似乎每周我们都能看到大量有关数据泄露的新闻，然而关于违规记录的报道还在源源不断地涌现。到2019年末为止，美国国防部已经统计了10,331,579,614项违规记录，而且这个数字还在不断上涨。 从2017年到2018年，信息泄漏的趋势似乎呈下降趋势，然而2019年的形式却十分严峻，超过54%的增长已成为残酷的现实。根据美国安全情报供应商Risk Based Security (RBS) 的报告，2017年保持了先前的记录，而2018年仅下降了3.2%——共计6500次公开披露，50亿条暴露记录。 攻击者得逞后可以做什么? 勒索软件：攻击者可以使用所有类型的网络攻击来进行勒索，通常是通过加密，然后获得赎金。 数据销毁/盗窃：一旦攻击者突破企业的外围，就可以访问关键资产，如客户数据。这可能会被破坏或被盗，造成无法估量的品牌损失和法律后果。 加密：这些类型的网络攻击通常在用户将恶意加密挖掘代码下载到其计算机上时启动，或者通过使用SSH凭据进行暴力破解。 转向攻击其他内部应用程序：如果黑客攻击某个区域，可以利用用户凭据升级其权限或横向移动到另一个更敏感的区域。这就是为什么隔离关键资产以及利用简单和早期的胜利，例如将公司的生产部门与开发分开，这一点非常重要。 企业如何减少网络攻击的风险 网站权限需把控 针对网络攻击和未授权的访问，我们建议企业严格控制信息的出入，通过安全审计来检测和监督可疑用户，取消可疑用户的权限，调用更强的保护机制，去掉或修复故障网络以及系统的某些失效部件。 从HTTP升级为HTTPS加密 网站传输若没有信息加密，极易被不法分子窃听或盗取，而传统的方式极少有能直接在传输数据上加密的，包括账户密码与身份等隐私信息。而使用SSL证书，可以对这些隐私信息在传输过程中提供保护，减少数据泄露的风险企业网站应开通加密通道，部署SSL证书。保障网站安全的最佳方法之一是让网站从HTTP升级为HTTPS加密，确保企业网站是HTTPS加密传输。 为企业APP部署代码签名证书 应为软件进行代码签名证书。合法APP应使用代码签名证书签名软件程序，签名后的软件，可展示软件开发者的真实身份，同时证明软件在传输过程中没有被非法篡改或植入病毒木马，用户可通过证书，判断软件来源的真实性及软件程序的完整性。 为企业邮箱部署电子邮件证书 为保护客户的利益，维护客户数据安全。邮件用户使用沃通CA邮件证书对电子邮件进行数字签名并加密传输，一方面可以保证邮件发送者身份真实性，另一方面保障了邮件传输过程中不被他人阅读及篡改，并由邮件接收者进行验证，确保电子邮件内容的完整性。 选择全球可信的SSL证书品牌 选择全球可信的SSL证书品牌，如DigiCert/Symantec、GlobalSign、Sectigo等，可兼容99.99%的浏览器，大大减少网站被攻击的风险。 选择具有公信力的CA机构 具有公信力的CA机构的根证书广泛存在于大多数浏览器和操作系统中，因此可被客户端用来校验网站SSL证书是否合法。就好比网站安装了保险箱，所有信息传输都在加密环境中进行，让企业数据传输安全得到了保障。 网络攻击日益复杂，企业应提前做好防御工作，防患于未然，为企业网站筑起一道安全的防护墙！

中间商攻击是指当你和受害人或其他设备进行通信时，黑客通过窃取敏感信息(大部分是身份信息)来实施各种行为。 中间件攻击产生于 80 年代，是最古老的网络攻击方式之一。 现有的攻击SSL中间商的方法主要是通过对SSL证书进行伪造、剥离来实现。因为SSL是一种为网络通信提供安全性和数据完整性的安全协议，所以它可以验证当事一方或双方所使用的证书是否由权威、可靠的CA机构颁发，SSL证书中间人攻击几乎是不可能实现的。 换句话说，如果发生SSL中间人攻击事件，这不是SSL协议或SSL证书的问题，而是一个SSL证书的验证环节出现问题。中间人攻击的前提条件是，证书没有经过严格的校验，或者是人为地信任伪造的证书，因此以下场景是最容易被用户忽视的证书验证环节： 1，网站没有部署SSL证书，网站处于 HTTP 明文传输状态。这使得黑客能够直接在网络上抓包，以明文方式获得数据传输； 2，黑客通过伪造SSL证书的方式进行攻击，用户如果没有安全意识，可以选择继续操作； 3，黑客伪造SSL证书，网站/APP只做部分证书(域名)的检查，造成假证书受骗。 如何防止被中间人攻击？ 真正的 HTTPS 不受SSL中间攻击！所以，首先要确定站点已经部署了SSL证书。那么用户如何判断网站是否受SSL证书保护呢？ 首先，访问时显示网址栏 https://。 其次，浏览器显示的是醒目的安全锁，点击一下安全锁，就可以看到网站，企业的真实身份。 然后，使用 EV SSL证书的网站，在证书详情中能查看企业的真实名称。 再次，使用由权威CA发布的可信SSL认证。作为可信任的第三方认证机构，CA在签发SSL证书之前，首先要对申请者的真实身份进行认证，这也是保证用户信息安全的第一道关口。 最后，检查SSL证书的证书链。如果该证书是一个浏览器可以识别的SSL证书，您需要检查该SSL证书中的证书吊销列表，当该证书被证书颁发机构吊销时，将显示警告信息：“此组织的证书已被吊销。安全证书问题可能显示您试图欺骗或截获您向服务器发送的数据。推荐你关闭此网页，并且不要继续浏览此网站。” 如果上面没有任何问题，浏览器也会询问网站是否已经进入欺诈网站的黑名单，如果有问题，会同时显示警告信息。 企业能够做到证书部署和校验的环节完整，个人用户能够仔细观察 HTTPS 安全标识，识别证书的真实性、有效期等信息，HTTPS 几乎无法攻破，所谓SSL中间攻击根本不可能存在。

微软WHQL认证是指Microsoft Windows Hardware Quality Labs（Windows硬件质量实验室）对硬件设备的检测认证，这个实验室主要从事计算机硬件产品、驱动程序与Windows操作系统的兼容性和稳定性测试。驱动程序通过WHQL认证，可以确保硬件设备能够在Windows系统中运行，保证了设备的兼容性和稳定性。 通过WHQL认证有什么好处呢？凡是通过WHQL认证的产品，都可获得微软logo授权，可使用“Designed for Windows”标志，其相关信息可列入微软官方网站和操作系统的硬件兼容列表（HCL)，支持直接从Windows Update中更新驱动。微软WHQL认证流程较为复杂，开发者可以联系有经验的服务商如沃通CA提供WHQL认证服务，协助完成微软WHQL认证流程。 步骤一：获取EV代码签名证书 驱动程序提交WHQL认证的过程中都需要用到EV代码签名证书，开发者需提前申请EV代码签名证书备用。微软要求使用指定CA机构颁发的EV代码签名证书，开发者可通过沃通CA申请获取符合微软要求的EV代码签名证书。 步骤二：注册Windows徽标认证账户 开发者在微软Windows硬件合作伙伴中心注册账户，用于提交WHQL认证。注册前需要准备好一张EV代码签名证书及微软Azure AD账户。帐户注册过程中，需要使用EV代码签名证书签名指定文件来完成注册。 步骤三：软硬件驱动测试 根据微软要求搭建WHQL测试环境，使用微软提供的测试工具（HCK/HLK）进行驱动测试。搭建测试环境的过程耗时费力，沃通WHQL认证服务基于完善的测试环境及丰富的WHQL测试经验，帮助开发者更轻松地完成驱动测试步骤。 步骤四：测试结果提交微软审核 测试完成后需要将测试结果打包，文件需要用EV代码签名证书签名，测试结果提交微软审核认证。沃通WHQL认证服务可协助开发者完成提交步骤。 步骤五：获得微软认证签名 经过微软严格审核通过后，驱动程序获得微软认证签名“Microsoft Windows Hardware Compatibility Publisher”，这个驱动就完成了WHQL认证，能够在Windows系统上顺畅运行。更多相关信息在沃通CA官网了解。

我国高度重视电子政务发展，提出以信息化推进国家治理体系和治理能力现代化，统筹发展电子政务，构建一体化在线服务平台。《关于加快推进全国一体化在线政务服务平台建设的指导意见》《关于加快推进政务服务“跨省通办”的指导意见》等一系列文件相继印发，不断强化数字政府的顶层设计。 网络信息安全建设是政务服务安全运行的基石，需积极运用安全可靠技术产品，推动安全与应用协调发展，筑牢平台建设和网络安全防线，确保政务网络和数据信息安全。《关于加快推进全国一体化在线政务服务平台建设的指导意见》提出“应用符合国家要求的密码技术产品加强身份认证和数据保护”、“落实《中华人民共和国网络安全法》和信息安全等级保护制度等信息网络安全相关法律法规和政策性文件，加强国家关键基础设施安全防护”等网络安全建设要求。 政务服务系统在网络和通信安全层面，涉及到通信的主体（通信双方）、信息系统与网络边界外建立的网络通信信道，以及提供通信保护功能的设备、组件和产品。互联网、政务外网、企业专网等网络类型，涉及通信主体的各个要素，都需要遵循要求进行网络安全建设和密码技术应用。SSL/TLS协议是保护通信传输层安全最重要的机制，对应的应用产品就是SSL证书。为政务网站系统启用SSL证书，通过对通信双方进行身份验证和通信加密等机制，可以实现： 所有信息都是加密传播，第三方无法窃听 具有校验机制，一旦被篡改，通信双方会立刻发现 配备服务器身份证书，防止政务系统被钓鱼网站冒充 政务服务网站部署SSL证书已经成为必选项，实现数据机密性、完整性、身份真实性等信息安全特性，防范网络安全风险。那么政务服务网站应该选用什么类型的SSL证书呢？沃通CA提供建议。 （1）选择OV以上SSL证书：政务服务网站是面向公众提供政务服务的官方平台，展示所属单位身份信息，有助于访客了解网站真实身份，提升网站公信力，防止钓鱼网站冒充。OV SSL证书展示单位名称，EV SSL证书在部分浏览器则可以展示醒目绿色地址栏。 （2）选择国密双证书应用：政务服务网站需落实等保制度、密评制度，在密码应用上可选择国密算法SSL证书，用自主可控的国产密码算法保障政务服务安全；沃通提供合规国产国密SSL证书，并结合国际RSA SSL证书实现双证书应用，为政务服务网站实现国密合规、全网兼容的应用效果。更多信息访问沃通CA官网了解。