对于“智慧校园”与人脸识别的一些看法

​ 当我看到一块块电子班牌,一台台人脸扫描机器立林于校园,我的心中五味杂陈。

​ 我自认为我的信息技术水平能排在全校同学的平均水平之上。我管中窥豹这个互联网,那些所谓“绝对安全”的技术事实上”漏洞百出“——例如我们每天使用的HTTPS,也就是SSL/TLS协议,传输过程全程加密,看似无懈可击。可黑客只要置身于你的局域网内,想要脱去加密的外壳轻而易举,他可以盗取你的任何信息。我举这个例子是想告诉你:互联网没有安全一说

​ 人的生物特征向来被视为重要隐私。从乐视手机超声波指纹遭到破解,到苹果涉嫌私自使用用户声纹信息被起诉再到前两天发生的案件:

【17万人脸数据遭公开售卖:商家从事人工智能工作 】
据北京青年报报道,在某网络商城中有商家公开售卖17万条“人脸数据”,每张照片搭配有一份数据文件,除了人脸位置的信息外,还有人脸的106处关键点。商家称,其售卖的人脸样本中,一部分是从搜索引擎上抓取的,另一部分来自境外一家软件公司的数据库,并表示,自己平时从事人工智能的相关工作,因此收集了很多人脸数据,发售出来“也就是挣个饭钱”。

无一不在说明人们对生物特征的重视。而这些数据一旦泄露,就好比你的身份证在你不知道时丢失,并可以被人任意使用。

​ 诚然,人脸识别是一项快速,便捷的技术,可以简化认证步骤,省去携带认证工具的麻烦。但是,这么一项连阿里巴巴(支付宝)这类走在科技前沿的企业都在小心试探地使用(刷脸支付灰度测试),在校园内强制普及人脸识别系统,是否操之过急了呢?

​ 下面我试着分析校园内部署生物特征识别可能遇到的安全问题:

  • 学校官网,临时搭建用于特殊用途(如选课)等网站,经过专业分析软件(Nessus)的分析后表明存在超40个XSS或SQL注入漏洞,攻击者可以利用这些漏洞获取服务器管理权盗取数据库内数据

  • 目前人脸识别市场鱼龙混杂,诸多著名公司都曾爆出过丑闻(Face++),若将数据托关于其他公司,无法保证数据的安全性

    ​ 因此,我提出以下意见:

  • 允许不愿意使用生物特征识别的学生仍使用校园卡作为身份证明。(参考IPv4,IPv6普及阶段采用的双栈协议)

  • 公开人脸识别等“智慧校园”的部署计划(如实现方法,合作公司等),以便由学生进行监督,消除学生心里对于信息安全问题产生的不安。

  • 更换校园官网框架(现使用框架发布于2006年,早已过时),使用如Wordpress等付费,实时更新的网站框架,以及时消除潜在漏洞。并配置SSL3.0/TLS1.3等通讯协议以保证客户端与服务器间的安全通讯。

  • 将人脸数据等生物特征数据储存于本地数据库,在内网进行传输。若需要与其他公司合作,请协商并采用更加安全,且目前公认难以破解的传输协议,如VPN(虚拟专用网)。

​ 互联网实是危机四伏,拥有警觉之心并不是坏事。希望对此有想法的老师同学们大胆发言,为学校建设建言献策,也感谢老师们为我们多彩的校园生活付出的一切!


对于“智慧校园”与人脸识别的一些看法
https://blog.laoliu.eu.org/archives/330720fc.html
作者
Lao_Liu
发布于
2019年9月14日
许可协议