首 頁加入收藏聯系我們
英美政府網站強制要求HTTPS加密 值得借鑒
發布時間:2016-07-15 17:11:53 作者:SystemMaster 來源: 文字大小:[][][]
分享到:
  英國政府發布官方聲明,從2016年10月1日起,英國所有政府網站強制使用HTTPS加密連接,而美國政府也曾發布HTTPS-Only標準,要求所有政府網站在2016年底強制使用HTTPS。英美兩國為何先后發布強制HTTPS政策?HTTPS加密對政府網站安全到底有多么重要?我國政府網站的HTTPS應用現狀有何啟示?
 
  網絡安全形勢堪憂,英美政府強勢推HTTPS加密政策
 
  國際互聯網安全形勢日益嚴峻,地下黑色產業鏈的成熟活躍,政府網站承載著各種公民隱私數據,成為黑客組織首要的攻擊目標。英美兩國政府都多次爆出重大的政府網站數據泄露事件,美國OPM(人事管理辦公室) 400萬聯邦雇員信息泄露、1.9億美國選民信息泄露以及近期英國國防部軍隊內部資料面臨泄露威脅等安全事件,都在向政府機構發出警示,政府機構數據安全正遭遇著前所未有的巨大威脅。
 
  數據泄露的原因涉及多個方面,而由于數據未加密或安全協議不足等基礎防護問題導致的泄露事件為數眾多。如果基礎安全防護不到位,不管啟用多么昂貴的系統同樣不堪一擊。因此,2015年6月,美國政府出臺了HTTPS-Only標準,強制要求聯邦政府公共服務網站在2016年底啟用全站HTTPS加密連接。同年9月,英國政府通信總部也曾發布指南指導、建議使用HTTPS,當時并沒有強硬設置最后期限。然而,隨著政府數據安全事件愈演愈烈,英國政府近期再次發布最新安全指導細則要求所有政府網站在2016年10月之前實現強制HTTPS加密,比美國還要提前3個月實現政府網站全站HTTPS加密。
 
  英美政府強制HTTPS政策的具體措施
 
  美國政府啟用HTTPS-Only的原則:
 
  (1)所有在聯邦代理域或子域下的新開發的網站和服務必須即刻遵守HTTPS-Only政策;
 
  (2)涉及到個人身份信息交互的、本質上特別敏感的或需經高級別保密通信的 Web 服務需部署HTTPS;
 
  (3)聯邦機構必須在2016年底內實現可通過安全連接(HTTPS Only)訪問到目前所有的網站和服務;
 
  (4)鼓勵但不強制企業網站和系統也都使用 HTTPS。
 
  英國政府則對啟用HTTPS連接提出了更加細致的要求:
 
  (1)使用HTTPS加密連接并設置HSTS(HTTP嚴格傳輸安全)保護
 
  啟用HSTS(HTTP嚴格傳輸安全)保護,可以確保瀏覽器始終采用HTTPS連接網站服務,拒絕使用HTTP協議,避免降級攻擊。英國政府還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預加載列表,換言之,所有當代主流瀏覽器只有通過HTTPS才能訪問政府服務。
 
  (2)啟用DMARC協議進行電子郵件認證
 
  英國政府還規定,使用DMARC協議進行電子郵件認證。DMARC策略將確保公民不會收到由騙子和釣魚者發出的假冒政府郵件。如果這一策略在2016年10月1日沒有執行,郵件可能會被外部電子郵件提供商拒絕。
 
  我國政府網站的HTTPS應用現狀
 
  目前我國政府網站的安全問題更加令人擔憂,隨著“互聯網+政務”的戰略提速,大部分電子政務業務都已經遷移到互聯網上,網上辦事變得方便快捷,但相應的安全建設卻沒有及時提上議程,政府門戶網站被篡改、網絡釣魚、敏感數據泄露等事件層出不窮。2015年爆發的超30省社保數據泄露的重大事件,造成數千萬用戶的個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息泄露,引發公眾恐慌,嚴重影響政府網站公信力。
 
  HTTPS加密作為網站基礎安全機制,在英美政府強制推動下得到廣泛普及,但在我國政府網站中普及率卻非常之低。沃通CA針對已解析到Gov.cn的68029個政府網站進行了統計分析,結果顯示近90%的政府網站未部署SSL證書,4%的政府網站部署了非常不安全的自簽名證書,5.6%的政府網站證書已過期或無效,僅1.7%的政府網站部署了有效的SSL證書。
 
  HTTPS加密對政府網站安全到底有多么重要?
 
  HTTP是非常不安全的明文傳輸協議,不提供任何方式的數據加密,任何通過HTTP傳輸的數據都以明文形式在網絡中“裸奔”,無需攻擊或拖庫,就能輕松攔截到用戶敏感數據;而且HTTP無法驗證服務器身份的真實性,服務器返回的請求容易被篡改或者假冒,用戶根本無法察覺。HTTP協議的缺陷是導致政府網站數據泄露、拖庫、數據篡改、釣魚仿冒等安全隱患的重要原因。
 
  使用HTTPS加密能夠確保用戶數據在傳輸過程中處于加密狀態,同時驗證服務器身份的真實性,防止網站被假冒、篡改,有效解決常見的數據泄露、數據篡改、流量劫持和釣魚欺詐等安全事件,確保用戶和政府網站進行信息交互時始終安全。
 
  強制HTTPS加密,中國政府網站更需要!
 
  網絡安全正在成為影響國家安全及其他領域發展和成敗的重要因素之一。為了推動“互聯網+政務”戰略得到有力執行,加強政府網站安全建設刻不容緩。沃通CA呼吁我國政府也應出臺強制HTTPS政策,要求政府網站啟用HTTPS加密,提升公民隱私數據的安全防護,重塑公民網上信心,讓公民信任政府網站提供的公共服務是安全的。
 
  沃通CA根據多年的互聯網安全從業經驗,對提升政府網站安全及公信力獻出以下對策和建議。
 
  (1)強制HTTPS加密,保護數據傳輸安全
 
  我國政府網站應全部實現HTTPS安全訪問,確保公民隱私數據傳輸安全(如舉報人的個人信息、社保賬戶信息、公民檔案信息以及各種網上辦事系統),重要的公共服務平臺還應逐步設置HSTS保護,確保用戶始終使用HTTPS加密連接政府服務。


  (2)啟用EV綠色地址欄,安全可信一目了然
 
  遏制假冒政府網站泛濫,僅靠目前采取的“黨政機關統一標識”方案還不夠,靜態圖標仍然容易被篡改或仿冒。政府網站應該引入基于PKI技術的EV SSL證書及全球信任的動態簽章技術,瀏覽器醒目綠色地址欄及中文單位名稱,讓用戶輕松判斷網站身份真實可信,實時生成的EV動態認證簽章,懸掛在網站上,不可復制篡改!


  (3)使用國產SSL證書
 
  為規避棱鏡門等國外監聽風險,政府網站不僅要全站HTTPS,還應選擇自主可控的國產SSL證書,不能使用國外SSL證書產品,防止加密流量被監聽,防止國家重要民生數據被泄露。


  沃通CA符合中國標準和國際標準
 
  沃通WoSign是中國最大的自主品牌數字證書頒發機構(CA),通過WebTrust國際認證及工信部許可,符合中國標準和國際標準,中國SSL證書市場占有率第一并領先國外CA 8個百分點,成為首個趕超國外CA的中國SSL證書品牌。
 
  沃通SSL證書能完美兼容所有瀏覽器、服務器及移動終端,實現信息安全自主可控的同時兼具良好的通用性。目前,沃通CA已經為工信部、湖北省稅務局、福建省政府、深圳住房公積金管理中心、深圳社會保險服務、中國信通院等單位提供SSL證書產品和服務,保障政府網站系統中公民隱私數據傳輸安全,加速“互聯網+政務”的戰略發展。
财神捕鱼120 体彩20选5走势图浙江风采 2019年白小姐特马论坛 kaiyuangaming开元棋牌 五分赛走势图分析 华东15选5五行走势 河北时时快三 江西时时漏洞 7位数体彩历史开奖号码 山西省新时时 金龙棋牌官网 极速赛计划软件 天天彩4玩法 云南时时彩开奖结果今天 四川时时11选5开奖结果 重庆时时彩直播开奖app 河北一选五走势图100期