总结来看,目前邮件安全问题已经变得非常严重,在未来一段时间内可能会产生灾难性的后果;而这些灾难性的危险目前却并不被公众普遍认知,或者并不被大家特别重视。在这样的情况下,进行更高级别的安全预警,以防范相关危险的出现非常必要。
那么,面对邮件安全问题我们该怎么办?360 企业安全集团总裁吴云坤在接受采访时表示,做好邮件防盗系统应从以下三方面来考虑:防盗号、防窃密、防恶意。
防盗号:防弱口令,防暴力破解
盗号是邮件安全中一个很普遍的现象,是通过欺骗的方式获取用户的信息。今天碰到的大量问题也是最简单的问题,就是“口令问题”。360 公司采用的思路是在企业内部建立一种验证通道,就算用户的邮件口令是123456 都没关系,因为后台每次发给用户验证信息是变化的,只有把这两者结合在一起才能成为一个真正的口令,这种模式叫“双因子认证”,用账号、密码+ 动态口令的方式保障账号安全。
吴云坤表示,“ 360 是采用移动方式来实现低成本的一次性口令。在这种模式下盗取密码没有用,而且对于企业来说很方便。在这个过程中,通过移动的方式弹出一个六位密码。这看起来就跟我们平常做交易认证是一样的,但内部的很多时间细节却不太一样,我们尽量把技术细节隐藏在非常方便的使用模式之下。”
“无论对政府还是央企客户,他们怕的是买对应机,安卓手机或苹果手机不支持怎么办?我们的解决方案是都支持的,客户也特别害怕改造邮件系统,我们的解决方案是不需要改造邮件系统,这都是在企业用户当中非常重要的需要首先解决的问题。很多媒体问弱口令是怎么解决的?公司不可能跟黑客一样,把所有的弱口令都枚举出来,根本的方法是采用动态口令的方式来解决这一问题。”
防窃密:内容加密、通道加密、存储加密
内容加密、通道加密包括层层加密问题。很多用户在使用保密系统发邮件时都特别害怕,他们会说:“你送一个光盘给我,加密没用,加密容易破解,我们不怕通道上的破解,怕邮件服务商会出问题。邮件服务商出现问题,指定邮箱上的邮件就会被轻易拿走。所以,360 公司要解决的第二个问题就是“内容加密”。无论是通道的,还是存储在邮件服务器上的存储加密,对于许多涉密行业的用户来说都至关重要。因为一旦邮件服务器被控制,就会导致很大的行为风险。相比过去的方案,360 公司采用非对称的方式加密邮件。例如给同事发送邮件,对方的手机号和发送方的手机号,甚至邮箱都会作为公钥、私钥中的一部分,以此来解决便捷的问题。这种先加密,再传输,然后对传输通道也进行加密的模式不仅在邮件中会采用,未来在各种云端服务上也会采用。
防恶意:防钓鱼、防木马、防病毒
在中国为什么有超过70% 的安全事件源于钓鱼邮件、木马邮件?因为犯罪分子利用钓鱼、木马窃取个人信息非常简单。有时为确保邮件安全不仅要保护邮箱口令、邮件的内容,还要防恶意。它是不同层次的安全,也是360 公司之前工作的重点。木马的识别与过去病毒的识别比较类似,但钓鱼邮件的识别是非常困难的。目前采用机器学习的方式来实现,即对各类钓鱼邮件的样本进行训练,最后识别出新的钓鱼邮件,这是云端大数据技术的一种再利用。这种模式对于互联网公司来说,有非常多的经验,依靠邮件的源头、发邮件的频率和邮箱地址就可以识别,而不是单单考虑内容。
从安全整个防护的角度来说, “三防”绝对不是孤立的,任何一个点出现问题,另外两个点也会同时出现问题。三者只有有效结合才能最终保障邮件安全。
360 安全专家裴智勇介绍说,过去很多机构号召大家要提高安全意识,提高防范意识。事实证明,提高普通个人防范安全意识是非常困难的。信息安全厂商希望通过多种技术手段来避免让大众努力去掌握一种复杂的方法。360 公司的双因子认证在行业内并不是一个罕见的技术,但把它做到了手机上,做成一个APP,这样一个小小的改变就使操作变得很方便。
“首先,双因子认证有很多方式,在交易当中最常用的是短信验证码,但实际上短信验证码非常容易被窃取。还有就是生物识别技术,例如指纹,它具备唯一性,但不具备不可复制性。所以指纹信息一旦泄露,终生都不能修改。从数据安全的角度来说,生物识别技术会给使用者增强一种‘可控感’,但是从密码学的角度来说,它的安全性是有限的。只有动态的密码和加密技术,才是密码认证领域里相对可靠的安全模式。”
360 企业安全集团产品副总裁左英男补充说,还有一个“成本”问题,对于广大的企业机构来讲,用双因子动态口令是一种低成本的,便于实现的和更安全的保护方式。
除此之外,邮件安全事件在某种程度上与个人信息被泄露也有着千丝万缕的联系。北京师范大学法学院、亚太网络研究中心主任刘德良教授近日在接受焦点访谈记者采访时表示:没有滥用就没有买卖!所谓的个人信息“泄露”其实就是出卖!而买者的目的就是滥用。
由于个人信息泄露维权难,犯罪成本低,导致了个人信息在网络黑市被买卖、被滥用,甚至被用来诈骗犯罪。刘德良教授指出,必须通过立法有效加以防范,才能从源头遏止个人信息泄露问题。有关收集、存储和使用个人信息的部门和单位更应负起责任。不仅要在技术层面加强信息保护,更应建立制度并严格执行。
评论
直达楼层