分类
安全播报

三驾马车齐发力 验明SSL认证成大势所趋

2015年,国家有关部门召集三大运营商,以及BAT、360、华为在内的互联网巨头,推进网络安全专项立法的出台。而根据权威专家的透露,正在修订的网络信息安全立法内容,包括网络安全战略、规划和促进网络运行安全、网络安全监测预警与处理等多项内容。可以说,互联网+时代的尚方宝剑,锋芒愈利。

 

2015年,又是网络惴惴不安的一年。根据统计,今年第一季度就出现了数十起网络安全事件,互联网的双面剑锋,给了用户温柔一刀。而另一方面,大大小小的互联网公司的出现、崛起、成长,在欣喜之余,一个问题同样抛在眼前,亲,我用你们,你们安全吗?

 

购物在线上,支付在线上,线上俨然成为线下人的重要生活场景。因此,对企业自然会提出更严格的环境安全要求。笔者认为,未来互联网企业的竞争核心要素,依次是安全、产品、服务。没有放心的使用环境,其他只能是表面的光鲜。

 

笔者也采访过一些创业公司的老总,尤其是P2P领域的,他们更会将安全视为重中之重。笔者认为,像这类金融企业,除了自身的宣讲,还应该借助国际网络安全认证机构,例如赛门铁克,用权威说话,用等级告诉用户,相信我没错的。

 

网络安全认证,自然是一件舶来品。不可否认的是,互联网信息技术发展较早的欧美,对网络安全具有更高的话语权。笔者觉得,互联网安全认证,也就是SSL认证是大势所趋,不可逆转的,主要体现在这些方面:

 

1、 宏观政策

 

前文已经提到,国家有关部门都召集相关企业研究方案甚至立法,可以想象,在未来很可能大力推进网络安全认证工作。一开始可能是市场化,后面可能会政府干预,有形的手和无形的手共同推进。

 

值得注意的是,由于我国尚未建立起国家统一的PKI体系,在面向大众的互联网数字证书SSL证书应用领域,由于企业对SSL认证缺乏重视,加之我国的网民规模剧增,使其与使用SSL证书的认证之少形成了严重吊轨,国家要建设成网络大国,网络强国,必然会成为拉动SSL证书认证的第一驾马车。

 

2、信息日益对称,需要第三方说话

 

互联网的一大变革,就是信息愈来愈对称。过去主动式甚至洗脑式的广告轰炸,如今难有效果。互动二字,如今都快喊破嗓子了。客户和用户,变得越来越聪明。不拿出真正权威第三方的证明,用户不会轻易买账。第三方说XXX,这在未来会变得很重要。现在不都看朋友点评,对吧?

 

因此,在互联网口碑大环境下,企业需要正规、权威的叫好。网民在上传诸多个人隐私的情况下,需要更安全的保护。就目前而言,国家也正在加速SSL证书的普及和使用,让越来越多的企业有第三方的保护。越来越多企业从战略上重视SSL认证,正是第二驾马车。

 

3、模范作用

 

据了解,百度已和赛门铁克的中国运营商天威诚信达成战略合作,大白话一点,就是度娘以后归天威诚信罩了。再比如说,网易邮箱服务和网易邮箱大师都支持SSL加密协议,网易邮箱大师默认使用SSL协议来访问邮件服务,在最大程度上保障了用户信息的安全。互联网巨头企业领头,其他中小企业自然见贤思齐。这种自上而下的效仿,也会形成一股潮流。这就是第三驾马车。

 

根据上述三点,可见SSL证书认证是一大趋势,这三驾马车拉动着SSL证书认证的前行。笔者觉得,“办证潮”的到来不会太远,企业为自己验明正身的时机已经到来。

分类
知识中心

移动支付产业翘楚的成功密码

习以为常的移动支付现已悄无声息的渗透到人们的生活中,购物、打车、订餐、生活缴费……一部手机“走”天下,这几乎成为了许多“手机控”生活状态的最佳写照。人们不再满足于传统行业带给人们的感官刺激,越来越多的选择了时下最火爆的支付方式-移动支付。但在火爆的时潮中,总能听到相反频率的声音在低吼,究竟何种因素导致人们迟迟不肯迈入移动支付的大门?

 

在一项针对移动支付安全性的调查中,仅4.9%的受访者肯定当前移动支付工具非常安全,而有9.6%的受访者认为不太安全,2.3%的受访者确认不安全。而据支付宝的调研数据显示,约有36%的用户因对手机支付有安全顾虑而放弃使用。那么到底移动支付的安全是否存在隐患,让我们透过移动支付产品的翘楚一探究竟。

 

据相关人士介绍,支付宝的安全基于一整套的风险防控体系,该体系具有五级风险防控屏障,其中7×24小时的智能风险识别系统,会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别,对不同风险级别的操作会要求不同的安全校验。如下针对支付宝的五级风险防控体系进行详细的步骤分解:

 

第一级,当用户进行支付交易时,支付宝最先做出反应的是终端环境保护体系。在这一环节,支付宝与浏览器及反病毒厂商都建立了合作,对钓鱼网站进行智能识别、过滤(据了解,支付宝每天拦截5000个钓鱼网站)。

 

第二级,用户认证系统,用户需要上传真实的个人身份信息,在通过公安网等5个身份比对系统的验证和判断后,成为“支付宝实名认证账户”。此外,还包括实名管理、黑名单、客户尽职调查、客户风险分级,风险账户处理等。

 

第三级,隐私保护,支付宝的信息安全与隐私保护体系会对用户的信息进行敏感度分级,并对存储、访问、传输进行全程控制,保证敏感信息不会遭到恶意泄露。

 

第四级,账户保护,安全产品包括数字证书,动态口令等。数字证书是对用户使用的电脑进行唯一的身份标识;动态口令则是向用户绑定的手机发送校验码,以此确定账户使用者的身份。

 

第五级,交易保护。对用户的交易行为进行监控和识别,支付宝对用户行为数据进行分析并建立了风险模型,一旦发现实时交易存在风险,会立刻进行拦截,并向用户人工确认。

 

据阿里小微金融服务集团安全副总裁江朝阳描述,支付宝每笔交易都会经过系统判断能不能通过。这个风险的识别基于两个能力,一是大量用户行为数据的积累,形成风险交易判断的模型。二是安全技术团队有很强的计算能力,大量交易可在150毫秒内做出判断。但在如此庞大和缜密的安全把控下,关于支付宝及余额宝资金被盗的事件屡有发生,针对该现象阿里小微金融事业部总经理袁雷鸣就曾坦言道,虽然余额宝被盗风险率仅为十万分之一,但的确存在被盗风险。因此,如何保证用户在体验便捷生活的同时财产安全不受到威胁成为移动支付的一块心病。

 

目前,支付宝被盗事件发生的原因,其中很大程度是由于木马软件或恶意信息拦截等情况,我们在被动把控软件质量大关的同时,也要主动出击,首先在移动端口中加入SSL证书加密系统,通过SSL证书加密系统,实现了用户和服务器的一 一对应,这样就能够彻底消除钓鱼网站的盗窃数据的途径,防止交易数据被拦截和篡改,并且 SSL证书密钥采用的算法已经让黑客无法破解,这无疑为支付体系的安全上了第二道保险;其次,为每个用户预埋数字证书,对用户的信息进行全方面的认证和鉴别,让别有用心的人们无处躲藏。那么谁能提供如此高技术权威性技术呢?

 

天威诚信作为国家受牌专业电子认证机构,同时也是Symantec中国区的首要白金战略合作伙伴,其在电子认证服务领域的地位是无人可比拟的。天威诚信以可信身份管理为基础,电子认证服务为核心,为中国企业、社会构建安全诚信的网络环境。通过支付宝与天威诚信之间强者的相互联手,打破现有的移动支付僵局,将安全隐患降到最低点的日子终于指日可待,此次合作必将在移动支付行业的未来画卷中,添加浓厚的一笔色彩。

分类
知识中心

ios9正式推送更新 HTTP即将退出历史舞台

苹果正式推送iOS9正式版,引起了多方关注。据相关报道了解,iOS9引入了新特性App Transport Security (ATS)。详情:App Transport Security (ATS)。新特性要求App内访问的网络必须使用HTTPS协议。但是目前还有一部分公司使用的都还是HTTP协议,用私有加密方式保证数据安全。此次iOS9为什么要把所有的http请求都改为https呢?

 

据了解,iOS9系统发送的网络请求将统一使用TLS 1.2 SSL。采用TLS 1.2 协议,目的是强制增强数据访问安全,而且系统 Foundation 框架下的相关网络请求,将不再默认使用Http等不安全的网络协议,而默认采用TLS 1.2。服务器因此需要更新,以解析相关数据。

 

打个比方:如果原来的 HTTP 是塑料水管,容易被戳破;那么如今新设计的 HTTPS 就像是在原有的塑料水管之外,再包一层金属水管。一来,原有的塑料水管照样运行;二来,用金属加固了之后,不容易被戳破。

 

什么是SSL/TLS/HTTPS

 

TLS 是 SSL 新的别称及https协议,SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了,即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

 

企业如何更便捷、更迅速的从http变成https?

 

最佳解决方案:让公司寻找一家,国家授牌的数字证书颁发CA机构(如天威诚信)申请ssl证书,为APP部署https协议,使服务端升级使用TLS 1.2。这是唯一最快速、最便捷有效的解决方案。

 

苹果此次加大应用安全的管控,这个举措可以看出苹果对信息安全的重视,也暴露出大部分应用传输数据时都是未经过加密的,或使用私有方式加密,以至于苹果开始对开发者提出要求。私有加密虽然一定程度上是安全的,但是终究不是一个长久之计。全世界这么多安全专家在维护HTTPS安全,早日使用HTTPS确保信息安全才是王道!也省去了私有加密协议的安全隐患!

分类
知识中心

揭秘互联网+时代 HTTPS的奥秘

2015年,各大知名企业纷纷加入到HTTPS的行列,HTTPS加密备受关注。而就在今年3月,百度就已经发布公告,百度全站默认开启HTTPS。淘宝也默默做了全站HTTPS

网站实现HTTPS,在国外已经非常普及,也是必然的趋势。Google、Facebook、Twitter等巨头公司早已经实现全站 HTTPS,而且为鼓励全球网站的HTTPS实现,Google甚至调整了搜索引擎算法,让采用HTTPS的网站在搜索中排名更靠前。但是在国内,HTTPS网站进展并是很快,大部分的电商网站也仅仅是对账户登录和交易做HTTPS;很多网站甚至连登录页面也没有实现HTTPS..

一.什么是HTTPS网站?

 

SSL(Security   Socket   Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。

 

二.HTTP与HTTPS有什么区别?

 

1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。例如天威诚信Symantec证书

2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

 

三.哪些网站最需要做https协议?
1、电商系统、邮箱等用户主导型网站;伴随互联网+的火热势头,不少传统行业开始涉足网络营销,大部分有实体产品的企业要打开网络销路选择电商网站为突破口,主要分为C2C、B2C、B2B三种,此类型网站都是需要用户参与其中,而且都有登录系统,同时记录大量用户信息,邮箱系统尤是,一旦客户信息出现泄漏,对用户和站长都是巨大损失,采用https加密协议无论从用户角度还是网站角度都是有利而无害的,使用https加密协议也会增加用户对网站的信任度。

2、支付系统、金融等高私密性网站;众所周知,电商系统多依赖支付系统实现成交,支付系统主要通过Internet传输商务信息和进行商务行动,这就要求网络间的数据传递、交换和处理需要很高的安全性,金融行业与支付系统一样,大量的私密数据交互在网络间传递在不安全的传输协议下进行风险太高,https加密协议可以很好解决这个隐患。因此,支付系统、金融等对安全性较高的网站是必须做好https加密协议传输的。

3、注重用户体验的网站;在谷歌声明收录https站点之后,火狐浏览器和谷歌浏览器同时做出回应,火狐安全团队负责人Richard Barnes公开表示,将会逐步淘汰“不安全”的http协议;而谷歌浏览器最新的测试版本中,用户在试图打开没有使用https加密传输的链接时,浏览器会发出明确警告,用户将会在地址栏左侧看到红色“X”符号。这些细节都是用户体验优先的网站不能忽视的,与搜索引擎一样,浏览器也在与时俱进,做好https站点可以让用户更放心选择自己。

虽然做一个https站点流程稍显复杂,对服务器要求很高。但着眼长远,从发展的眼光看来看,https一定会取代http站点,做好https站点也是未来建站的一个要点,不局限于上述的几种网站,能做出https站点的尽量做好,这些对网站都是有利的。

分类
知识中心

HTTPS 登陆IOS9 拉开APP信息安全新大幕

IOS9一经问世,可以说秒杀无数果粉芳心。别的不多说,在续航续航还是续航的玩儿机年代,IOS9省电提升1小时,这魅力简直无法阻挡。

 

然而这次IOS9最大的变革,就是让HTTP退出系统舞台,取而代之的是HTTPS。我们身处在信息发达的年代,但是三大风险不容忽视:窃听风险,第三方可以获知通信内容;篡改风险,第三方可以修改通信内容;冒充风险,第三方可以冒充他人身份参与通信。正因如此,为了解决这三大风险而设计出SSL/TLS协议,希望达到所有信息都是加密传播,第三方无法窃听;具有校验机制,一旦被篡改,通信双方会立刻发现;配备身份证书,防止身份被冒充。

 

SSL/TSL是一个分层协议,共有两层组成,其中 SSL/TSL 握手协议允许服务方与客户方互相认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥。SSL/TSL的握手协议主要交换数字证书、随机数、机密通信协议这三个信息,以保证访问的安全。

 

此次IOS9引入了新特性App Transport Security (ATS)。iOS9系统发送的网络请求将统一使用TLS 1.2 SSL协议,TLS 是 SSL 新的别称及HTTPS协议,采用TLS 1.2 协议,目的是强制增强数据访问安全,而且系统 Foundation 框架下的相关网络请求,将不再默认使用Http等不安全的网络协议,而默认采用TLS 1.2。服务器因此需要更新,以解析相关数据。

 

苹果的应用生态之庞大,只要是对手机比较感兴趣的都有所明了。如今,苹果IOS9的一纸号令,让HTTP协议走上台前,并且告诉大家,这个已经不安全了,必须是HTTPS协议,才能保证用户安全。乔布斯重新定义了手机,如今,库克很可能要去重新定义手机安全。数据安全才是未来信息社会的大势走向。

 

其实说起来,HTTP变身成HTTPS,并非什么难事。这中间,就差着一个数字证书认证。只需要找到一家有从业资格的数字证书颁发CA机构,就可以很顺利地进阶为HTTPS。目前笔者了解的,在国内比较权威的数字证书颁发CA机构,是天威诚信itruschina)。天威诚信为支付宝、联想、招商银行等大型企业提供了网络安全认证服务,有着十多年的从业经验。想继续在IOS的应用市场里占有一席之地,找天威诚信这样的认证机构去升级HTTPS,必不可少。

 

手机市场从来红海一片,各方发布会是你方唱罢我登场。手机已经是出门三大件(手机、钥匙、钱包),低头族指尖族就在身边。关心用户信息安全,这体现的是浓厚的企业人文关怀。苹果用实际行动证明了这点,接下来,安卓机是不是见贤思齐呢?