分类
公司新闻

银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫

银保监会办公厅近日向各银保监局、各大型银行、股份制银行、直销银行、理财公司,各保险集团(控股)公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》。

《通知》旨在督促银行保险机构建立健全消费者个人信息保护工作机制。对于整治发现的问题,银行保险机构要逐一建档,确保整改到位、问责到位。对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。

根治乱象,实现密码自主可控是核心

从《通知》内容可见监管部门保护金融领域网络信息安全的决心。在金融科技快速发展的数字经济时代,金融行业数智化程度日益加深的同时,行业重要数据和个人信息安全问题也日趋严峻,成为国家监管部门和全社会共同关心的话题。

长期以来,国家层面高度重视金融领域信息安全工作。作为保障网络与信息安全的核心技术和基础支撑,密码技术已广泛应用于金融领域的身份认证、数据加密校验等各个环节,成为维护金融行业网络安全与数据安全的最重要手段之一,而从长远来看,密码技术的自主可控程度则决定着整个金融行业的安全基础是否牢靠。

银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫鉴于密码技术在算法、协议、密钥等多个维度的重要作用,在金融领域使用由我国自主设计的以国密SM2为核心的系列算法,成为保障金融行业网络安全和创新发展的必然选择,特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为银行、金融机构稳健运行的又一重要隐患,金融领域实施国密改造已刻不容缓。

国密改造,提升信息安全自主可控能力

为保障金融领域重要数据和用户信息安全,推进金融业务的安全快速发展,天威诚信依托深耕密码领域的技术优势和行业经验,结合金融机构在国密算法改造过程中遇到的问题,推出了适用金融行业的覆盖软硬件一体化的改造方案。

方案包括服务器证书、客户端证书、统一身份认证系统、签名验签服务、国密浏览器、国密安全网关等多种产品和服务,保障客户重要信息系统全面支持SM2、SM3、SM4等国产密码算法的应用,以及业务系统通信数据安全,提升金融行业信息安全的自主可控能力,同时满足金融领域国密政策安全监管要求。

目前,由天威诚信主导和参与的成功改造案例涵盖银行、互联网金融、期货、保险、证券、第三方支付等金融场景,可有效解决金融机构在身份认证、数据存储、数据传输过程中面临的安全问题,并通过轻量化、集成化、定制化的改造方式,充分满足金融机构对国密改造的不同需求。

随着国产密码在金融领域的应用不断深入,天威诚信将继续紧贴政策导向和市场需求,持续为金融领域的国密改造提供安全可靠的解决方案,同时加强与生态伙伴的紧密合作,推动国产密码在各重要领域的落地应用,为关键信息基础设施安全筑牢屏障。

分类
公司新闻

天威诚信国密改造持续推进中

随着网络购物、移动支付、金融理财等场景的普及盛行,大量个人金融信息留存在各金融类服务平台中。高频、高速、高密度的个人金融信息在不同渠道传输,个人数据违法获取、违规泄露等侵害用户权益的情况屡有发生。

天威诚信国密改造持续推进中
为保护金融领域数据安全,银保监会在2022年5月19日发布了《银行保险机构消费者权益保护管理办法征求意见稿》,其中包括对于个人信息保护机制的要求,“从收集、使用、传输消费者个人信息等方面作出规定,保护消费者信息安全权。”

然而,我国个人信息泄露现状仍需重视。据微众银行近日发布的《ESG丨个人信息保护专题研究报告》显示,82.5%的用户遭遇过个人信息泄露事件,其中12.9%的用户遭遇了10次以上的个人信息泄露,频繁的电话骚扰和数据失窃,给用户和金融机构造成了诸多困扰。

在数字经济“数据为王”的时代背景下,个人金融信息的经济价值日益凸显。与其他个人信息相比,个人金融信息具有高价值的特点,若因网络黑客攻击导致用户信息泄露,或由此关联到银行或者国家关键基础设施建设的安全,将会造成无法估量的损失。

在保护金融机构等国家关键基础设施建设安全方面,国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强金融行业安全可控的要求。国产密码算法的推广和应用已经成为我国快速应对信息安全威胁的首选措施之一,也是我国从根本上实现信息化产业完全自主可控的安全基础。

作为电子认证机构这个国产密码算法排头兵来说,由于密码服务是信息化安全建设的基础服务,密码的国产化改造和推广就成为电子认证机构重要的历史使命。鉴于金融机构往往存在分支机构多、渠道多、业务场景多的特点,在网络层及应用层实施全面的数据国密改造仍存在较大的困难。

天威诚信作为深耕国密改造领域多年的全国性电子认证机构,同时也是制定SM算法服务器证书体系标准课题研究的牵头单位之一,早在2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查并获得商用密码产品型号证书。

通过结合金融行业客户国密改造需求,依托密码与数据加密技术,天威诚信可从算法、协议、密钥等多个方面为金融机构提供一站式全面国密改造方案,方案支持SM2/SM3/SM4等国密算法,可有效解决金融系统服务端和客户端在身份认证、数据存储、数据传输过程中面临的安全问题。

目前,天威诚信国密改造方案已在银行、互联网金融、期货、保险、证券、第三方支付等金融场景中得到深入应用,未来天威诚信将继续立足在国密改造领域的技术优势,通过赋能多元化金融场景,加速推进金融行业国密改造工作,为金融机构数据安全和高质量发展保驾护航。

分类
公司新闻

《网络安全法》实施五周年,加快推进国密改造提升网络空间安全

2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行,至今已整整五年。

《网络安全法》实施五周年,加快推进国密改造提升网络空间安全-1

作为构建我国首部网络空间管辖基本法,《网络安全法》为维护国家网络主权,规范网络主体行为提供了法律依据。《网络安全法》服务于国家网络安全战略和网络强国建设,助力网络空间治理,持续护航“互联网+”和数字经济的发展。

以法为纲保护关键信息基础设施安全

“没有网络安全就没有国家安全”。随着互联网、信息化的深入推进,关键信息基础设施成为社会运转的神经系统,一旦关键信息基础设施遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。

为加强关键信息基础设施的安全保护,《网络安全法》专门单列一节,对关键信息基础设施的运行安全进行明确规定,其中第三十一条指出,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。

在国家相关部门的推动下,《网络安全法》中所提及的关系国计民生的重点领域陆续启动网络安全保障工程,其中推进国密SM算法在关键信息基础设施的应用是关键一环。

SM算法是我国自主设计、具有独特优势的一系列安全高效密码算法,其中SM2/3/9相继纳入国际标准并发布,标志着我国密码算法国际标准体系已初步成型。

同时,由于SM算法与国际通用的RSA算法技术有区隔,其使用可保证无国外可利用的后门,更符合《网络安全法》对网络应用系统的安全要求,更有利于实现国家对关键信息基础设施的自主可控。

循法而行天威诚信推进国密改造工作

《网络安全法》指出,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系,并通过共享安全信息、交流保护经验获取最佳的保护方案,共同提升网络安全保护水平。

作为国家首批授牌的电子认证服务机构,天威诚信在推进国密算法改造和应用方面始终走在行业前列。2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查,并在此基础上研发了支持国密SM2算法的vTrusSSL证书。

基于不同行业客户的需求,天威诚信依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)等相关标准,深入结合客户信息化系统与业务办理流程,提供以SM算法应用为核心的涵盖软硬件等多方面的一体化国密改造解决方案。

在密码基础体系层面,通过对原有应用的数字证书服务系统升级改造,使其具备国产密码算法证书的签发、管理、吊销等全生命周期管理。

在业务应用层面,通过对原有部署接口升级改造,使之支持SM系列算法应用,实现在网银、资金、ERP等系统下的用户强身份认证及关键业务节点数据完整性、机密性和抗抵赖保护。

在密码介质层面,通过对原有Ukey等密码承载介质做国密化替换,实现国密SM算法在客户端和服务端之间的底层通讯传输。

在网络通信联络层面,通过应用国产密码算法SSL认证通道,保障网络数据传输安全性。

此外,考虑到企业业务连续性及成本,天威诚信国密改造方案在保障安全性能符合国家要求的同时,可根据客户系统和业务特性,采用RSA算法和SM2算法并行的方式实现国密算法应用,并通过最小改动实现国密算法升级的平滑切换过渡。

依托强有力的技术支撑团队和一体化国密改造方案,天威诚信已帮助数十家企业及机构完成国密改造应用,积累了在证券、政务、金融、银行、能源、大型企业等领域的丰富经验,保障客户系统满足《网络安全法》以及“密评”环节中有关身份鉴别、数据完整性保护、敏感信息机密性保护、接入设备身份认证等方面的要求。

随着《网络安全法》《关键信息基础设施安全保护条例》等法律法规的持续推进,国密SM算法将在更多的领域得到更深入的普及应用。天威诚信将积极对照相关法律法规,依托技术优势与服务创新能力,为更多的行业和企业客户提供更完善的国密改造服务。

分类
知识中心

搞清楚这三个问题,秒变SSL证书“专家”

数字经济时代

保障自家网站数据安全

防诈骗、防钓鱼、防窃听

SSL证书少不了

  现而今,企业在网络安全方面的意识逐渐增强,可以将http协议转换成https加密传输协议的SSL证书已成为建设网站的标配。

  虽然大家对SSL证书的作用已很清楚,但在选择SSL证书的时候,却不免有一些犯难:那个……我的网站该用什么类型的证书呢?

SO easy~

只要明确了这三个问题

你也可以秒变SSL证书“专家”

搞清楚这三个问题,秒变SSL证书“专家”

  明确网站类型

  如果是高度安全和信任的企业网站,如金融证券、银行、第三方支付、网上商城等,涉及到交易支付、客户隐私信息和账号密码的传输,那就不用考虑了,直接选择EV型 SSL证书。它支持国际主流浏览器绿色地址栏,安全锁旁显示企业名称,强制256位加密,是最高级别的SSL证书,没有之一。

  如果是普通企业网站,如电子商务网站、企业网站等,但其中涉及注册、登录、会员中心等页面,那选择OV 型SSL证书准没错儿了,证书可显示中文单位名称和中文域名,利于品牌推广,更容易赢得客户信赖。

  如果是个人品牌网站,如博客、信息、文章展示等,建议选购DV型 SSL证书,可以保证信息在传输过程中不会被非法窃取和篡改,而且无须审核信息,可快速签发(网站标配)。

  明确域名数量

  单域型:一般而言,一张ssl证书对应的是一个域名,如果只有单个域名需要使用SSL证书,那就可以选择网站单域名SSL证书

  多域型:如果有多个顶级域名完全不同的域名需要使用SSL证书,那就选择支持多域名的SSL证书进行保护,最多支持250个域名哦。

  通配型:如果拥有多个子域名网站,那就选择通配符型SSL证书,它不限制子域名数量,可实现全站https安全加密。

  明确加密强度

  刚才提到的DV、OV、EV三种类型SSL证书,它们的加密强度是逐级提升的。对于涉及到资金、机密信息传输等对安全性要求高的网站,那么支持256位加密的EV型SSL证书自然是最合适的选择。如果对安全性要求没那么高的网站,那选择DV、OV型SSL证书都可以,但是如果网站涉及用户密码信息的,最好选择OV型SSL证书。

  最后需要强调的是,无论您选择哪种SSL证书,一定要通过正规渠道,简单来说,必须是国家授牌CA认证机构(天威诚信)签发的SSL证书才可以,不然不仅会白白浪费金钱,甚至还会造成企业和用户信息泄露的严重后果。

分类
网络新闻

2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》

  近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。

  国家互联网信息办公室有关负责人表示,网络安全审查是网络安全领域的重要法律制度,原《办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《办法》。

  《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。

  国家互联网信息办公室有关负责人表示,《办法》修订对保障国家网络安全和数据安全具有重要意义。

  正文:

  国家互联网信息办公室

  中华人民共和国国家发展和改革委员会

  中华人民共和国工业和信息化部

  中华人民共和国公安部

  中华人民共和国国家安全部

  中华人民共和国财政部

  中华人民共和国商务部

  中国人民银行

  国家市场监督管理总局

  国家广播电视总局

  中国证券监督管理委员会

  国家保密局

  国家密码管理局令

  第8号

  《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,现予公布,自2022年2月15日起施行。

  国家互联网信息办公室主任 庄荣文

  国家发展和改革委员会主任 何立峰

  工业和信息化部部长 肖亚庆

  公安部部长 赵克志

  国家安全部部长 陈文清

  财政部部长 刘 昆

  商务部部长 王文涛

  中国人民银行行长 易 纲

  国家市场监督管理总局局长 张 工

  国家广播电视总局局长 聂辰席

  中国证券监督管理委员会主席 易会满

  国家保密局局长 李兆宗

  国家密码管理局局长 刘东方

  2021年12月28日

  网络安全审查办法

  第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。

  第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。

  前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。

  第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

  第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

  网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

  第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

  关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。

  第六条 对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。

  第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

  第八条 当事人申报网络安全审查,应当提交以下材料:

  (一)申报书;

  (二)关于影响或者可能影响国家安全的分析报告;

  (三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;

  (四)网络安全审查工作需要的其他材料。

  第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。

  第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:

  (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

  (二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

  (三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

  (四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

  (五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;

  (六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;

  (七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

  第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。

  第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

  网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。

  第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。

  第十四条 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。

  第十五条 网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

  第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

  为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

  第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。

  第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。

  第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。

  网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

  第二十条 当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。

  第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

  第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。

  国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。

  第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时废止。

分类
金融

英大证券VeriSign网站可信服务

    英大证券是一家全国性的证券经营机构,注册资本12亿元,注册地在深圳。在深圳、北京、上海、天津、沈阳、南京等国内经济发达地区和省会所在地设有16家证券营业部,构建了面向全国的经纪业务框架及完善的营销和服务网络,及时满足客户各类投资需求。公司业务范围涵盖证券经纪、证券自营、证券承销、基金代销、资产管理、投资咨询、财务顾问等领域,同时各项业务集中于英大证券网站,帮助用户实现在线交易、管理等操作。

    由于在线交易、财富管理等操作需要事先进行登录注册,因此每天会有大量用户在英大证券网站上输入提交自己的资金账号、交易密码等登录注册信息。众多用户数据信息频繁往来于客户端浏览器和网站服务器之间,一旦传输过程中信息遭到窃取、篡改,就很可能给用户带来经济损失。为此,英大证券决定与国内权威认证机构天威诚信展开合作,采用天威诚信提供的网站可信服务,确保英大证券网站用户信息数据的安全传输。

 

解决方案

    根据英大证券网站业务特点及安全需求,天威诚信为其提供了针对性的网站可信服务。通过在英大证券网站涉及资金账号、交易密码等信息提交的在线交易登陆等页面部署VeriSign SSL证书,凭借SSL技术实现数据信息在线的高强度加密传输,确保个人数据信息在传输过程中不被窃取、截获及篡改。

    此外,部署VeriSign SSL证书后,网站具备地址栏“https”开头、地址栏右侧金色锁形标记等安全特征,以此提示用户当前网站处于信息加密,让用户安心操作;点击金色锁形标记,还可查看服务器证书及颁发机构信息,进一步确认当前网站身份真实可信,建立英大证券网站可信形象,帮助用户有效避免假冒网站钓鱼欺诈及木马侵害。   

    VeriSign是全球数字认证领域最知名的品牌,受到很多世界百强企业及大型银行的信赖,目前全球超过百万台服务器已经部署了VeriSign服务器证书。天威诚信作为VeriSign中国大陆区的首要合作伙伴,可以提供VeriSign全系列证书产品,双方稳定合作已超过11年,为国内上百家知名企业提供服务。

 英大证券VeriSign网站可信服务-1

· 地址栏自动出现“https://”加密标志,提示网站已建立信息加密传输通道

· 地址栏右侧金色锁头标记,点击可以查验网站真实身份信息

 

带来的价值

· 数据信息高强度加密传输,为用户提供安全可靠的在线操作环境,增强用户忠诚度

· 直观安全特征,建立网站可信形象,无需复杂的认证环节即可帮助用户识别可信网站,提升用户体验。

· 采用国内权威认证机构提供的网站可信服务加强网站安全建设,国际知名服务器证书性能可靠,且突显英大证券网站专业服务水准。

 

相关成功客户

    嘉实基金  泰达红利基金、华夏基金、广发基金、招商基金、南方基金、兴业基金、长盛基金

分类
金融

兴业证券VeriSign网站可信服务

    兴业证券前身可追溯至1991年设立的兴业银行证券业务部,1994年在证券业务部基础上改组设立福建兴业证券公司。在长期的证券市场运作中,兴业证券始终坚持证券主业经营,自觉遵守各项法律、法规和行业公约,把合规管理、加强自律、防范风险放在十分突出的位置上。当然,这一目标的实现并非仅靠严格管理就能实现的,还需要专业技术的支持:

    兴业证券网站提供在线交易等服务内容,每天大量用户登录、注册及交易相关的个人信息频繁往来于网站服务器与用户浏览器之间。这些信息在传输过程中需受到安全保护,以免在时下钓鱼木马横行的互联网环境中,发生个人信息数据被窃取、篡改的情况,给用户造成损失。为此,兴业证券选择了国内权威认证机构天威诚信提供的网站可信服务,通过VeriSign扩展验证(EV)SSL证书——强制型进行网站信息安全防护。

 

解决方案

    针对兴业证券网站信息安全需求,天威诚信在兴业证券网站交易用户登录、注册用户登录页面部署了强制型VeriSign扩展验证(EV)SSL证书

    依靠SSL技术建立的信息高强度加密通道,使用户在线提交的各类信息处于安全加密状态,建立安全的网上交易环境。为了让用户更好的了解网站已建立信息传输通道,VeriSign扩展验证EV SSL证书特有的绿色地址栏功能通过绿色代表安全、红色代表危险的颜色变化规则,提供醒目网站安全提示。这一功能的应用帮助用户清楚地识别出哪些在线登录、基金交易环境是安全可靠的,让以假乱真的钓鱼网站无所遁形。

    此外,地址栏以“https”开头,地址栏右侧展示金色锁形标记等网站安全特征也帮助用户快速识别安全可信的基金网站:用户点击金色锁形标记,可查看SSL证书服务器证书)及证书颁发机构信息,进一步确认网站真实身份。

    VeriSign是全球数字认证领域最知名的品牌,受到众多世界百强企业及大型银行的信赖。在中国,VeriSign扩展验证(EV)SSL证书已广泛应用于国内银行、基金销售等金融类网站,绿色地址栏是其标志性特征。天威诚信作为国内权威认证机构同时也是VeriSign中国大陆区的首要合作伙伴,可提供VeriSign全系列证书产品以及专业的本土化服务团队。在双方超过11年的稳定合作中,已为国内上百家知名企业提供了网站可信服务。

 兴业证券VeriSign网站可信服务-1

· 地址栏自动出现“https://”加密标志,提示网站已建立加密通道

· 地址栏右侧金色锁形标记,点击即可查验网站身份信息

· 绿色地址栏醒目颜色变化,粉碎钓鱼网站仿冒,建立可信网站形象

 

带来的价值

    这一安全措施的应用,帮助兴业证券实现了网站信息数据安全和网站可信形象建设的目的,VeriSign扩展验证(EV)SSL证书超高的加密强度满足基金行业相关法规要求。VeriSign与天威诚信的权威品牌效力以及产品、技术方面的专业支持,在提升网站用户交易信心方面发挥了积极作用。

 

相关成功客户

    广发基金、泰达红利基金、嘉实基金、华夏基金、招商基金、易方达基金、长盛基金、南方基金

分类
网络新闻

光大银行网银事故频发 银监会亲自问诊评估

客户资金频遭盗刷,信息系统接连出现故障,业务系统出现停滞,正在冲刺H股发行的光大银行(601818,SH)遭遇来自客户和投资者的双重质疑:光大银行的信息系统能否保证客户的资金安全?频频发生事故的信息系统能否支持光大银行下一步的业务发展?

 

针对光大银行信息系统的重大漏洞,银监会前不久专门委托了权威的国家信息安全测评机构对该行网上银行和网站系统进行测试,发现光大银行存在银行内部信息泄露风险、钓鱼网站攻击风险、信息安全防护措施不严密等三方面重大漏洞,并责令其立即整改。

 

危险的光大网银

 

2011年1月28日,星期五,正是春节前刷卡的高峰日,然而,有些光大银行的持卡用户却发现手中的卡无法使用,不仅借记卡无法用,信用卡也无法刷卡,光大银行对此事却秘而不宣。

 

原来,这次是光大银行在北京陶然亭机房的一台光传输设备板卡出现故障,造成线路运行不稳定,导致光大银行部分银联和贷记卡业务一度中断。更令人不可思议的是,光大银行用了近一周的时间才更换了该设备板卡,在这期间,所有业务均在无备用线路的情况下运行,潜在风险极大。

 

其实,这已不是光大银行第一次发生这样的事故。也就在今年年初,光大银行客户遭钓鱼网站恶意盗取密码,客户资金发生损失。去年光大银行南京分行客户也是遭遇网上银行被盗,涉及金额高达20万元。而该行上海分行对外销售的面值1000元的银行储值卡,被犯罪嫌疑人通过网上银行盗转部分资金,此事已由上海银监局进行核查。

 

而去年光大银行发生的核心业务系统故障更是惊动了国务院,银监会专门就此事向国务院做了汇报。

 

2010年8月30日中午12时02分起,光大银行核心系统及总行前置系统交易出现拥堵,造成全国网点交易缓慢,柜面业务、网上银行、电话银行、电子支付等业务均受到影响。该事故引起业务交易拥堵,系统完全中断时间达12分34秒,对外正常服务受到影响时间约5小时左右。事后查证,该事故造成核心业务系统未成功记账及重复记账共计5万多笔。

 光大银行网银事故频发 银监会亲自问诊评估-1

银监会评估光大网银

 

光大银行信息科技系统接连出现故障,引起了银监会的高度关注。

 

前不久,银监会委托国家信息安全专业测评机构对光大银行网上银行和网站系统进行测试,发现了该网站存在内部信息泄露风险、钓鱼网站攻击风险以及信息安全防护措施不严密等问题。

 

银监会认定,光大银行网站存在内部敏感信息泄露风险,可能为外部攻击者利用以了解网站机制、内部网络结构,甚至获取管理权限,进一步攻击网站。例如:网站主页和网上银行等页面没对网页出错信息进行有效保护,出错信息包含内部地址及网站配置信息,信用卡中心页面网站和基金咨询页面网站源代码包含内部地址信息,外部攻击者可进一步了解当前网站所属网络的结构情况、收集有关应用程序的敏感信息。

 

银监会同时认定光大银行信息安全防护措施不严密。该行网站养老金管理中心页面登录请求信息在发送至服务器的过程中使用明文传输,易造成用户登录信息被截获。

 

银监会的检测还发现,光大网银有被钓鱼网站攻击的风险。光大银行养老金管理中心页面和基金咨询页面存在钓鱼漏洞风险,由于网站应用程序未对用户的输入参数进行有效检验,恶意攻击者可能诱骗用户访问含有恶意脚本代码的链接地址,窃取用户敏感信息。

 

银监会根据这个评估结果,要求光大银行进一步深入分析上述各类风险,认真研究其深层次的技术根源和管理漏洞,针对有关问题制定切实可行的解决方案和整改计划,并尽快实施,及时堵塞漏洞,化解上述各类风险。

 

(每经 金荣)

分类
公司新闻

英大证券网站成功部署VeriSign SSL证书

    英大证券是一家全国性的证券经营机构,公司业务范围涵盖证券经纪、证券自营、证券承销、基金代销、资产管理、投资咨询、财务顾问等领域,同时各项业务集中于英大证券网站,帮助用户实现在线交易、管理等操作。由于在线交易、财富管理等操作需要事先进行登录注册,因此每天会有大量用户在英大证券网站上输入提交自己的资金账号、交易密码等登录注册信息。众多用户数据信息频繁往来于客户端浏览器和网站服务器之间,一旦传输过程中信息遭到窃取、篡改,就很可能给用户带来经济损失。为此,英大证券决定与国内权威认证机构天威诚信展开合作,采用天威诚信提供的网站可信服务,确保英大证券网站用户信息数据的安全传输。

关于英大证券
    英大证券有限责任公司是一家全国性的证券经营机构,注册资本12亿元,注册地在深圳。公司现在拥有员工436人,聚集了大批高素质的金融、经济、法律、财务和计算机等各类专业人才,业务范围涵盖证券经纪、证券自营、证券承销与保荐、基金代销、资产管理、投资咨询、财务顾问、期货IB等领域。
    公司股东实力雄厚,目前控股股东国网资产管理有限公司为国家电网公司设立的全资子公司,国家电网公司是关系国家能源安全和国民经济命脉的国有重要骨干企业,以建设和运营电网为核心业务,承担着为经济社会发展提供安全、经济、清洁、可持续的电力供应的基本使命,经营区域覆盖26个省(自治区、直辖市),覆盖国土面积的88%,供电人口超过10亿人,管理员工153.7万人,名列2010年《财富》全球企业500强第8位,是全球最大的公用事业企业。

英大证券网站成功部署VeriSign SSL证书-1