4006-555-883

警惕!银行系统漏洞频发,国密改造亟需加快推进

发布时间:2022-04-21 18:13:00
  近日,国际知名网络安全机构SaltSecurity的SaltLabs团队在一家为银行提供"数字转型"服务的金融技术平台(AcmeFintech)的API中发现了一个支持资金转移功能的漏洞。研究人员称,这是一个非常致命的漏洞,如果该漏洞被攻击者所利用,那么攻击者可能通过该平台来获得对银行系统的管理权限从而进行各种违法的活动。


  事实上,发生在银行领域的系统漏洞并非个例,国内外银行特别是中小银行因信息安全漏洞致使用户遭受财产损失的案件屡见不鲜。与大型银行相比,中小银行在信息安全领域面临科技人才不足,信息安全体系不健全,防护能力薄弱等挑战,在一定程度上存在用户身份信息或者银行卡信息泄露,甚至是财产被盗等安全隐患。


国密改造,强化银行网站安全


  银行、政务、科研等关键领域上涉国本,下系民生,保障其网站和系统安全是网站运营工作的重中之重。尤其是各类银行机构,由于网站连接着极其重要的业务系统和数量庞大的客户群体,更应加强防范黑客攻击和关键信息泄露。

  为网站部署SSL证书是当今最为普遍也最为有效的网络防护方式,目前世界大多数国家的网站采用的是基于RSA算法的SSL证书。

  RSA作为最广泛的公钥密码算法具有很强的通用性,但考虑到银行机构的重要性,为确保密码算法的自主可控,降低敏感信息泄露和信息系统遭受攻击的风险,我国国家密码管理局早在2010年便发布了我国自主设计的非对称公钥密码算法—SM2,并要求现有的基于RSA算法的电子认证系统、密钥管理系统、应用系统进行升级改造,使用支持国密SM2算法的SSL证书。

  此后,国家层面一直大力推进国产密码在金融、政务等关键领域的应用和改造工作,一系列关于网络安全、数据安全的国家相关法律、法规相继落地,国务院、发改委、人民银行等多部门强化安全领域监管,推动金融行业国密改造持续深入进行。2020年1月,随着《中华人民共和国密码法》的正式施行,意味着国产密码算法以及相对应的产品应用已成为银行机构和其他重点领域网站的安全标配。

  全面守护,确保业务平稳流畅


  在国家政策和监管部门的持续推动下,天威诚信积极投身银行领域网站国密改造工程之中。作为国家授牌的电子认证运营服务机构,天威诚信围绕国家金融系统信息安全大局,以自主研发的支持国密SM2算法的vTrus系列SSL证书为依托,结合银行机构业务流程和国密改造需求,为之提供一站式全面国密改造方案。

  vTrus证书包含DV、OV两种类型,覆盖单域名、多域名、通配符、多域名通配符等多种型号,充分满足国家密码管理局要求和国密改造用户的需求。在此基础上,天威诚信通过持续的技术融合创新,为银行、证券等各类金融机构提供包括服务端、客户端在内的国密证书改造、签名验签服务、软硬件检测与改造等配套服务,全方位满足银行、证券等金融机构的需求。

  此外,为保证银行等金融机构的业务连续性和证书的高可用性,天威诚信在兼顾国密算法合规和全球通用性的前提下,可为用户提供SM2+RSA双算法证书解决方案,有效规避超大型站点在客户端出现的SSL/TLS证书兼容性故障,确保API接入用户不会受到证书变更造成的兼容性适配不良影响,确保业务平稳流畅。

  自推行国密改造以来,天威诚信已独立完成多家银行的网站系统改造工作,具备显著的技术优势与丰富的改造经验。作为国家重要的金融信息安全基础设施,天威诚信将继续依托技术力量推进金融行业的数字安全,在国产密码改造过程中不断挖掘用户需求,深入各环节的痛点,着力为银行及其他重点领域的国密改造工作提供更多有益的产品及服务,切实助力重点领域的信息安全与行业的稳健发展。
最新发布
1
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
2
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
3
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
4
5年损失超430亿美元!你的电子邮件系统还安全吗?
5
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
6
4亿多条用户信息被盗,企业网站信息安全如何防护?
7
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
8
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
9
国家新安全技术标准发布!公有云个人信息保护成关注焦点
10
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
相关推荐
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
广东首例!一公司未履行数据安全保护义务被警方处罚,企业部署SSL证书需趁早
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
警惕!银行系统漏洞频发,国密改造亟需加快推进