分类
安全播报

HTTPS证书为敏感信息穿上“防护衣”

日前,中国司法大数据研究院正式对外发布《涉信息网络犯罪特点和趋势(2017.1-2021.12)司法大数据专题报告》(以下简称《报告》)。

《报告》显示,2017年至2021年,全国涉信息网络犯罪案件共涉及282个罪名,其中诈骗罪案件量占比最高,为36.53%。《报告》还显示,在网络诈骗案件中,前三类案件为贷款、冒充类和虚假招聘类案件。

网络诈骗缘何屡禁不止

近年来,网络诈骗高发多发,诈骗手法也是千变万化,它的主要特点是覆盖面广、变化快、社会危害大,打击起来又特别难,给企业和民众造成了巨大损失。

当前,网络诈骗已经由“随机诈骗”向“精准诈骗”转变。与广撒网、随机式诈骗方式不同,“精准诈骗”更具针对性和指向性,欺骗性、迷惑性进一步增强,一些犯罪分子还从单一“对话式”诈骗向“情景剧式”诈骗转变。

个人信息泄露是“精准诈骗”实施的重要推手。在网络环境中,信息的共享更为频繁和简单,但往往由于企业网站没有做好信息防护、网民自我保护意识较低等原因,导致不法分子通过网络攻击的手段大量窃取和盗卖用户个人信息,不仅危及用户的个人隐私和财产安全,也会给企业的网站系统和品牌信誉造成重大损失。

企业保护策略:从HTTPS做起

用户个人信息和企业运营数据是数字经济时代下企业的最大资产,而数据的生命周期包括“产生、传输、处理、存储、访问、展现”等诸多环节,任意环节存在的一丝风险,黑客、越权访问者都有可能通过非法手段盗窃数据。

在复杂多变的互联网环境下,企业应如何保障数据安全呢?

首先是增强管控措施,增强内部员工的防范意识,加强对IT人员的操作监管、操作审计和事前严格控制。

其次,从技术上防止数据泄露,为官网部署HTTPS证书,实现网站HTTPS加密,防止数据在传送过程中被窃取、篡改,保证数据的完整性,防止运营商的流量劫持、网页广告植入现象,确保用户与企业网站之间的链接是安全的。

此外,企业还应实时进行网络监控,发现可疑问题或者恶意攻击及时做出处理,做到防患于未然。用户也需提高网络安全意识,尤其在访问网站和支付时认准HTTPS加密链接,通过查看HTTPS证书确认网站的的真实身份,确保数据加密。

网络诈骗是一个极其复杂的社会治理问题,需要社会各界通力合作、共同治理。从实践情况看,企业为网站部署SSL证书,是当前较为有效的强化信息安全的解决方案,可有效减少虚假网站对用户权益的侵害。

天威诚信一直致力于构建安全可信的网络环境,可为企业提供DigicertGeoTrustGlobalSign、Entrust等全球安全厂商的全类型SSL证书,以及支持国密SM2算法的国产vTrus证书,满足不同企业的信息安全需求。

分类
安全播报

隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”

为了解当今IT审计中最受关注的技术风险,国际信息系统审计协会(ISACA)与甫瀚咨询近日联合推出了年度《IT审计技术风险调查》。来自全球的7,500余位IT审计领导者与专家参与了本次调查,调查结果显示:网络攻击、隐私、数据及监管合规几大方面为当今IT首要风险事项。

隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”

需要指出的是,中国地区的调查结果与全球综合数据有所不同。在中国地区,隐私风险取代网络攻击成为最受瞩目的焦点,该统计结果表明的趋势与中国企业信息技术快速更新迭代以及IT管理成熟度阶段等特点紧密相关。

数字化时代,隐私安全无小事

数字经济时代,网络上承载着个人身份信息、电话号码、银行卡号、住址、企业机密等各种信息,任何隐私信息泄露事件极可能导致企业名誉受损、收入及客户流失、受到合规处罚及审查,对企业安全和用户权益造成双重消极影响。

企业作为网站所有者和运营者,保护用户隐私信息和敏感数据安全,避免受到网络犯罪分子的恶意攻击是企业不可推卸的责任。此时,企业为网站部署SSL证书实现HTTPS加密的重要性便凸显出来了。

HTTPS是HTTPoverSSL的简称,是指对HTTP做了SSL处理,可以理解为给用户的隐私数据加了一把锁。当用户在网站上提交任何敏感信息时,HTTPS会对用户信息进行加密处理,保护数据免遭窃听、中间人攻击等恶意窃取或破坏,确保用户数据和隐私安全,同时保障数据的机密性和完整性。

同时,SSL证书通过在浏览器上显示安全锁、绿色地址栏、证书信息等形式,为用户提供了一种简单直观的方式来表明网站的真实性,避免用户因点击假冒网站而导致上当受骗,使用户可以放心浏览,企业也可以凭此获取客户的信任,从而提高获客率,助力企业业务增长。

部署SSL证书,护航企业数字化转型

当前,随着国内企业数字化转型进程的不断加快,越来越多业务开始线上化办理,包括用户信息在内的企业数据已经成为企业最重要的资产之一,也是为企业发展壮大新引擎。

在此情况下,企业更应加强用户个人信息的防护机制,及时为网站部署合适的SSL证书,不仅能够有效避免数据泄露的危害,还能够大幅消除用户对于个人隐私泄露的疑虑。

SSL虽然是看似简单的三个英文字母缩写,其中却包含着非常多的工作原理和技术。因此,企业需要依托可靠的机构部署SSL证书,实现HTTPS加密并提供后续服务。

天威诚信作为工信部许可设立的全国性电子认证服务机构,可为国内企业提供DigiCertGeotrustGlobalSignEntrust、vTrus等众多知名品牌的SSL证书及可靠的认证服务,保障企业网站信息安全。

目前,天威诚信已累计为超过200万的各行业客户提供了完善的SSL证书产品与服务,并可根据客户需求提供可靠的本地化服务与全天候的技术支持,降低企业数据泄露的风险,并通过持续优化的服务和针对性的解决方案助力企业线上化业务安全发展。

分类
公司新闻

银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫

银保监会办公厅近日向各银保监局、各大型银行、股份制银行、直销银行、理财公司,各保险集团(控股)公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》。

《通知》旨在督促银行保险机构建立健全消费者个人信息保护工作机制。对于整治发现的问题,银行保险机构要逐一建档,确保整改到位、问责到位。对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。

根治乱象,实现密码自主可控是核心

从《通知》内容可见监管部门保护金融领域网络信息安全的决心。在金融科技快速发展的数字经济时代,金融行业数智化程度日益加深的同时,行业重要数据和个人信息安全问题也日趋严峻,成为国家监管部门和全社会共同关心的话题。

长期以来,国家层面高度重视金融领域信息安全工作。作为保障网络与信息安全的核心技术和基础支撑,密码技术已广泛应用于金融领域的身份认证、数据加密校验等各个环节,成为维护金融行业网络安全与数据安全的最重要手段之一,而从长远来看,密码技术的自主可控程度则决定着整个金融行业的安全基础是否牢靠。

银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫鉴于密码技术在算法、协议、密钥等多个维度的重要作用,在金融领域使用由我国自主设计的以国密SM2为核心的系列算法,成为保障金融行业网络安全和创新发展的必然选择,特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为银行、金融机构稳健运行的又一重要隐患,金融领域实施国密改造已刻不容缓。

国密改造,提升信息安全自主可控能力

为保障金融领域重要数据和用户信息安全,推进金融业务的安全快速发展,天威诚信依托深耕密码领域的技术优势和行业经验,结合金融机构在国密算法改造过程中遇到的问题,推出了适用金融行业的覆盖软硬件一体化的改造方案。

方案包括服务器证书、客户端证书、统一身份认证系统、签名验签服务、国密浏览器、国密安全网关等多种产品和服务,保障客户重要信息系统全面支持SM2、SM3、SM4等国产密码算法的应用,以及业务系统通信数据安全,提升金融行业信息安全的自主可控能力,同时满足金融领域国密政策安全监管要求。

目前,由天威诚信主导和参与的成功改造案例涵盖银行、互联网金融、期货、保险、证券、第三方支付等金融场景,可有效解决金融机构在身份认证、数据存储、数据传输过程中面临的安全问题,并通过轻量化、集成化、定制化的改造方式,充分满足金融机构对国密改造的不同需求。

随着国产密码在金融领域的应用不断深入,天威诚信将继续紧贴政策导向和市场需求,持续为金融领域的国密改造提供安全可靠的解决方案,同时加强与生态伙伴的紧密合作,推动国产密码在各重要领域的落地应用,为关键信息基础设施安全筑牢屏障。

分类
公司新闻

天威诚信国密改造持续推进中

随着网络购物、移动支付、金融理财等场景的普及盛行,大量个人金融信息留存在各金融类服务平台中。高频、高速、高密度的个人金融信息在不同渠道传输,个人数据违法获取、违规泄露等侵害用户权益的情况屡有发生。

天威诚信国密改造持续推进中
为保护金融领域数据安全,银保监会在2022年5月19日发布了《银行保险机构消费者权益保护管理办法征求意见稿》,其中包括对于个人信息保护机制的要求,“从收集、使用、传输消费者个人信息等方面作出规定,保护消费者信息安全权。”

然而,我国个人信息泄露现状仍需重视。据微众银行近日发布的《ESG丨个人信息保护专题研究报告》显示,82.5%的用户遭遇过个人信息泄露事件,其中12.9%的用户遭遇了10次以上的个人信息泄露,频繁的电话骚扰和数据失窃,给用户和金融机构造成了诸多困扰。

在数字经济“数据为王”的时代背景下,个人金融信息的经济价值日益凸显。与其他个人信息相比,个人金融信息具有高价值的特点,若因网络黑客攻击导致用户信息泄露,或由此关联到银行或者国家关键基础设施建设的安全,将会造成无法估量的损失。

在保护金融机构等国家关键基础设施建设安全方面,国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强金融行业安全可控的要求。国产密码算法的推广和应用已经成为我国快速应对信息安全威胁的首选措施之一,也是我国从根本上实现信息化产业完全自主可控的安全基础。

作为电子认证机构这个国产密码算法排头兵来说,由于密码服务是信息化安全建设的基础服务,密码的国产化改造和推广就成为电子认证机构重要的历史使命。鉴于金融机构往往存在分支机构多、渠道多、业务场景多的特点,在网络层及应用层实施全面的数据国密改造仍存在较大的困难。

天威诚信作为深耕国密改造领域多年的全国性电子认证机构,同时也是制定SM算法服务器证书体系标准课题研究的牵头单位之一,早在2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查并获得商用密码产品型号证书。

通过结合金融行业客户国密改造需求,依托密码与数据加密技术,天威诚信可从算法、协议、密钥等多个方面为金融机构提供一站式全面国密改造方案,方案支持SM2/SM3/SM4等国密算法,可有效解决金融系统服务端和客户端在身份认证、数据存储、数据传输过程中面临的安全问题。

目前,天威诚信国密改造方案已在银行、互联网金融、期货、保险、证券、第三方支付等金融场景中得到深入应用,未来天威诚信将继续立足在国密改造领域的技术优势,通过赋能多元化金融场景,加速推进金融行业国密改造工作,为金融机构数据安全和高质量发展保驾护航。

分类
安全播报

广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早

7月26日,广州市公安局新闻办公室召开新闻发布会通报广州警方全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。

为什么谷歌要求网站使用SSL证书

警方检查发现,该公司开发的“驾培平台”存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,系统存在严重数据安全隐患。系统平台一旦被不法分子突破窃取,将导致大量驾校学员个人信息泄露,给广大人民群众个人利益造成重大影响。

此举对数据安全治理作出了积极探索和实践。履行数据安全保护义务,保护数据安全是企业应有的责任,特别是持有、掌握大量公民个人信息的单位,更应该严格依法采取保护措施,有效保障公民个人信息安全。

按照《中华人民共和国数据安全法》第八条规定,企业应依法、依规履行数据安全保护义务。当前,在众多数据安全保护措施之中,为网站部署SSL证书,仍是提升企业网站服务器防护能力的重要举措。

网站通过部署SSL证书实现HTTPS安全协议,可对数据进行高强度的加密,防止用户隐私数据在信息传输时被黑客攻击。一方面可以防止用户信息泄露,另一方面可以防止网站被钓鱼网站冒充,避免不必要的用户流失与品牌信任危机。

如网站未配备SSL证书,用户在访问该站点时,会遇到弹出“连接不安全”、“不受信任的证书”等提醒,大部分用户见到此类弹窗后,会放弃继续浏览。因此,为保障网站数据安全,提升客户转化率,企业应及时部署合适的SSL证书,避免因网站安全问题给企业造成损失。

天威诚信是国内老牌的SSL证书服务提供商,依托服务于全行业超过95%大客户的深厚经验,可为国内企业网站提供世界各大品牌的全品类SSL证书产品和相关认证服务。目前,天威诚信已累计为200+企业提供权威的认证服务和安全的认证保障,是国内企业域名安全领域的知名品牌之一。