安全電子郵件“烏托邦”
在中國人當中,有多少人覺得電子郵件很安全?記者可能無法給這個問題一個具體的數字答案,但就記者所問及過的人,所了解到的情況,大家的感受大概都處于一個比較模糊的狀態——沒想過到底安不安全,反正自己的郵件里也沒有什么機密內容,無所謂。
無所謂,這個詞可以很輕易地從個人用戶嘴里說出,但對于企業用戶而言,幾乎沒有人可以拍著胸脯說無所謂。隨著電子商務轟轟烈烈地展開,企業之間也越來越傾向于用電子郵件相互傳送一些機密文件,而這些文件一旦被泄露,不僅會給企業造成直接的損失,也會影響到企業間的合作關系。
某企業的老總劉先生前陣子就遭遇了這種不幸,在給合作方發送一封帶有商務數據的E-mail之后,居然被不明身份者竊取并篡改了其中的部分數據,致使劉先生的一大筆生意全部泡湯。
當郵件安全被提上桌面
也許有人看到這里會說,如果是使用的Webmail,可以把責任歸結到郵件網站身上。但問題在于,電子郵件作為一種虛擬信息應用,其用戶信息本身就不具備實名基礎,因而郵件也不具備真正的法律效應。所以說,想單純地依靠電子郵件傳送機密信息,無異于在懸崖上走鋼絲。
在這個問題上,某郵件網站曾經想出了一個辦法,即在自己的網站上采用服務器證書,這樣可以確保從用戶端瀏覽器到郵件服務器之間數據傳輸的安全,保證用戶的賬號、密碼在瀏覽器到郵件服務器的傳輸過程中不被“監聽”。
雖然這一措施在郵件傳輸過程中實施了保護,但電子郵件的傳送并不僅限于客戶端和服務器之間,如何能保證用戶在接收郵件的整個過程中的安全,從而保證到用戶自身的完整利益呢?對此該網站負責人的回答是,服務器證書保證的是郵件數據傳輸的安全,而用戶個人之間進行郵件傳輸的安全保護手段,則需要用戶自己采取措施。
像這類網站的用戶對象是以個人為主,因此服務器證書在某些方面的安全保護措施對于個人用戶來說可能適用。但在安全意識方面,企業用戶要遠遠高于個人用戶,因此對于面向企業為主的郵件網站來說,單憑服務器證書可能很難滿足企業用戶的需求。
據天威誠信數字認證中心總裁助理唐志紅介紹,目前國內電子郵件所存在的問題主要集中于反病毒、反釣魚、反垃圾這幾個方面,而用戶的需求已經從原始的發送信件逐漸上升到了保護自身賬號密碼、抵制垃圾郵件、反病毒和詐騙等多層要求,因而對電子郵件的服務完善要求也越來越高。如何能在保證用戶郵件信息不被竊取和篡改的同時,又能保證及時抵御垃圾郵件和病毒,則是目前郵件技術領域的突破目標。
加密與反垃圾魚與熊掌?
與上文提到的服務器證書相比,還有另外一種安全模式——郵件證書,即專門針對電子郵件所發行的數字證書。唐志紅說,不論是個人用戶還是企業用戶,只要申請了郵件證書并安裝到電腦上,就可以對郵件進行簽名和加密了。“一旦郵件被加密,郵件就不會被其他人看到,而簽名也可以保證郵件雙方的身份信息不會被冒充頂替。
”
從用戶自身的信息安全角度來看,這的確在一定程度上保障了用戶的利益。因為信件的內容可以受到嚴密的保護,用戶在發送和接收郵件時也對雙方的身份屬實性更為放心。但是,單純的郵件證書還只能保證用戶的身份確認和信息加密,至于對垃圾郵件的抵制暫時還未涉及。
據最近的互聯網調查報告顯示,在中國的郵件用戶中,垃圾郵件的比例占到了所有郵件的60%。而從上世紀末開始,探索反垃圾郵件技術的風潮就在國內悄然興起,263郵箱就是其中比較典型的一家。“我們現在主要是通過垃圾郵件感受度的檢測,來控制用戶所收到的垃圾郵件的數量。”263副總裁趙江波所提到的這種反垃圾郵件系統,是利用計算機系統分析典型的垃圾郵件,從而得出垃圾郵件的共性特征,然后對郵件的地址和內容進行檢測,將符合這些共性特征的郵件判定為垃圾郵件,其中比較明顯的會及時刪除,不能肯定的則放入不明文件夾中,由用戶自己去判斷是否有用。
不過,最近有一個關于反垃圾郵件系統的聲音很高,那就是郵件用戶的隱私問題。由于反垃圾郵件系統掃描的不僅是郵件的地址,還有郵件的內容,因此不少人質疑這種反垃圾郵件系統在保護用戶利益的動機下,是否其本身就侵犯到了郵件用戶的利益呢?對此趙江波的解釋是,反垃圾郵件系統是通過計算機來掃描的,而垃圾郵件的分辨光憑地址往往很難判斷,因此通過掃描郵件內容來反垃圾不可避免。
巧合的是,目前市場上所推廣的郵件證書加密功能就是,當電子郵件被郵件證書加密之后,反垃圾系統就只能根據地址和郵件題頭進行掃描,這也恰好可以進一步保護郵件用戶的隱私安全。目前,263、中企動力就與天威誠信建立了合作關系,推出了以面向企業為主的郵件證書。唐志紅稱,這種合作不需要太多的技術兼容,只要兩種系統進行對接,就可以實現反垃圾郵件和信件簽名加密的雙重保護。#p#
安全與價格的天平
郵件證書的推出的確為用戶帶來了極大便利,但問題也隨之而來。目前的郵件證書使用加密要求雙方都持有郵件證書,如果只有一方擁有郵件證書,就不可以發送加密郵件,否則對方是無法讀取的。這無疑給用戶造成了不便,決定著郵件安全至關重要的一項功能最后卻成為用戶使用郵件的阻礙,自然也會影響到郵件證書的推廣。另外,唐志紅告訴記者,不論是對于企業還是個人,郵件證書都具有單一對應性,即一張證書只能用于一個郵件地址,也就是說,如果一家擁有1000名員工的企業需要使用郵件證書,就需要申請1000張郵件證書。“一張郵件證書目前的市場價格在100~200元。”
北京春笛信息技術有限公司所開發的金笛軟件,是專門應用于電子郵件領域的安全應用系統。據公司總經理沈朝陽介紹,從2000年開始,春笛就向國內的一些事業單位出售金笛軟件,并配套提供升級服務。“一套軟件的價格在2萬左右,每家企業只需要一套軟件就可以應用于所有員工,而以前企業需要向員工發送內部文件時,用打印和傳真會造成巨大的資源浪費。”
這種應用于企業內部的安全郵件系統,在一定程度上已經實現了反垃圾郵件和簽名加密的功能。不過,有一個問題可能會影響這種軟件的推廣。一套軟件2萬塊,對于大型企業來說不算什么,但對于大多數中小型企業甚至是個人用戶而言,這不是一個小數目。考慮到技術開發和系統安裝等因素,把價格降下來以適應中小企業顯然不現實,但要將他們的意識提高到花高價成本維護安全同樣不現實。
安全任重道遠
困難的是問題還不止于此。“不論是反垃圾郵件系統、郵件證書還是郵件安全軟件,在使用步驟上給用戶帶來的不便也會直接影響到郵件安全系統應用的發展。”趙江波對此表現得很無奈。而郵件用戶安全意識的缺乏,市場相關法規的欠缺,也同樣會影響到郵件安全系統未來的發展。
“我們未來主要是通過簡化使用步驟、跟終端綁定等方法來加強郵件證書的使用推廣,不過用戶自身安全意識的提高也很重要。”唐志紅認為郵件證書未來的發展還任重道遠,而某郵件網站負責人則對未來的郵件市場進行了預測:“反病毒將成為普及服務;反釣魚技術將在未來兩年內被郵件服務商重視,并得到技術突破;反垃圾則任重道遠,垃圾郵件總量還會呈增多趨勢,但技術同時也在進步,電子郵件市場會朝著良性方向繼續發展。”
而談到郵件證書在郵件安全領域的未來發展方向時,唐志紅也說出了一個理想的辦法:“作為數字證書當中的一種,郵件證書市場的空間還很大,它可以將自己所具備的功能特性不斷完善;也可能在未來的某一天,實現與個人電子簽名的結合,這樣一來,只要用戶擁有了個人證書,就可以完成包括郵件證書在內的多重安全應用,同時也在一定程度上實現了郵件證書的實名體制。”
【編輯推薦】
