分类
知识中心

HTTPS的优势有哪些

安全通信:https通过在浏览器和服务器或任意两个系统之间建立加密链接来建立安全连接。

数据完整性:https通过加密数据来提供数据完整性,因此,即使黑客设法捕获数据,他们也无法读取或修改数据。

隐私和安全:https通过防止黑客被动地监听浏览器和服务器之间的通信来保护网站用户的隐私和安全。

更快的性能:与http相比,https通过加密和减小数据的大小来提高数据传输速度。

搜索引擎优化:使用https可以提高SEO排名。在谷歌浏览器中,如果用户的数据是通过http收集的,谷歌会在浏览器中显示“不安全”标签。

未来:https通过使互联网对用户和网站所有者安全来代表网络的未来。

http vs https
网址 网址
以超文本(结构化文本)格式传输数据 以加密格式传输数据
默认使用端口 80 默认使用端口 443
不安全 使用 SSL 技术进行保护
开头为http:// 开头为https://
分类
安全播报

短链接钓鱼再度肆虐 部署SSL证书杜绝安全隐患

据外媒报道,数字风险防护公司CloudSEK观察到,在大规模网络钓鱼活动中使用短链接的情况有所增加,同时,不法分子还借助反向隧道在本地托管网络钓鱼页面,以逃避防护系统检测。专家建议,为了防止此类威胁,用户应避免点击从未知或可疑来源收到的链接。

短链接钓鱼再度肆虐 部署SSL证书杜绝安全隐患-1

防御钓鱼攻击SSL证书必不可少

钓鱼网站是互联网中最常碰到的一种诈骗方式,通过诱导用户点击“短链接”跳转到伪装成银行或电子商务网站,窃取用户输入的银行账号、身份证、密码等私密信息和企业的敏感数据,由于钓鱼网站和真实网站差别细微,用户很难第一时间分辨该链接是否为虚假网站或钓鱼网站,稍不留心便会上当受骗。

防御钓鱼攻击最重要的方式就是识别网站的真实身份。网站都是由字母数字组合在一起的域名,但这些字母和数字并不能表明网站服务器的真实身份,用户也无法仅从域名来区分这个网站是属于哪个公司,在不确定的互联网环境中,企业要杜绝此种情况,就需要安装SSL证书来为网站“验明正身”了。

SSL证书由国家授权的电子认证服务机构签发,安装SSL证书可以认证网站服务器身份,帮助用户识别正确网站,以及防止网站被黑客窃取、篡改和监听关键信息。但要注意的是,并不是所有的SSL证书都能起到防钓鱼的作用。

保护网站安全首选高等级SSL证书

通常,网站的SSL证书分为3个级别:DV SSL证书OV SSL证书EV SSL证书

DV SSL证书只能实现网站的https加密功能,不需验证公司的真实性即可自动签发,很容易让一些不法分子钻空子。

OV SSL证书可以实现https加密功能以及企业身份认证,除验证域名管理权限外,还要通过人工审核的方式重点验证企业信息,确认该公司是否真实、合法存在,确保真实有效,安装SSL证书后,用户点击证书即可查看企业的详细身份信息。

EV SSL证书防护等级最高,验证环节更多,也更为严格。如果公司未满三年,还必须要提供银行开户许可证书或律师函,而钓鱼网站是不可能通过此严格的验证方式的。网站使用EV证书,在地址栏中会显示企业名称,更有利于用户辨识,可进一步提升用户对网站的信任感以及网站的信誉度。

为避免用户免受钓鱼网站的攻击,企业尤其是涉及用户私密信息和在线交易的网站,如银行、电商、电信等网站,一定要部署OV或EV级别的SSL证书,实现网站服务器身份验证和数据传输加密,有效防范钓鱼攻击,让用户能够放心浏览,安全交易。

SSL证书对企业网站安全至关重要,但对企业而言,购买证书并非是价格越贵越好。国内目前SSL证书供应商较多,可选空间和余地较大,企业要根据自身情况,选择一款适合自己网站的、性价比最高的SSL证书。

分类
安全播报

攻击http协议的常见方式

日前,Killnet黑客组织袭击了意大利,使用的是一种旧的但仍然有效的攻击方法,称为“慢速http”。意大利计算机安全事件响应小组(CSIRT)随即发布了一项紧急警报,以提高对国家实体遭受网络攻击的高风险的认识。

攻击http协议的常见方式-1

该事件再次引发了人们对http漏洞的关注。http协议虽然依旧是当前搭建网站的主流协议,但随着互联网技术的飞速发展以及如今日益严峻的网络安全问题,http协议的不安全性也越发明显,黑客攻击http协议仍然是最常见方式,具体主要有以下几种攻击方式。

01跨站脚本攻击(XSS)

攻击者在网页上发布包含攻击性代码的数据,当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以比较容易地修改用户数据、窃取用户信息,以及造成其它类型的攻击,例如CSRF攻击。

02跨站请求伪造攻击(CSRF)

攻击者通过各种方法伪造一个请求,模仿用户提交表单的行为,从而达到修改用户的数据,或者执行特定任务的目的。为了假冒用户的身份,CSRF攻击常常和XSS攻击配合起来做,但也可以通过其它手段,例如诱使用户点击一个包含攻击的链接。

03HttpHeads攻击

凡是用浏览器查看任何WEB网站,无论你的WEB网站采用何种技术和框架,都用到了http协议。http协议在Responseheader和content之间,有一个空行,即两组CRLF(0x0D0A)字符。这个空行标志着headers的结束和content的开始。只要攻击者有办法将任意字符“注入”到headers中,这种攻击就可以发生。

04Cookie攻击

通过JavaScript非常容易访问到当前网站的cookie。你可以打开任何网站,然后在浏览器地址栏中输入:javascript:alert(doucment.cookie),立刻就可以看到当前站点的cookie(如果有的话)。攻击者可以利用这个特性来取得你的关键信息。假设这个网站仅依赖cookie来验证用户身份,那么攻击者就可以假冒你的身份来做一些事情。

05重定向攻击

最常用的攻击手段就是“钓鱼”。钓鱼攻击者,通常会发送给受害者一个合法链接,当链接被点击时,用户被导向一个似是而非的非法网站,从而达到骗取用户信任、窃取用户资料的目的。

部署SSL证书保护网站信息安全

随着互联网技术的不断发展,http在黑客层出不穷的攻击手段面前几乎毫无招架之力。为避免数据泄露,保障网站和用户信息安全,世界各国都督促其域内网站通过部署SSL证书的方式提升网站防护能力,尤其是涉及用户个人信息和交易系统的政务、金融、电商等网站,则被要求部署更高等级的SSL证书

部署SSL证书后,可通过SSL协议帮助网站从“http”进阶为更加安全的“https”链接,通过开启https绿色加密通道,可保障网站数据的加密传输,防止网站核心数据被窃取或篡改,提升网站的安全防护能力。

同时,SSL证书可对网站服务器身份认证,为网站提供国际通用的信任背书,让真假网站一目了然,从而有效避免用户受到钓鱼、欺诈网站的侵害,增加访客的信心。

此外,SSL证书还具有防止运营商的流量劫持,阻止弹窗广告,提升网站在搜索引擎中的排名等诸多作用,是企业在数字化转型过程中最基础的安全防护工具之一。

天威诚信SSL证书服务

需要强调的是,无论哪种网站,部署SSL证书都必须向依法设立的CA机构申请。成立于2000年的天威诚信是由工业和信息化部许可设立的电子认证服务机构,拥有国家授权的《电子认证服务许可证》《电子认证服务使用密码许可证》,并通过了WebTrust国际安全审计认证。

根据不同用户的需求,天威诚信可提供涵盖DigicertGeoTrustGlobalSign、Entrust在内的多品牌全类型SSL证书产品及安装、管理等专业化服务,以及自主研发的支持国密SM算法的国产vTrus证书,致力于为中国企业提供更加安全的网络空间防护保障。

分类
公司新闻

《网络安全法》实施五周年,加快推进国密改造提升网络空间安全

2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行,至今已整整五年。

《网络安全法》实施五周年,加快推进国密改造提升网络空间安全-1

作为构建我国首部网络空间管辖基本法,《网络安全法》为维护国家网络主权,规范网络主体行为提供了法律依据。《网络安全法》服务于国家网络安全战略和网络强国建设,助力网络空间治理,持续护航“互联网+”和数字经济的发展。

以法为纲保护关键信息基础设施安全

“没有网络安全就没有国家安全”。随着互联网、信息化的深入推进,关键信息基础设施成为社会运转的神经系统,一旦关键信息基础设施遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。

为加强关键信息基础设施的安全保护,《网络安全法》专门单列一节,对关键信息基础设施的运行安全进行明确规定,其中第三十一条指出,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。

在国家相关部门的推动下,《网络安全法》中所提及的关系国计民生的重点领域陆续启动网络安全保障工程,其中推进国密SM算法在关键信息基础设施的应用是关键一环。

SM算法是我国自主设计、具有独特优势的一系列安全高效密码算法,其中SM2/3/9相继纳入国际标准并发布,标志着我国密码算法国际标准体系已初步成型。

同时,由于SM算法与国际通用的RSA算法技术有区隔,其使用可保证无国外可利用的后门,更符合《网络安全法》对网络应用系统的安全要求,更有利于实现国家对关键信息基础设施的自主可控。

循法而行天威诚信推进国密改造工作

《网络安全法》指出,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系,并通过共享安全信息、交流保护经验获取最佳的保护方案,共同提升网络安全保护水平。

作为国家首批授牌的电子认证服务机构,天威诚信在推进国密算法改造和应用方面始终走在行业前列。2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查,并在此基础上研发了支持国密SM2算法的vTrusSSL证书。

基于不同行业客户的需求,天威诚信依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)等相关标准,深入结合客户信息化系统与业务办理流程,提供以SM算法应用为核心的涵盖软硬件等多方面的一体化国密改造解决方案。

在密码基础体系层面,通过对原有应用的数字证书服务系统升级改造,使其具备国产密码算法证书的签发、管理、吊销等全生命周期管理。

在业务应用层面,通过对原有部署接口升级改造,使之支持SM系列算法应用,实现在网银、资金、ERP等系统下的用户强身份认证及关键业务节点数据完整性、机密性和抗抵赖保护。

在密码介质层面,通过对原有Ukey等密码承载介质做国密化替换,实现国密SM算法在客户端和服务端之间的底层通讯传输。

在网络通信联络层面,通过应用国产密码算法SSL认证通道,保障网络数据传输安全性。

此外,考虑到企业业务连续性及成本,天威诚信国密改造方案在保障安全性能符合国家要求的同时,可根据客户系统和业务特性,采用RSA算法和SM2算法并行的方式实现国密算法应用,并通过最小改动实现国密算法升级的平滑切换过渡。

依托强有力的技术支撑团队和一体化国密改造方案,天威诚信已帮助数十家企业及机构完成国密改造应用,积累了在证券、政务、金融、银行、能源、大型企业等领域的丰富经验,保障客户系统满足《网络安全法》以及“密评”环节中有关身份鉴别、数据完整性保护、敏感信息机密性保护、接入设备身份认证等方面的要求。

随着《网络安全法》《关键信息基础设施安全保护条例》等法律法规的持续推进,国密SM算法将在更多的领域得到更深入的普及应用。天威诚信将积极对照相关法律法规,依托技术优势与服务创新能力,为更多的行业和企业客户提供更完善的国密改造服务。

分类
安全播报

88%企业遭受DNS攻击 SSL证书为您的DNS安全护航

据国际知名网络安全机构EfficientIP与IDC合作发布的《2022年全球DNS威胁报告》指出,在过去一年中,88%的组织遭受了与DNS相关的攻击,平均每家响应公司有七次。其中包括DNS隧道、DDoS攻击、DNS劫持和云配置错误滥用等,与上一年相比,所有类别的攻击频率都有所增加,其中尤以DNS劫持最为显著。

正如报告指出的那样,在DNS相关攻击类别中,DNS劫持是一种非常常见且危害极大的网络攻击手段,其攻击目的与方式十分直接,就是通过修改域名的NS记录,将域名原本指定的DNS服务器修改为黑客可以操控的DNS,然后便可以通过修改域名解析记录的方式,将域名指向恶意IP从而达到劫持的目的。

DNS劫持对业务造成哪些影响?

DNS一旦被劫持,相关用户查询就没办法获取到正确IP解析,这就很容易造成:

(1)很多用户习惯依赖书签或者易记域名进入,一旦被劫持会使这类用户无法打开网站,导致用户大量流失。

(2)用户流量主要是通过搜索引擎SEO进入,DNS被劫持后会导致搜索引擎蜘蛛抓取不到正确IP,网站就可能会被百度屏蔽掉。

(3)一些域名使用在手机应用APP调度上,如果解析出现劫持就会导致应用APP无法访问,进而出现用户无法访问或者下载的空窗期。

从上图可以看到,DNS劫持对业务有着巨大影响,对用户而言,通过DNS劫持可以将用户诱导至攻击者控制额非法网站,可能会造成银行卡号、手机号码、账号密码等重要信息的泄露。对政府或企业网站而言,DNS劫持将用户引导至其他网站,会导致用户流失和形象受损,同时造成数据失窃、流量被劫持等潜在风险。

防DNS劫持需要“组合拳”

DNS自创建以来一直都是网络安全的致命弱点,因而也成为网络犯罪分子获取网络访问权限和窃取数据的首选目标。为保护网站信息安全,各个网站都要组织部署适当的DNS安全解决方案,以提高网络安全性。

那么,要如何防御DNS劫持呢?

DNS对网站安全的作用至关重要,防御DNS劫持不能依靠单一的方式,必须采取多重组合方案提升网站DNS防护能力。除常规的定期修改域名管理系统账号、设置较小的TTL值、锁定DNS解析记录等方式外,还应为网站部署较高等级的SSL证书,从根本上强化网站系统安全。

88%企业遭受DNS攻击 SSL证书为您的DNS安全护航-1

较高等级的SSL证书如OVSSL和EVSSL证书具备服务器身份认证和数据传输加密功能,如果网站DNS被劫持,就会因为无法提供正确的网站证书而发出警告提示,从而使劫持被及时发现和终止。同时,通过HTTPS加密协议可确保网站在服务端和客户端的数据传输中不被窃取和篡改。

基于SSL证书对网站信息的强大防护作用,当前,各大公司的网站都会使用OV型或者EV型证书,以保障网站信息、在线交易的安全。同时,各主流浏览器也要求企业网站安装SSL证书,否则就会出现不安全提示。

为保障网站信息安全,企业应根据自身网站的性质和规模,尽快向可信的CA机构发起证书申请。作为工业和信息化部批准设立的首批电子认证服务机构,天威诚信早在2000年便开始为国内企业提供SSL证书服务,目前已服务目前已服务于全行业95%大客户,覆盖超10亿网民,伴随着数字经济的蓬勃发展,天威诚信依托数字证书等技术和产品服务,在保障企业网站信息安全的基础上,持续助推全行业的数字化转型。

分类
知识中心

如何获取SSL证书?

您可以从任何授权的证书颁发机构(CA)获取SSL证书,以保护两个系统之间的通信。有两种方法可以获取SSL证书

购买商业性SSL证书

获取免费SSL证书

您应该购买SSL证书吗?

是否应购买SSL证书的决定取决于您的需求,是否需要DV SSL证书、EV SSL证书或OV SSL证书。此外,您需要使用单域名SSL证书多域名SSL证书,还是通配符SSL证书泛域名SSL证书)?

如果您有电子商务网站,收集用户信息或执行交易,则建议购买CA机构的EV SSL证书或OV SSL证书

购买SSL证书

  1. 选择证书颁发机构(CA):国内常见的SSL证书品牌有很多,如DigiCertGlobalsignGeoTrustvTrusEntrust,thawte等。您可以根据预算和证书所需的功能来选择SSL证书品牌。
  2. 选择您需要的证书:选择CA后,可以根据验证方法和要保护的网站数量选择网站所需的SSL证书类型。
  3. 购买证书:选择所需的证书后,进行商务流程。
  4. 生成CSR(证书签名请求)并将其提交给CA:您需要从Web服务器生成CSR并将其提交给CA。
  5. 下载SSL证书(验证成功后):提交CSR后,CA将需要一些时间来验证您的信息。这可能会因您购买的验证证书而异。对于DV SSL证书,验证很快,只需验证域名所有权。但是,验证OV SSL和EV SSL证书需要更长的时间。一旦CA成功验证了您的信息,您将收到一封包含证书的电子邮件。
  6. 在Web服务器上安装SSL证书:获得SSL证书后,您需要将其安装在生成CSR的Web服务器上。安装过程取决于服务器的操作系统。
分类
知识中心

什么是X.509证书?

X.509 是定义数字证书格式的标准。SSL证书使用 X.509 格式。换句话说,SSL证书实际上是 X.509 证书。

X.509 使用一种称为抽象语法表示法一 (ASN.1) 的形式语言来表示证书的数据结构。

X.509 格式的 SSL 证书包括以下信息:

  • 版本:根据 X.509 的证书数据格式的版本号。
  • 序号:CA 分配的证书的唯一标识符
  • 公钥:所有者的公钥
  • 主题:所有者的姓名、地址、国家/地区和域名
  • 发行:颁发证书的 CA 的名称
  • 有效起始日期:证书的有效日期
  • 有效期至:到期日期
  • 签名算法:用于创建签名的算法
  • 指纹:证书的哈希
  • 指纹算法:用于创建证书哈希的算法
分类
安全播报

俄罗斯惨遭“断网”!国内网站备份SM2国密SSL证书迫在眉睫

俄罗斯和乌克兰之间的冲突已经持续了两个多星期。 尽管双方暂时停火,但更深层次的战争仍在继续,甚至在各个领域愈演愈烈。

不可预知的“断线行动”

最近,乌克兰副总理兼数字化转型部长米哈伊洛·费多罗夫要求互联网名称与数字地址分配机构 (ICANN) 撤销俄罗斯的顶级域名 (TLD),例如 .ru、.рф 和 .su 及其相关的安全套接字 层 (SSL) 证书。

此举无异于要求将俄罗斯踢出互联网,ICANN果断拒绝了乌克兰的请求。 然而,就在大家以为闹剧已经结束的时候,以美国为首的多家国外互联网服务运营商却突然对俄罗斯发起了“断网行动”。

据俄罗斯科技媒体CNEWS报道,美国认证中心Sectigo已停止受理俄罗斯地区.Ru和.РФ域名的SSL证书颁发申请。此外,包括中央银行和VTB在内的受美国和欧洲制裁的俄罗斯组织已经撤回了大量SSL证书

如果没有SSL证书的保护,俄罗斯的各种网站,从政府到个人,都将完全暴露在互联网风险之下。木马病毒和黑客很容易对网站发起攻击,企业机密信息和用户数据可能会被截获。…

总之,在数字时代,没有SSL证书的网站将根本没有安全性或隐私性。

俄罗斯迅速对情况做出反应,并承诺在近期组织一个国家认证中心,为俄罗斯互联网组织免费发放SSL证书

这一事件为世界各国的网络安全敲响了警钟。密码学是信息安全的核心,任何国家和经济组织都不能掉以轻心。尤其是在当前国内外网络形势日益严峻的环境下,只有保证密码算法关键环节的自主性和可控性,才能保证网络和信息基础设施。安全可靠。

部署国密证书,做好准备

中国政府高度重视网络信息安全。2010年12月17日,国家密码管理局发布自主设计的非对称公钥密码算法——SM2,要求现有的电子认证系统和基于RSA算法的密钥管理系统。系统和应用系统升级改造,采用支持国密SM2算法的SSL证书。

天威诚信作为国家授权的电子认证运营服务机构,着眼于国家网络安全大局,深度满足用户需求。自主研发支持国密SM2算法的vTrus系列SSL证书。证书包含DV、OV两种类型,覆盖单域名多域名通配符、多域名通配符等多种型号,充分满足国家密码管理局的管理要求和国家秘密转化用户的需要。

近年来,随着我国新创技术的发展和基础设施的不断完善,国密算法在越来越重要的领域得到推广应用。结合不同行业的属性,天威诚信可为各领域用户提供国密改造一站式解决方案,帮助用户顺利升级改造国密算法。,可为国密转换用户提供SM2+RSA双算法证书解决方案,极大地方便了用户的选择和使用。

此外,天威诚信可提供包括服务器与客户端、签名验证服务、软件中间件改造、硬件网关等在内的国家机密证书改造等多种产品解决方案,全方位满足用户需求。

网络安全是国之大事,今年全国两会期间,数据安全和个人信息保护议题一如既往地受到关注,累计有30份两会提案建言网络与数据安全,政府工作报告中也提到要强化网络安全、数据安全和个人信息保护。

伴随着国家数字化进程的不断加快,政务、金融、科研、教育等机构网站进行国密算法改造已刻不容缓,天威诚信将持续与各生态伙伴一道,通过国密改造为全行业用户构建坚实的网络屏障,不断提升网络安全防护能力,共同推动密码技术实现自主先进安全可控,确保我国互联网环境安全无虞。

分类
安全播报

红十字网站51万余人信息被盗 加强网络安全时刻不能松懈

近日,红十字国际委员会披露,其数据承包商遭遇网络攻击,导致“家庭团聚”项目信息泄露,超过51.5万人的个人数据被盗。 据悉,“家庭团聚”项目旨在帮助因战争、灾难和移民而离散的家庭团聚。 目前,该项目的系统和网站已被强制关闭。

对此,红十字国际委员会总干事罗伯托·马尔蒂尼在一份声明中表示:“这次袭击是对敏感人道数据的网络攻击,是一种犯罪行为,自袭击发生以来,一些流程和工具遭到破坏。我们已经做出调整并正在加强 我们的网络安全。”

近年来,数据泄露事件在各个领域频频发生。 尤其是对于企业网站和互联网平台,用户的身份信息、生物特征信息甚至财务信息等关键信息都可能存在泄露风险,由此带来的安全风险不可估量。

随着大数据的蓬勃发展,保障用户的信息安全显得尤为重要。 为了避免黑客攻击导致用户信息泄露的风险,一些关联关键用户信息的网站,如电子商务、金融、政府网站等,会在网站上部署适合自身业务的SSL证书

SSL证书是国际上保护网站安全和用户信息的有效手段之一。 具有数据加密传输和网站身份认证功能。

数据加密传输

我们平时上网和浏览都是基于标准的TCP/IP协议,内容以数据包的形式在网络上传输。 由于数据包的内容没有加密,任何人只要截获数据包,就可以获得其中的内容,包括用户名、密码或其他隐私信息。

SSL证书可以在用户使用的客户端(如:浏览器)与服务器之间建立加密通道(SSL协议)。 在这个通道中,所有在网络上传输的数据都会先被加密,传输到目的地的时候再解密,所以即使数据包在传输过程中被截获,也很难破译其中的内容。

网站编号

目前,假冒网站已成为互联网使用的严重威胁。 造假者可以创建与真实网站一模一样的界面,并使用相似的域名来引导用户访问。 一旦用户在使用假冒网站的过程中输入账号密码等信息,就会被假冒网站记录下来,进而被冒用,威胁用户的账号安全。

SSL服务器证书可以有效证明网站的真实信息和所用域名的合法性,让用户轻松识别真实网站和假冒网站。

当网站申请SSL证书时,颁发证书的权威机构(如天威诚信)会通过严格的审核方式确认申请人的身份。 用户访问网站时,可以看到证书的内容,其中包含了域名、网站所有者、证书颁发机构等真实信息,浏览器也会给出相应的安全标识,以便用户使用 它充满信心。

在互联网领域,数据管理是隐私的核心。 部署SSL证书不仅可以保护用户的隐私和信息安全,还可以大大增强用户对网站的信任,提升企业形象。 在数字经济时代,SSL证书通过加强网络安全,不断帮助企业在数字经济浪潮中获得更好的发展。

分类
公司新闻

网商银行与天威诚信,共同推进国密算法升级改造

《中华人民共和国密码法》的落地实施和一系列有关网络安全政策的密集出台,为信创领域基于国产商用密码的数字证书带来了更加广泛的使用空间,国产自主的商用密码体系建设也随之进入了新热潮,支持国密SM2算法的SSL证书已广泛应用于银行、政府、科研机构等领域。

  网商银行国密升级改造需求

网商银行是由蚂蚁集团发起成立、银保监会批准成立的中国首批民营银行之一,致力于解决小微企业、个体户、经营性农户等小微群体的金融需求。借助实践多年的无接触贷款模式,网商银行为更多小微经营者提供纯线上的金融服务。成立6年来,累计超过4000万小微经营者使用过网商银行的数字信贷服务。

为进一步提升网商银行的信息安全性,同时为贯彻国家密码管理局“实现金融领域信息安全核心产品及系统的自主可控”的精神,在新形势下,网商银行的网络系统亟需进行SM国密算法升级改造,在此过程中,如何合理规划以及安全有序的实施成为网商银行需要重点考虑的问题。

网商银行与天威诚信,共同推进国密算法升级改造插图

  天威诚信-网商银行SM国密改造方案

在天威诚信主导实施的网商银行SM国密改造过程中,天威诚信结合网商银行的平台特性和业务流程,为之量身定制了全生态一站式的国密算法证书改造方案。

改造方案以SM国密算法为核心,通过SM4这一金融行业国内通用的标准算法进行网络信息加密,同时使用SM3进行讯息身份验证并使用SM2作为密钥交换机制,从多个维度确保网商银行系统和客户端的信息安全。

方案覆盖了网商银行的手机银行、企业网银系统,对网商银行业务流程的关键环节进行了安全合规改造。通过使用天威诚信颁发的数字证书和紧密结合业务需求的改造方案,网商银行快速而稳健的完成了银行企业版和个人版SM国密改造工作,进一步保障了网商银行系统安全和数千万网商银行用户的金融信息安全。

考虑到网商银行广阔的业务应用场景和庞大的用户基数,为保障兼容性和高可用性,天威诚信同时为网商银行提供了vTrus RSA+SM2国密合规改造方案,实现网商银行业务在线双算法自适应切换模式,在满足国密算法改造的基础上进一步保障了业务的稳定性,真正做到无缝兼容和平稳过渡,提升了网商用户的使用体验。

  天威诚信在国密算法领域的优势

密码算法和密码产品的自主可控是确保我国信息安全的重中之重,作为国密算法改造工作的推进者,天威诚信积极响应国家政策,公司自主研发的支持国密SM2算法的vTrus SSL系列证书,已全部通过国家密码管理局的安全性审查,并实现了在360、红莲花、奇安信等国产浏览器预埋。

同时,天威诚信作为电子认证行业代表参与了《电子认证服务管理办法》和《电子政务电子认证服务管理办法》的起草,牵头实施《中国服务器证书信任体系研究课题》,并参与建设和维护中国最大的底层密码库开源社区——BabaSSL,展现了优于同行业其他机构的服务能力和水平。

结合多年来在金融行业的深厚积淀,天威诚信已经逐步探索出了可行的国密改造项目实施步骤,在以网商银行为代表的银行机构国密改造实践中得到了成功应用,受到客户的积极好评和充分肯定。

随着国密算法改造的应用日益深入,天威诚信将继续立足技术优势,扎实推进国密算法在我国银行等重点领域的推广和应用,从而在算法层面确保金融信息安全,为我国金融信息系统的安全自主可控做出积极贡献。