“請正確填寫您的資料及郵箱地址,我們核實后會盡快將您的用戶名和密碼發(fā)送到您的郵箱中”。如此熟悉的一段話,是每個網(wǎng)民都曾有過的切身體會。其實,以這種方式傳遞密碼等信息的公司不在少數(shù),并且不少公司也正在利用郵件發(fā)送方式外賣產(chǎn)品。但其安全性卻令人擔(dān)憂。
現(xiàn)實的困擾
面對公司郵箱的空間限制問題,許多公司職員會選擇利用不同門戶網(wǎng)絡(luò)提供的免費郵箱存儲重要文件。但沒有防護措施,這些未經(jīng)加密郵件的安全性值得懷疑。
2006年3月30日生效的《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》對此做出了相關(guān)說明:電子郵箱不但要考慮防病毒、反垃圾郵件, 同時也要適當關(guān)注如何防范郵件泄密事件。網(wǎng)上的即時通信方式名目繁多,如QQ、MSN,再加上其向無線的拓展,讓我們的日常溝通極為便捷。但電子郵件仍然是廣大網(wǎng)民信息溝通的重要手段,很多重要信息的傳遞依托于發(fā)送郵件的方式,如傳送合同文件、訂單信息、設(shè)計圖紙、員工工資、財務(wù)報表等。但郵件發(fā)送方式正面對諸多安全隱患的困擾,很可能會對公司業(yè)務(wù)拓展造成極大影響。
防范郵件泄密正在成為繼反病毒、反垃圾郵件后,郵件服務(wù)運營商新的關(guān)注點。從國際上郵件安全服務(wù)看,比較普遍的是郵件證書加密方式。從技術(shù)角度看,利用電子郵件證書對郵件進行加密和簽名,可以使接收者方便快捷地確認電子郵件的真實發(fā)送方,并且保證其在傳輸過程中未經(jīng)篡改。因為在傳遞過程中,郵件信息是經(jīng)過加密的,通過技術(shù)手段的運用,可以防范郵件信息在傳輸過程中被攔截者獲得。在德國,有些銀行應(yīng)用郵件證書的簽名技術(shù)向客戶發(fā)送帶有簽名的電子郵件,保證了郵件出處的真實準確,很大程度上抑制了釣魚郵件的泛濫,提高了客戶對于銀行系統(tǒng)的信任度。
郵件加密并不難
既然有技可施,我們不妨了解一下一個簽名郵件是如何實現(xiàn)的。由于市面上郵件系統(tǒng)大部分都已集成數(shù)字證書技術(shù),客戶申請了數(shù)字證書后,郵件系統(tǒng)會自動出現(xiàn)兩個新圖標,點擊即可發(fā)送簽名加密郵件了,過程十分簡便。
當接收方收到電子郵件后,郵件會有簽名與加密提示。其中,簽名保證信息傳遞過程中未被篡改,標明發(fā)送者真實身份;加密則保證信息數(shù)據(jù)傳遞的機密。如果傳遞過程中發(fā)生被盜事件,系統(tǒng)會自動提示。
從安全角度上來說,一般郵件加密很難被破解。不過一般出于安全考慮,我國的加密證書都有安全備份,如果危及國家安全,通過特定的方式技術(shù)人員也可以對其進行破解。目前,我國對于證書頒發(fā)機構(gòu)的安全級別要求很高,一般都是由合法第三方數(shù)字認證中心發(fā)放。以天威誠信數(shù)字認證中心提供的“郵政通”服務(wù)為例,一般客戶只要兩小時即可開通,并且客戶可以對郵件證書進行本地化管理,并可享受免費試用。
總體而言,目前的現(xiàn)狀是普通企業(yè)和個人對于網(wǎng)上郵件安全普遍意識不強,甚至相對缺失。在網(wǎng)上跑的99%的郵件都是呈現(xiàn)“裸奔”狀態(tài),這些都為商業(yè)間諜提供了極大的發(fā)揮空間。安全郵件市場依然呈現(xiàn)巨大真空地帶。電子郵件的安全防范不僅需要用戶的集體意識覺醒,還需產(chǎn)業(yè)政策的宏觀指導(dǎo)和安全技術(shù)的及時跟進。
莫名其妙的信息外泄、措手不及的密碼盜取,其實,都是你的郵件在“作怪”。
案件回顧
2005年12月5日,廣州市天河區(qū)法院對一起郵件欺詐事件進行了判決。犯罪嫌疑人柳青展被判處有期徒刑10年,并責(zé)以處罰金人民幣2萬元。回顧一下案件緣由,柳青展在網(wǎng)吧上網(wǎng)時,利用專業(yè)知識,潛入夏某的電子郵箱,發(fā)現(xiàn)夏某正在利用電子郵件與遠在也門的客戶進行生意洽談,且也門的客戶正準備向夏某匯來貨款。柳青展便偽造郵箱地址,假冒夏某名義把虛假開戶行信息發(fā)給也門的客戶,致使也門客戶將4萬美元(折合人民幣328400多元)貨款匯入騙子柳青展的銀行戶頭內(nèi)。