分类
公司新闻

网商银行与天威诚信,共同推进国密算法升级改造

《中华人民共和国密码法》的落地实施和一系列有关网络安全政策的密集出台,为信创领域基于国产商用密码的数字证书带来了更加广泛的使用空间,国产自主的商用密码体系建设也随之进入了新热潮,支持国密SM2算法的SSL证书已广泛应用于银行、政府、科研机构等领域。

  网商银行国密升级改造需求

网商银行是由蚂蚁集团发起成立、银保监会批准成立的中国首批民营银行之一,致力于解决小微企业、个体户、经营性农户等小微群体的金融需求。借助实践多年的无接触贷款模式,网商银行为更多小微经营者提供纯线上的金融服务。成立6年来,累计超过4000万小微经营者使用过网商银行的数字信贷服务。

为进一步提升网商银行的信息安全性,同时为贯彻国家密码管理局“实现金融领域信息安全核心产品及系统的自主可控”的精神,在新形势下,网商银行的网络系统亟需进行SM国密算法升级改造,在此过程中,如何合理规划以及安全有序的实施成为网商银行需要重点考虑的问题。

网商银行与天威诚信,共同推进国密算法升级改造

  天威诚信-网商银行SM国密改造方案

在天威诚信主导实施的网商银行SM国密改造过程中,天威诚信结合网商银行的平台特性和业务流程,为之量身定制了全生态一站式的国密算法证书改造方案。

改造方案以SM国密算法为核心,通过SM4这一金融行业国内通用的标准算法进行网络信息加密,同时使用SM3进行讯息身份验证并使用SM2作为密钥交换机制,从多个维度确保网商银行系统和客户端的信息安全。

方案覆盖了网商银行的手机银行、企业网银系统,对网商银行业务流程的关键环节进行了安全合规改造。通过使用天威诚信颁发的数字证书和紧密结合业务需求的改造方案,网商银行快速而稳健的完成了银行企业版和个人版SM国密改造工作,进一步保障了网商银行系统安全和数千万网商银行用户的金融信息安全。

考虑到网商银行广阔的业务应用场景和庞大的用户基数,为保障兼容性和高可用性,天威诚信同时为网商银行提供了vTrus RSA+SM2国密合规改造方案,实现网商银行业务在线双算法自适应切换模式,在满足国密算法改造的基础上进一步保障了业务的稳定性,真正做到无缝兼容和平稳过渡,提升了网商用户的使用体验。

  天威诚信在国密算法领域的优势

密码算法和密码产品的自主可控是确保我国信息安全的重中之重,作为国密算法改造工作的推进者,天威诚信积极响应国家政策,公司自主研发的支持国密SM2算法的vTrus SSL系列证书,已全部通过国家密码管理局的安全性审查,并实现了在360、红莲花、奇安信等国产浏览器预埋。

同时,天威诚信作为电子认证行业代表参与了《电子认证服务管理办法》和《电子政务电子认证服务管理办法》的起草,牵头实施《中国服务器证书信任体系研究课题》,并参与建设和维护中国最大的底层密码库开源社区——BabaSSL,展现了优于同行业其他机构的服务能力和水平。

结合多年来在金融行业的深厚积淀,天威诚信已经逐步探索出了可行的国密改造项目实施步骤,在以网商银行为代表的银行机构国密改造实践中得到了成功应用,受到客户的积极好评和充分肯定。

随着国密算法改造的应用日益深入,天威诚信将继续立足技术优势,扎实推进国密算法在我国银行等重点领域的推广和应用,从而在算法层面确保金融信息安全,为我国金融信息系统的安全自主可控做出积极贡献。

分类
公司新闻

EV SSL证书铸造网络信任防火墙

在中国互联网信息中心7月份公布的《第22次中国互联网发展状况报告》结果显示,中国网民已经增长到2.53亿,成为世界第一,大家开始依赖网络生活,但是对网上交易安全性却极度缺乏信任,甚至给出了不及格的评价。难道网上银行、网络交易真的处处陷阱,步步惊心吗?面对这种局面,金融站点、购物网站并未坐以待毙,都在积极采取应对措施,如何重新获得网民的信任,并将这种信任加以巩固?全新扩展验证EV SSL证书的登台献艺,为正处在信任危机中的国内网站带来新的契机。金融机构的各大网上银行,目前正陆续开始换装新一代扩展验证EV SSL证书,用户在登录有扩展验证EV SSL证书保护的银行网站时,网站地址栏将变成绿色,真假 网站一目了然。
安全防范源于严格
一张我们既看不到也摸不到的所谓“证书”就真能保障消费者利益?
服务器证书是通过在客户端浏览器与Web服务器之间建立一条SSL安全通道从而保证双方信息在网络上传输的安全性,用户可以通过查看服务器证书属性信息便可得知所访问站点的真实与否。新一代扩展验证EV SSL证书的产生更是为了杜绝在全球方位内频频发生的在线欺诈泛滥问题。它是全球著名的数字证书颁发机构(如:VeriSignGeoTrust、Thawte等等)联合主流浏览器开发商一起构建起的安全防护网络。
所谓“扩展验证EV SSL证书”,是遵循全球统一的严格身份验证标准颁发的SSL证书,用来保护用户不与没有经过严格身份验证的网上商户进行在线交易。所有颁发扩展验证EV SSL证书的数字证书颁发机构必须按照统一标准来对申请者进行严格的身份审核,而浏览器能自动识别出扩展验证EV SSL证书,使得地址栏主动变成绿色。这样以来在线消费者便可安心交易,因为消费者能非常清楚地知道他们正在与谁交易,并且他们的交易数据正在安全加密通道的保卫之下。扩展验证EV SSL证书通过在业务层面上对申请机构的严格审核,尽可能地规避了由于审核标准不同而产生服务器证书拥有者身份不真实所带来的安全隐患。
一纸应运,效益显见
扩展验证EV SSL证书的广泛应运,在全球范围内都得到了使用者的赞誉。全球最值得信任的网络基础架构供应商—威瑞信(VeriSign)在扩展验证EV SSL证书推出之后,曾做过一个关于扩展验证EV SSL证书的调查,结果显示:相比由常规服务器证书保护的站点,93%的互联网用户更青睐绿色标记的EVSSL站点;同时97%的购物者看见绿色标志时会使用信用卡,而没有看见 绿色标志时,这一意愿下降到63%。同时国外著名的购物网站在使用扩展验证EV SSL证书后交易量也有显著变化:Overstock..com使用EVSSL后,购物车定单放弃率降低了8.6%;Paypal在使用扩展验证EV SSL证书后,“购物车定单放弃率也降低了几个百分点”; Virtual Sheet Music 网站在使用扩展验证EV SSL证书交易量则增长13%。由于扩展验证EV SSL证书更  具识别性,它正开始让交易变得更加便捷可信。
天威诚信作为国内技术力量强大的第三方CA机构,同时也是威瑞信VeriSign)在中国的首要合作伙伴,一直在积极推进扩展验证EV SSL证书的广泛使用。为了让更多客户能够了解扩展验证EV SSL证书,保障电子商务在中国的健康发展,当前,天威诚信推出的VeriSign产品年终大回馈活动正在进行中,即日起至2011年12月20日凡是正价购买或续费:
● VeriSign 128位强制型证书
● VeriSign 128位EV强制型证书
● VeriSign 128位EV支持型证书
● VeriSign代码签名证书
均可根据您的购买或续费年限赠送不同额度的礼品,如数码相机、手机、摄像机、笔记本电脑等大礼,多买多送,买即送!此外,推荐新客户的介绍人也将有取暖器、加湿器等精美礼品相赠。
详情请见https://www.ert7.com/2011cx/index.html 

附:
扩展验证EV SSL证书在浏览器地址栏的颜色的不同含义:
红色:在线客户正在登陆一个已知的钓鱼网站,同时显示网站证书有错误或来自不可信的数字证书签发机构,强烈建议客户不要继续在此类网站继续交易。

黄色:无法验证该证书或颁发该证书的证书颁发机构的身份,这可能表示该证书颁发机构的网站出现问题。

 EV SSL证书铸造网络信任防火墙-1

白色:该服务器证书已正常验证,这表示浏览器和该网站之间的通信已加密。不过,该证书非扩展验证EV SSL证书,颁发机构未对该网站的商业行为做出任何声明。

 EV SSL证书铸造网络信任防火墙-1

绿色:扩展验证EV SSL证书独有标志,表示该证书使用了扩展验证。这表示浏览器和网站之间的通信已加密,并且该证书颁发机构已确认该网站由某企业所有或运行,该企业是根据该证书和安全状态栏上显示的权限进行合法组织的。

 EV SSL证书铸造网络信任防火墙-3

 

 

分类
网络新闻

中银英国保诚信托成功部署VeriSign EV SSL证书

全球备受信任的网络基础架构供应商——威瑞信VeriSign)公司宣布,中银国际英国保诚信托有限公司(简称:中银保诚)(BOCI-Prudential Trustee Limited)在新会员网站上,选用扩展验证EV SSL证书,以提供先进的安全及视觉保证。

中银国际英国保诚信托有限公司是香港领先的财富管理解决方案供货商之一,专注于强制性公积金(MPF)及退休计划业务。该公司是中国银行与英国保诚组建的合资公司。

会员网上交易及服务是中银保诚致力提升会员满意度及降低管理成本的关键核心。因此,中银保诚全新的会员网站,并具充分的灵活性,以迎合未来发展的需要。新网站的重要特征就是部署了威瑞信(VeriSign)EV SSL证书,提供先进的安全功能,以保护会员的网上交易及个人资料,并消除潜在的网络钓鱼攻击。
中银国际英国保诚信托有限公司信息科技主管廖展龙表示:“会员进行投资时都会变得非常敏感并关心有关资金状况,因此让会员能够随时随地获得最新信息正推动着我们的网上策略。保护会员的高度机密数据是我们最关注的事情。威瑞信(VeriSign)EV SSL 证书将可以让会员放心使用我们全新的网站,以及未来推出的各类新功能,例如涉及 MPF 会员账户可移植性的功能。”

每当互联网使用者选用最新版本Internet Explorer、Firefox、Safari、Google Chrome、Opera和其他浏览器,浏览到具有EV SSL证书保护的网站时,浏览器地址栏会变绿,并显示该网站经营者的公司名称。绿色地址栏可以为浏览者提供及时保证,展示该网站已得到认证中心的验证,如全球领先的SSL证书认证机构——威瑞信(VeriSign)。

廖展龙表示:“由于威瑞信(VeriSign)在市场中颇负盛名,并有多家香港大型公司使用其服务,所以我们自两年前起已经是威瑞信(VeriSign) SSL的客户,之后便在全新网站上部署威瑞信( VeriSign)最新的 EV SSL 证书。全新视觉功能所提供的额外保证自然是具有吸引力的优势。”

作为网络世界中备受认可及值得信赖的SSL证书管理中心,威瑞信(VeriSign)是得到超过 14,000 家电子商务公司首用的EV SSL证书供货商。事实上,有93%的《财富》五百强企业,以及有97%的全球百大使用SSL证书的银行,现正使用威瑞信(VeriSign)销售的 SSL 证书以保证其网站的安全。

威瑞信(VeriSign)认证亚太区Armando Dacal 表示:“便利是推动人们使用网上服务的主要因素之一。会员客户是否感到安全,对于他们如何使用中银国际英国保诚信托有限公司的新服务以及相关体验效果发挥着关键作用。威瑞信( VeriSign )EV SSL证书提供一种视觉途径,展示网站的合法性及交易正得到保障,不存在任何潜在威胁。”

 

分类
知识中心

天威诚信VeriSign EVSSL证书网上银行“反欺诈钓鱼网站”安全解决方案

SSL证书作为一项成熟的安全技术,主要功能在于为网站提供一个安全的加密技术,确保用户在线提交的信用卡号、交易密码等机密信息不被查看、修改和窃取,同时网民可以通过该技术有效的辨别网站的真实性。天威诚信作为国际最为知名的SSL证书提供商VeriSign在国内的首要合作伙伴,很早以前便与国内众多银行展开合作,利用SSL证书技术构筑网银第一道安全防线。

但面对日益猖獗的欺诈钓鱼事件,让国内网银采用具有强大“反欺诈钓鱼网站”功能,拥有独特“绿色地址栏”技术的全新一代SSL证书EV SSL证书势在必然。2008年,天威诚信正式向国内客户签发EVSSL,国内网银成为先行受益者,“绿色地址栏”升级计划正式开启。

 

网上银行“反欺诈绿色地址栏”3大安全功能:

 

1、 有效降低客户隐私信息泄露:网页从 http:// 变为 https://,SSL证书加密通道确保用户浏览器到服务器之间的所有信息是高强度加密传输的,最大限度上降低用户在线输入的登录账号、个人信息不被窃取

2、 安全网银清晰可见:应用EV SSL证书的网银,相比传统的SSL证书,加密技术不再是躲躲藏藏。与浏览器无缝对接的EVSSL证书技术,让登录客户直接会看到地址栏由“白变绿”, 网银客户不再为如何识辨别欺诈钓鱼网站大费苦心。

3、 随时查看网站真实身份:EV SSL证书绿色地址栏技术,会在地址栏附近滚动显示网站所有者的名称和颁发证书CA机构名称。网银客户可以随时获悉目前所在网站的真实身份信息。

 

由于EVSSL证书面对欺诈钓鱼网站,展现出来的强大功效,目前,工商银行、招商银行、中信银行、农业银行、北京银行等知名金融网站已通过天威诚信数字认证中心成功升级EVSSL证书,与此同时,VeriSign EVSSL全球部署已超过10,0000张。

 

分类
知识中心

从SGC(Server Gated Cryptography)技术看SSL证书的加密作用

只要有加密就是安全的吗?

根据现在计算机的硬件性能,目前56位以下的密钥长度已经非常容易破解,即在几十分钟的时间内就可以试完所有密钥空间。

DES 算法是应用最广泛的对称密钥加密算法之一,它有效密钥长度为56位。在RSA公司举办的系列DES破解挑战赛中,1997年用时96天破 解,1998年1月用了41天,1998年7月,Deep Crack工具耗时56小时完成了破解,在1999年1月,Deep Crack只用22小时15分钟完成了破解。根据摩尔算法,每隔18个月,硬件性能提高一倍。

 

什么是加密强度?

在对称密钥加密算法中,对于明文的加密和解密需要用同一密钥(key)进行,密钥的长度直接影响到该算法是否容易破解。加密强度就指密钥长度,即位数。目前常见的密钥长度有40位、56位、128位和256位。在密钥算法不存在漏洞的情况下,通常破解(即猜出密钥)需要用到强力破解,即把字母、数字等合法字符的所有组合一个个去试,所有的组合构成密钥空间。如下表所示。

密钥长度密钥空间

40位 1,099,511,627,776

56位 72,057,594,037,927,900

128位 340,282,366,920,938,000,000,000,000,000,000,000,000

位数越高,加密强度越大,越不容易破解。加密的信息在传输过程中越安全,即SSL(secure sockets layer)安全加密传输。

目前美国政府规定在标记为高敏感的数据必须采用192或256位加密强度的加密算法,如AES。

 

什么是SGC技术

随着计算机硬件的更新换代,secure ssl协议(secure sockets layer)通过协商会话建立的加密强度(如40位、56位)不能满足很多商业数据的安全传输了,这是Yankee Group经过368次详细的测试后得出的结论。

SGC是一种服务器端使用的SSL证书,它可以影响客户端与服务器端会话时对于加密强度的选择。

 

安全强制型SSL证书是高应用安全需求的最佳选择

由于我国相关政策法规的缺乏,很多网上银行、网上证券、电子商务网站在选择SSL证书时随意性很大,比如某证券在线交易网站用了只鉴证域名的SSL证书,不仅加密得不到保证、用户更无从判断交易网站的真假,给在线交易安全带来了极大隐患。而与此同时,SSL证书家族其证书性能正逐步升级,尤其是反击钓鱼欺诈网站独具特色EVSSl证书。据了解,国际领先的数字认证中心VeriSign已与其国内官方合作伙伴天威诚信在国内发放EVSSL证书,其独有的绿色地址栏技术和强大的加密技术,对适合交易及访问量庞大的商务网站来说确实是一个好消息。预计不久,代表安全绿色的地址栏将很大程度上帮助网民抵御欺诈钓鱼网站威胁。

 

加密强度是由SSL证书决定的吗?

要回答这个问题,我们需要了解secure ssl协议会话过程和SGC技术。

secure ssl协议会话是由用户端浏览器和服务器进行安全通信时建立的。如下图所示。

客户端发起连接,并提交支持的加密算法请求后,服务器端发出自己的证书、密钥交换方式,并要求提供客户端证书,客户端发出客户端证书(如果没有,就不用)、客户端密钥交换方式、服务器证书的确认,商定加密算法后,完成会话。双方开始使用加密传输信息。

从上述会话过程上看,加密强度是由客户端和服务器端协商的结果。此时服务器端的SSL证书并不影响加密强度。

但是如果服务器端的SSL证书用到了SGC技术,例如VeriSign Secure Site Pro(128位强制型),客户端在收到并确认是SGC证书后,会调高它所提交的密钥强度,从而使用双方最终建立的密钥长度达到SGC要求的加密强度,从而在最终在安全链接层(secure sockets layer)建立起加密通道。

 

分类
网络新闻

天威诚信VeriSign SSL证书维护网络环境安全

随着网络应用的兴起,个人隐私已经越来越多的在“光天化日”之下频繁传递,大量的木马、钓鱼攻击,让用户的隐私信息一览无遗。大到银行账户操作,小至上网闲聊,都可能遭到黑客窥视,账户被盗、信息被篡改、泄密的现象比比皆是。

 

为了保障自身账户安全,用户不得不去购买额外的安全产品,且不说效果如何,在防止邮件被篡改等涉及信息传输安全的方面这些产品大多无能为力,更何况也不该让用户独自应对安全问题。不同功能的网站应当肩负起不同的安全责任,并根据使用过程中信息敏感度以及安全隐患的差异,提供与之相匹配的安全措施。

 

高危网上支付需要严格醒目的安全防护

 

最新数据显示,目前假冒各家银行官方网站的“钓鱼网页”超过1600个,并且还在以每月400个的速度快速增加,加之前一段动态口令曝出的安全漏洞,网银用户已经面临了极大威胁。不仅是银行网页,在金融类、网购以及第三方支付等直接涉及资金账号操作的网站都是“钓鱼网页”的重点仿造对象。因此在为用户提供服务时,保护用户信息传输安全并协助用户鉴别“钓鱼网页”成为了此类网站安全防护的首要目标。

 

以招商银行的网站为例,其采用高安全强度的VeriSign扩展验证EV SSL证书来保护用户提交的数据信息。VeriSign是全球最知名的SSL证书品牌, VeriSign扩展验证EV SSL证书不仅可以在用户和服务器之间建立一条加密通道以保证信息安全传输,同时可以提供每日恶意软件扫描以检测网页上木马等恶意软件的攻击情况。此外,VeriSign扩展验证EV SSL证书还具有绿色地址栏功能:当用户登录安全可信的网站时,该网站地址栏会变为绿色;如果当前网站是钓鱼或可疑网站时,地址栏会变为红色。通过醒目的颜色变化对钓鱼网站加以区别。

 

不仅如此,VeriSign会给予获得VeriSign扩展验证EV SSL证书的网站一个安全标识——VeriSign信任签章。用户点击信任签章后,可以查看包括网站所有者的名称、城市、州/省、国家或地区,以及最近恶意软件扫描的情况,让用户通过大量的验证信息判断网站是否真实可信。

 

招商银行凭借VeriSign扩展验证EV SSL证书对钓鱼网站进行了有力回击,随着用户安全知识的增加,这项技术的防护效果已经愈加明显,中信银行、中国工商银行、北京银行等知名银行的网站也在使用。

 

天威诚信VeriSign SSL证书维护网络环境安全

 

电子邮件与博客等网站安全易被忽视

 

与银行网站的“真金白银”不同,电子邮件、招聘信息这类信息发送频繁的网站暂未受到钓鱼网站的“重视”,所以网站的安全防范也容易被忽视,但一封重要的邮件遭到篡改或窥视同样是极其危险的。建议此类网站采用VeriSign SSL证书,这种服务器证书与VeriSign扩展验证EV SSL证书的主要区别就在于没有绿色地址栏功能,但在确保信息传输安全上同样可靠,网易邮箱的SSL安全登录服务就是这一技术的应用体现。

 

另外,博客以及以人人网、开心网为代表的SNS网站涉及了大量用户信息的在线提交,网站仅凭简单的静态密码难以保障用户账户及个人信息安全,加之这类网站一般都支持发送短链接,更加方便了恶意链接的传播。最近不少名人博客、邮箱被盗已经引起了人们的警惕,对于博客以及SNS网站这种用户信息非常集中的网站,应至少采用VeriSign SSl证书进行安全防护。

 

第三方电子认证服务机构有力支持网站安全建设

 

国内很多网站已经开始通过VeriSign SSL证书保护用户的信息安全,并抵御钓鱼网站侵害。其中大部分VeriSign SSL证书是由VeriSign中国地区的首要合作伙伴天威诚信提供的。天威诚信(iTrusChina)是工信部批准的合法第三方电子认证服务机构,专业从事数字证书等技术和产品服务,与VeriSign已经稳定合作超过11年。

 

在此有力支持下,国内网站可以更加方便有效的维护网站安全,为用户提供安全可信的上网环境。无论是与用户利益直接相关的银行网站还是供用户休闲交流的博客网站,都应当担负起自身应尽的责任。

分类
金融

昆仑银行网站可信服务

昆仑银行的前身是克拉玛依市商业银行,2009年4月,中国石油增资控股克拉玛依市商业银行,银行资本规模从1.8亿元增长到31亿元,2009年底资产规模达到216亿元;2010年经再次增资扩股,银行资本规模翻一番达到了60亿元,资产规模将达到500亿元。一家地方企业,一夜之间成为中石油旗下金融板块的代表成员,角色的快速转换的昆仑银行短短几年间在公司、个人金融业务方面飞速增长,并不断拓宽业务范围。迅猛发展同时,昆仑银行在健全公司治理、完善管理基础、加强风险管理、强化内控建设、拓展主营业务等方面下大力度落实。其中为提升网站信息安全,保护用户个人信息以实现确保昆仑银行网站提供的各项在线业务服务稳定高效的进行,昆仑银行与国内权威认证机构天威诚信展开合作。

 

解决方案

天威诚信为昆仑银行提供了以VeriSign扩展验证EV SSL证书为核心的网站可信服务。通过在昆仑银行个人网上银行登录等涉及用户个人信息在线提交的网页部署VeriSign扩展验证EV SSL证书,确保信息数据传输过程中避免遭到窃取或篡改,并帮助用户有效鉴别真实的银行网站,识破钓鱼网站的仿冒伎俩。

部署VeriSign扩展验证EV SSL证书之后,可通过SSL技术建立高加密强度的信息传输通道,同时让网站显示出无法仿冒的安全特征:地址栏以“https”开头、地址栏右侧出现金色锁形标记,点击标记可查看服务器证书与颁发机构信息,确认网站真实身份。当然还有非常醒目的地址栏颜色变化——VeriSign扩展验证EV SSL证书独有的绿色地址栏功能以绿色代表安全、红色代表危险的规则为用户提供直观的安全提示,即便钓鱼网站伪装的再好,也要在绿色地址栏前原形毕露。

VeriSign是全球数字认证领域最知名的品牌,受到众多世界百强企业及大型银行的信赖。在中国,VeriSign SSL证书已广泛应用于国内许多涉及用户敏感信息传输的网站。天威诚信作为国内权威认证机构同时也是VeriSign中国大陆区的首要合作伙伴,可提供VeriSign全系列证书产品以及专业的本土化服务团队。在双方超过11年的稳定合作中,已为国内上百家知名企业提供了网站可信服务。

 昆仑银行网站可信服务-1

· 地址栏右侧金色锁形标记,点击即可查验网站身份信息

· 绿色地址栏功能通过醒目颜色变化提示网站安全,让信任一目了然

· 地址栏自动出现“https://”加密标志,提示网站已建立加密通道

 

带来的价值

高强度数据加密传输保护用户网银账号、银行卡等个人信息安全,为用户建立安全的银行业务操作环境;众多安全特征与详实的网站身份信息展示,帮助用户轻松辨别钓鱼网站。所有安全功能无需繁复的认证环节或记忆额外密码,简单有效的使用特点无损于银行网上业务的便捷优势,提升用户体验。网站整体信息安全的加强,让基于银行网站的各项在线业务得以更加稳定高效的进行。

 

相关成功客户

工商银行、中国农业银行、招商银行、北京银行、中信银行

分类
网络新闻

电子银行反欺诈的思考 VeriSign SSL证书保障网上交易

当前电子银行面临的安全风险

 

国际金融危机正深刻改变着全球经济金融的发展格局,全球化、信息化、网络化,已经成为经济复苏时期,金融行业保持旺盛活力的关键。电子银行已经成为中国银行业发展的要支点和增长引擎,据不完全统计,电子银行的交易金额已经占到银行交易总金额超过50%。

 

电子银行业的迅速发展,得益于完善的互联网和电子商务体系。经过了十年的发展,目前我国商业银行的业务的竞争也日趋激烈。网银交易安全性与良好的用户体验,成为吸引用户的关键。

 

由于网银业务的特殊性,用户和银行都通过一个开放的互联网进行金融交易,并不实际接触,这给网银的安全性带来了新挑战。针对网银攻击也越来越普遍,从初期针对网银服务器直接的攻击已经转向针对防御比较薄弱网银用户的攻击。攻击手段也从简单的设置钓鱼网站窃取客户资料,转换到通过组合各种攻击手段,获取用户的身份与认证信息,再通过网银登录用户帐号,以窃取用户资金账户。

 

针对网银攻击已经形成一种有组织的网络攻击形式,黑客集团通常会使用多种攻击手段,进行组合使用,来攻击网银系统。主要攻击手段如下:

 

· 木马攻击:通过特别定制针对网银客户端的木马发起攻击

· 网络钓鱼攻击:注册大量仿冒银行网站,骗取网银客户认证信息

· 黑客攻击:通过某个应用或者操作系统漏洞,达到控制网银客户端的目的

· 中间人攻击:通过某种欺诈方式,在网银用户和网银系统之间形成一个交易中间人系统,任何网银系统交易,都通过中间人完成,并且对中间人透明,用户交易可以被中间人劫持或者修改。

· 行为欺诈攻击:通过网银快速转账功能,实现跨行洗钱/非法转账

 

近期出现电子银行反欺诈案件主要以网络钓鱼+中间人组合攻击为主,通过社会工程学手段,通过手机短信,仿冒某网银系统发出大量网银令牌升级信息,将用户吸引假冒网银系统钓鱼网站,欺骗用户输入用户名与口令信息,当用户输入正确信息后,利用中间人攻击的方法,冒充用户登录网银,并且实现非法资金划转。

 

虽然事后该银行力图通过关闭钓鱼网站的方式来避免网银客户继续上当,但是由于钓鱼网站数量多达数百个,无法短时间一一关闭,因此还是造成巨大损失。

 

赛门铁克电子银行反欺诈方案,希望各个层面监控针对网银的威胁,希望解决电子银行面临的诸多风险。

 

网上银行反欺诈过程中需要关注不同层面

 

赛门铁克通过对大量网银攻击案例的调查发现,通常攻击者的攻击过程分成3个阶段

 

1、 准备阶段:准备和收集网银信息与弱点,准备攻击工具

2、 攻击阶段:发动攻击,并且获取客户信息进行资金窃取

3、 清除痕迹:清除攻击痕迹,并且消灭罪证

针对如上三个网银攻击阶段,赛门铁克提出了有针对性的防御手段,分成如下3个不同的阶段:

 

事前预防阶段

攻击者行为:收集网银信息、设置欺诈网站、刺探网银弱点

攻击现象:发送垃圾邮件/信息、钓鱼网站出现、客户端异常访问

防御重点:钓鱼网站的早期发现、阻止钓鱼网站蔓延

防御位置:网银用户端

 

事中防御阶段

攻击者行为:通过事前阶段得到获取到用户信息,实施资金窃取

攻击现象:大量钓鱼网站/木马出现,用户信息大量失窃

防御重点:分辨并且阻止非法交易进行

防御位置:网银认证/交易系统

 

事后审计追踪阶段

攻击者行为:清除攻击痕迹、销毁攻击记录

攻击现象:钓鱼网站快速关闭、注册信息记录被销毁

防御重点:保持完整交易记录、追查攻击者来源

防御位置:网银交易系统/审计系统

赛门铁克的端对端网银防护方案

 

赛门铁克认为针对网银的防欺诈过程,需要根据上文提到网银的攻击特点,进行全方位的防御,单独的位置和单独技术手段针对现有的组合欺诈手段都无法奏效。例如试图通过关闭钓鱼网站的服务来解决网银欺诈的问题,就无法解决问题,由于攻击者通过免费的域名服务设置TK域名的网站,开通成本几乎为零,但是关闭该网站的成本为它十倍。而且钓鱼网站通常一段时间后就自行消失,无从关闭。

 

赛门铁克电子银行交易监控平台能够对网上银行的交易进行全面监控,动态识别欺诈攻击的不同阶段,依据一定的反欺诈监控规则,识别交易的风险级别,动态实施安全措施。对于风险级别较高、可疑欺诈交易,实时给予提示、预警或中止。监控平台可快速部署安全策略,及时更新可疑IP地址、可疑账户等数据,得到全面提升网银安全性的目的。

电子银行反欺诈的思考 VeriSign SSL证书保障网上交易-1

赛门铁克提供网银反欺诈解决方案,将在以下四个不同的位置进行欺诈防御:

 

· 网银用户客户端:

· 通过赛门铁克端点工具,阻隔已知或者未知钓鱼网站链接/与木马

· 即使发布可疑钓鱼网站信息到客户端

· 互联网网站互信

· 通过VeriSign SSL证书,明确网站的安全性身份

· 网银客户端访问该网站会有明确提示。

· 网银用户认证系统

· 通过多因素认证系统,确认用户身份

· 通过和用户历史登录规律比对,发现用户登录异常

· 网银交易转账系统

 

a. 通过对网银交易和登录记录进行自动学习,了解用户行为特征

b. 对于与用户历史操作不符合的操作进行提示,通过人工或者短信方式介入用户确认,达到阻止欺诈交易的目的

 

此外赛门铁克拥有全球最大的智能监控网络,能实时捕获网络的异常情况,包括垃圾邮件,木马和欺诈的情况,将这些有害的攻击者信息进行统一,并且发布给赛门铁克各个防御组件,实现有效的统一防御的目的。

电子银行反欺诈的思考 VeriSign SSL证书保障网上交易-2

赛们铁克公司真正实现了借助互联网的优势构建安全防护体系,帮助银行等金融机构建立互联网上的安全防御,为电子银行类的基于互联网的业务保驾护航。

分类
金融

支付宝网站可信服务

    支付宝公司从2004年建立开始,始终以“信任”作为产品和服务的核心。不仅从产品上确保用户在线支付的安全,同时让用户通过支付宝在网络间建立起相互的信任。

    截止到2010年12月,支付宝注册用户突破5.5亿;支持使用支付宝交易服务的商家已经超过46万家;涵盖了虚拟游戏、数码通讯、商业服务、机票等行业,如此广泛的应用足以说明网上买卖双方对诚信交易的渴望。

    然而,第三方支付平台在不法分子的恶意伪造下,长期凭借诚信担保辛苦建立的可信形象大打折扣,无数以假乱真的钓鱼网站在迷惑用户的同时动摇了第三方支付生存的根本——诚信。

    支付宝作为国内最大的第三方支付平台,具有极高的知名度和庞大的用户群体,因此常被不法分子当做伪造的重点对象。为此,支付宝与天威诚信围绕确保用户权益、巩固网站可信形象展开合作。

 

解决方案

    北京天威诚信电子商务服务有限公司为支付宝网站提供了基于网站可信服务的网站安全认证解决方案。以服务器证书作为网站服务器唯一的电子身份标识,遵循国际标准,采用严格的人工鉴证方式验证网站及其所有者的真实身份, 并采用安全站点签章作为网站可信的标志,帮助网站用户直观的验证网站身份是否真实。

    天威诚信在支付宝网站涉及用户账号密码等敏感信息的网页配置了VeriSign SSL证书,使用户能通过服务器证书鉴别网站身份的真实性。同时依靠VeriSign 证书建立的SSL链接保证所有用户与服务器间传输的信息都经过高强度加密,确保了信息传输安全。

    VeriSign是全球数字认证领域最知名的品牌,目前全球超过百万台服务器已经部署了VeriSign服务器证书。天威诚信作为VeriSign中国大陆区的首要合作伙伴,可以提供VeriSign全系列证书产品,双方稳定合作已超过11年,为国内上百家知名企业提供服务。

 支付宝网站可信服务-1

地址栏“https”开头与锁色锁头安全标记

 支付宝网站可信服务-1

VeriSign网站可信标志

 

· 地址栏自动出现“https://”加密标志,提示网站已建立加密通道

· 地址栏右侧金色锁头标记,点击展示企业和证书签发机构身份信息

· VeriSign网站可信标志,点击查看丰富验证信息

 

带来的价值

    支付宝采用SSL证书有效保护用户信息安全,增强用户在线交易信心,从安全角度优化了作为第三方支付平台的网站可信形象。通过与国内权威认证机构天威诚信的合作以及全球数字认证领域知名品牌VeriSign的产品支持,支付宝网站获得了强有力的安全保障,为巩固网站可信形象、推行更优质稳定的支付服务提供了有利条件。

 

相关成功客户

    阿里巴巴,搜付,快钱,钱袋

分类
安全播报

钓鱼网站欺新人 银行办卡需谨慎

“流行什么就伪造什么”是钓鱼网站一贯的作风,利用人们的麻痹大意或贪图便宜的心理实施欺诈,更过分的是,钓鱼网站开始将目标锁向了缺乏生活经验的“菜鸟”。近日,家住番禺的刘小姐在某银行官网申办信用卡时便中了“钓鱼网站”的圈套,两天里先后被骗走4万多元。其主要原因是刘小姐首次申办信用卡,缺乏经验,并不知道申办信用卡是不需要保证金的;再者是刘小姐缺乏网络安全知识,对金融类网站普遍采用的SSL证书服务器证书)未能有效识别,不懂如何验证网站真伪。

 

据了解,年轻的刘小姐网上申办某银行信用卡时,发现该银行官网上突然跳出一个申办信用卡的广告窗口。刘小姐点击进入了这家名为“海联信贷公司”的网站,网站里有申办信用卡的项目还留有联系人的电话和QQ。

 

刘小姐随即与对方取得了联系,接电话的是一名女子并热心提供了“信用卡部专员”赵先生的电话。刘小姐联系赵先生后,对方很专业地介绍了申办信用卡的步骤,并对刘小姐的身份资料进行了“核实”,表示可以给刘小姐办理信用卡,只是需要先交3500元手续费。刘小姐信以为真,丝毫没有怀疑就汇去了3500元。

 

当天下午,刘小姐接到赵先生电话,称信用卡已经办好了,但因刘小姐申请的信用额高达40万元,随意要先缴纳2万元的保证金,承诺以后退还。缺乏经验的刘小姐便信以为真,很快给对方汇了2万元人民币。第二天,赵先生再次打电话给刘小姐,还是称其信用卡额度过大,要再多加2万元保证金。刘小姐遂又转了2万元给对方。

 

两天后,赵先生再次打电话给刘小姐,说信用卡马上可以寄出,但还需缴纳3万元的“信用金”才能交卡使用。此时,刘小姐才感觉不对劲,终于意识到自己被骗,急忙报警。  

从这次欺诈案件中可以看到,除了刘小姐不熟悉信用卡办理流程外,钓鱼网站风格与正规的银行官网极为相似,甚至包含其恶意链接的广告都是从正规银行官网中弹出的,这些极具迷惑性的特征是导致刘小姐上当的主要因素。因此,平时在登录银行网站时,尤其是之前不熟悉的网站,首先要注意辨别网站真伪。

 

国内银行网站自几年前开始,就通过在登录注册等涉及用户信息提交的关键页面部署SSL证书服务器证书),来确保用户信息安全以及对网站真实身份的标明。

 

以招商银行为例,天威诚信为其提供的VeriSign扩展验证EV SSL证书通过SSL技术确保用户信息加密传输,避免了信息在提交过程中被窃取、篡改。同时地址栏“https”标记、金色锁头标志等安全标识提供了大量验证信息供用户辨别网站真伪。更为人性化的是VeriSign扩展验证EV SSL证书的绿色地址栏功能,凭借醒目的地址栏颜色变化提醒用户当前网页的安全程度,让善于伪造的钓鱼网站无所遁形。VeriSign是世界上最为知名的服务器证书品牌,全球有超过百万台服务器部署了VeriSign证书。在VeriSign与其中国合作伙伴天威诚信超过11年的稳定合作中,为招商银行、工商银行等上百家知名企业提供服务。