“請(qǐng)正確填寫(xiě)您的資料及郵箱地址,我們核實(shí)后會(huì)盡快將您的用戶(hù)名和密碼發(fā)送到您的郵箱中”。如此熟悉的一段話(huà),是每個(gè)網(wǎng)民都曾有過(guò)的切身體會(huì)。其實(shí),以這種方式傳遞密碼等信息的公司不在少數(shù),并且不少公司也正在利用郵件發(fā)送方式外賣(mài)產(chǎn)品。但其安全性卻令人擔(dān)憂(yōu)。
現(xiàn)實(shí)的困擾
面對(duì)公司郵箱的空間限制問(wèn)題,許多公司職員會(huì)選擇利用不同門(mén)戶(hù)網(wǎng)絡(luò)提供的免費(fèi)郵箱存儲(chǔ)重要文件。但沒(méi)有防護(hù)措施,這些未經(jīng)加密郵件的安全性值得懷疑。
2006年3月30日生效的《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》對(duì)此做出了相關(guān)說(shuō)明:電子郵箱不但要考慮防病毒、反垃圾郵件, 同時(shí)也要適當(dāng)關(guān)注如何防范郵件泄密事件。網(wǎng)上的即時(shí)通信方式名目繁多,如QQ、MSN,再加上其向無(wú)線(xiàn)的拓展,讓我們的日常溝通極為便捷。但電子郵件仍然是廣大網(wǎng)民信息溝通的重要手段,很多重要信息的傳遞依托于發(fā)送郵件的方式,如傳送合同文件、訂單信息、設(shè)計(jì)圖紙、員工工資、財(cái)務(wù)報(bào)表等。但郵件發(fā)送方式正面對(duì)諸多安全隱患的困擾,很可能會(huì)對(duì)公司業(yè)務(wù)拓展造成極大影響。
防范郵件泄密正在成為繼反病毒、反垃圾郵件后,郵件服務(wù)運(yùn)營(yíng)商新的關(guān)注點(diǎn)。從國(guó)際上郵件安全服務(wù)看,比較普遍的是郵件證書(shū)加密方式。從技術(shù)角度看,利用電子郵件證書(shū)對(duì)郵件進(jìn)行加密和簽名,可以使接收者方便快捷地確認(rèn)電子郵件的真實(shí)發(fā)送方,并且保證其在傳輸過(guò)程中未經(jīng)篡改。因?yàn)樵趥鬟f過(guò)程中,郵件信息是經(jīng)過(guò)加密的,通過(guò)技術(shù)手段的運(yùn)用,可以防范郵件信息在傳輸過(guò)程中被攔截者獲得。在德國(guó),有些銀行應(yīng)用郵件證書(shū)的簽名技術(shù)向客戶(hù)發(fā)送帶有簽名的電子郵件,保證了郵件出處的真實(shí)準(zhǔn)確,很大程度上抑制了釣魚(yú)郵件的泛濫,提高了客戶(hù)對(duì)于銀行系統(tǒng)的信任度。
郵件加密并不難
既然有技可施,我們不妨了解一下一個(gè)簽名郵件是如何實(shí)現(xiàn)的。由于市面上郵件系統(tǒng)大部分都已集成數(shù)字證書(shū)技術(shù),客戶(hù)申請(qǐng)了數(shù)字證書(shū)后,郵件系統(tǒng)會(huì)自動(dòng)出現(xiàn)兩個(gè)新圖標(biāo),點(diǎn)擊即可發(fā)送簽名加密郵件了,過(guò)程十分簡(jiǎn)便。
當(dāng)接收方收到電子郵件后,郵件會(huì)有簽名與加密提示。其中,簽名保證信息傳遞過(guò)程中未被篡改,標(biāo)明發(fā)送者真實(shí)身份;加密則保證信息數(shù)據(jù)傳遞的機(jī)密。如果傳遞過(guò)程中發(fā)生被盜事件,系統(tǒng)會(huì)自動(dòng)提示。
從安全角度上來(lái)說(shuō),一般郵件加密很難被破解。不過(guò)一般出于安全考慮,我國(guó)的加密證書(shū)都有安全備份,如果危及國(guó)家安全,通過(guò)特定的方式技術(shù)人員也可以對(duì)其進(jìn)行破解。目前,我國(guó)對(duì)于證書(shū)頒發(fā)機(jī)構(gòu)的安全級(jí)別要求很高,一般都是由合法第三方數(shù)字認(rèn)證中心發(fā)放。以天威誠(chéng)信數(shù)字認(rèn)證中心提供的“郵政通”服務(wù)為例,一般客戶(hù)只要兩小時(shí)即可開(kāi)通,并且客戶(hù)可以對(duì)郵件證書(shū)進(jìn)行本地化管理,并可享受免費(fèi)試用。
總體而言,目前的現(xiàn)狀是普通企業(yè)和個(gè)人對(duì)于網(wǎng)上郵件安全普遍意識(shí)不強(qiáng),甚至相對(duì)缺失。在網(wǎng)上跑的99%的郵件都是呈現(xiàn)“裸奔”狀態(tài),這些都為商業(yè)間諜提供了極大的發(fā)揮空間。安全郵件市場(chǎng)依然呈現(xiàn)巨大真空地帶。電子郵件的安全防范不僅需要用戶(hù)的集體意識(shí)覺(jué)醒,還需產(chǎn)業(yè)政策的宏觀指導(dǎo)和安全技術(shù)的及時(shí)跟進(jìn)。
莫名其妙的信息外泄、措手不及的密碼盜取,其實(shí),都是你的郵件在“作怪”。
案件回顧
2005年12月5日,廣州市天河區(qū)法院對(duì)一起郵件欺詐事件進(jìn)行了判決。犯罪嫌疑人柳青展被判處有期徒刑10年,并責(zé)以處罰金人民幣2萬(wàn)元;仡櫼幌掳讣売,柳青展在網(wǎng)吧上網(wǎng)時(shí),利用專(zhuān)業(yè)知識(shí),潛入夏某的電子郵箱,發(fā)現(xiàn)夏某正在利用電子郵件與遠(yuǎn)在也門(mén)的客戶(hù)進(jìn)行生意洽談,且也門(mén)的客戶(hù)正準(zhǔn)備向夏某匯來(lái)貨款。柳青展便偽造郵箱地址,假冒夏某名義把虛假開(kāi)戶(hù)行信息發(fā)給也門(mén)的客戶(hù),致使也門(mén)客戶(hù)將4萬(wàn)美元(折合人民幣328400多元)貨款匯入騙子柳青展的銀行戶(hù)頭內(nèi)。