2005 年即将过去,我们完全有必要对过去的一年发生的信息安全领域的大事做一个总结和回顾,经WoTrust组织有关专家评选,现独家发布2005年中国信息安全十件大事:
1、《中华人民共和国电子签名法》于2005年4月1日正式生效。这标志着在电子签名领域已经有法可依,正式从法律上确定的电子签名的合法地位。不仅对中国的信息安全产生深远影响,同时将大大推动中国电子商务和电子政务的发展,从而推进中国信息化的纵深发展。
2、网银跨入第三方认证时代,数字证书全面启用。《电子签名法》推动了数字证书的普及应用,中国各大银行将全面部署数字证书,并告别各自为政统一使用中国 金融认证中心 (CFCA) 颁发的数字证书,并有望实现跨行认证,实现一个数字证书通行所有银行。
3、电子支付安全问题突显,eBay/PayPal积极采取措施。巨大的电子支付市场潜力使得电子支付服务提供商从 2004 年的不到 10 家发展到 2005 年的 40 家,翻了 4 倍多,其中不乏为重量级企业推出,如上海环迅、北京首信、银联电子支付、 IPAY 、网银在线、支付宝、贝宝、财付通、云网、快钱等等。但所有电子支付系统都是基于用户名 / 密码方式的简单身份认证使得各种针对电子支付服务提供商 ) 的网络钓鱼邮件泛滥,电子支付安全问题已经突显, 10 月 11 日 eBay/PayPal 宣布将采用数字证书技术来 防范在线身份盗窃事件的发生。
4、三部委联手从11月1日起打击违法短信犯罪。表面看来,好象与信息安全无关,实际上违法短信犯罪主要是针对 假冒银行或银联名义发送手机违法短信息进行诈骗或者敲诈勒索财物,此事件也考验了银行系统的全程综合信息安全意识,必须彻底解决银行服务器端和隐藏在客户端以及各种银行服务细节中的不安全因素。
5、即时通信身份认证问题显现,AIM 采用数字证书认证。即时通信无论在个人通信和企业通信中已经得到了普及应用,但聊天对方到底“真正”是谁无法确认,造成了各种病毒利用即时通信快速传播。全球 即时通信服务业界领袖—美国在线 AIM 已经在其新版 AIM 软件中支持用户使用全球通用的个人数字证书来向聊天对方证明自己的真实身份和使用个人数字证书来加密聊天信息,从而保证了双方的真实身份和聊天信息不会被非法窃取和非法篡改。
6、浏览器将增强SSL安全锁的显示方式。微软为了防止用户误中假冒网站和钓鱼网站陷阱,在 IE 7 中增强了 SSL 安全锁的显示方式,对于微软认为是高度信任的 SSL数字证书(SSL证书)将会使整个地址栏变成绿色,并直接在地址栏上显示锁标志和证书所有者的名称;而对于微软认为是普通的 SSL数字证书(SSL证书)则直接在地址栏上显示安全锁而不是在浏览器下方不起眼的位置。这样的修改将大大方便了用户在浏览网站时能更加方便地更容易识别安全网站,其他浏览器开发商也将提供类似功能。
7、假冒银行网站频频出现,银行纷纷注册和启用中文域名。去年底和今年初频频出现假冒银行网站,引起了媒体和银行的高度关注,由于假冒的银行网站的域名与真正的银行网站域名只差一个不起眼的字母非常容易混淆用户,所以各大银行纷纷注册和启用中文域名。
8、盛大密宝能否保密码安全的问题引发广泛关注。盛大去年推出密宝产品,率先在国内游戏界采取了一定的技术措施来保证网游用户的密码安全的。但是,由于用户涉及面广,并有其他游戏提供商也跟风采用,一些出现的问题在网游用户中造成了一定的负面影响,并引发了信息安全业界和游戏业界的广泛讨论,有些专家认为:“盛大密宝不能保密码安全”,是彻底的技术选型决策失误。
9、全程电子邮件信息安全问题显现,业界纷纷开始采取措施。使用了多年的电子邮件服务原来都是“明信片”,电子邮件内容被非法窃取和篡改案例日益增多,电子邮件信息安全问题显现,业界纷纷开始采取数字技术来保证电子邮件的全程信息安全。
10、GeoTrust全球市场占有率达到30%,预计两年内将成为业界第一。全球第二大数字证书和身份认证服务提供商 GeoTrust 正式以合作伙伴方式试探中国市场,获得了满意的业绩, 2005 年 GeoTrust 全球市场占有率达到 30% ,预计两年内 GeoTrust 将成为全球最大的数字证书和身份认证服务提供商。