2006 年即将过去,中国的电子商务网站信息安全问题是否有所改善? WoTrust 组织有关专家对各行各业的领先网站进行了全面的调查,由于信息安全涉及到许多方面,而最重要的是:系统是否部署了 SSL 证书来确保用户登录密码安全和帐户登录后的个人机密信息安全。我们的调查标准仅限于在线检查网站是否部署了 SSL 证书,不涉及到其他网络安全设施。
1. 调查范围
本次调查的调查网站总计达 1200 个,主要包括:
(1) 各类电子商务网站总数为 500 个,调查的网站都是 Google 搜索以下关键词的搜索结果中排名在前 30 位中的网站:全球最大的中文网上商城、网上购物、网上游戏、网上校友录、网上招聘、博客、网络聊天室、网上教育、网上销售、网上预订、网上征婚、网上交友、网上社区、网上论坛、网上医疗、短信 / 彩信服务、在线音乐收听及下载、在线影视收看及下载等。
(2) 所有网上银行网站包括各地分行单独设立的网站,以及主流的电子支付服务提供商;
(3) 全国各地各电信运营商的网上营业厅网站;
(4) CNNIC 网站 公布的 CN 域名认证注册服务机构的服务网站;
(5) 主流电子邮件服务提供商 15 家 ;
(6) 2005 年中国 500 强企业 的企业网站。
2. 调查结果与点评
(1) 第(1)类调查对象的调查结果与点评
我们之所以使用 Google 的搜索结果来确定调查对象,是因为我们认为 Google 的搜索结果能反映出此行业或此关键词中的领先网站。而调查的结果是:十多个号称“全球最大的中文网上商城”的网站都没有部署 SSL 证书,而综合统计其他关键词的网站,一共检查了 500 个网站,部署了 SSL 证书的网站只有 8% ,已经部署了 SSL 证书大部分是美国知名网站的中文子网站或合资企业的电子商务网站。
据这些被调查网站上所声称拥有的注册用户数累计已经达到千万级,这意味着有 92% 的用户的个人机密信息包括姓名、生日、 Email 、手机号码、送货地址、家庭住址,甚至银行卡信息都没有任何安全加密保护措施,都是在网上明文传输的。这不仅意味着非常容易泄露用户的机密信息,同时也意味着服务提供商将要承担由此增加的客户服务成本和造成了许多交易纠纷等。
这个数字与欧美发达国家 99% 的电子商务网站都已经部署了 SSL 证书形成了巨大的差距,一方面说明了目前国内电子商务网站还不是十分重视保护用户的机密信息安全,这不是 SSL 证书费用负担问题,因为一个 SSL 证书才千元左右,而是是否重视用户的机密信息保护的问题,实际上,部署了 SSL 证书将大大降低密码被盗的机会,并不仅有效地保护了用户登录用户名和密码的安全,同时也保护了网站的会员信息不会被非法窃取,当然也就保护了企业宝贵的客户资源,同时也将大大降低服务提供商的客服成本。所以,无论从用户角度和电子商务服务提供商角度来讲,部署 SSL 证书都是有利的、最有效的和最容易部署的信息安全措施。
(2) 第(2)类调查对象的调查结果与点评
这一类用户的 SSL 部署情况非常好, 99% 的网上银行(包括总行网站和分行或支行网站)和主流的电子支付服务提供商都已经部署了 SSL ,部署比例已经达到欧美发达国家水平,从而可见银行和子支付服务提供商都是非常重视保护用户银行卡信息的安全的。由此也可以印证了由中国金融认证中心联合各大银行共同进行的 “2006 中国网上银行调查 ” 的调查结果: 2006 年国内网银个人用户比 2005 年增长了近 1.7 倍和企业网银用户增长了近 3 倍,增长的主要原因是数字证书在网银的应用提升了用户使用网银的信心。
但我们也发现一些问题,某些电子支付服务提供商可能是图便宜或不了解 SSL 证书的原因,居然部署一个不验证真实身份而不显示单位名称的 SSL 证书,这不能有效地防止假冒网站和欺诈网站,不能起到增强在线消费者的信心的作用,因为 SSL 证书具有信息加密和身份验证的双重作用。我们也发现:有个别网银网站使用自签 SSL 证书,不仅不方便用户的使用(浏览器会有不信任警告),也不利于自身业务的顺利拓展。同时,还值得注意的是:某些网站部署了不支持 SGC 强制 128 位加密技术的 SSL 证书,这对于银行网站和电子支付网站来讲是非常不适合的,因为如果用户使用 IE5 浏览器,则只支持 40 位或 56 位加密,而 40 位 /56 位加密技术非常容易被破解,用户因为有 SSL 就以为安全了,而实际上由于加密强度不够反而会麻痹用户而带来信息安全隐患。所以,对于象网银这样的高端应用,一定要部署支持强制 128 位加密的 SSL 证书,这样才能达到部署 SSL 证书的真正目的。
(3) 第(3)类调查对象的调查结果与点评
我们调查发现:电信运营商在 2006 年都开始统一了网上营业厅网站网址和统一版面设计与 Logo ,这不仅有利于用户识别正宗电信运营商网上营业厅网站和记住网址,同时也有利于电信运营商的统一市场推广和形象推广。但我们并没有看到在其网上营业厅网站的 SSL 证书的统一部署(也许正在计划中),只是在少数分公司网站上部署了 SSL 证书。总的被调查网站的 SSL 部署比例是 3% ,而欧美电信运营商网上营业厅网站的 SSL 证书部署比例是 100% 。我们期望 2007 年也能达到 100% ,因为部署 SSL 证书对于电信运营商来讲不存在费用问题,而是是否重视的问题。
(4) 第(4)类调查对象的调查结果与点评
我们检查了 CNNIC 网站 公布的 CN 域名认证注册服务机构的服务网站 46 个,只有 4 个网站部署了 SSL 证书(包括 1 家香港公司) ,还有 1 个网站是部署了自签 SSL 证书。调查的结果是非常令人担心的,相比欧美所有域名注册商网站 100% 部署了 SSL 证书来确保用户帐户安全,从而保证了域名安全,并且全球前十大域名注册机构都已经开始销售 SSL 证书来帮助其用户部署 SSL 。这也就难怪经常出现域名纠纷了,因为只要能登录别人的域名注册帐户就能获得域名的控制权和所有权,而如果域名注册商在用户登录页面上不部署 SSL 证书则其用户名/密码非常容易被非法窃获。我们认为:问题还是在于没有引起服务提供商的高度关注,而出现问题后就把责任推向用户没有保管好密码,而实际上即使用户没有向外人泄露密码,在没有部署 SSL 的系统上输入的密码是非常容易被他人非法窃获的,这不是用户的责任!希望 2007 年能有所改进。
(5) 第(5)类调查对象的调查结果与点评
我们之所以选择调查主流电子邮件服务提供商,是因为电子邮件服务已经成为每个人必不可少的服务,人们的生活和工作都已经离不开电子邮件。我们调查了国内的主流电子邮件服务提供商 15 家,只有 2 家部署了 SSL 证书,特别值得一提的是:网易旗下的所有邮箱都在今年部署了 SSL 证书来确保用户安全登录邮箱。而相比之下,我们看到:著名的 Hotmail 、 Gmail 和 Yahoo Mail 一开始提供服务就是部署了 SSL 证书确保用户安全登录邮箱的。目前国内的电子邮件服务提供商在强调邮箱安全时都只是在强调如何防垃圾邮件等等,我们认为这些是基本功能之要求,而更重要的是如何确保用户Web登录安全和邮箱中邮件信息的安全,如果不部署 SSL 证书就等于是“明信片”,不仅不能保证帐户登录安全,而且也不能提供邮件内容的加密传输,相信没有用户愿意使用“明信片”式的明文电子邮件服务。
(6) 第(6)类调查对象的调查结果与点评
我们之所以选择调查 2005 年中国 500 强企业 ,因为这些企业都已经建设了完善的内部管理信息系统,其日常管理和生产已经离不开管理信息系统了。但我们的调查又是比较困难的,因为其企业网站一般都没有直接链接到内部管理系统的,即使有通过互联网登录内部管理系统的网址,我们也无从获知,但我们通过间接的途径能了解到这些企业是否已经申请 SSL 证书。所以,此部分的调查结果只能是大概的结果,但也能说明问题。调查表明:大约只有 20% 左右企业部署了 SSL 证书来确保其信息系统的信息安全,而其中有少数企业已经使用了客户端数字证书来实现强身份认证登录内部管理系统,也就是说,企业已经开始使用数字证书强身份认证技术来确保其信息系统的安全,这是一个非常值得肯定的起步,因为企业的安全生产和管理已经离不开管理信息系统,所以其信息安全必定是其安全生产的重要部分之一。当然,这个比例与全球 500 强企业 100% 都部署了 SSL 证书还是有一定的差距的,这些全球 500 强企业不仅 100% 部署 SSL 证书,而且纷纷开始部署登录系统的强身份认证系统,有些还购买了 PKI 外包服务设立了自己的中级根证书来给全球员工和合作伙伴颁发各种数字证书来确保各种管理系统的信息安全和实现真正意义的无纸化(数字签名) 。
3. 小结
从以上调查结果可以看出: 2006 年中国电子商务网站的信息安全状况有大幅度的改善和提高,但仍然存在许多问题,主要是对保护用户个人机密信息安全的重视不够和采取的技术措施不够。全球著名市场调查公司预计 2007 年和 2008 年中国信息安全市场将有一个快速的增长,估计到 2008 年就能发展到目前欧美国家的应用水平,我们期待这一天的早日到来,从而真正推动我国电子商务的快速健康发展!
|
