【导读】正如今天这个纷繁复杂的世界上所有的事物一样，对于一个难题给出粗枝大叶的解决方法只会给人帮倒忙，人们想了解得更多、知道得更详细。对于身份窃取，其实它是关系到我们每一个人的。在消除身份盗窃的艰难历程中，我们的一个主要目标就是提供一个论坛，让大家可以在上面坦诚开放地展开对这个话题的讨论……

身份盗窃和其它类似的言论总是传得很快。现在，id盗窃很猖獗，每年给人们带来上百万美元的损失；而另一方面，在经济方面受到影响的人又非常少。为什么会有如此之大的差别呢？更重要的是，公司老板、it经理、软件开发者、普通客户和风险管理者怎样做才能够阻止id盗窃呢？好像知道的人不多。

这就是2005年6月芝加哥一次大会上与会者所面临的难题。fbi、联邦经济情报局（secret srevice）、芝加哥警方和身份盗窃阻止专门兴趣组（identity theft prevention special interest group，sig）在05年的年初就由自由联盟（liberty alliance）组织了起来，大家一起讨论关于身份盗窃这个话题。这个小组很快就认识到，身份盗窃这个词在媒体和业界的出现频率很低。

澄清误解

身份盗窃组织sig的主席之一，michael barrett解释说：“在抵抗身份盗窃上遇到的一大难题就是，这个词被用来表述三种差异很大的犯罪行为：一是截获已有的账号，二是用一个人的身份去开新的账号，三是指违法的身份盗窃，也就是说，如果那些被窃的资料提上法律议程的话，会导致犯罪记录或者逮捕。我们得到这个结论后，就决定，我们需要协同工作，来把这个词定义得更加精确。”

正如今天这个纷繁复杂的世界上所有的事物一样，对于一个难题给出粗枝大叶的解决方法只会给人帮倒忙，人们想了解得更多、知道得更详细。对于身份窃取，其实它是关系到我们每一个人的。很多人都见过自称是来自某银行或某在线拍卖网站上的电子邮件，邮件引诱我们通过伪造的网站公开自己的信息。或许，我们身边就有遭受过信用卡欺诈、身份盗窃、身份欺诈之类行为的受害者。很不幸的是，无论是作为普通客户、数据管理者，还是作为技术专家和策略制订者，我们对这个问题的了解都是不完整而且不连贯的。

在消除身份盗窃的艰难历程中，id盗窃阻止sig的一个主要目标就是提供一个论坛，让大家可以在上面坦诚开放地展开对这个话题的讨论。此外，这个小组还受到特许，为阻止身份盗窃提建议并把最好的策略形成文档。这个由包括金融服务公司在内的各行各业的组织组成的小组的第一个主要工作就是，做出一个词典。

sun微系统公司负责联合身份的架构师robin wilton说：“定义id盗窃，很有点盲人摸象的感觉。每个人都会描述一个不同的侧面，没有人真正理解整个东西。我们讨论身份盗窃的真正名称，或者说‘并行词汇’，损毁数据库、获取账号/账号劫持、违法身份盗窃看起来都是一样的，但实际上差别却很大。在整个生命周期的不同阶段会发生各种各样的活动，每一个要发生的事情，我们都必须要定义清楚并理解透彻。”

拓宽视野

据sig的定义，真正的身份盗窃应该是，某人欺诈性地获得了个人信息并用之开新的信用卡账号、手机服务等。账号劫持是指，窃取个人信息，去访问已存在的账号——可能情况之一是更改邮件地址，然后在受害者意识到情况糟糕之前转帐。违法的身份盗窃是指更加邪恶的行为：某人犯了罪，在要受到法律严惩之时，以你的身份作为他自己的。这种情况下，就不只是钱的问题，可能你会成为替罪羊，被逮捕！

sig的项目manger britta glade说：“随着对此话题讨论的深入，我们也在一步步开阔视野。我们觉得，通过做出更加详细的定义，我们也许可以找到更好的方法来对抗这些违法犯罪行为。”这个小组所发现的确实非常出人意料。glade说：“身份盗窃并不是一个简单的、单一的犯罪行为，实际上，身份盗窃是可能由多人参与的一系列的犯罪活动，并且，这些人甚至都不需要互相认识、互相了解。”

随着对这个问题研究的深入，小组认定结果不会是一个单一的词典。实际上，一部更加深入详尽的词典已经逐渐成型了。名为《id盗窃初级读本（identity theft primer）》的这本词典全面而透彻地解释了这个主题，有对不同词汇的完整定义，对身份盗窃的生命周期也有条理的阐述，附录中还详尽地描述了身份盗窃攻击源以及为了减轻危害可以采取的步骤。现在就可以从自由联盟的网站上免费下载（http://www.projectliberty.org/）《id盗窃初级读本》。对于对这个问题有兴趣，并有兴趣学会怎样对抗、阻止身份盗窃以及从身份盗窃中恢复的人来说，这个都是一个必读物。

id盗窃的生命周期就可以说明这项工作的涉及范围。《初级读本》中把该生命周期分为六个独立的阶段：计划（planning）、安装（setup）、攻击（attack）、收集（collection）、欺诈（fraud）以及邮件攻击（post-attack），每一个阶段都是独立的，可以由不同的人或小组执行。好的一方面是，每个阶段的行动如果能够及早被擒，就可以通过一系列特别工作减轻损失。

据一家参与sig讨论的大金融服务公司的首席安全官称，因为没有一个专门的公司致力于解决整个问题，在其生命周期的任何一个阶段阻止身份盗窃都是很困难的。不过，如果你明白要完成id盗窃必须发生的事情的顺序，那么你就会知道应该在哪里实施保护措施，以达到最好的结果。

免费的建议

攻击源很复杂，因为它涉及范围广，包括技术、身体、社会工程等各种攻击源，当然也都有相应的对抗措施。大量形态各异的攻击展现了身份盗窃的复杂性，而我们在日常工作中也应该采取一些措施。“信息怎样才能变成金钱”引起了人们的极大关注，同时，黑暗的一方也逐渐有所表现。

身份盗窃sig是这样看待《id盗窃初级读本》的：理解并防止身份盗窃的第一步。这本书现在已经包含了三个方面相互关联的文档，不同层面的读者都可以找到自己感兴趣的章节。

“身份盗窃阻止之数据守护指南”篇会为真正传输、交互、储存个人身份信息的公司和个人提供建议和最好的策略。

barrett解释说：“这一章会描述适用的准则，而不是提供大量最好的策略，因为随着技术的不断发展，具体的策略都会过时。”

“身份盗窃阻止之测量制定指南”篇会总结不同国家适用的法规，以帮助小组制定符合依从性的策略并实施新的规则。

第三个文档，“身份盗窃阻止之技术专家指南”，会为可能涉及到个人信息的架构师、软件设计者和软件购买者提供帮助。

通常情况下，这样的著作是不会对任何人都免费的，而现在我们完全免费。这个小组的专家们已经找到了方法，让我们能够理解并有能力对付身份盗窃。读一下这个《初级读本》，并随时关注新推出的相关文档，及时了解遇到此类问题是应该怎样采取行动。

原文作者简介：

tanay candia是信息技术方面，尤其是数据管理及安全方面的顾问及专家，此外，她在商业管理和市场方面也颇有见地。作为candia通讯公司的创始人兼总裁，她亲身做过大量各种类型的商业、策略、市场等项目的顾问工作。