网站可信身份与系统安全评估

　　摘要：介绍了国内外可信网站和系统安全评估的背景与机构，以及我国正在制定的国家标准《信息安全技术网站身份和系统安全要求与评估方法》，研究了评估类别、评估分级、评估方法与流程、评估结果展示与撤消等网站可信评估内容与流程，为建立我国网站的可信身份与系统安全的评估机制提供参考。
　　
　　关键词：网站；安全评估；可信身份；系统安全评估
　　
　　1引言
　　
　　信息化已经深入社会的各个领域，各种业务可以在网上开展，网站的数量呈井喷式发展，在人们生活中发挥愈来愈重要的作用。在人们享受足不出户、便利生活的同时，网络安全问题对互联网的威胁也越来越大，其中假冒网站和钓鱼网站的危害尤为严重，网民整体对网络的安全感在降低。
　　
　　2014年9月，湖南省人力资源和社会保障厅网站被假冒，该假冒网站通过提供虚假职称证书和职业资格证书查询信息等虚假服务欺骗公众，从而获取非法利益。2016年，12321举报中心收到前十名钓鱼网站包括假冒建设银行、假冒10086网站、假冒苹果官方网站等，这些假冒钓鱼网站给个人信息和财产安全带来严重损害。
　　
　　此外，不法分子使用恶意软件进行自动化邮件地址收集和发送垃圾邮件，通过网络扫描技术及木马、病毒等手段，危害用户信息安全，使电脑设备成为传播工具、感染更多受害者，给个人造成经济损失、虚拟财产损失或个人信息被窃取并用于犯罪的目的，严重影响互联网的健康发展。因此，通过网站身份验证和系统安全评估等工作，有效抵制钓鱼假冒网站已经成为国家信息系统安全建设急需解决的重要问题，有利于我国可信网络空间的治理。
　　
　　2国内外网站可信评估机构
　　
　　在国际领域，网站可信身份验证与评估服务已基本建立，如Veri Sign、BBB Online、TRUSTe、邓白氏（Dun&Bradstreet）等多家机构提供不同种类的认证服务。目前，国内开展可信身份与系统安全评估的服务机构有北龙中网推出的“可信网站”、中国电子商务协会推出的“诚信网站”、中国电子认证服务产业联盟推出的网站认证服务等。
　　
　　2.1Veri Sign
　　
　　Veri Sign公司是国际权威数字证书颁发认证机构。网站通过Veri Sign认证后，将Veri Sign签章（Veri Sign Seal）标志放置在网站上，可以有效提升网站的可信度。点击Veri Sign签章，会看到网站提供给Veri Sign且经过验证后的信息，包括网站所有者的名称、城市、国家或地区等，从而可以最大化地识别合法网站。Veri Sign签章不仅提供身份验证，且提供网站恶意软件扫描功能。自Symantec与Veri Sign合作后，Veri Sign网站签章升级为诺顿安全认证签章（Norton Secured Seal），由Veri Sign提供支持。
　　
　　2.2BBB Online
　　
　　BBB Online是美国促进良好商业顾问局（Council of Better Business Bureau）的附属机构，该机构在1999年建立并开始其网站隐私认证计划。为了获得BBBOnline的认证，申请者必须在网站上发布隐私政策公告，并遵守认证机构确定的信息行为规则，同时参加BBB Online所确立的消费者纠纷解决机制。BBB Online设计了网站徽标，通过认证的网站可以放置此徽标以表示遵守BBBOnline有关隐私保护的指导原则，并服从BBBOnline的监督和审查。
　　
　　2.3TRUSTe
　　
　　TRUSTe是由美国商务网络财团（Commerce Net Consortium）和电子前线基金会（Electronic Frontier Foundation）所组建的一个独立的非营利组织，该组织成立于1997年，是美国网站隐私认证民间机构，TRUSTe的认证协议要求网站在个人信息的收集和使用时，遵守在线隐私联盟OPA（Online Privacy Alliance）的有关告知权、选择权、查阅权和安全等原则。通过测评达到规范要求的网站，将被授权在网站上使用其TRUSTe认证标识。
　　
　　2.4Dun&Bradstreet
　　
　　美国的邓白氏（Dun&Bradstreet）通过对网站身份信息的验证，颁发邓氏编码，并提供查询服务。在网站上安装邓白氏注册标识后，用户可以通过该标识链接到邓白氏全球企业数据库中的邓白氏注册档案，查询经邓白氏权威认证的企业信息，了解企业资质，从而使用户更有信心地进行商业贸易及决策。
　　
　　2.5北龙中网
　　
　　北龙中网（knet.cn）由中国互联网络信息中心（CNNIC）于2009年11月成立，开展国内可信网站认证服务。它通过对域名、工商登记或组织机构代码等信息进行交互审核来验证网站真实身份。通过审核认证后，在网站上安装“可信网站”标识，点击该标识可以了解该网站的相关信息，包括网站的运行监护、篡改监护、木马病毒监控等网络安全信息。
　　
　　2.6中国电子商务协会
　　
　　中国电子商务协会数字服务中心在全国开展诚信网站认证服务，提供对网站的可信身份信息审核业务，如域名备案合法性信息、网站ICP备案、工商注册信息、事业单位及组织机构等信息验证。通过审核认证后，在网站上安装诚信网站电子标识。通过网站身份信息验证，以及北京盘石信用管理有限公司提供的第三方信用评价工作，给网民判别网站是否诚信提供参考，从而打造安全稳健的电子商务环境。
　　
　　2.7中国电子认证服务产业联盟
　　
　　中国电子认证服务产业联盟由中国电子信息产业发展研究院联合电子认证服务产业链上下游企业发起成立，并在联盟下设立网站可信认证服务专业委员会。认证联盟指定的认证服务机构上海凭安征信服务有限公司运用可靠电子签名技术，开展网站可信认证服务，并形成认证责任追究机制。目前已建成认证服务体系及运营平台，认证结果可以在IE浏览器、360浏览器、搜索引擎等可信终端中展示。
　　
　　3可信身份与系统安全评估
　　
　　由于网站可信身份与系统安全的评估机构众多，通过标准化的形式将有关网站身份验证和系统安全要求与评估方法等内容进行规范，有助于促进和规范当前国内网站可信评估工作的推进和管理。目前，国家标准《信息安全技术网站身份和系统安全要求与评估方法》正在制定过程中，已形成送审稿。以下分析其关键内容。
　　
　　3.1评估类别
　　
　　网站身份信息包括网站名称、网站IP地址、域名、网站实际经营者身份证明信息等。网站可信身份与系统安全评估包括验证网站身份信息的真实性以及评估网站系统的安全性。系统安全评估主要对构成网站系统的物理层、网络层、主机层、数据层、网站层进行安全评估，防范可能导致网站出现内容篡改、服务中断、信息泄露及恶意控制等安全风险。图1给出了网站的身份和系统安全评估类别。
　　 　　
　　3.2评估分级
　　
　　网站可信身份与系统安全评估要求可划分为基本级、增强级两个等级。各评估机构可依据网站的类别、访问量、注册用户数和业务重要度选择相应级别的要求进行评估，见表2.其中，满足任意一项级别选择指标要求的网站均宜选择增强级要求与评估。
　　 　　
　　3.3评估方法与流程
　　
　　网站可信身份与系统安全评估方法与流程如下：
　　
　　（1）网站经营者作为申请单位按照要求向评估机构提交相应的申请材料，包括但不限于：申请表原件、工商营业执照副本复印件或组织机构代码证复印件以及经办人身份证复印件等材料；
　　
　　（2）评估机构对申请材料完整性及真实性进行核验，并与相应的数据库信息进行比对，核验其真实性；
　　
　　（3）如申请单位需要进行基本级评估，评估机构按照标准规定的网站基本级要求与评估方法，核验是否通过评估；
　　
　　（4）如申请单位需要进行增强级评估，评估机构按照标准规定的网站增强级要求与评估方法，核验是否通过评估；
　　
　　（5）对于符合要求的网站，评估机构向网站标识颁发机构申请，网站标识颁发机构发放网站标识并纳入到数据库中。
　　
　　3.4评估结果展示
　　
　　网站评估结果展示流程如下：
　　
　　（1）网站经营者作为申请单位满足相应级别的网站身份与系统安全要求，并通过评估机构核验后，可获得由网站标识颁发机构颁发的网站标识；
　　
　　（2）申请单位网站可在支持网站评估结果的浏览器、搜索引擎、微博、安全软件以及即时通讯软件等平台上展示网站标识；
　　
　　（3）公众可查询网站标识详细信息，包括网站等级、评估日期与有效期等。
　　
　　3.5评估结果撤销
　　
　　网站评估结果撤销流程如下：
　　
　　（1）网站经营者在网站信息变更后应及时提交变更材料到网站标识颁发机构更改信息，若信息未及时更改，将导致网站标识暂停解析，直至取消网站评估结果；
　　
　　（2）网站经营者若出现被政府相关部门查处、被新闻机构曝光、公众投诉等情况，将按照相关的退出流程暂停网站标识解析，直至取消；
　　
　　（3）网站若出现木马、病毒、黄赌毒等内容或该网站变成“钓鱼网站”,网站标识颁发机构将暂停网站标识解析，直至取消；
　　
　　（4）网站经营者擅自出租、出借和转让网站标识，或者出现其他应予撤销的情形，网站标识颁发机构将停止网站标识解析，取消网站评估结果。
　　
　　4结语
　　
　　网站可信身份与系统安全评估的需求与一个国家的信息化发展水平和网络应用程度密不可分。近年来随着我国网络与信息化进程的大力推进，网上交易、在线购物为代表的电子商务应用快速发展，随之产生的网站身份真实性以及相应网络安全问题越来越突出。国内部分企业和机构也开展了相应的评估工作和实践，从相应标准化工作来看，应建立规范的网站可信评估要求与流程，为我国治理良好的网络空间提供支撑。
　　
　　参考文献
　　
　　[1]NIST.SP800-53 Revision4:Security and Privacy Controls for Federal Information Systems and Organizations[S].Gaitherburg:NIST,2015.
　　[2]NIST. SP 800-44Revision 2: Guidelines on Securing Public Web Servers[S].Gaitherburg:NIST,2007.
　　[3]中国信息安全产品测评认证中心 .GB/T20983-2007 信息安全技术 网上银行系统信息安全保障评估准则 [S]. 北京 :中国标准出版社 ,2007.
　　[4]北京信息安全测评中心 .GB/T31506-2015 信息安全技术 政府门户网站系统安全技术指南 [S]. 北京 :中国标准出版社 ,2015.