您现在的位置:主页 > 技术支持 > 知识中心 >
UCC证书实现多域名支持,微软产品首家推荐Entrust。UCC证书保护企业多个域名及其子域名、IP地址、服务器,协助您大幅节省时间、管理成本,强化网站信息安全管理的效率。
在如今互联网高速发展的前提下,越来越多的商业活动都依赖与电子商务也就是互联网来完成。在各类平台上进行电子商务的网上交易,将企业网络资源向供应商、用户、合作伙伴及企业员工变成开放访问。
虽然这种网络交易及网络通信节约了企业大量的时间成本。但是同时也带来了在进行交易时各种数据交换和通信方面的安全隐患。面对一系列的安全隐患问题,企业如何创造一个安全、可信的在线网络交易环境,这对于企业来说是一项挑战。
亿创恒安安全专家根据多年的业界经验,总结了企业要注重的一些安全问题及相应的对策。以帮助企业创建一个在线的安全网络环境。

1 :没有 SSL 数据加密就不可能保证数据的完整性
SSL 加密技术是目前最领先被广泛应用的加密技术来确保 Web 服务器、内联网 (Intranet) 、外联网 (Extranet) 和其他基于服务器的所有应用的安全性。如果没有 SSL无论你的数据是在公网还是在私网上传输,其数据的完整性和保密性都是无法保障的。而部署了ssl就可以保证你的数据从客户端到服务器端整个过程的数据传输是在加密通道内传送的,不肯能被截取、篡改和泄漏。
最近几年来,随着人们对个人信息安全警觉性的提高,也对意识到SSL加密技术的重要性,越来越多的用户在浏览一个网站时都会查看该网站的安全性,在输入个人敏感信息时都会查看该浏览器中是否有安全小锁的标志。目前全球已有上百个网站都部署了SSL证书来保证人们在浏览器和服务器之间数据传输的加密安全性。如今几乎所有的浏览器都支持SSL加密技术,使得企业在部署SSL证书时既简单又安全实施,为企业信息传输建立了加密通道,保证了数据传输过程的安全性和防窃取。
建议 :在进行敏感信息交流交易时,企业应该在所有服务器或重要服务器上部署 SSL证书,来保护从浏览器到服务器之间重要数据的传输。

2 :免费黑客软件可以轻松破解您的密码
现在大多数的网上应用都是依赖于口令密码的形式。但这种形式已经变得越来越脆弱。使您的应用系统更容易受到攻击。大多数企业的重要应用及交易都已经网络化,这使得很多人开始破解企业密码来获得收益。在网上就很容易的找到相关密码破解的软件,你的口令密码很容易就被破解了。
在设置密码时也想好规则,如大小写混合、特殊符号的应用,同个账户最好不要设置相同的密码。
建议: 最安全的解决方案是使用客户端数字证书来替代简单的口令密码验证机制,客户端数字证书能确保您的关键应用的安全性。

3 :电子邮件正在泄露您的商业机密
电子邮件在企业通信中越来越重要,使得电子邮件的保密管理也越来越重要,因为电子邮件从用户的电脑发到接收者的电子邮件服务器是经过公网以明文文本方式传输的,凡是在邮件传输过程中任意环节 ( 服务器、路由器及其他网络设备 ) 都有可能、也都可以得到您的邮件明文信息,在没有经过审核的情况下,几乎所有邮件系统都允许将收到的邮件转发给第三者。
然而,只要您的员工拥有数字证书,员工之间相互交换数字证书信息,员工之间的电子邮件就可以签名和加密,这样就可以确保员工之间交换的机密信息不会被篡改和被非法窃取,对于通过电子邮件发送机密信息的企业应该采取此措施。
建议 :为企业员工颁发单位数字证书来为电子邮件签名和加密以保护企业的重要商业机密,从而确保企业通信的机密性、确定性和信任性。

4 :传统的安全访问控制解决方案不仅无效而且投资大
SSL 支持服务器和客户端的身份认证,如果服务器装有 SSL证书,表明服务器是通过验证的;而客户端 ( 浏览器 ) 则验证此证书的域名与服务器域名是匹配的、是有效的、是由信任的机构颁发的。当客户端也使用 SSL证书访问服务器时,表明此客户端也是通过验证的 ( 使用此电脑的人是已经通过身份认证而获得数字证书的 ) ,客户端数字证书可以嵌在任何客户端软件中 ( 包括浏览器、 Outlook 等 ) 来代替简单的密码验证来获得服务器的授权访问。
使用客户端数字证书要比简单的口令密码验证安全许多,因为一个人的数字证书是不可能被另一个人伪造的,即使安装有数字证书的电脑被盗,仍然需要密码来激活数字证书。而由于数字证书是一个经济实用的安全解决方案,所以,越来越多的重要网络应用都开始采用 SSL证书加密技术。
很多企业都安有VPN 系统 ( 虚拟内部网 ) ,方便远程用户通过互联网访问企业内部的重要的数据库系统,这是一个非常好的远程联网和远程访问解决方案,但在使用系统时不要使用简单的密码口令认证,应该在部署 VPN 时使用SSL证书来实现身份验证和数据传输加密。

5 :建立一个有效的内部公钥管理系统 (PKI) 是一个费时费钱的事情
公钥管理系统 (PKI) 是一个确保在线业务安全的最重要的不可缺少的工具,如果没有一套颁发、吊销、续期等管理数字证书的手段,则企业不可能部署一个安全的内联网和外联网,特别是对于一个有许多分支机构和移动办公员工的大型机构来讲。同时,如果不能实现安全的访问,企业员工也无法随时随地访问企业的核心数据系统,用户也不可能放心地从事网上交易。现在,许多企业已经充分认识到电子邮件和即时通信的不安全性,加强电子邮件的管理和禁止使用即时通信,也正在寻求安全通信解决方案。
PKI 系统理论上是非常成熟的技术,但是实际实施时需要复杂的硬件和软件系统,还需要专业的懂得 PKI 理论的 IT 人才,需要专业的专用的系统来保护其安全,这无疑会是一大笔投资。但是,现在您可以无需以上投资,而是把 PKI 系统外包给可信任的专业的第三方 CA( 认证中心 ) 来根据企业的需要来管理、维护企业自己的 PKI 系统,外包的 PKI 系统 ( 企业 CA) 可以让企业方便地使用浏览器来根据自己的业务需要在线颁发自己所需要的服务器 SSL证书和客户端数字证书,已经有许多应用而且越来越多的应用都支持数字证书,如基于浏览器的应用、电子邮件系统和 VPN 系统等。  
许多机构希望能把以下需求外包给一个可信任的第三方:安全访问、安全通信和安全在线交易。安全访问就是让企业的员工能方便的在任何地方通过互联网安全地访问企业的内部网和内部机密数据 ( 如 CRM 、 ERP 和 OA 等 ) ,这对于全球性和全国性的大机构非常急需。安全通信,主要是指电子邮件和即时通信,需要提供一种安全机制来识别信息发送者的真实身份和确保信息的内容不会被窃取。而安全在线交易则要求把现在的基于纸质文件的手写签名方式变为无纸的数字签名,同样涉及到加密传输和身份认证问题。
建议: 最明智的选择是购买 PKI 管理外包服务,让可信任的第三方利用其现成的 PKI 系统来在线管理您企业的 PKI 系统,这样,企业就可以专心做自己的业务,而不用购买和维护复杂的、昂贵的 PKI 系统。

6 :网站很容易被克隆假冒
SSL 对于敏感数据的加密是非常重要的,但请注意: SSL 不能证明一个网站的真实身份,这是“互联网安全上的一个不可告人的小秘密”。浏览器下面有安全锁标志只能证明从浏览器到正在访问的服务器之间的数据传输是加密的和安全的,但并不等于您正在访问的服务器就是您希望访问的企业的服务器。为了保护企业和用户的利益,企业应该为其企业网站申请网站身份认证,在网站的醒目位置显示一个不可假冒的可信真实网站标志。对于企业 ( 或机构 ) 来讲,这就有效地预防了网站被假冒的可能,而对于用户来讲,有了可信标志,则让用户确信正在访问的网站确实是希望访问的机构的网站,而用户也不能仅仅凭网站上讲它是哪个单位的网站就相信它就是哪个单位的网站。
不幸的是,目前几乎所有的网站身份标志产品都不能真正证明其合法身份,因为这类标志 ( 签章 ) 是静态图片或 Flash 图片,是非常容易连同网站一起被复制下来的。而Entrust提供动态生成的与网站域名绑定的网站身份认证签章,此认证签章是不可复制的,是由嵌在网站上的一段代码自动生成的,通不过认证就不会显示认证签章。
建议: 在企业网站上启用一个醒目的可信任的标志让网站访问者非常容易确认您的网站的真实身份和信任网站所有者。

7 :没有可靠的物理安全和网络安全,企业的机密数据容易遭入侵
网络安全包括计算机系统安全和网络访问控制,以及入侵检测和反击。网络不安全的危险是巨大的:盗贼、中断服务、物理损坏、系统完整性损害和非授权的机密信息外泄等。而物理上的安全也非常重要,比如离开电脑锁上屏幕、重要服务器的门禁制度以及进入敏感地区的指纹身份识别等。
防火墙是网络安全中不可缺少的设施,它限制了从一个网络到另一个网络的访问,监视和限制所有通过网络的各种行为,设置哪些 IP 地址和哪些端口的访问权限。同时,建议不同的网络区域和应用层部署不同的防火墙 ( 如 DMZ 区、 Web 服务器、应用服务器和数据库服务器等 ) 。
入侵检测系统实时检测各种攻击,分析和审计访问日志,当有入侵时及时通知管理员,保护系统文件,分析和揭露黑客的伎俩,指出需要尽快解决的安全漏洞和跟踪攻击者的行踪等。
另外,必须在每台用户电脑上安装防病毒软件来有效地防护越来越猖狂的病毒攻击,特别要在电子邮件服务器上安装防病毒软件来防止通过电子邮件传播的病毒。
建议: 部署防火墙、入侵检测、客户端和服务器端的病毒检测以及升级所有系统的补丁是抵御常规的安全威胁、保护机密数据和保持业务的正常运转的有利措施。

8 :最薄弱的环节还是人的管理
安全不仅仅是部署各种软硬件设备的问题,还涉及到人,人是一个机构的网络安全和信息安全环节中最重要的部分,入侵者往往非常容易从安全管理中找到漏洞而成功,必须有明文规定各种网络安全和信息安全管理制度,包括各种信息系统物理设施的访问规则、信息系统和网络系统的访问规则以及公司电子邮件系统和上网管理等,并要求所有员工严格执行。
应该明确列出哪些事情是允许的,哪些是不允许的,包括哪些人能登录操作系统,哪些人能进入某个机房等。允许外来访客使用会议室的网络插口上网,也是经常的事,但殊不知此外来访客可能就在您的内部网埋下了“木马”,看似非常安全的内部网就埋下了一个安全威胁。
建议: 制订网络安全和信息安全管理规定,这也许是最容易忽略的,也很可能是这十大安全问题中最可怕的问题,赶紧把写下来、与相关人员沟通并严格执行。
结束语
互联网让企业有了一个拓展其业务到全球市场的机会,可以充分互联网低成本地方便地连接员工、合作伙伴和客户。企业业务的形式已经变成互联网的方式,意味着一定要保证有一个连接内联网和外联网的安全通信,确保合法用户能机密地、完整地和安全地访问有关数据和交易,从而确保在线业务的成功。
Entrust为企业的信息安全提供了一系列数字证书产品,在服务器端,提供全球通用的支持所有浏览器的真正256 位 SSL证书,确保从客户端浏览器到服务器之间通过公用互联网传输的机密数据是加密传输的,是不会被非法窃取和泄密的。同时,提供企业域名和网站的身份认证以及在通过认证的网站上动态显示其身份认证签章,让网站访问者放心地与企业从事线上或线下的业务。


分享到: 更多
通配符证书SSL证书-标准版SSL证书-高级版代码签名证书UCC证书PDF签名证书EV证书邮件安全证书| 免费试用产品支持合作伙伴友情链接关于亿创恒安
联系电话:133129-22000 公司邮箱:support@etsec.com.cn
© 北京亿创恒安科技有限公司 版权所有www.etsec.com.cn 京ICP备10211985