如何避免数字图片行为带来的风险

ZDNet安全频道原创翻译 转载请注明作者以及出处

作者：汤姆·欧扎克

在第一部分，我们了解了伪造数字图像的几种方法，这些伪造的图像经常会用在盗窃身份和曲解误传财务资料以及背景上。在这个部分，我们将了解避免伪造数字图像带来的风险的方法。
--------------------------------------------------------------------------------------------

在第一部分，我们了解了伪造数字图像的几种方法，这些伪造的图像经常会用在盗窃身份和曲解误传财务资料以及背景上。在这个部分，我们将了解避免伪造数字图像带来的风险的方法。

重视图片带来的问题

是否存在确定文件照片真实性的简单办法，答案是肯定的。是的，具体的信息（即印章和签字）是非常有帮助的。但我们在第一部分里看到的，这些信息很容易被复制或篡改。而且，不能期望公共和私营公司组织，停止接受通过传真或电子邮件发送的扫描图片。

选择图片防伪管理模式和选择其它领域的管理模式没有什么区别。对何时和如何接受图像文件的情况进行风险评估，了解公司愿意承受什么样的风险。管理模式必须是合理和适当的，可以保证业务和客户的要求，并且不耽误时间。

防范数字图像伪造行为

防范包含了伪造数字图像的文件的最好方法是显而易见的。就是不要接受它们。对于所有重要文件的传递，选择利用联邦快递公司的渠道或其他一些物理传输方法。提供原始文件并控制传递过程和交付过程。再次，对公共和私营组织的一些业务流程来说，要求正本可能不切合实际。因此，这里提出了一些供参考的安全准则：

1. 使用数字证书对文件或者发件人进行身份验证。在标记或加密的图像中使用数字证书。对于B2B电子商务企业来说，这是一个不错的选择，但对于中小企业或者家庭办公的用户来说，可能要么没有资源要么没有资源技能，来购买和实施一个由证书颁发机构发放的证书。自签名证书在这个时间就起作用了，但是身份验证和日常管理等工作会超出了它的适用范围，

2. 使用水印。水印是一个很好的方式，可以确保文件中的照片和图片都没有改变。采用类似的隐写技术，可以在图像中加入认证信息。当收件人想验证它的时间，他或她使用了共享密码，就可以重复这一操作。但是，它只适合于数量有限的合作伙伴。大规模的交易会导致密钥和密码的数量增加到无法管理的程度。而且这个方法只适用于电子邮件发送的图片。因为通过传真发送的图片，往往质量比较低，不能进行认证。

3. 使用实验室收到的每一个文件进行检查，以确保没有伪造的迹象。很好的想法，不过使用实验室的巨额费用该怎么办。

4. 对各种类型文件中的关键信息进行验证。这可能包括了简单拨打图片中提供的电话，或者使用在线服务，验证出现在文件中的地址、出生日期以及其它资料。此外，处理这些文件中图像的工作人员应熟悉正本的外观。他们至少应该能够分辨得出质量非常差的伪造文件。

最后的思考

相比检测技术解决方案的实施或员工识别假文件的培训，伪造数字图像是很容易的事情。就象安全的其它方面一样，常识是最重要的。确定可以容忍的数字文件的风险，作出正确的选择。