标签： 威瑞信

赛门铁克公司宣布为持有VeriSign EV SSL证书(扩展验证安全套接字层)Premium and Secure Site Pro证书的用户提供免费的漏洞评估服务。赛门铁克的此项新服务能够快速识别和修补绝大部分可被利用的漏洞，这些漏洞可能存在于公共网页、基于网络的应用、服务器软件和网络端口上。通过该服务，赛门铁克能够跨越SSL，帮助用户提升对于其网站安全性的信心、保护品牌价值及其敏感信息。

赛门铁克身份与认证服务副总裁Fran Rosch表示，“黑客和网络罪犯正在不断地升级他们的攻击方法并试图精准锁定其攻击目标，而赛门铁克会走在攻击者前面，按照客户需要提供敏捷的工具。此次提供的免费漏洞评估服务是赛门铁克承诺保护用户以及整个网络环境的有力实证。”

自今年10月赛门铁克推出新的漏洞评估服务以来，不到三周的时间里赛门铁克扫描了近2000个网站，目的是发现那些可能被黑客用来植入恶意软件或直接获取客户机密数据的严重漏洞。事实上，这些被扫描的网站中半数以上都存在严重漏洞，但目前都能被用户快速修复。赛门铁克还发现了数百个主要由软件过期而暴露的风险，并且已经帮助半数以上受影响的用户彻底消除了这些漏洞。

在过去的一年里，赛门铁克已经将其服务从传统的VeriSign领域拓展到更多领域以更好地保护用户的网站。赛门铁克此次推出的免费漏洞评估服务就是最好的实证，该服务通过自动扫描、可执行性报告，以及一个无须安装或维护任何软件的云架构，帮助客户降低漏洞管理的成本和复杂性。通过与去年推出的每日恶意软件扫描服务相结合，如今，赛门铁克已经实现了对客户网站的端到端保护。

2011年8月，赛门铁克对该漏洞评估服务进行了试点，客户反馈进一步证明了该服务的价值和易用性。“如果我不知道哪里出了问题，我就无法修复它，”一位参与试点的制造商表示，“如果没有一份清晰的漏洞报告，就很难确定虚拟主机的安全性。赛门铁克提供的漏洞评估是一种既简单、性价比又高的方法，它能够对任何有可能造成入侵的潜在威胁发出警告。”

激发并维护用户的信心是赛门铁克经营理念的核心，也是赛门铁克市场领导力的驱动因素之一。根据2011年10月Netcraft公布的SSL调查报告，赛门铁克仍然是全球SSL认证领域的领导者，其所颁发的SSL证书占全球总数的40%之多。同时，赛门铁克也是颁发EV SSL证书最多的企业，签署了全球约67%的EV SSL证书。

【赛迪网-IT技术讯】最近，家住北京朝阳区的朱先生很是郁闷，他原本想在网上购买一台电暖器，结果却在购物的时候，被一家山寨版的在线购物网站，骗去了500多元。朱先生告诉记者，10月25日，他在网上搜索到一款中意的油汀电暖气，点击进入后，发现这是一家他曾经有过交易的电子商务网站，因此他很放心地通过网银将520元钱支付给对方，但是一个多星期过去了，王先生都没有收到对方发来的货品。通过仔细的检查交易记录，朱先生发现这并不是自己曾经去过的网站，而是一个山寨版的，这才知道上当受骗了。

从以前出现的假冒工商银行网站，到假冒的在线支付平台，再到朱先生的遭遇，尽管各种网络钓鱼事件不断被媒体曝光，消费者的意识也在不断提高，可这些假冒网站为何还频频出现? 记者通过调查发现，一方面制作假冒网站的低成本，给不法分子创造了有利条件，但另一方面，很多电子商务网站管理不严格、防备措施不完善，也给了假冒网站巨大的生存空间。针对假冒网站猖獗的现况，不仅需要网监部门对这些恶意网站进行查处，那些可能被仿冒的电子商务网站、游戏网站也需要主动去打假，建立健全针对假冒的事前防范机制，最终保障网络消费者的利益。

对于假冒网站这种网络威胁，我们可以借助一个有利的武器来进行防范，那就是被称为“网站身份证”的服务器证书（SSL证书）。业内资深人士、天威诚信高级副总裁李延昭告诉记者，服务器证书是数字证书的一种形式，类似于驾驶证、护照和营业执照的电子副本，其主要作用是在网络通讯中标识和验证服务器的身份，服务器证书通常包含详细的身份验证信息，如服务器内容附属的组织、颁发证书的组织以及称为公开密钥的唯一的身份验证文件。

网站在应用服务器证书后，用户在访问网站时，就可以方便地查阅网站身份等信息，确保访问过程的真实性。对于那些没有应用证书，或者证书信息无法打开的网站，用户就需要引起重视，尽可能终止访问。在网络诚信整体环境不理想的大形势下，网站通过配备服务器证书，可以快速建立信任品牌，有助于企业在竞争中获得优势，提升用户的信任感，将用户流量转化为更多的订单。

作为验证网站真实身份的凭证，服务器证书必须由一个权威、公正、可信的第三方机构颁发才值得用户信任。李延昭表示，在实际应用中，网站最好通过正规渠道获得服务器证书产品，例如VeriSign全球服务器证书（SSL证书），其全球信任保障体系可以确保网站可以在全球范围内获得信任支持，同时正规渠道伙伴也会以自身的实力向用户提供良好的服务和技术支持。

以天威诚信认证中心为例，作为VeriSign在国内服务器证书（SSL证书）领域的首要合作伙伴，天威诚信通过整合资源，可为网站提供包括SSL证书、网站漏洞检测在内的全面安全信任服务，其“可信网站服务”在解决网站信息安全传输和网站可信身份的实际应用中，发挥了明显的作用。天威诚信目前已成功为工商银行、招商银行、中信银行、华夏基金、淘宝等网站完成了反钓鱼网站技术升级，很大程度上缓解了国内钓鱼网站欺诈事件的发生。

为了方便网民更为直观的辨识欺诈钓鱼网站，天威诚信还提供目前业内最为先进的EV SSL证书，其独有的绿色地址栏技术，可帮助网民在登录网站过程，仅靠地址栏的“颜色”变化就可识别欺诈钓鱼网站，绿色的即是安全网站，而红色就是欺诈钓鱼网站，这可以让已采用SSL证书技术的企业最大限度发挥数字证书在安全、信任领域的作用。

为确保网络安全，防火墙、杀毒软件、IPS等产品早已在企业网络中普遍部署，但这些主要针对的是外网的安全防护，在面对内网安全威胁时，往往形同虚设。有调查显示，目前有超过85%的安全威胁来自企业内部，其中16%来自企业内部未经授权的非法访问，40%来自电子文件的泄露。“内忧”胜于“外患”，内网安全问题已成为当前企业网络安全建设的重头戏，企业不仅需要牢固的边界安全，更需要稳定的内网安全。

内网安全数据为本

涉及内网安全的因素非常多，产品形式也比较多样，在哪些环节如何部署就显得非常重要。总体而言，内网安全集中关注的对象包括引起信息安全威胁的内网用户、应用环境、应用环境边界和内网通信安全，因此，如何在企业内网构建一个切实可行、简单易用的安全防护体系，是实施内网安全部署的关键所在。

怎样才能有效地实现内网安全呢？除了制定健全的内网安全机制，数据加密也是保护企业有价值数据的有效工具。利用数据加密解决方案可保护笔记本电脑、工作站和服务器等设备硬盘上所有文件(包括操作系统文件)的安全。即使硬盘被盗，企业依然可放心数据不会被非授权人浏览和获取。虽然黑客可以潜入企业的服务器，但是，也无法对服务器上的数据和信息资产造成破坏，因为这些资产都得到了安全的加密保护。

在对数据进行有效加密的同时，身份识别也可以帮助用户实现高强度的安全保护。随着“中国的赛班斯法”——《企业内部控制基本规范》的推广和实施，目前各大公司都在进行一场IT内控的变革，而业界普遍将身份识别定位为首要解决的关键问题。有效的身份识别方式能够为追溯行为和责任体系、审计证据链提供最有效和最有力的支撑。这种过程的价值在于它能够：允许有正当理由需要访问的人员访问；通过限制信息资产外露来降低风险；建立监控机制，针对事件追溯具体用户；高效地管理类似的用户群；实现内控符合风险管理的要求。因而建立更符合法律要求和审计的身份标识方法是每一个优秀企业完善内控，提高企业核心竞争力的必要前提。

身份认证可以通过智能卡、一次性口令，或者令牌的方式进行。当然，身份认证的授权方式必须是可定制的。用户可以选择使用密码或令牌做为授权的方式。真正好的身份认证技术，并不是要通过繁琐的加密步骤来困扰用户。企业用户每天都要登录各种应用系统，因此在不影响用户使用的前提下，简单的操作和高强度的保护，才能为用户提供一个安全、便利的环境。

数字证书认证身份

目前企业网络中应用的身份识别技术主要分为用户与主机、主机与主机之间的认证。在企业统一的身份认证框架中，集中身份认证系统需要对目前已有的身份认证方式，及未来可能会有的身份认证方式均提供支持，方便管理员根据需要进行选择。

在调查中，记者通过访问业内资深人士、天威诚信高级副总裁李延昭了解到，目前企业在选择身份认证方式时，通常需要考虑如下原则：第一，足够安全，即认证方式不容易被模仿（包括认证凭证的复制、认证过程的重放）或攻击（包括DOS攻击）；第二，成本适当，安全和成本常常成反比，但是对于企业来说，既不能为了降低成本而采用不安全的认证方式，也不能为了片面追求安全而不顾成本；第三，使用方便，所有东西都是给人用的，如果因为使用不便而招致反感，则所有的安全措施都形同虚设；第四，提供开放的API接口，便于将认证方式集成到当前以及未来的应用框架中。

基于数字证书的认证方式能够满足当前以及未来的企业内网安全应用需求。数字证书通常是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，从而在网络上解决”我是谁”的问题。以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障企业各种网络应用的安全性。

对企业用户而言，构建基于数字证书的身份认证体系有两个方法可以实现，一种是企业自建模式，企业购买整套的PKI/CA软件，然后自行建立一整套相关的服务体系。在这种模式下，企业参与建立、维护、培训和运营整个PKI过程并对PKI软件所有事务负全责，其中包括系统、通信、数据库、物理安全、网络安全配置、高可靠性的冗余设计、灾难恢复等方面，还包括运营系统需要的PKI专家、法律、资金等方面。

第二种方法是面向服务，购买第三方认证服务的建设模式。企业利用第三方CA服务提供商的集成PKI平台，通过配置和管理，将企业端的前台与第三方高可靠性、高安全性的PKI后台组合在一起，对外提供证书服务。此模式下，企业的CA被托管在可信的第三方，复杂、专业的PKI核心服务及维护将交与专业的第三方CA完成，企业复杂的设备以及PKI专家、法律专家，不需要单独承担全部的投资与风险。而基于数字证书的电子签名技术更完全符合我国相关法律的要求，实现诸如电子合同、网上招投标等高端应用。

面向产品的自建CA与面向服务的托管CA代表着两种不同的建设模式,但两者间并不矛盾，因该是各有所长。针对数字证书体系的建设，企业需要根据自身的需求，仔细研究后选择合适的模式，当需要自主可控时选择自建方式，当涉及第三方交易时选购服务模式化解风险，企业完全可以找到适合自己的认证系统建设模式。

简单可靠是关键

李延昭表示，从天威诚信以及业界主流厂商多年的实际经验看，多数大型企业在建设CA认证平台时，强调系统的自主可控，此时采用自建CA模式更加适合。对于自建型的PKI/CA系统，客户需要考虑系统的后期运营和维护，建立完整的运营管理体系，并负责系统的日常维护和升级等。此时客户应当利用第三方认证中心的运营管理经验和提供的运营管理咨询服务，来建设自己的运营管理体系，有人可以借助PKI/CA软件提供商提供的维护和升级服务，对系统进行日常维护和升级。

李延昭同时强调，自建CA平台通常需要很长的周期，企业需要根据自身情况有计划分步骤的实施，因为自己建设一个PKI系统需要主管部门的审批、资金的筹集、PKI产品的认证、物理环境的准备、系统的安装调试、操作规程的形成、系统的认证以及注册运营等多个环节。而对于一些规模较小或仅仅核心业务，例如财务系统、合同审批系统需要CA认证支持，完全可以采用服务模式来实现。在第三方服务模式下，对于PKI/CA核心后台的建设（包括安全性、可靠性和稳定性等方面的建设）、运营管理和系统维护都将由第三方PKI/CA服务提供商负责，企业只需要购买第三方PKI服务提供商的PKI/CA服务，并完成本地部分系统的建设、运营管理和维护即可。

PKI/CA发展到今天，自建和服务两种模式下的产品从功能上看差别已经很小，技术已经不是用户选择的主要因素，最重要的是技术支持下的应用模式。在国内，自建PKI和基于服务的PKI长期共存着。今天，基于自建的CA还有相当的市场；同时，从行业发展来看，以市场方式运作的CA认证服务方式正在一些电子商务应用领域拥有更多的市场。

由于客户需求的多样性，这对CA服务供应商的服务能力提出了巨大挑战，目前，市场上能够同时提供两种建设模式的CA服务商并不多。但是从市场发展的角度看，根据企业实际应用需求，量身定制多种服务模式融合的CA认证服务将成为主流。以目前在电子认证服务领域处于领先的天威诚信（iTrusChina）为例，该公司目前可以向企业提供多种模式的PKI/CA服务，充分满足各种类型企业的实际应用需求。同时，天威诚信还在如何让用户简单、便捷地应用好CA上花费不少精力。据记者了解，天威诚信是VeriSign中国区的首要合作伙伴，通过大量借鉴吸收VeriSign的技术以及运营管理经验，公司目前能够以最快的速度、最新的技术、最简便的方式、最适宜的投入，向企业提供高可靠的PKI/CA服务，帮助企业用户解决网络应用的多种安全问题。

经过多年的发展，CA认证服务已经不是一个简单的安全概念，而是更加务实地应用到企业实际业务中去。在这种背景下，拥有稳定可靠的多种服务能力和第三方电子认证服务运营资质将成服务提供商最终赢得市场的关键。