首页 | 安全播报 | 2010 年安全播报 | 小心,你的邮件在泄密

小心,你的邮件在泄密

请正确填写您的资料及邮箱地址,我们核实后会尽快将您的用户名和密码发送到您的邮箱中”。如此熟悉的一段话,是每个网民都曾有过的切身体会。其实,以这种方式传递密码等信息的公司不在少数,并且不少公司也正在利用邮件发送方式外卖产品。但其安全性却令人担忧。

现实的困扰

面对公司邮箱的空间限制问题,许多公司职员会选择利用不同门户网络提供的免费邮箱存储重要文件。但没有防护措施,这些未经加密邮件的安全性值得怀疑。

2006年3月30日生效的《互联网电子邮件服务管理办法》对此做出了相关说明:电子邮箱不但要考虑防病毒、反垃圾邮件, 同时也要适当关注如何防范邮件泄密事件。网上的即时通信方式名目繁多,如QQ、MSN,再加上其向无线的拓展,让我们的日常沟通极为便捷。但电子邮件仍然是广大网民信息沟通的重要手段,很多重要信息的传递依托于发送邮件的方式,如传送合同文件、订单信息、设计图纸、员工工资、财务报表等。但邮件发送方式正面对诸多安全隐患的困扰,很可能会对公司业务拓展造成极大影响。

防范邮件泄密正在成为继反病毒、反垃圾邮件后,邮件服务运营商新的关注点。从国际上邮件安全服务看,比较普遍的是邮件证书加密方式。从技术角度看,利用电子邮件证书对邮件进行加密和签名,可以使接收者方便快捷地确认电子邮件的真实发送方,并且保证其在传输过程中未经篡改。因为在传递过程中,邮件信息是经过加密的,通过技术手段的运用,可以防范邮件信息在传输过程中被拦截者获得。在德国,有些银行应用邮件证书的签名技术向客户发送带有签名的电子邮件,保证了邮件出处的真实准确,很大程度上抑制了钓鱼邮件的泛滥,提高了客户对于银行系统的信任度。

邮件加密并不难

既然有技可施,我们不妨了解一下一个签名邮件是如何实现的。由于市面上邮件系统大部分都已集成数字证书技术,客户申请了数字证书后,邮件系统会自动出现两个新图标,点击即可发送签名加密邮件了,过程十分简便。

当接收方收到电子邮件后,邮件会有签名与加密提示。其中,签名保证信息传递过程中未被篡改,标明发送者真实身份;加密则保证信息数据传递的机密。如果传递过程中发生被盗事件,系统会自动提示。

从安全角度上来说,一般邮件加密很难被破解。不过一般出于安全考虑,我国的加密证书都有安全备份,如果危及国家安全,通过特定的方式技术人员也可以对其进行破解。目前,我国对于证书颁发机构的安全级别要求很高,一般都是由合法第三方数字认证中心发放。以天威诚信数字认证中心提供的“邮政通”服务为例,一般客户只要两小时即可开通,并且客户可以对邮件证书进行本地化管理,并可享受免费试用。

总体而言,目前的现状是普通企业和个人对于网上邮件安全普遍意识不强,甚至相对缺失。在网上跑的99%的邮件都是呈现“裸奔”状态,这些都为商业间谍提供了极大的发挥空间。安全邮件市场依然呈现巨大真空地带。电子邮件的安全防范不仅需要用户的集体意识觉醒,还需产业政策的宏观指导和安全技术的及时跟进。

莫名其妙的信息外泄、措手不及的密码盗取,其实,都是你的邮件在“作怪”。

案件回顾

2005年12月5日,广州市天河区法院对一起邮件欺诈事件进行了判决。犯罪嫌疑人柳青展被判处有期徒刑10年,并责以处罚金人民币2万元。回顾一下案件缘由,柳青展在网吧上网时,利用专业知识,潜入夏某的电子邮箱,发现夏某正在利用电子邮件与远在也门的客户进行生意洽谈,且也门的客户正准备向夏某汇来货款。柳青展便伪造邮箱地址,假冒夏某名义把虚假开户行信息发给也门的客户,致使也门客户将4万美元(折合人民币328400多元)货款汇入骗子柳青展的银行户头内。