对于“智慧校园”与人脸识别的一些看法

​ 当我看到一块块电子班牌，一台台人脸扫描机器立林于校园，我的心中五味杂陈。

​ 我自认为我的信息技术水平能排在全校同学的平均水平之上。我管中窥豹这个互联网，那些所谓“绝对安全”的技术事实上”漏洞百出“——例如我们每天使用的HTTPS，也就是 SSL/TLS 协议，传输过程全程加密，看似无懈可击。可黑客只要置身于你的局域网内，想要脱去加密的外壳轻而易举，他可以盗取你的任何信息。我举这个例子是想告诉你：互联网没有安全一说。

​ 人的生物特征向来被视为重要隐私。从乐视手机超声波指纹遭到破解，到苹果涉嫌私自使用用户声纹信息被起诉再到前两天发生的案件：

【17万人脸数据遭公开售卖：商家从事人工智能工作 】
据北京青年报报道，在某网络商城中有商家公开售卖17万条“人脸数据”，每张照片搭配有一份数据文件，除了人脸位置的信息外，还有人脸的106处关键点。商家称，其售卖的人脸样本中，一部分是从搜索引擎上抓取的，另一部分来自境外一家软件公司的数据库，并表示，自己平时从事人工智能的相关工作，因此收集了很多人脸数据，发售出来“也就是挣个饭钱”。

无一不在说明人们对生物特征的重视。而这些数据一旦泄露，就好比你的身份证在你不知道时丢失，并可以被人任意使用。

​ 诚然，人脸识别是一项快速，便捷的技术，可以简化认证步骤，省去携带认证工具的麻烦。但是，这么一项连阿里巴巴（支付宝）这类走在科技前沿的企业都在小心试探地使用（刷脸支付灰度测试），在校园内强制普及人脸识别系统，是否操之过急了呢？

​ 下面我试着分析校园内部署生物特征识别可能遇到的安全问题：

• 学校官网，临时搭建用于特殊用途（如选课）等网站，经过专业分析软件（Nessus）的分析后表明存在超40个XSS或SQL注入漏洞，攻击者可以利用这些漏洞获取服务器管理权，盗取数据库内数据。

• 目前人脸识别市场鱼龙混杂，诸多著名公司都曾爆出过丑闻（Face++），若将数据托关于其他公司，无法保证数据的安全性。

  ​ 因此，我提出以下意见：

• 允许不愿意使用生物特征识别的学生仍使用校园卡作为身份证明。（参考 IPv4,IPv6 普及阶段采用的双栈协议）

• 公开人脸识别等“智慧校园”的部署计划（如实现方法，合作公司等），以便由学生进行监督，消除学生心里对于信息安全问题产生的不安。

• 更换校园官网框架（现使用框架发布于 2006 年，早已过时），使用如 Wordpress 等付费，实时更新的网站框架，以及时消除潜在漏洞。并配置 SSL3.0/TLS1.3 等通讯协议以保证客户端与服务器间的安全通讯。

• 将人脸数据等生物特征数据储存于本地数据库，在内网进行传输。若需要与其他公司合作，请协商并采用更加安全，且目前公认难以破解的传输协议，如 VPN（虚拟专用网）。

​ 互联网实是危机四伏，拥有警觉之心并不是坏事。希望对此有想法的老师同学们大胆发言，为学校建设建言献策，也感谢老师们为我们多彩的校园生活付出的一切！