艾瑞咨询在其发布的《2009-2010年中国电子商务行业发展报告》中称,2009年中国网络购物用户突破1亿,交易额规模达2630亿元,电子商务整体市场交易额达34278亿元。一系列的数据证明,随着互联网应用的普及,电子商务正成为传统行业的新蓝海,会有越来越多的传统企业借助电子商务提升业绩和影响力。我国电子商务正迈向规模化应用的大道,给企业和平台提供商都提供了很好的发展契机。
不过令人担心的是,网络商务应用仍然受到各种安全因素的困扰。根据CNCERT的监测数据显示,仅2010年上半年,近六成网民访问网站遇到过病毒或木马攻击;超三成网民账号或密码曾经被盗;近九成的电子商务网站访问者担心假冒网站。这些网络问题让电子商务发展前景蒙上一层阴影。网络安全和信任问题已经成为网络商务持续深层次发展的最大制约因素,互联网向商务交易型应用的发展,急需建立更加可信、可靠的网络环境。
网站信用保障的先天缺陷
网站数量的增加,使得借助网站平台的各类欺诈、私密信息窃取事件越来越多。典型的事例包括,借助于虚假的、假冒的钓鱼网站,窃取网民的各类保密信息,给客户带来损失。随着越来越多的网络安全事件发生,本就薄弱的互联网“信任基础”在迅速倒塌。
一直以来,业务模式开放、网络构架简单都是互联网快速发展的先天优势。然而当各种网站进入到社会化全面应用阶段,面对高质量、高安全性的可信业务服务需求,互联网安全应用和意识不足的短板效应越来越暴露无遗,主要表现在业务质量保障差和安全保障差的先天性技术缺陷上。
首先,互联网业务通道传输的服务质量保障差,难以满足高质量的业务需求。网络间互联节点和路由交换节点都是网络带宽的瓶颈,随时可能出现拥塞。同时,对大多数网站来说,其在线业务的技术标准体系尚未真正建立起来,缺少全程全网的通道质量保证管理的机制和技术手段。
其次,互联网的网络、业务与信息内容等的安全保障差。目前的互联网设备和高智能终端设备本身存在安全隐患,电脑程序的漏洞层出不穷,网络安全管理机制欠缺,这些都为黑客、病毒制造者提供了入侵和病毒传播的机会。在经济和政治利益的诱惑和驱使下,网络安全威胁呈现出了新特点,网络攻击显现出群体化,其目的更趋商业化、利益化和甚至政治化,黑客的行为带来的威胁和影响也更大。在此网络环境下,网站经营者与用户之间难以建立起相互信任的体系,这导致了大量的可信服务无法顺利。
如何有效解决安全和信任问题已经成为广大网站立足网络商务领域的根本。互联网向商务交易型应用的发展,急需建立更加可信、可靠的网络环境。
从“可用网站”到“可信网站”
互联网缺乏业务安全保障,事实上已经成为网站业务演进和发展的绊脚石,因此,构建可信网络世界的构想便应运而生,并受到了业界和政府的关注和重视,成为未来新一代互联网发展的重点。互联网应用已经从“可用网站”走向“可信网站”,对用户来说,注册域名、建设网站、宣传推广、树立信用,将是一条完整的在线业务员发展链条,一个都不能少。
在“可用网络”到“可信网络”这场互联网自身颠覆性变革的过程中,技术驱动无疑将起着决定性作用。对于一个网站的运营者,应该采取怎样的措施消除用户的担心和疑虑,让网站变得可信呢?天威诚信(iTrusChina)高级副总裁李延昭表示:“网站安全可信要从三个角度衡量,一是身份真实可信;二是内容是安全可信的,网页、控件程序没有被植入病毒、木马;三是与其信息交互安全可靠,不会隐私信息泄露。以天威诚信可信网站服务为例,它基于网站整体安全角度出发的,全面整合了天威诚信SSL证书、代码签名证书、网站入侵检测等产品,可以有效帮助用户解决网站所有的外部潜在安全威胁。”
可信网站的构建代表着互联网未来的发展方向。目前,高可信的互联网业务应用已经在电子政务、电子支付等领域得到体现。网络支付安全一直是公众关注的焦点,也是支付运营商关注的头等大事。而天威诚信与全国最大的独立第三方支付平台支付宝早在多年前便开始合作。网民登录支付宝交易页面时,浏览器会自动进入“httpS”安全加密通道,防止敏感信息外泄。为了保证客户安全、快速的完成支付,支付宝还会定期在交易平台上更新支付控件,这些控件全部经过代码签名保护,确保程序在安装前不被他人篡改,植入木马等恶意程序。通过以上安全手段,天威诚信可信网站服务实际上已为支付宝平台完成了从网站身份到程序代码的保护。
可信网站的演进之路
对于网站管理人员来说,目前网页挂马、欺诈钓鱼、恶意代码传播已经实实在在成为安全威胁。网站安全防护,仅仅针对一点的防护已很难奏效,全面考虑网站整体安全架构,才能减少日益增多的安全风险。
李延昭表示,构建一个可信的网站,应该采取如下一些措施。首先,需要给网站安装一个可信的门牌,即安全可信的服务器证书。从技术上看,服务器证书是构建于公开密钥基础设施(Public Key Infrastructure,PKI)安全技术之上的一种电子身份凭证,可以用于标识一个网站的身份,这相当于给每个一个网站颁发了“身份证”,而这个身份证是具有唯一性的。网站安装了这样一个服务器证书门牌后,当用户访问网站时,就可以识别出网站的真实身份。
需要特别指出的是,一个网站安装了服务器证书(SSL证书),其实只是为网站安全防护的设置了第一道屏障,在解决网站信息安全传输和网站可信身份问题上发挥了重要作用。天威诚信作为VeriSign在国内SSL证书领域的首要合作伙伴,不久前推出了一项绿色地址栏技术,应用该技术的EVSSL证书,在反击欺诈钓鱼方面更拥有得天独厚的优势。
对于广大并不懂的更多网络安全知识的广大网民来说,如何判断一个网站是否安全呢?尤其是目前很多钓鱼网站的仿冒可以说是五花八门,其“仿真”程度可以说是五花八门,手段变化多端,“李鬼”网站充斥在众多的“李逵”网站中,甚至是只差毫厘,让然这件难辨。
一个简单的识别方式是,网民在登录网站过程中,可以仅靠地址栏的“颜色”变化就可识别欺诈钓鱼网站,即“绿色的即是安全网站”,这就是EV SSL证书在发挥作用。这样简单的识别方式也为广大网民降低了难度。
不过,并不能说出现绿色地址栏的网站就是绝对安全的。对于安装了服务器证书的站点,我们还要看这个服务器证书本身是否是可信的。因为目前,证书颁发机构也出现了鱼龙混杂的现象,从用户的角度,还要看颁发证书的机构是否具有权威性。当使用浏览器访问一个安装了服务器证书的站点时,若没有弹出一个关于这个站点使用的服务器证书的警告信息,则这一个服务器证书就是可信的,另外,用户客户通过双击某网站浏览器的右下角或者地址栏的右边的“小锁”标志,可以进一步查看证书的详细信息,比如站点的名称及所属机构,证书签发机构等。之后权威机构颁发的证书才是可信的。
其次,我们还需要判断数字证书认证机构对网站身份的确认过程是否严格。通常情况下,通过了扩展验证(Extended Validation,EV)认证的数字证书认证机构签的发服务器证书的过程是很严格的。EV是针对证书认证机构的一种全球性安全认证,通过EV认证的证书认证机构被允许签发一种EV服务器证书,意味着其安全性达到了国际标准。需要提醒的是,对于用户而言,如果要确认其访问的、安装了服务器证书的网站是否使用了高可信的EV服务证书,需要使用最新版本的浏览器。
最后,一个网络站点要让用户信任,还需要采取其他相应的安全措施,确保其网页内容未被恶意篡改、未被置于病毒、木马等。这些措施包括使用网页防篡改安全技术,使用在线病毒扫描技术,以及采用入侵检测技术等,让网站更安全可信。
互联网是在对传统通信网络不断颠覆的过程中发展起来的,其终极目标是颠覆现存网络的不可控时代,真正实现“人人参与、业务自主”的发展理念。随着以天威诚信可信网站服务为代表的先进技术手段大量应用,我们已经看见了构建可信网站体系的曙光。
