“可信網站”憑什么可信?

鄒春蕾

日前，中國反釣魚網站聯盟透露，截止2011年11月底，他們累計認定并處理的釣魚網站達7.2萬個。釣魚網站來勢兇猛，商業網站紛紛申請“可信網站”驗證，并稱贊它為中國數百萬網站的“可信身份證”。不過，在“可信網站”驗證的盛譽之外，亦有質疑，有人說它搞“商業操作”，也有人說它“給錢就給信”。面對質疑，“可信網站”驗證服務機構不應滿足于清者自清，還應勇敢站出來，尋找解決之道，讓網民安心。

“抓魚”英雄毀譽參半

我們正在使用一個什么樣的互聯網？

郭美美會說，這是一個不真實的互聯網；安全廠商會說，這是一個不安全的互聯網；而網民會說，這是一個不可信的互聯網。

不安全，不可信——在給網民帶來方便、快捷的同時，互聯網也正逐步呈現出它兇險的一面。

中國反釣魚網站聯盟日前透露，2011年11月底，聯盟累計認定并處理了釣魚網站7.2萬個。此外，一組由中國互聯網信息中心發布的2011年上半年的調查數據，也讓人觸目驚心：2.17億人遭受過病毒或木馬的攻擊，1.21億人的賬號或密碼被盜，3880萬人在網上消費時被釣魚網站“釣走”財務。

被釣魚網站和木馬病毒欺負多了，網民開始變得小心翼翼。在瀏覽網站時，他們擔心：這個網站是不是釣魚網站？這個網站上面有沒有藏著病毒和木馬，會把我的個人信息和賬戶信息偷走？出于這種不信任心理，導致90％的用戶最終選擇“悄悄地來，悄悄地走，不掏一分錢”。

網民對網絡安全和信任的缺失，對企業的影響不言而喻。為了消除網民的安全憂慮，放心地在正規網站交易下單，京東商城、當當網、1號店等正規網站紛紛選擇申請“可信網站”驗證來驗明正身——有“可信網站”驗證標識的，說明黑客無法在此“布雷”，網民可放心瀏覽、交易。

“可信網站”驗證具有誠信說服力，是因其具有權威性——它是由中國互聯網絡信息中心（CNNIC）攜手北龍中網聯合頒發的驗證網站真實身份的第三方權威服務。它通過對域名注冊信息、網站信息和企業工商或事業單位組織機構信息進行嚴格交互審核來認證網站真實信息，并利用先進的木馬掃描技術幫助網站了解自身安全情況，是中國數百萬網站的“可信身份證”。

“‘可信網站、‘可信互聯網的理念和思路，早在2009年就提出來了。當時，中國網民規模首次突破3億，國內域名總數接近2000萬個，網站數量也首度突破300萬大關，網絡虛假信息、網絡詐騙也開始大行其道。如何給網民一個安全、可信賴的網站，已是迫在眉睫的大事。”中網的戰略合作伙伴網上有名CEO陳培桄向本報記者表示，“可信網站”驗證是由北龍中網率先提出來的，其初衷是推動“可用網絡”走向“可信網絡”。

自誕生之初，“可信網站”就懷有一種英雄情結：對知名網站，它希望做形象保護神，防止知名網站被假冒網站和釣魚網站“傍名牌”；對中小企業網站，它希望兼任驗證官和廣告宣傳大使，證明中小企業網站的合法身份，幫助企業贏得用戶的信任，提升互聯網營銷效果；對普通網民，它想做掃描儀和顯微鏡，幫助網民分辨真假網站，避免他們上當受騙，損失錢財。

“可信網站”驗證像個“老好人”，誰都可以從它這里受益，號召力自然非同凡響。經過2年多的發展，選擇通過“可信網站”驗證的商業網站趨之若鶩，覆蓋金融、證券、電商、機械制造、食品、旅游等行業和領域。陳培桄列舉的一組數字，足有說服力：截止目前，在國內300多家正規券商中，超過70％以上已通過“可信網站”驗證。

不過，同所有新生事物一樣，在逐漸得到認可的同時，“可信網站”驗證也遭到了各方的質疑。經過“可信網站”認證就一定可信？它是免費的驗證機構還是“給錢就給信”的商業行為？它的技術真的就能拼得過黑客？“可信網站”驗證也正承受著外界對其的質疑。

商業操作行為是否真可信？

在中網發布的“可信網站”驗證申請流程上可以看到，申請認證的企業需要提供公司營業執照、機構代碼證、域名證書等資料。

“這些資料只能證明這是一個正常運營的網站，也是最基本的條件，滿足不了可信網站所要達到的要求。而且認證是要收費的，這更多的是一個商業操作行為，網站只是出錢買了一塊牌子。”有人對“可信網站”驗證的審核能力提出了質疑。據了解，經過“可信網站”驗證之后，每年都需要年檢，每年的驗證服務費為1500元，有效期為10年，也就是10年中，網站將為這個標識付出1.5萬元。

“‘可信網站驗證的申請原則是‘政府倡導、申請自主，中網并不強制網站申請驗證。”陳培桄首先對驗證的年檢收費問題做出澄清，并否認了外界所傳的，可信網站驗證是個商業操作行為。

據陳培桄介紹，“可信網站”驗證需要企業提交最基本的條件，但在審核過程中，為確保這些條件是真實可信的，驗證機構會對其進行形式性和真實性的審查。形式性審查是要求申請材料和申請資質缺一不可；而真實性審查，則要求這些材料必須是真實可靠的。

審核的過程，企業要過的關卡也有很多。“申請驗證的企業需要先通過企業所在地的‘可信網站驗證機構的審核，一個要點是：網站驗證方的域名注冊機構與網站的所有權人必須一致，企業的營業執照及織織機構代碼證必須是經當年年檢真實有效的。然后要通過中網的中審和終審兩道關，只有這三關的審核全部過關才能通過驗證。”陳培桄說。

嚴格的審核機制，說明認證機構是“先證后認”，并非“給錢就給信”，而各級交互審核，則避免了認證機構在審核服務過程中搞暗箱操作。這樣的審核保障，才能確保經過可信認證的網站是真李逵，而非“李鬼”。

可信認證后就高高掛起？

對于經過可信認證的網站，現在通行的做法，是給網站頒發一個“可信網站”驗證標識，用戶點擊這個圖標可以鏈接到驗證頁面，查看該網站的驗證信息及安全信息。

“誰能保證這個網站申請的時候是安全的，以后就會永遠安全呢？”有網友懷疑驗證機構收完錢之后，就事不關己高高掛起。

“其實，拿標不容易，養標更不容易。”陳培桄告訴記者，驗證管理機構之所以實行年檢制度，就是為了對已經拿到驗證標識的網站實施監督，“拿到驗證標識，就得承諾誠信經營，切實維護消費者合法權益。如果持有者網站出現不當運營行為，或者得到了網民的投訴等，驗證管理機構有權暫停或者收回驗證標識。”

除了每年的硬件年檢外，中網的技術中心還會將其驗證方的網站域名通過解析鏈接到后臺自動跟蹤掃描，為企業網站保駕護航，對申請者的網站運營狀況實施動態監測。并設立服務質量監督投訴電話和電子郵箱，建立公眾投訴處理機制，接受公眾、媒體和社會的監督。

對通過信用認證的網站進行監督管理之外，驗證管理機構也會進行自我管理和監督。2011年11月3日，中網率先推出“驗證出錯賠償”機制，承諾其若違反公開的驗證規則，給網站提供驗證服務、發放驗證標識，而致使網民利益受損，中網將給予網民每個網站最高1000元的賠償。

“敢于自我懲罰，就是最大的監督。中網敢于打出‘驗證出錯賠償，充分表明中網自信其‘可信網站驗證的規則或方法已經成熟，完全經得住市場的考驗。” 陳培桄說。

“火眼金睛”能斗得過黑客？

近年來，黑客越來越猖獗，技術越來越高超。“可信網站”驗證要保證認證網站的安全，最大的敵人非黑客莫屬。

“通過認證的網站只得到一個驗證圖標，難保黑客不會對這個圖標下手。”廣大網友普遍擔心，驗證圖標會被不法分子用“超鏈接”等方式冒用、冒稱“可信網站”。

病毒無孔不入，“可信網站”驗證就做孫悟空的火眼金睛無毒不殺；黑客技術不斷翻新，“可信網站”驗證的掃描防范技術就不斷升級。據了解，早在2011年6月9日，《第三方網站可信服務行業規范（征求意見稿）》發布后，“可信網站”驗證就開始了新定位——從“網站身份驗證”升級為“可信安全解決方案”。

升級后的“可信網站”驗證將從單一的“身份可信”，升級為“身份可信、服務可信、傳輸可信”；功能也從單一的“網站身份驗證”升級為“網站身份可信驗證、網站運行監護、網頁篡改監護、木馬病毒掃描、數據加密傳輸”五大綜合功能。

挑貨才是買貨人。來自多方的質疑聲音，恰恰可以反映出網民對“信用網站”驗證的認可。網民認可的，是其對互聯網經濟應從“可用網絡經濟”轉變為“可信網絡經濟”的理念，及其致力于為網民提供一個誠信網絡環境的美好愿景。但“信用網站”驗證自誕生至今，只有2年時間，未來，需要探索的路還很長，需要解決的問題也很多，此時，不僅需要“信用網站”驗證機構自身的努力，更需要廣大網民的支持與包容。正如陳培桄先生所說，“網絡環境的安全誠信問題，是一個社會性大課題，值得我們共同關心與維護。政府、公眾、社會和媒體等多方位、多緯度的監督和支持，對‘可信網站驗證走好未來之路非常重要。”