您的位置: 网界网 > 网络学院-安全 > 正文

安全电子邮件“乌托邦”(1)

2014年08月07日 15:14:49 | 作者:佚名 | 来源:51CTO | 查看本文手机版

摘要:副标题#e# 在中国人当中,有多少人觉得电子邮件很安全?记者可能无法给这个问题一个具体的数字答案,但就记者所问及过的人,所了解到的情况,大家的感受大概都处于一个比较模糊的状态――没想过到底安不安全,反正自己的邮件里...

标签
电子邮件
Email安全

在中国人当中,有多少人觉得电子邮件很安全?记者可能无法给这个问题一个具体的数字答案,但就记者所问及过的人,所了解到的情况,大家的感受大概都处于一个比较模糊的状态——没想过到底安不安全,反正自己的邮件里也没有什么机密内容,无所谓。

无所谓,这个词可以很轻易地从个人用户嘴里说出,但对于企业用户而言,几乎没有人可以拍着胸脯说无所谓。随着电子商务轰轰烈烈地展开,企业之间也越来越倾向于用电子邮件相互传送一些机密文件,而这些文件一旦被泄露,不仅会给企业造成直接的损失,也会影响到企业间的合作关系。

某企业的老总刘先生前阵子就遭遇了这种不幸,在给合作方发送一封带有商务数据的E-mail之后,居然被不明身份者窃取并篡改了其中的部分数据,致使刘先生的一大笔生意全部泡汤。

当邮件安全被提上桌面

也许有人看到这里会说,如果是使用的Webmail,可以把责任归结到邮件网站身上。但问题在于,电子邮件作为一种虚拟信息应用,其用户信息本身就不具备实名基础,因而邮件也不具备真正的法律效应。所以说,想单纯地依靠电子邮件传送机密信息,无异于在悬崖上走钢丝。

在这个问题上,某邮件网站曾经想出了一个办法,即在自己的网站上采用服务器证书,这样可以确保从用户端浏览器到邮件服务器之间数据传输的安全,保证用户的账号、密码在浏览器到邮件服务器的传输过程中不被“监听”。

虽然这一措施在邮件传输过程中实施了保护,但电子邮件的传送并不仅限于客户端和服务器之间,如何能保证用户在接收邮件的整个过程中的安全,从而保证到用户自身的完整利益呢?对此该网站负责人的回答是,服务器证书保证的是邮件数据传输的安全,而用户个人之间进行邮件传输的安全保护手段,则需要用户自己采取措施。

像这类网站的用户对象是以个人为主,因此服务器证书在某些方面的安全保护措施对于个人用户来说可能适用。但在安全意识方面,企业用户要远远高于个人用户,因此对于面向企业为主的邮件网站来说,单凭服务器证书可能很难满足企业用户的需求。

据天威诚信数字认证中心总裁助理唐志红介绍,目前国内电子邮件所存在的问题主要集中于反病毒、反钓鱼、反垃圾这几个方面,而用户的需求已经从原始的发送信件逐渐上升到了保护自身账号密码、抵制垃圾邮件、反病毒和诈骗等多层要求,因而对电子邮件的服务完善要求也越来越高。如何能在保证用户邮件信息不被窃取和篡改的同时,又能保证及时抵御垃圾邮件和病毒,则是目前邮件技术领域的突破目标。

加密与反垃圾鱼与熊掌?

与上文提到的服务器证书相比,还有另外一种安全模式——邮件证书,即专门针对电子邮件所发行的数字证书。唐志红说,不论是个人用户还是企业用户,只要申请了邮件证书并安装到电脑上,就可以对邮件进行签名和加密了。“一旦邮件被加密,邮件就不会被其他人看到,而签名也可以保证邮件双方的身份信息不会被冒充顶替。

从用户自身的信息安全角度来看,这的确在一定程度上保障了用户的利益。因为信件的内容可以受到严密的保护,用户在发送和接收邮件时也对双方的身份属实性更为放心。但是,单纯的邮件证书还只能保证用户的身份确认和信息加密,至于对垃圾邮件的抵制暂时还未涉及。

据最近的互联网调查报告显示,在中国的邮件用户中,垃圾邮件的比例占到了所有邮件的60%。而从上世纪末开始,探索反垃圾邮件技术的风潮就在国内悄然兴起,263邮箱就是其中比较典型的一家。“我们现在主要是通过垃圾邮件感受度的检测,来控制用户所收到的垃圾邮件的数量。”263副总裁赵江波所提到的这种反垃圾邮件系统,是利用计算机系统分析典型的垃圾邮件,从而得出垃圾邮件的共性特征,然后对邮件的地址和内容进行检测,将符合这些共性特征的邮件判定为垃圾邮件,其中比较明显的会及时删除,不能肯定的则放入不明文件夹中,由用户自己去判断是否有用。

不过,最近有一个关于反垃圾邮件系统的声音很高,那就是邮件用户的隐私问题。由于反垃圾邮件系统扫描的不仅是邮件的地址,还有邮件的内容,因此不少人质疑这种反垃圾邮件系统在保护用户利益的动机下,是否其本身就侵犯到了邮件用户的利益呢?对此赵江波的解释是,反垃圾邮件系统是通过计算机来扫描的,而垃圾邮件的分辨光凭地址往往很难判断,因此通过扫描邮件内容来反垃圾不可避免。

巧合的是,目前市场上所推广的邮件证书加密功能就是,当电子邮件被邮件证书加密之后,反垃圾系统就只能根据地址和邮件题头进行扫描,这也恰好可以进一步保护邮件用户的隐私安全。目前,263、中企动力就与天威诚信建立了合作关系,推出了以面向企业为主的邮件证书。唐志红称,这种合作不需要太多的技术兼容,只要两种系统进行对接,就可以实现反垃圾邮件和信件签名加密的双重保护。

12
[责任编辑:孙可 sun_ke@cnw.com.cn]