“扫一扫”暗藏风险 二维码监管应“加码”

　　小学美术本上竟然印有涉黄二维码，而印刷厂的解释是：可能是黑客入侵所致。近日，发生在一些学校的稀奇事，经媒体报道后，引发社会广泛关注。

　　移动互联网的快速发展带动了二维码在日常生活中的应用和普及。如今，“扫一扫”已经成为很多人的日常习惯。黑白相间的二维码从外表上看几乎一模一样，很难区分开来。而这里可能隐藏什么安全漏洞?怎样杜绝?7月中旬，记者采访了相关专家。

　　二维码安全隐患不容忽视

　　针对小学美术本上的涉黄二维码，奇安信行业安全研究中心主任裴智勇表示，近两年，出版物上二维码被发现涉黄赌毒等违法信息的情况时有所见。通常情况下，这并非出版社疏于审核所致，而是因为对扫码的网站信息没有进行“永久性”维护。“传统出版物与二维码等网络资源相结合，是一种适应市场的趋势，也广受读者欢迎，但其中出现的运营和监管漏洞也值得重视。”

　　本质上，二维码只是使用特定的几何图形对相关内容进行展示，制码技术几乎“零门槛”。相比传统条码，二维码可以容纳更多信息，生成流畅的数据流。利用网上的二维码生成器，就能把任意网址转换成二维码，供用户扫码访问。不过，很多人在享受二维码带来的便利的同时，很容易忽略暗藏其中的安全隐患。而且，看似简单的二维码，普通公众也往往难以辨认真伪，这令不法分子有了可乘之机。

　　裴智勇几年前曾断言，未来二维码可能成为个人信息安全和通信诈骗新的高发区。事实佐证了这一判断。涉黄的美术本、伪造的缴费通知……近年来，一些不法分子频频在二维码上“动手脚”，导致部分公众无法分辨而“中招”。

　　生成和识别环节风险突出

　　二维码出现安全问题，主要的风险点在哪?

　　“二维码出现安全问题，最大的可能是使用者在生成二维码时使用了错误的链接，问题一般出在源头。”浙江大学国际联合商学院数字经济与金融创新研究中心联席主任、研究员盘和林指出，生成环节是二维码比较集中的风险点之一。二维码出现问题，要么在生成时就是一个错误的链接指向，要么是原来对应的二维码链接被篡改或掉包。

　　这种情况下，毫无戒心的用户扫描“问题二维码”后，就可能被引到钓鱼网站。轻则泄露个人隐私，重则损失钱财，让人防不胜防。

　　“识别环节也是维护二维码安全的关键环节之一。”裴智勇说，目前很多支付、社交软件以及手机浏览器都内置了扫码功能，但很多扫码工具缺乏安全监控和识别能力，难以判断出“问题二维码”。究其原因，这与二维码使用企业缺乏网络安全意识和防护能力密不可分。

　　目前，我国二维码的码制虽有国家标准，但在应用上还没有相应的规范。特别是在生成和识别环节上，安全软肋显而易见。

　　“问题二维码”凸显的监管缺位，亟须引起社会的高度重视。

　　需持续维护和全过程管理

　　根据国家互联网信息办公室发布的《数字中国发展报告(2022年)》，2022年我国网民规模达10.67亿，互联网普及率达75.6%。这也意味着，我国已经成了名副其实的二维码大国，拥有广泛的二维码应用场景和庞大的用户规模。

　　业内人士预计，未来中国二维码产业规模有望达到万亿级别。这将对“问题二维码”的监管提出更高要求。

　　“管理二维码的难点在于对二维码的持续管理和异常点追踪，因为二维码往往是外部链接，大多数二维码生成之后，缺乏持续跟进管理。”在盘和林看来，二维码需要持续维护和全过程管理。“包括二维码生成、适用范围、管理和维护、安全保障体系、效果评估和优化等，都要采取措施，以提高安全性。”

　　裴智勇则建议对二维码进行专门的备案制，要求二维码运营主体对二维码备注有效期，并对相关网络资源进行有效维护，一旦发生问题，可以依据网络安全法追究运营主体的法律责任。

　　值得一提的是，目前，我国广泛应用的二维码是日本研制的快速响应码。我们对此类二维码缺乏严格的管理标准，这在一定程度上导致我国在二维码应用上安全漏洞频出。二维码标准的建设任重道远。

　　奇安信董事长齐向东认为，数智时代，网络安全“易攻难守”将成为常态化趋势，解决网络安全问题，不能光靠网络安全部门，而是要用内生安全的方法，投入更多的资金预算和网络防护人才力量。（顾野灵 何星辉）