近日,国际知名网络安全机构Salt Security的Salt Labs团队在一家为银行提供 "数字转型" 服务的金融技术平台(Acme Fintech)的API中发现了一个支持资金转移功能的漏洞。研究人员称,这是一个非常致命的漏洞,如果该漏洞被攻击者所利用,那么攻击者可能通过该平台来获得对银行系统的管理权限从而进行各种违法的活动。
事实上,发生在银行领域的系统漏洞并非个例,国内外银行特别是中小银行因信息安全漏洞致使用户遭受财产损失的案件屡见不鲜。与大型银行相比,中小银行在信息安全领域面临科技人才不足,信息安全体系不健全,防护能力薄弱等挑战,在一定程度上存在用户身份信息或者银行卡信息泄露,甚至是财产被盗等安全隐患。
国密改造,强化银行网站安全
银行、政务、科研等关键领域上涉国本,下系民生,保障其网站和系统安全是网站运营工作的重中之重。尤其是各类银行机构,由于网站连接着极其重要的业务系统和数量庞大的客户群体,更应加强防范黑客攻击和关键信息泄露。
为网站部署SSL证书是当今最为普遍也最为有效的网络防护方式,目前世界大多数国家的网站采用的是基于RSA算法的SSL证书。
RSA作为最广泛的公钥密码算法具有很强的通用性,但考虑到银行机构的重要性,为确保密码算法的自主可控,降低敏感信息泄露和信息系统遭受攻击的风险,我国国家密码管理局早在2010年便发布了我国自主设计的非对称公钥密码算法-SM2,并要求现有的基于RSA算法的电子认证系统、密钥管理系统、应用系统进行升级改造,使用支持国密SM2算法的SSL证书。
此后,国家层面一直大力推进国产密码在金融、政务等关键领域的应用和改造工作,一系列关于网络安全、数据安全的国家相关法律、法规相继落地,国务院、发改委、人民银行等多部门强化安全领域监管,推动金融行业国密改造持续深入进行。2020年1月,随着《中华人民共和国密码法》的正式施行,意味着国产密码算法以及相对应的产品应用已成为银行机构和其他重点领域网站的安全标配。
全面守护,确保业务平稳流畅
在国家政策和监管部门的持续推动下,天威诚信积极投身银行领域网站国密改造工程之中。作为国家授牌的电子认证运营服务机构,天威诚信围绕国家金融系统信息安全大局,以自主研发的支持国密SM2算法的vTrus 系列SSL证书为依托,结合银行机构业务流程和国密改造需求,为之提供一站式全面国密改造方案。
vTrus 证书包含DV、OV两种类型,覆盖单域名、多域名、通配符、多域名通配符等多种型号,充分满足国家密码管理局要求和国密改造用户的需求。在此基础上,天威诚信通过持续的技术融合创新,为银行、证券等各类金融机构提供包括服务端、客户端在内的国密证书改造、签名验签服务、软硬件检测与改造等配套服务,全方位满足银行、证券等金融机构的需求。
此外,为保证银行等金融机构的业务连续性和证书的高可用性,天威诚信在兼顾国密算法合规和全球通用性的前提下,可为用户提供SM2+RSA双算法证书解决方案,有效规避超大型站点在客户端出现的SSL/TLS证书兼容性故障,确保API接入用户不会受到证书变更造成的兼容性适配不良影响,确保业务平稳流畅。
自推行国密改造以来,天威诚信已独立完成多家银行的网站系统改造工作,具备显著的技术优势与丰富的改造经验。作为国家重要的金融信息安全基础设施,天威诚信将继续依托技术力量推进金融行业的数字安全,在国产密码改造过程中不断挖掘用户需求,深入各环节的痛点,着力为银行及其他重点领域的国密改造工作提供更多有益的产品及服务,切实助力重点领域的信息安全与行业的稳健发展。 |