：二維碼 安全問題 應(yīng)對策略二維碼技術(shù)作為一種信息交換、傳遞的介質(zhì)，相較于一維條形碼具有很大優(yōu)勢，不但在質(zhì)方面使應(yīng)用水平得以提升，在量方面也拓寬了信息傳遞的領(lǐng)域。二維碼具有高密度、高容量、糾錯(cuò)強(qiáng)和成本低等特點(diǎn)，不依賴網(wǎng)絡(luò)和數(shù)據(jù)庫，因此擁有著廣泛的應(yīng)用前景。但近年來，在二維碼使用中出現(xiàn)了各種安全問題，阻礙了它的應(yīng)用和發(fā)展?；诖耍疚膶⒑唵谓榻B二維碼的基本特點(diǎn)與發(fā)展現(xiàn)狀，并詳細(xì)闡述二維碼技術(shù)在商業(yè)、工業(yè)、金融業(yè)等領(lǐng)域的廣泛應(yīng)用中存在的安全隱患，并討論針對此類現(xiàn)象的應(yīng)對策略。一、 二維碼的發(fā)展概述與基本特點(diǎn)1、 二維碼發(fā)展概述二維碼是20世紀(jì)70年代由日本發(fā)明的一項(xiàng)將條碼技術(shù)。它是一項(xiàng)將數(shù)據(jù)符號信息記錄在某種特定幾何圖形中的條碼技術(shù)，通過圖像輸入設(shè)備或光電掃描設(shè)備自動識讀，以實(shí)現(xiàn)信息自動處理。二維碼雖然出現(xiàn)并不晚，但二維碼進(jìn)入我們大眾視野還是近幾年的事情。主要得益于近幾年互聯(lián)網(wǎng)和智能移動手機(jī)的發(fā)展。二維碼發(fā)明之初，主要用于企業(yè)中產(chǎn)品的清點(diǎn)與追蹤等用途，但由于一般的中小型企業(yè)倉庫庫存數(shù)量并不大且倉儲形式簡單，使用信息量巨大的二維碼有大材小用之嫌，同時(shí)二維碼沒有形成完整的系統(tǒng)，應(yīng)用起來不如一維碼方便。而近幾年，由于二維碼在移動支付、獲取信息、網(wǎng)站跳轉(zhuǎn)、廣告推送等領(lǐng)域的功能開發(fā)，才使得二維碼發(fā)展的越來越迅猛。未來，我們生產(chǎn)生活中需要處理的信息越來越多，二維碼的優(yōu)勢也將得到凸顯，應(yīng)用也將越來越廣泛。二維碼的產(chǎn)業(yè)鏈也將越來越完整，同時(shí)形成比較完整的行業(yè)標(biāo)準(zhǔn)。2、 二維碼的基本特點(diǎn)（1） 信息量大，編碼范圍廣與一維碼相比，二維碼擁有更多的信息儲量，可容納多達(dá)1850個(gè)大寫字母，或2710 個(gè)數(shù)字，或1108 個(gè) 字節(jié)，或500多個(gè)漢字，約為普通一維碼容量的幾十倍。二維碼不僅可存儲文字、數(shù)字類信息，同樣可將圖片、聲音、指紋、鏈接等數(shù)字化信息進(jìn)行編碼存儲；（2） 容錯(cuò)能力強(qiáng)，譯碼可靠性高由于二維碼在形成過程中加入了校驗(yàn)信息，使二維碼具有了錯(cuò)誤校驗(yàn)和糾正能力。理論上說，即便二維碼部分損壞，不再是完整的二維碼圖形，也可以還原正確信息。（3） 編譯簡便，成本低一個(gè)二維碼的編制，只需要一個(gè)小小的編譯軟件或者在線編譯平臺。即使不懂得二維碼編譯原理的人們也可以利用軟件或平臺很快獲得自己想要的二維碼。掃碼識別則更加簡單，這也是近幾年二維碼普及的一個(gè)重要原因。二維碼憑借上述優(yōu)勢，得到了廣泛應(yīng)用，形成產(chǎn)業(yè)化、規(guī)模化發(fā)展，已滲透至人們的日常生活，尤其在城市管理服務(wù)體系和民眾日常生活服務(wù)中得到有效應(yīng)用?？焖侔l(fā)展的同時(shí)，二維碼存在的安全問題也不可忽視。二、 二維碼技術(shù)與應(yīng)用中存在的安全問題1、 成為病毒木馬、釣魚網(wǎng)站傳播新渠道。目前， 一些二維碼發(fā)布平臺對二維碼發(fā)布前及發(fā)布后安審核力度不足，制作源頭難以查找，給手機(jī)病毒、吸費(fèi)軟件、釣魚網(wǎng)站等通過二維碼傳播創(chuàng)造了條件。不法分子將惡意軟件鏈接嵌入二維碼中，誘騙他人掃描，造成用戶被惡意耗費(fèi)或被盜取網(wǎng)銀賬號等，嚴(yán)重?fù)p害用戶利益。2、 二維碼信息更容易泄露二維碼信息雖然不可直接肉眼讀取，但是由于掃碼軟件，特別是智能手的興起，掃碼識別已不再是一件難事，任何人都很容易可以進(jìn)行掃碼識別，所以儲藏在二維碼中的個(gè)人信息更容易泄露。前不久，我國火車票中二維碼儲藏的購票人個(gè)人信息就被指出特別容易被不法分子利用，輕易獲取個(gè)人身份信息，存在安全隱患。3、 對二維碼的監(jiān)管力度不夠二維碼制作、掃描軟件已納入應(yīng)用商店第三方應(yīng)用監(jiān)管范圍，但目前的監(jiān)管力度與二維碼發(fā)展速度不匹配。同時(shí)，目前已發(fā)布的免費(fèi)二維碼制作和掃描軟件非常之多，任何組織或個(gè)人均可借助這些免費(fèi)二維碼軟件制作和發(fā)布二維碼，若被不法分子利用，借助二維碼肆意 傳播木馬病毒或發(fā)布不良信息，將嚴(yán)重威脅我國網(wǎng)絡(luò)與信息安全。4、 二維碼成為違法信息傳播新方式在現(xiàn)行互聯(lián)網(wǎng)監(jiān)管體系下，文本、圖片、語音、視頻等信息載體形式均有相應(yīng)的信息內(nèi)容監(jiān)測過濾工作機(jī)制及技術(shù)手段要求，保證不良及違法信息在信息傳播環(huán)節(jié)總體上可管可控。隨著二維碼日益普及，論壇、微博、網(wǎng)站中逐漸出現(xiàn)二維碼信息載體形式，二維碼具有承載內(nèi)容不直接可見特征，一旦被用作敏感、違法信息 傳播渠道，在一定程度可規(guī)避現(xiàn)行信息內(nèi)容監(jiān)測過濾技術(shù)手段，大大增加了違法信息傳播擴(kuò)散的風(fēng)險(xiǎn)。5、 二維碼與移動支付結(jié)合，成為金融詐騙新手段隨著移動支付的發(fā)展，越來越多的用戶開始使用二維碼支付，這種只需掃描二維碼就可完成全部支付流程的付款方式，極大地方便了消費(fèi)者和商家。但由于多數(shù)二維碼掃描工具缺乏病毒木馬檢測能力和惡意網(wǎng)址識別能力，使二維碼支付成為了感染高危手機(jī)支付類病毒的染毒渠道。用戶在支付過程中的個(gè)人消費(fèi)信息及資金賬戶安全受到了嚴(yán)重的威脅。今年來，通過掃碼支付被騙的新聞也屢見不鮮。三、 針對安全隱患的應(yīng)對策略1、加強(qiáng)監(jiān)管力度在我國，相關(guān)部門對二維碼的監(jiān)管是“一片空白”，制作二維碼沒有任何規(guī)定，發(fā)布二維碼沒有任何限制，我國二維碼行業(yè)處于無序競爭狀態(tài)。二維碼諸多安全問題產(chǎn)生的根源在于該行業(yè)尚未建立起統(tǒng)一的標(biāo)準(zhǔn)體系，尚未形成統(tǒng)一的頂層編碼和解析體系。解決這個(gè)問題迫在眉睫。監(jiān)管的首要工作是對二維碼制作發(fā)布方的監(jiān)管。此項(xiàng)工作主要包括以下幾方面：應(yīng)用商店有必要針對二維碼制作和掃描軟件建立安全檢測評估與通報(bào)的長效機(jī)制；委托第三方專業(yè)評測機(jī)構(gòu)對二維碼制作和掃描軟件進(jìn)行周期性安全檢測，并定期向社會通報(bào)發(fā)布檢測結(jié)果；引導(dǎo)用戶選擇使用安全級別高的二維碼軟件；試點(diǎn)推行二維碼應(yīng)用軟件開發(fā)者簽名機(jī)制，實(shí)現(xiàn)應(yīng)用軟件的全程可溯源。同時(shí)需要規(guī)范二維碼發(fā)布的網(wǎng)絡(luò)安全管理流程。針對二維碼傳播木馬病毒的問題，微博、網(wǎng)站及論壇等二維碼發(fā)布渠道須規(guī)范流程，建立二維碼發(fā)布前的預(yù)審機(jī)制，并對已發(fā)布的二維碼實(shí)行不定期檢查。針對惡意二維碼制作源頭難以查找問題，組織科研機(jī)構(gòu)和企業(yè)開展二維碼溯源技術(shù)研究，實(shí)現(xiàn)二維碼發(fā)布者有源可溯。另外，監(jiān)管還需要鼓勵(lì)開發(fā)者研發(fā)推廣安全的二維碼軟件，提高二維碼制作和掃描工具安全檢測能力。首先，通過加強(qiáng)行業(yè)協(xié)會、軟件發(fā)布渠道、社會輿論的宣傳和引導(dǎo)，鼓勵(lì)軟件開發(fā)者研發(fā)推廣帶有安全掃描功能或接口的二維碼掃描軟件，提高對病毒、木馬鏈接等惡 意網(wǎng)址識別能力；其次，還要提高二維碼制作和掃描軟件自身防篡改、反逆向等能力，切實(shí)保障用戶數(shù)據(jù)、個(gè)人信息和財(cái)產(chǎn)安全。2、技術(shù)層面的支持從源頭上，也就是技術(shù)層面上解決二維碼的安全問題也許更加有效。比如，在二維碼內(nèi)加入簽名認(rèn)證。簽名認(rèn)證機(jī)制是確保網(wǎng)絡(luò)用戶安全的最基本保障之一。通過簽名認(rèn)證機(jī)制，可以對二維碼的制作發(fā)布者進(jìn)行全民監(jiān)督跟蹤，及時(shí)準(zhǔn)確的對問題二維碼的來源進(jìn)行究責(zé)與處罰，為二維碼的發(fā)展開辟一條健康大道。同時(shí)，采用抵御性強(qiáng)的加密解密方法也可以提高二維碼的安全性。這個(gè)主要針對二維碼的編譯，采用抵御性強(qiáng)的加密解密方法在一定程度上可以增加二維碼的保密性，減少信息泄露的可能性。另外，硬件層面上也可以增加安全防護(hù)措施。比如用來掃碼的手機(jī)等設(shè)備，應(yīng)該加裝可以識別危險(xiǎn)二維碼的硬件或者軟件，防止設(shè)備進(jìn)入危險(xiǎn)網(wǎng)址或者進(jìn)行詐騙支付等。3、 使用者的安全意識如何安全使用二維碼？要解決這個(gè)問題大家應(yīng)該掌握一些二維碼的相關(guān)知識、常見犯罪手法和案例，提高安全防范意識。同時(shí)要養(yǎng)成良好的手機(jī)使用習(xí)慣。首先，到官網(wǎng)下載工具軟件。為避免二維碼掃描工具與生成器藏毒問題，建議大家到正規(guī)的網(wǎng)站下載所需工具軟件，不要隨意到手機(jī)論壇以及無安全檢測的電子市場下載。其次，不要見碼就掃。一般情況下，正規(guī)的報(bào)紙、雜志以及各大商場海報(bào)上的二維碼是安全可靠的，但對于街頭及網(wǎng)上發(fā)布的不明來歷的二維碼需要提高警惕。在掃碼前要確認(rèn)該二維碼是否來自正規(guī)網(wǎng)站，更不要隨意點(diǎn)擊鏈接或下載安裝。然后，手機(jī)中需要安裝防病毒軟件。減少病毒侵害最好的辦法就是安裝防病毒軟件，建議大家安裝專業(yè)的手機(jī)安全軟件。 另外，學(xué)會利用法律維護(hù)個(gè)人的合法權(quán)益。當(dāng)我們的個(gè)人信息受到非法侵害時(shí)，首先可以選擇向公安機(jī)關(guān)報(bào)案，要求追究行為人的刑事責(zé)任。其次，可以通過民事訴訟形式，追究其侵害個(gè)人隱私權(quán)的民事責(zé)任，積極地維護(hù)自己的合法權(quán)益。四、 結(jié)束語二維碼的本質(zhì)是解決信息化問題、實(shí)現(xiàn)信息快速便捷地傳遞、引導(dǎo)信息從線上向線下導(dǎo)入的入口。隨著二維碼安全隱患受到廣泛關(guān)注并得到妥善解決，行業(yè)市場、商業(yè)模式不斷成熟，促進(jìn)了媒體、通信和互聯(lián)網(wǎng)的融合，對于傳統(tǒng)商業(yè)來說，開辟了新營銷服務(wù)，延伸了宣傳路 徑，增進(jìn)了與客戶的互動，提升了服務(wù)品質(zhì)；將其應(yīng)用 在電子票務(wù)方面，節(jié)省了票據(jù)開支、配送成本，并且可提升防偽和安全性能方面的需求。二維碼提供的信息移動性、便捷性以及全面性，