随着网络应用的兴起,个人隐私已经越来越多的在“光天化日”之下频繁传递,大量的木马、钓鱼攻击,让用户的隐私信息一览无遗。大到银行账户操作,小至上网闲聊,都可能遭到黑客窥视,账户被盗、信息被篡改、泄密的现象比比皆是。
为了保障自身账户安全,用户不得不去购买额外的安全产品,且不说效果如何,在防止邮件被篡改等涉及信息传输安全的方面这些产品大多无能为力,更何况也不该让用户独自应对安全问题。不同功能的网站应当肩负起不同的安全责任,并根据使用过程中信息敏感度以及安全隐患的差异,提供与之相匹配的安全措施。
高危网上支付需要严格醒目的安全防护
最新数据显示,目前假冒各家银行官方网站的“钓鱼网页”超过1600个,并且还在以每月400个的速度快速增加,加之前一段动态口令曝出的安全漏洞,网银用户已经面临了极大威胁。不仅是银行网页,在金融类、网购以及第三方支付等直接涉及资金账号操作的网站都是“钓鱼网页”的重点仿造对象。因此在为用户提供服务时,保护用户信息传输安全并协助用户鉴别“钓鱼网页”成为了此类网站安全防护的首要目标。
以招商银行的网站为例,其采用高安全强度的VeriSign扩展验证EV SSL证书来保护用户提交的数据信息。VeriSign是全球最知名的SSL证书品牌, VeriSign扩展验证EV SSL证书不仅可以在用户和服务器之间建立一条加密通道以保证信息安全传输,同时可以提供每日恶意软件扫描以检测网页上木马等恶意软件的攻击情况。此外,VeriSign扩展验证EV SSL证书还具有绿色地址栏功能:当用户登录安全可信的网站时,该网站地址栏会变为绿色;如果当前网站是钓鱼或可疑网站时,地址栏会变为红色。通过醒目的颜色变化对钓鱼网站加以区别。
不仅如此,VeriSign会给予获得VeriSign扩展验证EV SSL证书的网站一个安全标识——VeriSign信任签章。用户点击信任签章后,可以查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况,让用户通过大量的验证信息判断网站是否真实可信。
招商银行凭借VeriSign扩展验证EV SSL证书对钓鱼网站进行了有力回击,随着用户安全知识的增加,这项技术的防护效果已经愈加明显,中信银行、中国工商银行、北京银行等知名银行的网站也在使用。
电子邮件与博客等网站安全易被忽视
与银行网站的“真金白银”不同,电子邮件、招聘信息这类信息发送频繁的网站暂未受到钓鱼网站的“重视”,所以网站的安全防范也容易被忽视,但一封重要的邮件遭到篡改或窥视同样是极其危险的。建议此类网站采用VeriSign SSL证书,这种服务器证书与VeriSign扩展验证EV SSL证书的主要区别就在于没有绿色地址栏功能,但在确保信息传输安全上同样可靠,网易邮箱的SSL安全登录服务就是这一技术的应用体现。
另外,博客以及以人人网、开心网为代表的SNS网站涉及了大量用户信息的在线提交,网站仅凭简单的静态密码难以保障用户账户及个人信息安全,加之这类网站一般都支持发送短链接,更加方便了恶意链接的传播。最近不少名人博客、邮箱被盗已经引起了人们的警惕,对于博客以及SNS网站这种用户信息非常集中的网站,应至少采用VeriSign SSl证书进行安全防护。
第三方电子认证服务机构有力支持网站安全建设
国内很多网站已经开始通过VeriSign SSL证书保护用户的信息安全,并抵御钓鱼网站侵害。其中大部分VeriSign SSL证书是由VeriSign中国地区的首要合作伙伴天威诚信提供的。天威诚信(iTrusChina)是工信部批准的合法第三方电子认证服务机构,专业从事数字证书等技术和产品服务,与VeriSign已经稳定合作超过11年。
在此有力支持下,国内网站可以更加方便有效的维护网站安全,为用户提供安全可信的上网环境。无论是与用户利益直接相关的银行网站还是供用户休闲交流的博客网站,都应当担负起自身应尽的责任。