短短的几年间,国内的网民已经爆增到1.6亿多,正朝着2亿大关逼近,网络虽渐渐地改变着我们的生活,数字生活的雏形也已经在我们面前展现,然而,当前网络安全的状况却成为了数字生活进一步实现的阻碍。
一、数字生活的雏形
现在很多人的工资都是由单位打到每位职工的银行帐户上,发现金的已经不多见了,而很多单位也都开通了网上银行,财务人员坐在办公室里通过电脑和网络就可以完成转帐工作,非常方便、快捷。很多朋友还开通了个人网银,足不出户便可以完成转帐、查询、汇兑等以前必须到银行网点才能办理的业务。
现在一个“城里人”拥有几张银行卡是再普通不过的事情了,规模稍大的超市和商家也提供银联刷卡的服务,因此我们在这些场所消费的时候几乎是不用付现金的。如果您还想省事的话,居家度日所产生的各种费用(电费、水费、电话费等)也可以与银行签订协议,由银行定时自动代扣、代缴,省去了我们“事必躬亲”的麻烦。
而网上购物也不是什么新鲜的事情了,很多网民都已经有了网上购物的体验,网上销售的很多商品由于省去了中间很多的流通环节,价格相对便宜,消费者会觉得比较实惠。从收入到消费,一个数字生活的雏形已经在我们每个人的面前逐渐展现。
二、网络安全不容忽视
无论是网上银行还是网上购物,都离不开一个安全的网络环境作为保障。目前企业网银的安全主要是通过数字证书来实现,个人网银主要是安装各大网银的安全控件,虽然有的银行也推出了“U盾”、“电子银行口令卡”等安全服务,但由于收费的原因,只有少数的用户采用。对于网上购物来说,国内现在还是通过第三方的支付平台来保障买卖双方的诚信,而对于帐户和密码的安全则并没有好的解决方法,一旦某用户遭遇过密码被盗等情况后,就有了“一朝被蛇咬,十年怕井绳”的感觉,想要再提起他们网上购物的“兴趣”恐怕已经非常困难了。
三、欺骗和攻击种类繁多
在利益的驱使下,各种欺骗和攻击用户的行为五花八门、种类繁多,往往令网络用户防不胜防,以下罗列几种,望大家引以为戒。
网络钓鱼:网上关于介绍网络钓鱼的文章和帖子数不胜数,这里也就不过多的复述了,除了通过发送伪造邮件,诱骗用户点击非法链接外,更有甚者,直接将真实的网站“克隆”,再申请一个与真的网站相似的域名,利用用户的疏忽“守株待兔”。被欺骗的用户一旦在这些网页上输入了帐户和密码,便被攻击者窃取了,这样的欺骗手法是时下最“流行”的,同时也是最容易实现的,对待这样的“钓鱼”行为,需要用户练就“火眼金睛”的本领。
木马攻击:提到木马,大家对灰鸽子一定耳熟能详,其实远不止如此,现在的网络中,针对用户的木马目不暇接,从即时通讯工具到各种网络游戏无所不包,真可谓是“只有想不到,没有做不到!”。
漏洞攻击:千万不要以为只要自己“洁身自好”避免网络钓鱼的欺骗,使用杀毒软件或木马清除软件保证了自己计算机没有被种植木马就万事大吉了,目前,针对网上支付平台漏洞的攻击也屡见不鲜。自从典型的0day攻击“WMF漏洞”第一次打破了0day的“少数人交流”守则后,越来越多0day性质的攻击浮出了水面,0day攻击的危害,最大特点并非在于它的利用漏洞,而是因为,它在被公布出来直到厂商发布相关补丁的一段时间内都无丁可补,这段“防护真空期”又被称为零日攻击(Zero-Day-Attack)。
四、如何应对
面对如此严峻的网络安全形式,渴望早日实现数字生活的用户该如何应对呢?除了用户自己需要提高警惕外,也离不开网络交易平台的努力。
面对木马:木马的危害相信已经不用再多作介绍了,面对形形色色的木马,普通用户只能借助各种木马扫描和清除软件的帮助了。国内目前很多的木马清除工具中,以奇虎的360安全卫士最为抢眼,不仅因为它是一款免费的软件,同时它的查杀效果也是不错的(见图1 360查杀结果),对付时下流行的各种木马均有不俗的表现。令一款软件是国外的AVG Anti-Spyware,它的最新版本内提供高达836807种特征码,由于拥有如此庞大的特征库,因此其木马查杀效果可想而知。图1
360查杀结果
勤补漏洞:对操作系统的漏洞的重视,一刻也不能松懈,很多使用杀毒软件的用户,都有过杀软报毒,却始终无法清除的经历,遇到这种情况,通常都是因为操作系统的漏洞在作怪。现在的杀毒软件与操作系统如同“井水不犯河水”一般,对于普通的用户来说,没有时间和经历每日留心操作系统是否存在漏洞,也许杀毒软件提供启动后就自动打补丁的功能才能彻底解决此类问题。而对那些利用时间差侵害用户系统的漏洞攻击,目前为止还没有非常有效的办法。
支付平台:由于支付平台可以暂时保管交易方的资金,因此支付平台是否安全也变得至关重要,如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取?如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易?在电子商务的交易过程中,如何对双方进行认证,以保证交易双方身份的正确性?在电子商务的交易完成后,如何保证交易的任何一方无法否认已发生的交易?以上这些问题的解决都离不开数字证书。
普通用户如何检验支付平台的证书呢?当我们打开支付平台网站后,在页面的空白处右击鼠标右键,选择“属性”,然后点击右下角的“证书”,如果是虚假或伪造的网站,那么它一般是没有提供数字证书的,那么此处会显示“没有安全证书”的提示,而涉及重要数据的站点,一般都会提供安全的数据传输方式和一份经过CA(Certification Authority)颁发的数字证书。因此我们能够在真实的支付平台网站上看到证书的详细信息,同时用户还要留意它的描述是否和真是的网站一致。目前国内几个大型支付平台的证书都是VeriSign颁发的,它的国内代理机构是天威诚信,这是VeriSign大众华区唯一授权合作伙伴,也是信产部下属的电子认证机构,是知名的全国性第三方商业型CA中心和信息安全电子商务公司。
加密数据传输:通常的支付平台都是以“网站”的形式出现,数据因此以明文在网络上传输,很容易被拦截和篡改,虽然支付平台已经拥有了有效的证书,但是用户的交易并不会因此得到真正保障,如何保证用户的交易金额以及交易信息在传输的过程中不被篡改和查看,人们开始引入了“安全套接字协议层”(Security Socket Layer,SSL)以及“安全HTTP协议”(HTTP Security,HTTPS),这个加密的数据传输协议放弃了80端口而使用443端口。通过SSL安全机制,只有SSL允许的客户才能与SSL允许的Web站点进行通信,SSL是工作在公共密钥和私人密钥基础上的,任何用户都可以获得公共密钥来加密数据,但解密数据必须要通过相应的私人密钥。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一起发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密。经过SSL加密后的数据,即使中途被入侵者拦截,入侵者也无法直接看到传输中的真实数据内容,由于它采用高达64位和128位(当前普遍可见的级别),甚至高达256位的密钥随机加密技术,入侵者想要即时破译是不可能的事情,即便入侵者破译出内容后,数据早已经过时了,即使入侵者采用事先伪造的加密数据来实施欺骗,也会由于Hash值不同而视为无效数据处理。
当浏览器启用SSL传输时,网站的协议前缀就不再是“http”,而是“https”,同时浏览器的状态栏会出现一个金色的小锁。任何涉及电子商务的站点都必须采用安全传输协议,而同时也不是任何站点都能随便开放安全传输协议的,因为开启安全协议需要通过数字证书的申请,所以如今被滥用的钓鱼网站几乎都是普通HTTP协议的,只要用户仔细看就不难发现。
结束语:这里需要提醒大家的是,即便是机构和我们个人都已经采取了很多安全防范的措施,但仍然会有很多未知的隐患或漏洞逐渐被披露和揭示,如同病毒的出现总是早于杀毒的方法一样,似乎在这种长期的较量中,我们始终处于被动的一方,数字生活的全面实现,离不开网络安全的保障,对于安全来说,再严密的防范措施都是不过分的。