摘要：介紹了國內(nèi)外可信網(wǎng)站和系統(tǒng)安全評估的背景與機構(gòu)，以及我國正在制定的國家標準《信息安全技術(shù)網(wǎng)站身份和系統(tǒng)安全要求與評估方法》，研究了評估類別、評估分級、評估方法與流程、評估結(jié)果展示與撤消等網(wǎng)站可信評估內(nèi)容與流程，為建立我國網(wǎng)站的可信身份與系統(tǒng)安全的評估機制提供參考。
　　
　　關(guān)鍵詞：網(wǎng)站；安全評估；可信身份；系統(tǒng)安全評估
　　
　　1引言
　　
　　信息化已經(jīng)深入社會的各個領(lǐng)域，各種業(yè)務(wù)可以在網(wǎng)上開展，網(wǎng)站的數(shù)量呈井噴式發(fā)展，在人們生活中發(fā)揮愈來愈重要的作用。在人們享受足不出戶、便利生活的同時，網(wǎng)絡(luò)安全問題對互聯(lián)網(wǎng)的威脅也越來越大，其中假冒網(wǎng)站和釣魚網(wǎng)站的危害尤為嚴重，網(wǎng)民整體對網(wǎng)絡(luò)的安全感在降低。
　　
　　2014年9月，湖南省人力資源和社會保障廳網(wǎng)站被假冒，該假冒網(wǎng)站通過提供虛假職稱證書和職業(yè)資格證書查詢信息等虛假服務(wù)欺騙公眾，從而獲取非法利益。2016年，12321舉報中心收到前十名釣魚網(wǎng)站包括假冒建設(shè)銀行、假冒10086網(wǎng)站、假冒蘋果官方網(wǎng)站等，這些假冒釣魚網(wǎng)站給個人信息和財產(chǎn)安全帶來嚴重損害。
　　
　　此外，不法分子使用惡意軟件進行自動化郵件地址收集和發(fā)送垃圾郵件，通過網(wǎng)絡(luò)掃描技術(shù)及木馬、病毒等手段，危害用戶信息安全，使電腦設(shè)備成為傳播工具、感染更多受害者，給個人造成經(jīng)濟損失、虛擬財產(chǎn)損失或個人信息被竊取并用于犯罪的目的，嚴重影響互聯(lián)網(wǎng)的健康發(fā)展。因此，通過網(wǎng)站身份驗證和系統(tǒng)安全評估等工作，有效抵制釣魚假冒網(wǎng)站已經(jīng)成為國家信息系統(tǒng)安全建設(shè)急需解決的重要問題，有利于我國可信網(wǎng)絡(luò)空間的治理。
　　
　　2國內(nèi)外網(wǎng)站可信評估機構(gòu)
　　
　　在國際領(lǐng)域，網(wǎng)站可信身份驗證與評估服務(wù)已基本建立，如Veri Sign、BBB Online、TRUSTe、鄧白氏（Dun&Bradstreet）等多家機構(gòu)提供不同種類的認證服務(wù)。目前，國內(nèi)開展可信身份與系統(tǒng)安全評估的服務(wù)機構(gòu)有北龍中網(wǎng)推出的“可信網(wǎng)站”、中國電子商務(wù)協(xié)會推出的“誠信網(wǎng)站”、中國電子認證服務(wù)產(chǎn)業(yè)聯(lián)盟推出的網(wǎng)站認證服務(wù)等。
　　
　　2.1Veri Sign
　　
　　Veri Sign公司是國際權(quán)威數(shù)字證書頒發(fā)認證機構(gòu)。網(wǎng)站通過Veri Sign認證后，將Veri Sign簽章（Veri Sign Seal）標志放置在網(wǎng)站上，可以有效提升網(wǎng)站的可信度。點擊Veri Sign簽章，會看到網(wǎng)站提供給Veri Sign且經(jīng)過驗證后的信息，包括網(wǎng)站所有者的名稱、城市、國家或地區(qū)等，從而可以最大化地識別合法網(wǎng)站。Veri Sign簽章不僅提供身份驗證，且提供網(wǎng)站惡意軟件掃描功能。自Symantec與Veri Sign合作后，Veri Sign網(wǎng)站簽章升級為諾頓安全認證簽章（Norton Secured Seal），由Veri Sign提供支持。
　　
　　2.2BBB Online
　　
　　BBB Online是美國促進良好商業(yè)顧問局（Council of Better Business Bureau）的附屬機構(gòu)，該機構(gòu)在1999年建立并開始其網(wǎng)站隱私認證計劃。為了獲得BBBOnline的認證，申請者必須在網(wǎng)站上發(fā)布隱私政策公告，并遵守認證機構(gòu)確定的信息行為規(guī)則，同時參加BBB Online所確立的消費者糾紛解決機制。BBB Online設(shè)計了網(wǎng)站徽標，通過認證的網(wǎng)站可以放置此徽標以表示遵守BBBOnline有關(guān)隱私保護的指導原則，并服從BBBOnline的監(jiān)督和審查。
　　
　　2.3TRUSTe
　　
　　TRUSTe是由美國商務(wù)網(wǎng)絡(luò)財團（Commerce Net Consortium）和電子前線基金會（Electronic Frontier Foundation）所組建的一個獨立的非營利組織，該組織成立于1997年，是美國網(wǎng)站隱私認證民間機構(gòu)，TRUSTe的認證協(xié)議要求網(wǎng)站在個人信息的收集和使用時，遵守在線隱私聯(lián)盟OPA（Online Privacy Alliance）的有關(guān)告知權(quán)、選擇權(quán)、查閱權(quán)和安全等原則。通過測評達到規(guī)范要求的網(wǎng)站，將被授權(quán)在網(wǎng)站上使用其TRUSTe認證標識。
　　
　　2.4Dun&Bradstreet
　　
　　美國的鄧白氏（Dun&Bradstreet）通過對網(wǎng)站身份信息的驗證，頒發(fā)鄧氏編碼，并提供查詢服務(wù)。在網(wǎng)站上安裝鄧白氏注冊標識后，用戶可以通過該標識鏈接到鄧白氏全球企業(yè)數(shù)據(jù)庫中的鄧白氏注冊檔案，查詢經(jīng)鄧白氏權(quán)威認證的企業(yè)信息，了解企業(yè)資質(zhì)，從而使用戶更有信心地進行商業(yè)貿(mào)易及決策。
　　
　　2.5北龍中網(wǎng)
　　
　　北龍中網(wǎng)（knet.cn）由中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）于2009年11月成立，開展國內(nèi)可信網(wǎng)站認證服務(wù)。它通過對域名、工商登記或組織機構(gòu)代碼等信息進行交互審核來驗證網(wǎng)站真實身份。通過審核認證后，在網(wǎng)站上安裝“可信網(wǎng)站”標識，點擊該標識可以了解該網(wǎng)站的相關(guān)信息，包括網(wǎng)站的運行監(jiān)護、篡改監(jiān)護、木馬病毒監(jiān)控等網(wǎng)絡(luò)安全信息。
　　
　　2.6中國電子商務(wù)協(xié)會
　　
　　中國電子商務(wù)協(xié)會數(shù)字服務(wù)中心在全國開展誠信網(wǎng)站認證服務(wù)，提供對網(wǎng)站的可信身份信息審核業(yè)務(wù)，如域名備案合法性信息、網(wǎng)站ICP備案、工商注冊信息、事業(yè)單位及組織機構(gòu)等信息驗證。通過審核認證后，在網(wǎng)站上安裝誠信網(wǎng)站電子標識。通過網(wǎng)站身份信息驗證，以及北京盤石信用管理有限公司提供的第三方信用評價工作，給網(wǎng)民判別網(wǎng)站是否誠信提供參考，從而打造安全穩(wěn)健的電子商務(wù)環(huán)境。
　　
　　2.7中國電子認證服務(wù)產(chǎn)業(yè)聯(lián)盟
　　
　　中國電子認證服務(wù)產(chǎn)業(yè)聯(lián)盟由中國電子信息產(chǎn)業(yè)發(fā)展研究院聯(lián)合電子認證服務(wù)產(chǎn)業(yè)鏈上下游企業(yè)發(fā)起成立，并在聯(lián)盟下設(shè)立網(wǎng)站可信認證服務(wù)專業(yè)委員會。認證聯(lián)盟指定的認證服務(wù)機構(gòu)上海憑安征信服務(wù)有限公司運用可靠電子簽名技術(shù)，開展網(wǎng)站可信認證服務(wù)，并形成認證責任追究機制。目前已建成認證服務(wù)體系及運營平臺，認證結(jié)果可以在IE瀏覽器、360瀏覽器、搜索引擎等可信終端中展示。
　　
　　3可信身份與系統(tǒng)安全評估
　　
　　由于網(wǎng)站可信身份與系統(tǒng)安全的評估機構(gòu)眾多，通過標準化的形式將有關(guān)網(wǎng)站身份驗證和系統(tǒng)安全要求與評估方法等內(nèi)容進行規(guī)范，有助于促進和規(guī)范當前國內(nèi)網(wǎng)站可信評估工作的推進和管理。目前，國家標準《信息安全技術(shù)網(wǎng)站身份和系統(tǒng)安全要求與評估方法》正在制定過程中，已形成送審稿。以下分析其關(guān)鍵內(nèi)容。
　　
　　3.1評估類別
　　
　　網(wǎng)站身份信息包括網(wǎng)站名稱、網(wǎng)站IP地址、域名、網(wǎng)站實際經(jīng)營者身份證明信息等。網(wǎng)站可信身份與系統(tǒng)安全評估包括驗證網(wǎng)站身份信息的真實性以及評估網(wǎng)站系統(tǒng)的安全性。系統(tǒng)安全評估主要對構(gòu)成網(wǎng)站系統(tǒng)的物理層、網(wǎng)絡(luò)層、主機層、數(shù)據(jù)層、網(wǎng)站層進行安全評估，防范可能導致網(wǎng)站出現(xiàn)內(nèi)容篡改、服務(wù)中斷、信息泄露及惡意控制等安全風險。圖1給出了網(wǎng)站的身份和系統(tǒng)安全評估類別。
　　 　　
　　3.2評估分級
　　
　　網(wǎng)站可信身份與系統(tǒng)安全評估要求可劃分為基本級、增強級兩個等級。各評估機構(gòu)可依據(jù)網(wǎng)站的類別、訪問量、注冊用戶數(shù)和業(yè)務(wù)重要度選擇相應(yīng)級別的要求進行評估，見表2.其中，滿足任意一項級別選擇指標要求的網(wǎng)站均宜選擇增強級要求與評估。
　　 　　
　　3.3評估方法與流程
　　
　　網(wǎng)站可信身份與系統(tǒng)安全評估方法與流程如下：
　　
　　（1）網(wǎng)站經(jīng)營者作為申請單位按照要求向評估機構(gòu)提交相應(yīng)的申請材料，包括但不限于：申請表原件、工商營業(yè)執(zhí)照副本復印件或組織機構(gòu)代碼證復印件以及經(jīng)辦人身份證復印件等材料；
　　
　　（2）評估機構(gòu)對申請材料完整性及真實性進行核驗，并與相應(yīng)的數(shù)據(jù)庫信息進行比對，核驗其真實性；
　　
　　（3）如申請單位需要進行基本級評估，評估機構(gòu)按照標準規(guī)定的網(wǎng)站基本級要求與評估方法，核驗是否通過評估；
　　
　　（4）如申請單位需要進行增強級評估，評估機構(gòu)按照標準規(guī)定的網(wǎng)站增強級要求與評估方法，核驗是否通過評估；
　　
　　（5）對于符合要求的網(wǎng)站，評估機構(gòu)向網(wǎng)站標識頒發(fā)機構(gòu)申請，網(wǎng)站標識頒發(fā)機構(gòu)發(fā)放網(wǎng)站標識并納入到數(shù)據(jù)庫中。
　　
　　3.4評估結(jié)果展示
　　
　　網(wǎng)站評估結(jié)果展示流程如下：
　　
　　（1）網(wǎng)站經(jīng)營者作為申請單位滿足相應(yīng)級別的網(wǎng)站身份與系統(tǒng)安全要求，并通過評估機構(gòu)核驗后，可獲得由網(wǎng)站標識頒發(fā)機構(gòu)頒發(fā)的網(wǎng)站標識；
　　
　　（2）申請單位網(wǎng)站可在支持網(wǎng)站評估結(jié)果的瀏覽器、搜索引擎、微博、安全軟件以及即時通訊軟件等平臺上展示網(wǎng)站標識；
　　
　　（3）公眾可查詢網(wǎng)站標識詳細信息，包括網(wǎng)站等級、評估日期與有效期等。
　　
　　3.5評估結(jié)果撤銷
　　
　　網(wǎng)站評估結(jié)果撤銷流程如下：
　　
　　（1）網(wǎng)站經(jīng)營者在網(wǎng)站信息變更后應(yīng)及時提交變更材料到網(wǎng)站標識頒發(fā)機構(gòu)更改信息，若信息未及時更改，將導致網(wǎng)站標識暫停解析，直至取消網(wǎng)站評估結(jié)果；
　　
　　（2）網(wǎng)站經(jīng)營者若出現(xiàn)被政府相關(guān)部門查處、被新聞機構(gòu)曝光、公眾投訴等情況，將按照相關(guān)的退出流程暫停網(wǎng)站標識解析，直至取消；
　　
　　（3）網(wǎng)站若出現(xiàn)木馬、病毒、黃賭毒等內(nèi)容或該網(wǎng)站變成“釣魚網(wǎng)站”,網(wǎng)站標識頒發(fā)機構(gòu)將暫停網(wǎng)站標識解析，直至取消；
　　
　　（4）網(wǎng)站經(jīng)營者擅自出租、出借和轉(zhuǎn)讓網(wǎng)站標識，或者出現(xiàn)其他應(yīng)予撤銷的情形，網(wǎng)站標識頒發(fā)機構(gòu)將停止網(wǎng)站標識解析，取消網(wǎng)站評估結(jié)果。
　　
　　4結(jié)語
　　
　　網(wǎng)站可信身份與系統(tǒng)安全評估的需求與一個國家的信息化發(fā)展水平和網(wǎng)絡(luò)應(yīng)用程度密不可分。近年來隨著我國網(wǎng)絡(luò)與信息化進程的大力推進，網(wǎng)上交易、在線購物為代表的電子商務(wù)應(yīng)用快速發(fā)展，隨之產(chǎn)生的網(wǎng)站身份真實性以及相應(yīng)網(wǎng)絡(luò)安全問題越來越突出。國內(nèi)部分企業(yè)和機構(gòu)也開展了相應(yīng)的評估工作和實踐，從相應(yīng)標準化工作來看，應(yīng)建立規(guī)范的網(wǎng)站可信評估要求與流程，為我國治理良好的網(wǎng)絡(luò)空間提供支撐。
　　
　　參考文獻
　　
　　[1]NIST.SP800-53 Revision4:Security and Privacy Controls for Federal Information Systems and Organizations[S].Gaitherburg:NIST,2015.
　　[2]NIST. SP 800-44Revision 2: Guidelines on Securing Public Web Servers[S].Gaitherburg:NIST,2007.
　　[3]中國信息安全產(chǎn)品測評認證中心 .GB/T20983-2007 信息安全技術(shù) 網(wǎng)上銀行系統(tǒng)信息安全保障評估準則 [S]. 北京 :中國標準出版社 ,2007.
　　[4]北京信息安全測評中心 .GB/T31506-2015 信息安全技術(shù) 政府門戶網(wǎng)站系統(tǒng)安全技術(shù)指南 [S]. 北京 :中國標準出版社 ,2015.