◎顧野靈 本報記者 何星輝

　　小學美術本上竟然印有涉黃二維碼，而印刷廠的解釋是：可能是黑客入侵所致。近日，發生在一些學校的稀奇事，經媒體(ti) 報道後，引發社會(hui) 廣泛關(guan) 注。

　　移動互聯網的快速發展帶動了二維碼在日常生活中的應用和普及。如今，“掃一掃”已經成為(wei) 很多人的日常習(xi) 慣。黑白相間的二維碼從(cong) 外表上看幾乎一模一樣，很難區分開來。而這裏可能隱藏什麽(me) 安全漏洞？怎樣杜絕？7月中旬，記者采訪了相關(guan) 專(zhuan) 家。

　　二維碼安全隱患不容忽視

　　針對小學美術本上的涉黃二維碼，奇安信行業(ye) 安全研究中心主任裴智勇表示，近兩(liang) 年，出版物上二維碼被發現涉黃賭毒等違法信息的情況時有所見。通常情況下，這並非出版社疏於(yu) 審核所致，而是因為(wei) 對掃碼的網站信息沒有進行“永久性”維護。“傳(chuan) 統出版物與(yu) 二維碼等網絡資源相結合，是一種適應市場的趨勢，也廣受讀者歡迎，但其中出現的運營和監管漏洞也值得重視。”

　　本質上，二維碼隻是使用特定的幾何圖形對相關(guan) 內(nei) 容進行展示，製碼技術幾乎“零門檻”。相比傳(chuan) 統條碼，二維碼可以容納更多信息，生成流暢的數據流。利用網上的二維碼生成器，就能把任意網址轉換成二維碼，供用戶掃碼訪問。不過，很多人在享受二維碼帶來的便利的同時，很容易忽略暗藏其中的安全隱患。而且，看似簡單的二維碼，普通公眾(zhong) 也往往難以辨認真偽(wei) ，這令不法分子有了可乘之機。

　　裴智勇幾年前曾斷言，未來二維碼可能成為(wei) 個(ge) 人信息安全和通信詐騙新的高發區。事實佐證了這一判斷。涉黃的美術本、偽(wei) 造的繳費通知……近年來，一些不法分子頻頻在二維碼上“動手腳”，導致部分公眾(zhong) 無法分辨而“中招”。

　　生成和識別環節風險突出

　　二維碼出現安全問題，主要的風險點在哪？

　　“二維碼出現安全問題，最大的可能是使用者在生成二維碼時使用了錯誤的鏈接，問題一般出在源頭。”浙江大學國際聯合商學院數字經濟與(yu) 金融創新研究中心聯席主任、研究員盤和林指出，生成環節是二維碼比較集中的風險點之一。二維碼出現問題，要麽(me) 在生成時就是一個(ge) 錯誤的鏈接指向，要麽(me) 是原來對應的二維碼鏈接被篡改或掉包。

　　這種情況下，毫無戒心的用戶掃描“問題二維碼”後，就可能被引到釣魚網站。輕則泄露個(ge) 人隱私，重則損失錢財，讓人防不勝防。

　　“識別環節也是維護二維碼安全的關(guan) 鍵環節之一。”裴智勇說，目前很多支付、社交軟件以及手機瀏覽器都內(nei) 置了掃碼功能，但很多掃碼工具缺乏安全監控和識別能力，難以判斷出“問題二維碼”。究其原因，這與(yu) 二維碼使用企業(ye) 缺乏網絡安全意識和防護能力密不可分。

　　目前，我國二維碼的碼製雖有國家標準，但在應用上還沒有相應的規範。特別是在生成和識別環節上，安全軟肋顯而易見。

　　“問題二維碼”凸顯的監管缺位，亟須引起社會(hui) 的高度重視。

　　需持續維護和全過程管理

　　根據國家互聯網信息辦公室發布的《數字中國發展報告(2022年)》，2022年我國網民規模達10.67億(yi) ，互聯網普及率達75.6%。這也意味著，我國已經成了名副其實的二維碼大國，擁有廣泛的二維碼應用場景和龐大的用戶規模。

　　業(ye) 內(nei) 人士預計，未來中國二維碼產(chan) 業(ye) 規模有望達到萬(wan) 億(yi) 級別。這將對“問題二維碼”的監管提出更高要求。

　　“管理二維碼的難點在於(yu) 對二維碼的持續管理和異常點追蹤，因為(wei) 二維碼往往是外部鏈接，大多數二維碼生成之後，缺乏持續跟進管理。”在盤和林看來，二維碼需要持續維護和全過程管理。“包括二維碼生成、適用範圍、管理和維護、安全保障體(ti) 係、效果評估和優(you) 化等，都要采取措施，以提高安全性。”

　　裴智勇則建議對二維碼進行專(zhuan) 門的備案製，要求二維碼運營主體(ti) 對二維碼備注有效期，並對相關(guan) 網絡資源進行有效維護，一旦發生問題，可以依據網絡安全法追究運營主體(ti) 的法律責任。

　　值得一提的是，目前，我國廣泛應用的二維碼是日本研製的快速響應碼。我們(men) 對此類二維碼缺乏嚴(yan) 格的管理標準，這在一定程度上導致我國在二維碼應用上安全漏洞頻出。二維碼標準的建設任重道遠。

　　奇安信董事長齊向東(dong) 認為(wei) ，數智時代，網絡安全“易攻難守”將成為(wei) 常態化趨勢，解決(jue) 網絡安全問題，不能光靠網絡安全部門，而是要用內(nei) 生安全的方法，投入更多的資金預算和網絡防護人才力量。（來源：科技日報）