随着互联网应用的大范围普及,社保、公积金等社会公众服务逐步被迁移到网络上,让大众足不出户就能进行信息查询或部分业务的办理。但在带来便利的同时,也伴随着种种网络安全的隐患,而最引人关注的就是个人隐私信息的泄露问题。
忐忑-社保公积金信息成泄露重灾区
据媒体报道,由于近期接连出台多项关于社保的新政策,一些骗子趁机打起了社保的主意。例如,有不少市民接到这样的诈骗电话:骗子冒充相关部门,以“您的社保卡异常”、“您的社保卡在异地被盗刷”或“您有社保补贴未领取”等名义,要求市民转账汇款,不少人险些上当受骗。
而在某地,有不少市民反映,自己的公积金账户查看不了了,查询显示密码不正确,已被他人修改。那么,这些市民为何会遭遇到社保电信诈骗、公积金账户密码被篡改的糟心事呢?主要原因就是他们留存在社保、公积金等公共服务平台网站的姓名、单位、住址、身份证号、银行卡号等个人隐私信息遭泄露,被不法分子利用。如果你觉得这种信息泄露离自己很遥远,那么不妨看看以下报道:
·数据显示,仅从2014年4月至2015年4月,涉及居民社保信息泄露的报告就达46个,其中高危44个,至少涉及19省份,涉及人员高达5200万。
·据媒体报道,陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万农村参与社保人员的信息,黑客可利用漏洞随意修改社保待遇,停发社保金;浙江省永康市社保网上办事大厅存在漏洞,上万单位企业信息或遭泄露,其中包括上百万员工社保信息。
·江苏省互联网网络安全报告指出,2015年,江苏省用户信息泄露数量达百万级(条)的,有个人及公积金信息泄露案件,涉及多市住房公积金系统网站。其中江苏省省级机关住房资金管理中心系统出现漏洞,可能导致江苏省2510个单位10万公务员的个人信息遭泄漏,另外还有网上挂号系统个人及家庭信息泄露案等。
原来社保公积金的隐私泄露问题如此严重,作为参保人,你会不会有些忐忑不安?而作为社保公积金等公共服务平台的管理、运营者,又应该如何避免公民的个人信息被泄露?
遗憾-社保公积金平台加密措施不给力
社保公积金系统中是个人信息的集大成者,囊括了身份证、电话、薪酬、住址等,这些信息一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如进行复制身份证、盗办盗刷信用卡等一系列刑事、经济犯罪。但如此重要的数据,防护强度却令人堪忧。一直以来,地方社保等部门对于信息安全方面投入不足,监管不力,存在“重建设轻运维”、“重管理轻安全”的情况,无论是资金、技术、人才等方面的投入都大大低于欧美国家。例如英美等国家的公共服务、政务类网站,都会通过部署OV型(机构型)或OV型(增强型)SSL证书保护传输的数据,而我国的相关网站部署量却很低。
SSL证书是由权威、可信的第三方数字证书认证机构(以下简称CA)签发的、用来标记网站身份的数字证书。因其通常部署在网站服务器上,亦称服务器证书。SSL证书通过在客户端浏览器和网站服务器之间建立一条HTTPS安全通道对数据进行加密,确保数据在传输过程中不被窃听、篡改和伪造。因为SSL证书有效解决了网站身份真实性验证和信息传输的保密性问题,所以成为一种非常重要的基础性网络安全和信息加密措施。但就是如此重要、基础的安全防护措施,我国绝大多数的社保公积金网站却未能采取,又怎么可能保护好公众的个人信息呢?
亮点-国产SSL证书加密公积金网站
随着泄露事件的频发,部分社保公积金网站已经意识到问题的严重性,开始着手修补漏洞、加强防护措施,其中一个重要举措就是部署SSL证书。而海南住房公积金管理局官网部署中国金融认证中心(CFCA)国产EV SSL证书,完成信息传输加密的防护可说是其中的典范和亮点。
注:海南公积金网站CFCA EV SSL证书在IOS系统浏览器中的显示效果
海南省住房公积金管理局负责海南省全省的住房公积金及省本级单住房资金、职工住房补贴资金的运作。而其官网中的住房公积金管理系统是企业、公众办理公积金业务、查询公积金信息的重要平台。为了保证用户的账户密码和系统中重要的企业、个人信息不会在传输中遭到截取、篡改,公积金管理局网站决定部署SSL证书。在过去,考虑到证书对浏览器支持的完善度和用户体验度,企事业单位都不得不选择国外CA签发的SSL证书。但公积金管理系统包含全省缴费企业、人员的信息,是重要的国家经济数据,选择根证书服务器在境外的国外证书存在外泄风险,所以公积金管理局网站最终选择了CFCA签发的国产EV证书。CFCA SSL证书由于在近期获得苹果IOS系统的信任,成为目前唯一支持所有主流操作系统浏览器的国产SSL证书,在功能的完善度、用户的体验度等方面可与国外证书媲美。
注:海南公积金网站CFCA EV SSL证书在edge浏览器中的显示效果
在部署CFCA EV SSL证书后,当企业、公众用户登陆网站公积金管理系统办理业务时,不论是输入的用户名、密码还是向系统提交的身份证号、收入、银行卡号等信息,在信息传输过程中都已得到HTTPS加密,免遭泄露和篡改。而EV证书独有的绿色地址栏中可以显示机构身份名称,用更直观的方式给用户带来安全感,提高了管理部门的公信力。海南省公积金管理局网站系统安装CFCA 国产EV SSL证书为社保公积金等公共服务平台保护公民信息提供了一种值得借鉴的方式,具有一定示范意义。当然,修补系统漏洞、提高安全系数不是靠安装一张证书就能彻底解决的,尚需一个过程。但希望SSL证书在社保公积金平台的普及能成为我国保护个人信息的一个良好开端,进而减少泄露事件对公众的侵害。
首页
微信公众号
证券之星APP
