信息中心
六成網民遭遇木馬 電子商務信任危機待拯救
從“可用網站”到“可信網站”
互聯網缺乏業務安全保障,事實上已經成為網站業務演進和發展的絆腳石,因此,構建可信網絡世界的構想便應運而生,并受到了業界和政府的關注和重視,成為未來新一代互聯網發展的重點。互聯網應用已經從“可用網站”走向“可信網站”,對用戶來說,注冊域名、建設網站、宣傳推廣、樹立信用,將是一條完整的在線業務員發展鏈條,一個都不能少。
在“可用網絡”到“可信網絡”這場互聯網自身顛覆性變革的過程中,技術驅動無疑將起著決定性作用。對于一個網站的運營者,應該采取怎樣的措施消除用戶的擔心和疑慮,讓網站變得可信呢?天威誠信(iTrusChina)高級副總裁李延昭表示:“網站安全可信要從三個角度衡量,一是身份真實可信;二是內容是安全可信的,網頁、控件程序沒有被植入病毒、木馬;三是與其信息交互安全可靠,不會隱私信息泄露。以天威誠信可信網站服務為例,它基于網站整體安全角度出發的,全面整合了天威誠信SSL證書、代碼簽名證書、網站入侵檢測等產品,可以有效幫助用戶解決網站所有的外部潛在安全威脅。”
可信網站的構建代表著互聯網未來的發展方向。目前,高可信的互聯網業務應用已經在電子政務、電子支付等領域得到體現。網絡支付安全一直是公眾關注的焦點,也是支付運營商關注的頭等大事。而天威誠信與全國最大的獨立第三方支付平臺支付寶早在多年前便開始合作。網民登錄支付寶交易頁面時,瀏覽器會自動進入“httpS”安全加密通道,防止敏感信息外泄。為了保證客戶安全、快速的完成支付,支付寶還會定期在交易平臺上更新支付控件,這些控件全部經過代碼簽名保護,確保程序在安裝前不被他人篡改,植入木馬等惡意程序。通過以上安全手段,天威誠信可信網站服務實際上已為支付寶平臺完成了從網站身份到程序代碼的保護。
可信網站的演進之路
對于網站管理人員來說,目前網頁掛馬、欺詐釣魚、惡意代碼傳播已經實實在在成為安全威脅。網站安全防護,僅僅針對一點的防護已很難奏效,全面考慮網站整體安全架構,才能減少日益增多的安全風險。
天威誠信李延昭表示,構建一個可信的網站,應該采取如下一些措施。首先,需要給網站安裝一個可信的門牌,即安全可信的SSL證書(服務器證書)。從技術上看,SSL證書是構建于公開密鑰基礎設施(Public Key Infrastructure,PKI)安全技術之上的一種電子身份憑證,可以用于標識一個網站的身份,這相當于給每個一個網站頒發了“身份證”,而這個身份證是具有唯一性的。網站安裝了這樣一個SSL證書門牌后,當用戶訪問網站時,就可以識別出網站的真實身份。
需要特別指出的是,一個網站安裝了SSL證書(服務器證書),其實只是為網站安全防護的設置了第一道屏障,在解決網站信息安全傳輸和網站可信身份問題上發揮了重要作用。天威誠信作為VeriSign在國內SSL證書領域的首要合作伙伴,率先在國內推出了一項綠色地址欄技術,應用該技術的EVSSL證書,在反擊欺詐釣魚方面更擁有得天獨厚的優勢。
對于廣大網民來說,如何判斷一個網站是否安全呢?尤其是目前很多釣魚網站的仿冒可以說是五花八門,其“仿真”程度可以說是五花八門,手段變化多端,“李鬼”網站充斥在眾多的“李逵”網站中,甚至是只差毫厘,讓人真假難辨。
一個簡單的識別方式是,網民在登錄網站過程中,可以僅靠地址欄的“顏色”變化就可識別欺詐釣魚網站,即“綠色的即是安全網站”,這就是EVSSL證書在發揮作用。這樣簡單的識別方式也為廣大網民降低了難度。
不過,并不能說所有應用SSL證書技術的網站就是絕對安全的。對于尚未采用綠色地址欄技術的網站,我們還要看SSL證書本身是否是可信的。因為目前,SSL證書頒發機構也出現了魚龍混雜的現象。從用戶的角度,還要看頒發證書的機構是否具有權威性。當使用瀏覽器訪問一個安裝了SSL證書的站點時,若沒有彈出一個關于這個站點使用的SSL證書的安全警告信息,則很大程度上可以說明網站配備了SSL證書擁有較高的可信度。另外,用戶客戶通過雙擊網站瀏覽器的右下角或者地址欄的右邊的“小鎖”標志,進一步查看證書的詳細信息,比如站點的名稱及所屬機構,SSL證書簽發機構等信息,進一步了解SSL證書的可靠度。
其次,我們還需要判斷數字證書認證機構對網站身份的確認過程是否嚴格。通常情況下,通過了擴展驗證(Extended Validation,EV)認證的數字證書認證機構簽的發服務器證書的過程是很嚴格的。EV是針對證書認證機構的一種全球性安全認證,通過EV認證的證書認證機構被允許簽發一種支持綠色地址欄技術的EV SSL證書,意味著其安全性達到了國際標準。需要提醒的是,對于用戶而言,如果要確認其訪問的網站是部署了EVSSL綠色地址欄技術的網站,需要使用最新版本的瀏覽器,即IE7.0、FireFox3.0、Opera 9.5以上版本的瀏覽器。
最后,一個網絡站點要讓用戶信任,還需要采取其他相應的安全措施,確保其網頁內容未被惡意篡改、未被置于病毒、木馬等。這些措施包括使用網頁防篡改安全技術,使用在線病毒掃描技術,以及采用入侵檢測技術等,讓網站更安全可信。
互聯網是在對傳統通信網絡不斷顛覆的過程中發展起來的,其終極目標是顛覆現存網絡的不可控時代,真正實現“人人參與、業務自主”的發展理念。隨著以天威誠信可信網站服務為代表的先進技術手段大量應用,我們已經看見了構建可信網站體系的曙光。
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄