摘要:电子邮件的未来安全应用,究竟是指日可待的光明前景,还是遥不可及的“乌托邦”?

电子邮件的安全“乌托邦”-金笛子企业电子期刊

电子邮件的安全“乌托邦”

在中国人当中,有多少人觉得电子邮件很安全?

本人可能无法给这个问题一个具体的数字答案,但就记者所问及过的人,所了解到的情况,大家的感受大概都处于一个比较模糊的状态——没想过到底安不安全,反正自己的邮件里也没有什么机密内容,无所谓。

无所谓,这个词可以很轻易地从个人用户嘴里说出,但对于企业用户而言,几乎没有人可以拍着胸脯说无所谓。随着电子商务轰轰烈烈地展开,企业之间也越来越倾向于用电子邮件相互传送一些机密文件,而这些文件一旦被泄露,不仅会给企业造成直接的损失,也会影响到企业间的合作关系。

某企业的老总刘先生前阵子就遭遇了这种不幸,在给合作方发送一封带有商务数据的E-mail之后,居然被不明身份者窃取并篡改了其中的部分数据,致使刘先生的一大笔生意全部泡汤。

当邮件安全被提上桌面

也许有人看到这里会说,如果是使用的webmail,可以把责任归结到邮件网站的身上。但问题在于,电子邮件作为一种虚拟信息应用,其用户信息本身就不具备实名基础,因而邮件也不具备真正的法律效应。所以说,想单纯地依靠电子邮件传送机密信息,无异于在悬崖上走钢丝。

在这个问题上,某邮件网站曾经想出了一个办法,即在自己的网站上采用服务器证书,这样可以确保从用户端浏览器到邮件服务器之间数据传输的安全,保证用户的帐号、密码在浏览器到邮件服务器的传输过程中不被“监听”。

虽然这一措施在邮件传输过程中实施了保护,但电子邮件的传送并不仅限于客户端和服务器之间,如何能保证用户在接收邮件的整个过程中的安全,从而保证到用户自身的完整利益呢?对此该网站负责人的回答是,服务器证书保证的是邮件数据传输的安全,而用户个人之间进行邮件传输的安全保护手段,则需要用户自己采取措施。

像这类网站的用户对象是以个人为主,因此服务器证书在某些方面的安全保护措施对于个人用户来说可能适用。但在安全意识方面,企业用户的意识要远远高于个人用户,因此对于面向企业为主的邮件网站来说,单凭服务器证书可能很难满足企业用户的需求。

据天威诚信数字认证中心总裁助理唐志红介绍,目前国内电子邮件所存在的问题主要集中于反病毒、反钓鱼、反垃圾这几个方面,而用户的需求已经从原始的发送信件逐渐上升到了保护自身账号密码、抵制垃圾邮件、反病毒和诈骗等多层要求,因而对电子邮件的服务完善要求也越来越高,如何能在保证用户邮件信息不被窃取和篡改的同时,又能保证及时抵御垃圾邮件和病毒,则是目前邮件技术领域的突破目标。

加密与反垃圾 = 鱼与熊掌?

与上文提到的服务器证书相比,还有另外一种安全模式——邮件证书,即专门针对电子邮件所发行的数字证书。唐志红说,不论是个人用户还是企业用户,只要申请了邮件证书并安装到电脑上,就可以对邮件进行签名和加密了。“一旦邮件被加密,邮件就不会被其他人看到,而签名也可以保证邮件双方的身份信息不会被冒充顶替。”

从用户自身的信息安全角度来看,这的确在一定程度上保障了用户的利益。因为信件的内容可以受到严密的保护,用户在发送和接收邮件时也对双方的身份属实性更为放心。但是,单纯的邮件证书还只能保证用户的身份确认和信息加密,至于对垃圾邮件的抵制暂时还未涉及。

据最近的互联网调查报告显示,在中国的邮件用户中,垃圾邮件的比例占到了所有邮件的60%。而从上世纪末开始,探索反垃圾邮件技术的风潮就在国内悄然兴起,263邮箱就是其中比较典型的一家。“我们现在主要是通过垃圾邮件感受度的检测,来控制用户所收到的垃圾邮件的数量。”263副总裁赵江波所提到的这种反垃圾邮件系统,是利用计算机系统分析典型的垃圾邮件,从而得出垃圾邮件的共性特征,然后对邮件的地址和内容进行检测,将符合这些共性特征的邮件判定为垃圾邮件,比较明显的会及时删除,不能肯定的则放入不明文件夹中,由用户自己去判断是否有用。

不过,最近有一种关于反垃圾邮件系统的声音很高,那就是邮件用户的隐私问题。由于反垃圾邮件系统扫描的不仅是邮件的地址,还有邮件的内容,因此不少人质疑这种反垃圾邮件系统在保护用户利益的动机下,是否其本身就侵犯到了邮件用户的利益呢?对此赵江波的解释是,反垃圾邮件系统是通过计算机来扫描的,而垃圾邮件的分辨光凭地址往往很难判断,因此通过扫描邮件内容来反垃圾不可避免。

巧合的是,目前市场上所推广的邮件证书加密功能就是针对邮件内容,当电子邮件被邮件证书加密之后,反垃圾系统就只能根据地址和邮件题头进行扫描,这也恰好可以进一步保护邮件用户的隐私安全。目前,263、中企动力就与天威诚信建立了合作关系,推出了以面向企业为主的邮件证书。唐志红称,这种合作不需要太多的技术兼容,只要两种系统进行对接,就可以实现反垃圾邮件和信件签名加密的双重保护。

安全与价格的天平

邮件证书的推出的确为用户带来了极大便利,但问题也随之而来。邮件证书的功能当中比较重要的一点就是加密,而目前的邮件证书使用加密要求双方都持有邮件证书,如果只有一方拥有邮件证书,就不可以发送加密邮件,否则对方是无法读取的。这无疑给用户造成了不便,决定着邮件安全至关重要的一项功能最后却成为用户使用邮件的阻碍,自然也会影响到邮件证书的推广。另外,唐志红告诉记者,不论是对于企业还是个人,邮件证书都具有单一对应性,即一张证书只能用于一个邮件地址,也就是说,如果一家拥有1000名员工的企业需要使用邮件证书,就需要申请1000张邮件证书。“一张邮件证书目前的市场价格在100~200元。”

北京春笛信息技术有限公司所开发的金笛软件,是专门应用于电子邮件领域的安全应用系统。据相关负责人介绍,从2000年开始,春笛就向国内的一些企业、事业单位出售金笛电子邮件系统,并配套提供升级服务。“很多企业都没有邮件内容安全方面的考虑,随便找个网络侦听工具,就可以截获SMTP、POP3用户名、密码和邮件全文,对企业是个巨大的威胁。邮件系统的安全不单单只邮件系统的稳定,防黑防病毒防垃圾邮件,更重要的是邮件内容安全,如果要做到内容安全,就必须支持邮件内容传输加密和数字签名。”

安全,任重道远

困难的是问题还不止于此。“不论是反垃圾邮件系统、邮件证书还是邮件安全软件,在使用步骤上给用户带来的不便也会直接影响到邮件安全系统应用的发展。”赵江波对此表现得很无奈。而邮件用户安全意识的缺乏,市场相关法规的欠缺,也同样会影响到邮件安全系统未来的发展。

“我们未来主要是通过简化使用步骤、跟终端绑定等方法来加强邮件证书的使用推广,不过用户自身安全意识的提高也很重要。”唐志红认为邮件证书未来的发展还任重道远,而某邮件网站负责人则对未来的邮件市场进行了预测:“反病毒将成为普及服务;反钓鱼技术将在未来两年内被邮件服务商重视,并得到技术突破;反垃圾则任重道远,垃圾邮件总量还会呈增多趋势,但技术同时也在进步,电子邮件市场会 朝着良性方向继续发展。”

当记者问及邮件安全技术会不会在将来与支付等领域相融合时,沈朝阳的态度则显得相当坚决:“至少在近几年,我们都只专注于我们的技术应用,因为我们还有很多事需要去做,电子邮件的相关服务问题还急待解决和完善。”

而谈到邮件证书在邮件安全领域的未来发展方向时,唐志红也说出了一个理想的办法:“作为数字证书当中的一种,邮件证书市场的空间还很大,它可以将自己所具备的功能特性不断完善;也可能在未来的某一天,实现与个人电子签名的结合,这样一来,只要用户拥有了个人证书,就可以完成包括邮件证书在内的多重安全应用,同时也在一定程度上实现了邮件证书的实名体制。”