“可信网站”凭什么可信?

2012-04-29 00:44邹春蕾
网络导报 2012年1期
关键词:中网黑客钓鱼

邹春蕾

日前,中国反钓鱼网站联盟透露,截止2011年11月底,他们累计认定并处理的钓鱼网站达7.2万个。钓鱼网站来势凶猛,商业网站纷纷申请“可信网站”验证,并称赞它为中国数百万网站的“可信身份证”。不过,在“可信网站”验证的盛誉之外,亦有质疑,有人说它搞“商业操作”,也有人说它“给钱就给信”。面对质疑,“可信网站”验证服务机构不应满足于清者自清,还应勇敢站出来,寻找解决之道,让网民安心。

“抓鱼”英雄毁誉参半

我们正在使用一个什么样的互联网?

郭美美会说,这是一个不真实的互联网;安全厂商会说,这是一个不安全的互联网;而网民会说,这是一个不可信的互联网。

不安全,不可信——在给网民带来方便、快捷的同时,互联网也正逐步呈现出它凶险的一面。

中国反钓鱼网站联盟日前透露,2011年11月底,联盟累计认定并处理了钓鱼网站7.2万个。此外,一组由中国互联网信息中心发布的2011年上半年的调查数据,也让人触目惊心:2.17亿人遭受过病毒或木马的攻击,1.21亿人的账号或密码被盗,3880万人在网上消费时被钓鱼网站“钓走”财务。

被钓鱼网站和木马病毒欺负多了,网民开始变得小心翼翼。在浏览网站时,他们担心:这个网站是不是钓鱼网站?这个网站上面有没有藏着病毒和木马,会把我的个人信息和账户信息偷走?出于这种不信任心理,导致90%的用户最终选择“悄悄地来,悄悄地走,不掏一分钱”。

网民对网络安全和信任的缺失,对企业的影响不言而喻。为了消除网民的安全忧虑,放心地在正规网站交易下单,京东商城、当当网、1号店等正规网站纷纷选择申请“可信网站”验证来验明正身——有“可信网站”验证标识的,说明黑客无法在此“布雷”,网民可放心浏览、交易。

“可信网站”验证具有诚信说服力,是因其具有权威性——它是由中国互联网络信息中心(CNNIC)携手北龙中网联合颁发的验证网站真实身份的第三方权威服务。它通过对域名注册信息、网站信息和企业工商或事业单位组织机构信息进行严格交互审核来认证网站真实信息,并利用先进的木马扫描技术帮助网站了解自身安全情况,是中国数百万网站的“可信身份证”。

“‘可信网站、‘可信互联网的理念和思路,早在2009年就提出来了。当时,中国网民规模首次突破3亿,国内域名总数接近2000万个,网站数量也首度突破300万大关,网络虚假信息、网络诈骗也开始大行其道。如何给网民一个安全、可信赖的网站,已是迫在眉睫的大事。”中网的战略合作伙伴网上有名CEO陈培桄向本报记者表示,“可信网站”验证是由北龙中网率先提出来的,其初衷是推动“可用网络”走向“可信网络”。

自诞生之初,“可信网站”就怀有一种英雄情结:对知名网站,它希望做形象保护神,防止知名网站被假冒网站和钓鱼网站“傍名牌”;对中小企业网站,它希望兼任验证官和广告宣传大使,证明中小企业网站的合法身份,帮助企业赢得用户的信任,提升互联网营销效果;对普通网民,它想做扫描仪和显微镜,帮助网民分辨真假网站,避免他们上当受骗,损失钱财。

“可信网站”验证像个“老好人”,谁都可以从它这里受益,号召力自然非同凡响。经过2年多的发展,选择通过“可信网站”验证的商业网站趋之若鹜,覆盖金融、证券、电商、机械制造、食品、旅游等行业和领域。陈培桄列举的一组数字,足有说服力:截止目前,在国内300多家正规券商中,超过70%以上已通过“可信网站”验证。

不过,同所有新生事物一样,在逐渐得到认可的同时,“可信网站”验证也遭到了各方的质疑。经过“可信网站”认证就一定可信?它是免费的验证机构还是“给钱就给信”的商业行为?它的技术真的就能拼得过黑客?“可信网站”验证也正承受着外界对其的质疑。

商业操作行为是否真可信?

在中网发布的“可信网站”验证申请流程上可以看到,申请认证的企业需要提供公司营业执照、机构代码证、域名证书等资料。

“这些资料只能证明这是一个正常运营的网站,也是最基本的条件,满足不了可信网站所要达到的要求。而且认证是要收费的,这更多的是一个商业操作行为,网站只是出钱买了一块牌子。”有人对“可信网站”验证的审核能力提出了质疑。据了解,经过“可信网站”验证之后,每年都需要年检,每年的验证服务费为1500元,有效期为10年,也就是10年中,网站将为这个标识付出1.5万元。

“‘可信网站验证的申请原则是‘政府倡导、申请自主,中网并不强制网站申请验证。”陈培桄首先对验证的年检收费问题做出澄清,并否认了外界所传的,可信网站验证是个商业操作行为。

据陈培桄介绍,“可信网站”验证需要企业提交最基本的条件,但在审核过程中,为确保这些条件是真实可信的,验证机构会对其进行形式性和真实性的审查。形式性审查是要求申请材料和申请资质缺一不可;而真实性审查,则要求这些材料必须是真实可靠的。

审核的过程,企业要过的关卡也有很多。“申请验证的企业需要先通过企业所在地的‘可信网站验证机构的审核,一个要点是:网站验证方的域名注册机构与网站的所有权人必须一致,企业的营业执照及织织机构代码证必须是经当年年检真实有效的。然后要通过中网的中审和终审两道关,只有这三关的审核全部过关才能通过验证。”陈培桄说。

严格的审核机制,说明认证机构是“先证后认”,并非“给钱就给信”,而各级交互审核,则避免了认证机构在审核服务过程中搞暗箱操作。这样的审核保障,才能确保经过可信认证的网站是真李逵,而非“李鬼”。

可信认证后就高高挂起?

对于经过可信认证的网站,现在通行的做法,是给网站颁发一个“可信网站”验证标识,用户点击这个图标可以链接到验证页面,查看该网站的验证信息及安全信息。

“谁能保证这个网站申请的时候是安全的,以后就会永远安全呢?”有网友怀疑验证机构收完钱之后,就事不关己高高挂起。

“其实,拿标不容易,养标更不容易。”陈培桄告诉记者,验证管理机构之所以实行年检制度,就是为了对已经拿到验证标识的网站实施监督,“拿到验证标识,就得承诺诚信经营,切实维护消费者合法权益。如果持有者网站出现不当运营行为,或者得到了网民的投诉等,验证管理机构有权暂停或者收回验证标识。”

除了每年的硬件年检外,中网的技术中心还会将其验证方的网站域名通过解析链接到后台自动跟踪扫描,为企业网站保驾护航,对申请者的网站运营状况实施动态监测。并设立服务质量监督投诉电话和电子邮箱,建立公众投诉处理机制,接受公众、媒体和社会的监督。

对通过信用认证的网站进行监督管理之外,验证管理机构也会进行自我管理和监督。2011年11月3日,中网率先推出“验证出错赔偿”机制,承诺其若违反公开的验证规则,给网站提供验证服务、发放验证标识,而致使网民利益受损,中网将给予网民每个网站最高1000元的赔偿。

“敢于自我惩罚,就是最大的监督。中网敢于打出‘验证出错赔偿,充分表明中网自信其‘可信网站验证的规则或方法已经成熟,完全经得住市场的考验。” 陈培桄说。

“火眼金睛”能斗得过黑客?

近年来,黑客越来越猖獗,技术越来越高超。“可信网站”验证要保证认证网站的安全,最大的敌人非黑客莫属。

“通过认证的网站只得到一个验证图标,难保黑客不会对这个图标下手。”广大网友普遍担心,验证图标会被不法分子用“超链接”等方式冒用、冒称“可信网站”。

病毒无孔不入,“可信网站”验证就做孙悟空的火眼金睛无毒不杀;黑客技术不断翻新,“可信网站”验证的扫描防范技术就不断升级。据了解,早在2011年6月9日,《第三方网站可信服务行业规范(征求意见稿)》发布后,“可信网站”验证就开始了新定位——从“网站身份验证”升级为“可信安全解决方案”。

升级后的“可信网站”验证将从单一的“身份可信”,升级为“身份可信、服务可信、传输可信”;功能也从单一的“网站身份验证”升级为“网站身份可信验证、网站运行监护、网页篡改监护、木马病毒扫描、数据加密传输”五大综合功能。

挑货才是买货人。来自多方的质疑声音,恰恰可以反映出网民对“信用网站”验证的认可。网民认可的,是其对互联网经济应从“可用网络经济”转变为“可信网络经济”的理念,及其致力于为网民提供一个诚信网络环境的美好愿景。但“信用网站”验证自诞生至今,只有2年时间,未来,需要探索的路还很长,需要解决的问题也很多,此时,不仅需要“信用网站”验证机构自身的努力,更需要广大网民的支持与包容。正如陈培桄先生所说,“网络环境的安全诚信问题,是一个社会性大课题,值得我们共同关心与维护。政府、公众、社会和媒体等多方位、多纬度的监督和支持,对‘可信网站验证走好未来之路非常重要。”

猜你喜欢
中网黑客钓鱼
欢乐英雄
多少个屁能把布克崩起来?
网络黑客比核武器更可怕
钓鱼
中国网球公开赛科研文献综述的研究
第七章 去泥盆纪钓鱼
第七章 去泥盆纪钓鱼
第七章去泥盆纪钓鱼
试论我国网球赛事增进的机理与途径——以“中网”为例
中网嘉年华,球迷自己的节日