俄乌冲突中,俄罗斯政府、金融网站遭遇欧美国家SSL证书断供,敏感数据被迫“裸奔”。反观我国,想要从密码到网络实现全面自主可控,核心和基础就是密码国产化,知道创宇推出一站式国密改造方案,助力关基系统轻松实现国密改造,响应国家合规需求,落实网络和数据安全自主可控。
俄罗斯政府、金融网站遭遇SSL证书断供 敏感数据被迫“裸奔”
俄乌冲突后,美国对俄罗斯启动多轮制裁,以美国CA机构为首的多家互联网服务商发动对俄罗斯的SSL证书“断供”行动,直接导致大量俄罗斯政府、银行网站的国际RSA算法SSL证书被吊销或断供:
● 3月3日Sectigo停止签发证书,从2月27日开始13天内共吊销1576张已经签发的证书;
● 3月12日DigiCert停止签发证书,从2月28日开始共吊销了1266张证书;
● 更多CA机构也紧随其后停止签发证书,甚至直接吊销已经颁发的证书——即使购买了,也不让用!
“断供”行动的直接后果就是:俄罗斯政府和银行网站无法实现HTTPS加密,银行交易等敏感数据在互联网上明文传输,接近“裸奔”,极易被黑客劫持、篡改,网络及数据安全无从谈起!
防SSL证书断供,国密SSL改造势在必行 国家已经在行动
在当前逆全球化的大背景下,各种不确定因素叠加,目前欧美国家CA机构依然掌握着主流国际SSL证书。
我国目前大多数政府、银行等关基网站依然采用的是欧美品牌SSL证书,我们统计了86227个*.gov.cn网站,部署SSL的网站占比37%,其中采用欧美品牌SSL证书占比87%。一旦出现证书断供,将会给我国带来巨大的数据安全风险,甚至面临政府、银行等国家关基业务瘫痪的风险。
数据来源:创宇安全智脑从密码到网络的全面自主可控,核心和基础就是密码国产化,推动采用国密算法的SSL证书应用,是应对此类风险的重要途径,国家也已经出台针对此类风险的应对性政策及相关行业规定,以促进国密改造的实施落地:
● 《中华人民共和国密码法》 要求推进商用密码中国标准与国外标准之间的转化运用。
● 《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》要求金融和重要领域在2022年底前落实并完成国产密码改造工作。
● 《国务院关于加强数字政府建设的指导意见》强调提高自主可控水平。加强自主创新,加快数字政府建设领域关键核心技术攻关,切实提高自主可控水平。
关基系统国密改造先行 三大改造难点必须面对
以政府、金融、能源、制造业等为代表,关系国家安全、社会稳定的关键信息基础设施系统是国密改造的重点,其落地难点具有极大的普遍性:
难点一:国密SSL安全改造工作繁琐申请国密SSL证书流程繁琐,所需资料包括申请表、各类证件、CSR等,客户往往不知从何下手进行准备,遇到问题也找不到合适的专家咨询。
难点二:实施环境多样,证书部署工作难度高、专业性强由于网站服务器、网关等环境多样,证书部署时又需要与各类服务器进行兼容,因此导致未知问题频发,实施工程复杂、技术难度高,非专业人员难以支撑。
难点三:防护产品与国密算法不兼容,使得改造后安全防护能力缺失客户业务系统部署了各类安全防护产品,如CDN加速、流量监测、防火墙等,目前大多数产品还不兼容国密算法,无法为改造后的国密SSL传输提供安全防护服务。
知道创宇推出一站式国密改造方案 --包申请、包托管、包防护
针对客户存在的国密改造三大难点,知道创宇推出自主创新的《国密SSL安全改造》解决方案(以下简称“方案”),一站式实现“国密国际双证书+改造部署+安全防护”。 方案通过保姆式服务帮助您完成证书申请,将国密SSL证书托管至知道创宇云安全集群,无需客户源站进行国密兼容适配,即可完成国密SSL改造部署和安全防护!
01保姆式服务,包取得双证书方案提供“国密SM2/国际RSA”双证书,解决过渡阶段非国密浏览器兼容问题。全程提供保姆式服务,协助您准备申请证书及各类材料,应对繁琐的申请流程,直至完成证书颁发。
02证书包托管,源站无需任何改造方案提供证书托管服务,帮助客户将证书部署到云安全集群,完成云端加密改造。客户源站接入云安全平台,源站WEB服务器无需任何部署改造工作,方便缺少专业人员和技术支撑的客户,为客户节省时间、降低源站服务器计算压力。
03国密安全网关,包安全防护保障国密安全网关可以对HTTPS数据包进行解密,解密后进行流量检测,清洗危险流量,再转发给源站,从而起到对源站安全防护的作用;针对多源站情况,则为不同源站设置取源权重实现SSL负载均衡,达到持续保障其可用性的目的。
对源站响应的HTTP数据包进行加密,转换为HTTPS数据包后转发给访问用户,保证访问用户收到的是安全加密的数据包。
知道创宇“包办式”国密改造方案 会给您带来哪些惊喜
知道创宇国密改造方案助您顺利完成国密改造,并持续保障改造后系统的安全运行:
01轻松完成国密改造,够省心您无需专业技术人员进行证书申请及运维,知道创宇全程协助您取得证书,完成证书托管,实现网站及业务系统的国密改造。
02满足合规需求,能放心关基系统的国密改造势在必行,众多相关政策规定必然会越来越严格,及早进行国密改造,满足安全合规要求,可以放心开展核心业务,全面保障访问安全、传输安全、数据安全,赢得客户的高度信任。
03安全防护保障,高可用国密改造的根本目的是为了避免技术上被卡脖子,影响到业务的稳定开展,并同时提高关基系统的安全性,本方案助您轻松达成网站及业务系统安全运行、持续可用的目标。
国密改造方案已有成功案例 实践验证适用多种场景
目前,知道创宇国密改造方案已经在政府、金融等关基行业进行了应用,并有典型落地案例:
01某中央部委:某中央部委PC端、移动端多个网站、APP都需要进行国密SSL安全升级改造,涉及域名若干,改造目标是满足等保三级等合规要求。
客户采用知道创宇国密改造方案对PC端网站、移动端网站、APP进行改造,由知道创宇提供保姆式服务,完成全程证书申请、部署、配置等工作。并将证书托管到云安全集群,无需客户源站做任何适配改造。网站同时接入知道创宇云防御,一站式满足安全防护、合规改造需求。
02某互联网银行:某银行官网等WEB网站需要满足金融行业国密合规要求,客户自采国密SSL证书部署到WEB源站服务器时遇到兼容问题,改造工作复杂,无从下手。
知道创宇国密改造方案将证书托管到云安全集群,客户源站服务器无需兼容改造。网站同时接入知道创宇云防御,实现国密改造+IPv6安全改造+防护,一站式满足安全防护、合规安全需求。
国密改造是保障我国网络及数据安全自主可控的关键手段,知道创宇国密改造方案“包办”国密改造及安全防护,是关基系统快速合规、保障高可用,改造与安全一体化的超省心选择!如果您也有国密改造需求,请联系我们吧!
点击链接,扫描底部二维码:
关基系统防SSL证书断供,知道创宇“包办式”国密改造方案省心又安全