美国“邮件门”启示:邮件安全不容忽视
2015-08-16
据《纽约时报》报道称,美国某前任国务卿,一直使用位于自己家中的私人邮箱、私人服务器(域名为Clintonemail.com)处理公务邮件,而没有用指定的美国国务院的公务邮箱,助手也未及时归档通信内容,而且并没有使用政府提供的专用黑莓手机(以处理邮件著称)。
这位前国务卿宣称自己这样做是为了图方便,但遭到了共和党和美国媒体的强烈谴责。美国国会由共和党人控制的一个调查委员要求其将私人电子邮件服务器转交中立方进行审查评估。
为什么看似平常的邮件会引起美国政坛的激烈反应呢?
美国对电子邮件安全非常重视
和“邮件门”类似的另外一个邮件案件,也体现了美国对电子邮件的重视。2013年12月,美国纽约南区联邦地区法院助理法官James C. Francis签发搜查令,要求微软将其一名用户的电子邮件内容和其他账户信息提交给美国政府,这一举动引起了轩然大波。2014年,欧美主流媒体分几轮对此案进行了长篇累牍的报道,这引发了关于电子邮件是“存在电脑上的记录”还是“个人私有财产”的争论。
美国早在1974年就颁发了《隐私法》,其一方面承认并保护公民对其个人信息存在的重要利益,另一方面也宣称政府为了执法而使用个人信息的必要性;1986年《美国电子通讯隐私法》强调储存在电脑上的讯息的保护;2003年推出了《反垃圾邮件法》,针对垃圾电子邮件进行了各种规定;2014年通过《联邦档案责任法案》,禁止政务工作人员(甚至包括总统、副总统)及顾问使用非公务电子邮件系统发送电子邮件;2015年,美国众议院通过CISPA安全法的修正案,要求互联网服务商与政府共享信息,包括电子邮件。
这些都表明了电子邮件作为常用的通讯工具,其安全性引起了政府、服务提供商、用户的高度重视,甚至立法要求细化相关的管理。
从邮件门事件的报道中分析,美国政府公务员邮件也采用了“特殊的加密措施”;此外,美国公司的邮件加密如HP、微软都使用标识密码算法(IBC)对邮件数据进行加密处理;著名的邮件加密专家Philip Zimmermann很早就在互联网上提供免费加密的PGP邮件加密工具。
美国对电子邮件如此重视,政府不断立法,民间与机构等组织也不断推出邮件加密等技术手段来进行防护,主要还是电子邮件的安全本身非常重要。而反观国内邮件安全情况,形势也不容乐观。
国内电子邮件安全不容忽视
传统电子邮件由于其技术和协议原因,传输和存储过程均是明文,极易泄密。普通电子邮箱系统的安全防护措施缺乏,导致邮箱系统数据泄密和被攻击利用的风险极大。攻击者通过对邮件内容、收发行为的分析,可获得用户真实、全面的信息,并以此为基础发起其他攻击,使电子邮件系统成了网络攻击中最容易突破的防线和短板。
我国针对互联网电子邮件的管理规定目前只有2006年2月原信息产业部颁布的《互联网电子邮件服务管理办法》,这主要是我国专门规范互联网电子邮件服务商行政规章,并未针对邮件内容安全进行要求,所以面对近年来互联网频发的爆发的电子邮件被攻击泄密、窃听事件,存在不少局限,已经难以适应诸如邮件APT攻击、邮件内容传输和存储泄密、智能终端木马盗取等各种新型的安全安全态势。
另一方面,目前国内邮件应用非常普遍,品牌众多,邮箱建设也呈现各自建设、标准不一、重复投资、防护薄弱的特点,部分邮件厂商侧重应用开发,忽略安全,导致邮件系统存在安全漏洞、邮件数据名文存储和传输,有极大安全隐患。
而作为邮件的使用者,邮件安全防范意识薄弱,习惯使用12345、生日、手机号之类的弱密码,或多个应用使用同一个密码,在不同网站使用的是相同的帐号密码,极易受到黑客的如撞库攻击、字典攻击等。
邮件安全已经起步
近年来邮件安全已经引起了相关部门的高度重视。国家发展和改革委员会在2013年信息安全专项文件中指出:“综合利用基于标识技术的国家商用密码SM9专用算法加密,结合国家信息安全权威机构定点监测,建设安全邮箱服务平台,面向政务部门、团体组织和个人提供可靠的安全加密邮件与移动终端电子邮件消息加密推送等运营服务”。
2015年,国家信息安全专项名单公布,国家信息中心基于标识密码技术的安全电子邮箱试点示范项目、中国信息安全测评中心基于公网的跨域电子邮箱安全保密试点示范项目均为专门解决邮件安全的示范项目。
国内的邮件安全技术和解决方案也不断成熟,如国家密码管理局组织了IBC标识密码算法相关标准的编写,颁发了国家SM9算法,该加密算法非常适合安电子邮件保护。相关单位也在组织安全电子邮件的标准编写。此外,中央网信办组织的网络安全宣传周上,也在宣传电子邮件的使用和防范的安全知识。电子邮件作为一个生命力极强的互联网应用,只有不断推出各种安全技术手段,以使得其安全性和便捷性逐渐融合。
文章来源:http://finance.chinanews.com/cj/2015/06-02/7316276.shtml