“滨州医保”突然打不开 3月22日晚，有市民发现山东省滨州市医疗保障局的小程序“滨州医保”突然打不开，页面显示该小程序免费使用的证书到期了。 市民质疑政府医保部门使用免费的DV证书不专业：相当于给一个需要最高安保级别的金库只配了一把普通的挂锁，这给用户的个人信息安全带来了极高的风险。 据了解，政府网站（尤其是医保、社保等涉及公民敏感数据的平台）必须遵守 《网络安全法》和等级保护（等保）制度。政务系统通常要求使用国密算法（SM2）或支持国产化环境的证书，而免费DV证书通常只支持国际通用算法，不符合政务系统的密评要求。而且，DV证书无法在浏览器中显示单位名称，这意味着任何人都可以申请一个类似的域名，部署DV证书，伪装成医保网站，用户无法通过证书信息辨别真伪，极易遭遇钓鱼攻击。 医保数据属于最高级别的敏感信息，DV证书虽然提供了基础加密，但在身份认证和防篡改方面的强度远低于OV/EV证书，无法满足金融级或政务级的数据保护需求。 3月23日，市民核实发现，“滨州医保”小程序已进行了续期。虽然小程序恢复了访问，但根源问题并没有解决：续期依然是90天有效期的免费证书，未来仍面临过期中断的风险，身份验证的漏洞也依然存在，钓鱼网站的威胁并未消除。 对老百姓来说，日常使用时要尽量从官方号进入小程序，遇到陌生链接或要求输入密码的弹窗要立刻警惕，避免落入钓鱼陷阱。 而对医保部门而言，更需要尽快升级为能验证真实身份的证书，完善证书生命周期管理，别让民生服务因为这类细节问题掉链子。 来源 看滨州