分类
知识中心

ssl证书是用处

SSL证书,也被称为安全套接字层证书,是一种数字证书,用于保护网站和其访问者之间的信息安全。SSL证书通过加密传输数据,避免了恶意攻击者的非法访问和偷窃数据。

SSL证书的作用非常重要,它使得数据在传输时得到了加密的保护,使得数据被传送到服务器的过程中,任何第三方都无法获取这些数据的内容。由于互联网的不断膨胀,网络威胁变得越来越普遍。通过使用SSL证书,网站所有者可以保护自己网站的安全性,为访问者提供更加安全的浏览和在线支付体验。

在SSL证书的保护下,浏览器与服务器之间的数据传输过程得到了加密保护,使得被传输的数据不受攻击者的干扰和监视。这种保护级别被称为加密机密,这意味着,只有目标接收者能够解密被传输的数据。这种安全性极高的数据传输方式,常用于在线交易、网上购物、在线银行等场景。

在SSL证书的帮助下,网站拥有者可以确保客户的信息在浏览和交易时不会被窃取或跟踪。通过安装SSL证书,网站的地址将由HTTP变更为HTTPS,表示这个网站是通过SSL进行加密的。这将在访问者的浏览器地址栏显示一个小锁头图标,表明该网站是经过验证的,并且通过HTTPS协议进行通信的。

此外,SSL证书也有很多其他的优点。例如,它可以提高网站的搜索引擎排名,因为谷歌等搜索引擎通常会更倾向于传输数据更安全的网站。SSL证书也可以保护网站的人口(POP3、SMTP、IMAP等)通信,使用户的电子邮件在全球互联网的传输过程中得到加密保护。这同时也可以有效地阻止黑客监听邮件通信。

总之,SSL证书是一种重要的数字证书,它可以提供高级的信息保护和安全性,使得用户在使用网上服务时更加安心。同时,拥有SSL证书的网站也会更受到客户和搜索引擎的信任,因此在网站安全方面投入越多,网站的未来就越稳定。

天威诚信致力于成为数字时代安全可信支撑体系的核心力量。以法律为标准,以电子认证行政许可为依托,以数字化技术为手段,支撑构建安全可信的数字应用生态,推动数字经济安全、合规发展。运用密码、区块链、大数据、人工智能、云计算等技术,将立法标准、司法实务标准与密码应用规范、电子认证业务规范相融合,构建完整的法律科技服务体系,为数字世界中的人、事、物、时、空提供真实性证明服务,为数字世界法治生态建设提供支撑保障,守护数字世界秩序。

分类
知识中心

网络钓鱼攻击常见类型与应对方法

进入2023年,网络钓鱼仍然像往年一样活跃在互联网的各个角落,而且变得越发诡计多端。虽然有包括安装SSL证书、电子邮件证书等方法可以保护我们免受网络钓鱼攻击,但更有效的方法是能够及时识破它们。有鉴于此,本文整理了几种常见的网络钓鱼类型及其应对方法,帮助你识别钓鱼攻击,保护个人信息和财产安全。

域名欺骗

域名欺骗是一种最常见的网络钓鱼形式,攻击者使用与企业非常相近的域名来仿冒企业本身或企业员工进行欺诈。通常攻击者会注册一个与企业域名非常相似的域名,并搭建一个欺诈网站,欺诈网站会使用企业商标或视觉设计风格来进行仿冒。

应对方法:对于不确定的网站,应第一时间查验网站SSL证书,检查该网站的域名是否与证书中的域名一致,同时检查SSL证书是否由受信任信任的根证书机构颁发。

WiFi网络钓鱼

攻击者伪装公众场所常用的WiFi热点,诱导受害者连接使用公共WiFi,接管受害者网络,窃取网络流量数据,捕获受害者手机号、用户账号等相关信息后实施攻击或欺诈。

应对方法:谨防不需要认证的无线WiFi。公共无线WiFi分两种,第一种是店家设置的,需要向店家询问密码,第二种是商场提供的,需要进行网页二次认证。如果一个无线WiFi不需要密码也不需要认证,那么要小心了。如果你连接了公共无线WiFi,一定要杜绝和钱财有关的一切操作,尤其是输入密码这种行为。

DNS劫持

通过入侵DNS服务器的方式,将受害者导引到伪造的网站上,因此又被称为DNS服务器投毒(DNSPoisoning)。攻击者通过攻击DNS服务器,将流量重定向到钓鱼网站。一旦受害者访问这个假冒网站并进行用户照常登录,不知不觉就泄漏了个人敏感信息。

应对方法:及时部署SSL证书。SSL证书具备服务器身份认证功能,可以使DNS劫持导致的连接错误情况及时被发现和终止,同时HTTPS协议可以在数据传输中对数据进行加密传输,保护数据不被窃取和修改。

未知号码打来的电话

如果你接到一个未知号码打来的电话,而打电话的人声称来自你熟知的银行或其他机构,要非常小心,这是一种典型的网络钓鱼策略。打电话的人会通过让你输入密码、接受验证码等方式获取你的个人账户信息,非法挪用你的资金甚至注销你的账户。

应对方法:如果有陌生号码打电话给你,不要透露任何个人信息,挂断电话,使用你知道正规的号码打给陌生人声称的那家组织。

非个性化邮件

如果你收到的电子邮件没有尊称你的大名,或者只是称呼你为“尊敬的用户”或“尊敬的客户”,就要警惕了。网络钓鱼邮件常常使用通用的问候语,这是由大规模自动化钓鱼活动批量发出的,他们的目的是诱导用户点击邮件中的链接。

应对方法:不要点击不明链接,直接删除邮件,同时企业应及时部署电子邮件证书,通过HTTPS安全通道帮助企业阻挡诈骗、钓鱼和勒索病毒的攻击,确保用户Web邮件收发过程中的信息安全。

综上可知,在应对网络钓鱼攻击方面,为网站、电子邮件系统部署SSL证书实现HTTPS加密是较为有效的解决方案,通过SSL证书可以确认网站和电子邮件发送者的真实身份,避免用户点击假冒网站和不明链接而上当受骗。

在没有万无一失的方法可以避免网络钓鱼诈骗或恶意攻击的情况下,部署SSL证书可以尽量降低网络钓鱼攻击带来的风险,帮助用户实现放心浏览,安全交易。

分类
知识中心

为什么国家一直大力推行国密SSL证书?

随着国际安全形势的恶化,网络层面的战争也在悄然升级。今年以来,美国部分CA厂商已对被列入制裁名单的国家和地区禁售SSL证书,并停止对其域名的维护,导致失去SSL证书的网站和信息管理系统面临大规模的访问故障和安全隐患。

在当前及未来应用环境不可控的情况下,为保障重要领域信息系统安全,国家层面一方面积极推进网络通信“加密化升级”,提升信息技术自主安全能力;另一方面持续在重要行业推广使用我国自主研发的支持国密算法的SSL证书,以维护我国网络环境安全,护航数字经济健康发展。

为什么国家一直大力推行国密SSL证书?

国密算法比RSA算法更优

国密算法是我国在密码核心领域自主研发的技术成果,国密SSL证书则是遵循国家标准技术规范的支持国密算法的SSL证书,它与传统SSL证书的区别主要是密码算法体系的不同。

传统SSL证书多是国外CA厂商签发,通常采用的是RSA算法。而国密SSL证书则采用我国自主研发的SM2公钥算法体系,与RSA算法相比,SM2算法普遍采用256位密钥长度,单位安全强度相对较高,并发处理响应时间更短,是一种在安全性能、速度性能等方面都优于RSA的算法。

在保护网站信息安全方面,国密SSL证书在工作原理上和采用RSA算法的SSL证书是一样的。国密SSL证书和RSA算法的SSL证书在功能上都是采用自主可控密码技术保护数据机密性、完整性,实现HTTPS网站加密传输,防止数据在传输过程中被窃取或篡改,确保通信主体身份真实性、完整性。

企业如何兼顾国密合规与全球信任?

为保障我国网络环境的自主安全可控,国家层面近年来相继出台了《网络安全法》《密码法》《关键信息基础设施安全保护条例》等一系列法律法规,并对政府机构、事业单位、大型国企、金融银行等重要领域实施相关政策要求,以推动国密SSL证书的应用。

依托22年的证书服务经验,天威诚信可为有需求的客户提供自主建设的支持国密SM2算法的vTrus SSL证书产品,并通过软件Nginx国密兼容服务端部署、移动端SDK改造、报文签名验签等服务,帮助客户建立完整的国密SSL证书全生态支持体系,确保从浏览器到服务器的每个环节,都采用国密算法实现全流程HTTPS加密

天威诚信vTrus SSL证书以国密SM2算法为支撑,覆盖单域名多域名、通配符等多种型号,证书已成功预埋360浏览器、红莲花浏览器、奇安信浏览器、赢达信国密安全浏览器、零信浏览器等多款国密浏览器,可满足不同行业用户的使用需求。

此外,为保证网站系统的可用性和通用性,天威诚信还可提供全浏览器支持和全球信任的“SM2+RSA”双证书解决方案。完成双证书部署后,即可实现SM2算法与RSA算法之间的无缝切换,更近一步确保网站系统的可用性和安全性,保护重要领域网站数据传输安全。

通过天威诚信提供的国密SSL证书服务及双证书解决方案,既能帮助重点领域客户满足国家政策监管要求,又能以低成本规避巨大网络安全风险。目前,vTrus SSL证书已广泛应用于政府、电信、金融、能源等重点领域,切实保障客户网站信息安全,助力企业合规发展。

分类
安全播报

隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”

为了解当今IT审计中最受关注的技术风险,国际信息系统审计协会(ISACA)与甫瀚咨询近日联合推出了年度《IT审计技术风险调查》。来自全球的7,500余位IT审计领导者与专家参与了本次调查,调查结果显示:网络攻击、隐私、数据及监管合规几大方面为当今IT首要风险事项。

隐私风险跃居国内首要网络隐患?尽快部署SSL证书为网站加上“安全锁”

需要指出的是,中国地区的调查结果与全球综合数据有所不同。在中国地区,隐私风险取代网络攻击成为最受瞩目的焦点,该统计结果表明的趋势与中国企业信息技术快速更新迭代以及IT管理成熟度阶段等特点紧密相关。

数字化时代,隐私安全无小事

数字经济时代,网络上承载着个人身份信息、电话号码、银行卡号、住址、企业机密等各种信息,任何隐私信息泄露事件极可能导致企业名誉受损、收入及客户流失、受到合规处罚及审查,对企业安全和用户权益造成双重消极影响。

企业作为网站所有者和运营者,保护用户隐私信息和敏感数据安全,避免受到网络犯罪分子的恶意攻击是企业不可推卸的责任。此时,企业为网站部署SSL证书实现HTTPS加密的重要性便凸显出来了。

HTTPS是HTTPoverSSL的简称,是指对HTTP做了SSL处理,可以理解为给用户的隐私数据加了一把锁。当用户在网站上提交任何敏感信息时,HTTPS会对用户信息进行加密处理,保护数据免遭窃听、中间人攻击等恶意窃取或破坏,确保用户数据和隐私安全,同时保障数据的机密性和完整性。

同时,SSL证书通过在浏览器上显示安全锁、绿色地址栏、证书信息等形式,为用户提供了一种简单直观的方式来表明网站的真实性,避免用户因点击假冒网站而导致上当受骗,使用户可以放心浏览,企业也可以凭此获取客户的信任,从而提高获客率,助力企业业务增长。

部署SSL证书,护航企业数字化转型

当前,随着国内企业数字化转型进程的不断加快,越来越多业务开始线上化办理,包括用户信息在内的企业数据已经成为企业最重要的资产之一,也是为企业发展壮大新引擎。

在此情况下,企业更应加强用户个人信息的防护机制,及时为网站部署合适的SSL证书,不仅能够有效避免数据泄露的危害,还能够大幅消除用户对于个人隐私泄露的疑虑。

SSL虽然是看似简单的三个英文字母缩写,其中却包含着非常多的工作原理和技术。因此,企业需要依托可靠的机构部署SSL证书,实现HTTPS加密并提供后续服务。

天威诚信作为工信部许可设立的全国性电子认证服务机构,可为国内企业提供DigiCertGeotrustGlobalSignEntrust、vTrus等众多知名品牌的SSL证书及可靠的认证服务,保障企业网站信息安全。

目前,天威诚信已累计为超过200万的各行业客户提供了完善的SSL证书产品与服务,并可根据客户需求提供可靠的本地化服务与全天候的技术支持,降低企业数据泄露的风险,并通过持续优化的服务和针对性的解决方案助力企业线上化业务安全发展。

分类
公司新闻

银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫

银保监会办公厅近日向各银保监局、各大型银行、股份制银行、直销银行、理财公司,各保险集团(控股)公司、保险公司下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》。

《通知》旨在督促银行保险机构建立健全消费者个人信息保护工作机制。对于整治发现的问题,银行保险机构要逐一建档,确保整改到位、问责到位。对不当操作行为,要立即叫停或纠正,出现泄露个人信息等严重侵害消费者信息安全权问题的,要问责到人;对涉及违法犯罪的问题,要移送司法机关惩处。

根治乱象,实现密码自主可控是核心

从《通知》内容可见监管部门保护金融领域网络信息安全的决心。在金融科技快速发展的数字经济时代,金融行业数智化程度日益加深的同时,行业重要数据和个人信息安全问题也日趋严峻,成为国家监管部门和全社会共同关心的话题。

长期以来,国家层面高度重视金融领域信息安全工作。作为保障网络与信息安全的核心技术和基础支撑,密码技术已广泛应用于金融领域的身份认证、数据加密校验等各个环节,成为维护金融行业网络安全与数据安全的最重要手段之一,而从长远来看,密码技术的自主可控程度则决定着整个金融行业的安全基础是否牢靠。

银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫鉴于密码技术在算法、协议、密钥等多个维度的重要作用,在金融领域使用由我国自主设计的以国密SM2为核心的系列算法,成为保障金融行业网络安全和创新发展的必然选择,特别是近两年来银行业信息和数据逻辑集中程度的不断提高,信息科技风险已经成为银行、金融机构稳健运行的又一重要隐患,金融领域实施国密改造已刻不容缓。

国密改造,提升信息安全自主可控能力

为保障金融领域重要数据和用户信息安全,推进金融业务的安全快速发展,天威诚信依托深耕密码领域的技术优势和行业经验,结合金融机构在国密算法改造过程中遇到的问题,推出了适用金融行业的覆盖软硬件一体化的改造方案。

方案包括服务器证书、客户端证书、统一身份认证系统、签名验签服务、国密浏览器、国密安全网关等多种产品和服务,保障客户重要信息系统全面支持SM2、SM3、SM4等国产密码算法的应用,以及业务系统通信数据安全,提升金融行业信息安全的自主可控能力,同时满足金融领域国密政策安全监管要求。

目前,由天威诚信主导和参与的成功改造案例涵盖银行、互联网金融、期货、保险、证券、第三方支付等金融场景,可有效解决金融机构在身份认证、数据存储、数据传输过程中面临的安全问题,并通过轻量化、集成化、定制化的改造方式,充分满足金融机构对国密改造的不同需求。

随着国产密码在金融领域的应用不断深入,天威诚信将继续紧贴政策导向和市场需求,持续为金融领域的国密改造提供安全可靠的解决方案,同时加强与生态伙伴的紧密合作,推动国产密码在各重要领域的落地应用,为关键信息基础设施安全筑牢屏障。

分类
公司新闻

天威诚信国密改造持续推进中

随着网络购物、移动支付、金融理财等场景的普及盛行,大量个人金融信息留存在各金融类服务平台中。高频、高速、高密度的个人金融信息在不同渠道传输,个人数据违法获取、违规泄露等侵害用户权益的情况屡有发生。

天威诚信国密改造持续推进中
为保护金融领域数据安全,银保监会在2022年5月19日发布了《银行保险机构消费者权益保护管理办法征求意见稿》,其中包括对于个人信息保护机制的要求,“从收集、使用、传输消费者个人信息等方面作出规定,保护消费者信息安全权。”

然而,我国个人信息泄露现状仍需重视。据微众银行近日发布的《ESG丨个人信息保护专题研究报告》显示,82.5%的用户遭遇过个人信息泄露事件,其中12.9%的用户遭遇了10次以上的个人信息泄露,频繁的电话骚扰和数据失窃,给用户和金融机构造成了诸多困扰。

在数字经济“数据为王”的时代背景下,个人金融信息的经济价值日益凸显。与其他个人信息相比,个人金融信息具有高价值的特点,若因网络黑客攻击导致用户信息泄露,或由此关联到银行或者国家关键基础设施建设的安全,将会造成无法估量的损失。

在保护金融机构等国家关键基础设施建设安全方面,国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强金融行业安全可控的要求。国产密码算法的推广和应用已经成为我国快速应对信息安全威胁的首选措施之一,也是我国从根本上实现信息化产业完全自主可控的安全基础。

作为电子认证机构这个国产密码算法排头兵来说,由于密码服务是信息化安全建设的基础服务,密码的国产化改造和推广就成为电子认证机构重要的历史使命。鉴于金融机构往往存在分支机构多、渠道多、业务场景多的特点,在网络层及应用层实施全面的数据国密改造仍存在较大的困难。

天威诚信作为深耕国密改造领域多年的全国性电子认证机构,同时也是制定SM算法服务器证书体系标准课题研究的牵头单位之一,早在2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查并获得商用密码产品型号证书。

通过结合金融行业客户国密改造需求,依托密码与数据加密技术,天威诚信可从算法、协议、密钥等多个方面为金融机构提供一站式全面国密改造方案,方案支持SM2/SM3/SM4等国密算法,可有效解决金融系统服务端和客户端在身份认证、数据存储、数据传输过程中面临的安全问题。

目前,天威诚信国密改造方案已在银行、互联网金融、期货、保险、证券、第三方支付等金融场景中得到深入应用,未来天威诚信将继续立足在国密改造领域的技术优势,通过赋能多元化金融场景,加速推进金融行业国密改造工作,为金融机构数据安全和高质量发展保驾护航。

分类
公司新闻

努比亚携手天威诚信,共同打造多域名网站安全解决方案

域名作为网站的入口,对企业营销型网站建设起着至关重要的作用,尤其是做C端业务的企业网站,往往拥有多个域名。

在PC端、Web端、移动端等全渠道营销环境下,企业通过多域名网站增加获客机会的同时,也意味着要面临更多的网络风险,国内知名手机品牌——努比亚企业网站正是如此。

深圳市努比亚信息技术有限公司(以下简称“努比亚”)是国内新锐高端智能手机厂商。自成立以来,努比亚坚持“Be Yourself”的品牌理念,在产品工艺、用户体验和技术研发等方面始终坚持创新与极致。

努比亚旗下智能手机包括Z、My(布拉格系列)、X、N和红魔五个系列,业务范围覆盖中国、北美、南美、北欧、俄罗斯、东南亚、印度等市场。

随着全球市场规模的不断扩大,努比亚网站的域名也越来越多。为解决多域名网站可能带来的安全隐患,努比亚牵手天威诚信,通过部署多域名SSL证书保障企业网站安全,助力努比亚业务稳健发展。

多域名适配方案+https全站扫描

考虑到努比亚网站拥有较多域名,且分布于国内外不同网络环境下的实际情况,天威诚信根据不同域名特性为之提供相适配的SSL证书安装服务,证书为国际通用品牌通配符证书,支持添加扩展域名,解决了努比亚在不同环境中安装证书的问题。
通过SSL证书,可识别网站所有者身份信息,提高客户信任程度,并显示安全锁和绿色地址栏,确保努比亚多域名网站的安全运行。

同时,为确保多域名网站数据安全,天威诚信为努比亚提供https全站扫描方案,检测全域名下证书安装情况及运行状态,保证访问者全程都在https协议的保护下进行浏览,进而确保站点和数据传输安全,有效屏蔽骚扰攻击、钓鱼网站及中间人攻击等恶性行为。

CIM平台:一键管理多域名网站证书

随着SSL证书在努比亚多域名网站的大面积应用,证书的安装、维护、有效期管理和故障监测等需求不断增加,为努比亚网站运营带来了一些管理上的不便。

有鉴于此,天威诚信通过自主研发的CIM平台与努比亚网站深度融合,一键管理努比亚多域名网站SSL证书,实现证书的全生命周期管理。

CIM平台具有证书自动识别、统一集中管理、证书状态自动分析和报告、信息及时通知等功能,平台采用C/S架构,多机房管理和分布式部署,可方便对多个机房进行分析和报告,可同时管理自签名SSL证书和企业内部CA系统SSL证书。

对努比亚这种多域名网站用户而言,天威诚信CIM平台易于操作且完全免费,在为网站提升安全的同时,提供了更加直观的SSL证书综合管理方案,让用户省心、省时,证书管理更加高效。

作为中国唯一一家由DigiCert直接授权且由中国工信部批准的电子认证服务机构,天威诚信不仅拥有国际各大品牌的全线SSL证书产品,更自主研发了支持国密算法的vTrus系列证书,可为政府、银行等关键领域提供便捷适用的国密改造方案。

伴随着更多企业业务在线化、数字化的发展趋势,天威诚信将紧贴市场和用户需求,不断优化技术支持和证书管理方案,持续为客户提供优质可靠的可信网站认证产品与服务。

分类
安全播报

短链接钓鱼再度肆虐 部署SSL证书杜绝安全隐患

据外媒报道,数字风险防护公司CloudSEK观察到,在大规模网络钓鱼活动中使用短链接的情况有所增加,同时,不法分子还借助反向隧道在本地托管网络钓鱼页面,以逃避防护系统检测。专家建议,为了防止此类威胁,用户应避免点击从未知或可疑来源收到的链接。

短链接钓鱼再度肆虐 部署SSL证书杜绝安全隐患-1

防御钓鱼攻击SSL证书必不可少

钓鱼网站是互联网中最常碰到的一种诈骗方式,通过诱导用户点击“短链接”跳转到伪装成银行或电子商务网站,窃取用户输入的银行账号、身份证、密码等私密信息和企业的敏感数据,由于钓鱼网站和真实网站差别细微,用户很难第一时间分辨该链接是否为虚假网站或钓鱼网站,稍不留心便会上当受骗。

防御钓鱼攻击最重要的方式就是识别网站的真实身份。网站都是由字母数字组合在一起的域名,但这些字母和数字并不能表明网站服务器的真实身份,用户也无法仅从域名来区分这个网站是属于哪个公司,在不确定的互联网环境中,企业要杜绝此种情况,就需要安装SSL证书来为网站“验明正身”了。

SSL证书由国家授权的电子认证服务机构签发,安装SSL证书可以认证网站服务器身份,帮助用户识别正确网站,以及防止网站被黑客窃取、篡改和监听关键信息。但要注意的是,并不是所有的SSL证书都能起到防钓鱼的作用。

保护网站安全首选高等级SSL证书

通常,网站的SSL证书分为3个级别:DV SSL证书OV SSL证书EV SSL证书

DV SSL证书只能实现网站的https加密功能,不需验证公司的真实性即可自动签发,很容易让一些不法分子钻空子。

OV SSL证书可以实现https加密功能以及企业身份认证,除验证域名管理权限外,还要通过人工审核的方式重点验证企业信息,确认该公司是否真实、合法存在,确保真实有效,安装SSL证书后,用户点击证书即可查看企业的详细身份信息。

EV SSL证书防护等级最高,验证环节更多,也更为严格。如果公司未满三年,还必须要提供银行开户许可证书或律师函,而钓鱼网站是不可能通过此严格的验证方式的。网站使用EV证书,在地址栏中会显示企业名称,更有利于用户辨识,可进一步提升用户对网站的信任感以及网站的信誉度。

为避免用户免受钓鱼网站的攻击,企业尤其是涉及用户私密信息和在线交易的网站,如银行、电商、电信等网站,一定要部署OV或EV级别的SSL证书,实现网站服务器身份验证和数据传输加密,有效防范钓鱼攻击,让用户能够放心浏览,安全交易。

SSL证书对企业网站安全至关重要,但对企业而言,购买证书并非是价格越贵越好。国内目前SSL证书供应商较多,可选空间和余地较大,企业要根据自身情况,选择一款适合自己网站的、性价比最高的SSL证书。

分类
公司新闻

《网络安全法》实施五周年,加快推进国密改造提升网络空间安全

2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行,至今已整整五年。

《网络安全法》实施五周年,加快推进国密改造提升网络空间安全-1

作为构建我国首部网络空间管辖基本法,《网络安全法》为维护国家网络主权,规范网络主体行为提供了法律依据。《网络安全法》服务于国家网络安全战略和网络强国建设,助力网络空间治理,持续护航“互联网+”和数字经济的发展。

以法为纲保护关键信息基础设施安全

“没有网络安全就没有国家安全”。随着互联网、信息化的深入推进,关键信息基础设施成为社会运转的神经系统,一旦关键信息基础设施遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。

为加强关键信息基础设施的安全保护,《网络安全法》专门单列一节,对关键信息基础设施的运行安全进行明确规定,其中第三十一条指出,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。

在国家相关部门的推动下,《网络安全法》中所提及的关系国计民生的重点领域陆续启动网络安全保障工程,其中推进国密SM算法在关键信息基础设施的应用是关键一环。

SM算法是我国自主设计、具有独特优势的一系列安全高效密码算法,其中SM2/3/9相继纳入国际标准并发布,标志着我国密码算法国际标准体系已初步成型。

同时,由于SM算法与国际通用的RSA算法技术有区隔,其使用可保证无国外可利用的后门,更符合《网络安全法》对网络应用系统的安全要求,更有利于实现国家对关键信息基础设施的自主可控。

循法而行天威诚信推进国密改造工作

《网络安全法》指出,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系,并通过共享安全信息、交流保护经验获取最佳的保护方案,共同提升网络安全保护水平。

作为国家首批授牌的电子认证服务机构,天威诚信在推进国密算法改造和应用方面始终走在行业前列。2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查,并在此基础上研发了支持国密SM2算法的vTrusSSL证书。

基于不同行业客户的需求,天威诚信依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)等相关标准,深入结合客户信息化系统与业务办理流程,提供以SM算法应用为核心的涵盖软硬件等多方面的一体化国密改造解决方案。

在密码基础体系层面,通过对原有应用的数字证书服务系统升级改造,使其具备国产密码算法证书的签发、管理、吊销等全生命周期管理。

在业务应用层面,通过对原有部署接口升级改造,使之支持SM系列算法应用,实现在网银、资金、ERP等系统下的用户强身份认证及关键业务节点数据完整性、机密性和抗抵赖保护。

在密码介质层面,通过对原有Ukey等密码承载介质做国密化替换,实现国密SM算法在客户端和服务端之间的底层通讯传输。

在网络通信联络层面,通过应用国产密码算法SSL认证通道,保障网络数据传输安全性。

此外,考虑到企业业务连续性及成本,天威诚信国密改造方案在保障安全性能符合国家要求的同时,可根据客户系统和业务特性,采用RSA算法和SM2算法并行的方式实现国密算法应用,并通过最小改动实现国密算法升级的平滑切换过渡。

依托强有力的技术支撑团队和一体化国密改造方案,天威诚信已帮助数十家企业及机构完成国密改造应用,积累了在证券、政务、金融、银行、能源、大型企业等领域的丰富经验,保障客户系统满足《网络安全法》以及“密评”环节中有关身份鉴别、数据完整性保护、敏感信息机密性保护、接入设备身份认证等方面的要求。

随着《网络安全法》《关键信息基础设施安全保护条例》等法律法规的持续推进,国密SM算法将在更多的领域得到更深入的普及应用。天威诚信将积极对照相关法律法规,依托技术优势与服务创新能力,为更多的行业和企业客户提供更完善的国密改造服务。

分类
安全播报

88%企业遭受DNS攻击 SSL证书为您的DNS安全护航

据国际知名网络安全机构EfficientIP与IDC合作发布的《2022年全球DNS威胁报告》指出,在过去一年中,88%的组织遭受了与DNS相关的攻击,平均每家响应公司有七次。其中包括DNS隧道、DDoS攻击、DNS劫持和云配置错误滥用等,与上一年相比,所有类别的攻击频率都有所增加,其中尤以DNS劫持最为显著。

正如报告指出的那样,在DNS相关攻击类别中,DNS劫持是一种非常常见且危害极大的网络攻击手段,其攻击目的与方式十分直接,就是通过修改域名的NS记录,将域名原本指定的DNS服务器修改为黑客可以操控的DNS,然后便可以通过修改域名解析记录的方式,将域名指向恶意IP从而达到劫持的目的。

DNS劫持对业务造成哪些影响?

DNS一旦被劫持,相关用户查询就没办法获取到正确IP解析,这就很容易造成:

(1)很多用户习惯依赖书签或者易记域名进入,一旦被劫持会使这类用户无法打开网站,导致用户大量流失。

(2)用户流量主要是通过搜索引擎SEO进入,DNS被劫持后会导致搜索引擎蜘蛛抓取不到正确IP,网站就可能会被百度屏蔽掉。

(3)一些域名使用在手机应用APP调度上,如果解析出现劫持就会导致应用APP无法访问,进而出现用户无法访问或者下载的空窗期。

从上图可以看到,DNS劫持对业务有着巨大影响,对用户而言,通过DNS劫持可以将用户诱导至攻击者控制额非法网站,可能会造成银行卡号、手机号码、账号密码等重要信息的泄露。对政府或企业网站而言,DNS劫持将用户引导至其他网站,会导致用户流失和形象受损,同时造成数据失窃、流量被劫持等潜在风险。

防DNS劫持需要“组合拳”

DNS自创建以来一直都是网络安全的致命弱点,因而也成为网络犯罪分子获取网络访问权限和窃取数据的首选目标。为保护网站信息安全,各个网站都要组织部署适当的DNS安全解决方案,以提高网络安全性。

那么,要如何防御DNS劫持呢?

DNS对网站安全的作用至关重要,防御DNS劫持不能依靠单一的方式,必须采取多重组合方案提升网站DNS防护能力。除常规的定期修改域名管理系统账号、设置较小的TTL值、锁定DNS解析记录等方式外,还应为网站部署较高等级的SSL证书,从根本上强化网站系统安全。

88%企业遭受DNS攻击 SSL证书为您的DNS安全护航-1

较高等级的SSL证书如OVSSL和EVSSL证书具备服务器身份认证和数据传输加密功能,如果网站DNS被劫持,就会因为无法提供正确的网站证书而发出警告提示,从而使劫持被及时发现和终止。同时,通过HTTPS加密协议可确保网站在服务端和客户端的数据传输中不被窃取和篡改。

基于SSL证书对网站信息的强大防护作用,当前,各大公司的网站都会使用OV型或者EV型证书,以保障网站信息、在线交易的安全。同时,各主流浏览器也要求企业网站安装SSL证书,否则就会出现不安全提示。

为保障网站信息安全,企业应根据自身网站的性质和规模,尽快向可信的CA机构发起证书申请。作为工业和信息化部批准设立的首批电子认证服务机构,天威诚信早在2000年便开始为国内企业提供SSL证书服务,目前已服务目前已服务于全行业95%大客户,覆盖超10亿网民,伴随着数字经济的蓬勃发展,天威诚信依托数字证书等技术和产品服务,在保障企业网站信息安全的基础上,持续助推全行业的数字化转型。