英国@@政府@@通信总部的信息安全机构@@通讯电子安全小组@@(CESG),于@@2015年@@9月@@2日发布对外服务@@网站@@TLS(安全传输层协议@@)部署指南@@,建议并指导英国@@相关公共服务@@@@网站服务@@器部署@@SSL证书@@建立@@TLS加密@@连接@@,保障公共服务@@@@网站的用户数据传输安全@@。
与美国政府@@@@6月@@出台的@@HTTPS-Only标准相比@@,英国@@政府@@的这份指南更加偏重技术方面@@,虽然没有像美国政府@@一样提出强制部署@@HTTPS的要求并列出时间表@@,但是@@CESG此举同样体现了英国@@政府@@保护用户隐私@@、保证政府@@网站@@信息安全@@的期望@@。该指南建议公共服务@@@@部门的相关网站根据@@Qualys、谷歌和@@Mozilla的安全配置建议应用@@HTTPS加密@@连接@@,并提出对外服务@@的网站只使用@@HTTPS服务@@;将@@HTTP服务@@自动重定向到@@HTTPS加密@@服务@@@@;向可靠的证书@@颁发机构@@@@(CA)获取@@SSL证书@@;使用扩展验证型@@EV证书@@提升客户信心@@;为邮件服务@@器部署@@TLS连接等实用建议@@,还就如何向@@CA机构@@获取@@证书@@@@、如何部署测试提供了相关指南@@。
以前@@,政府@@公共服务@@@@系统仅在局域网内部运行@@,随着政府@@办公信息化进程的加快@@,政府@@相关服务@@逐步搬到线上@@,社保系统@@、户籍查询系统@@、疾控中心@@、医院等对外服务@@网站包含个人身份证@@、社保参保信息@@、财务@@、薪酬@@、房屋等大量个人敏感信息@@,与公民的隐私密切相关@@,相应的安全防护措施却没有跟上@@。目前@@,我国启用@@@@HTTPS服务@@的政府@@网站@@只占极少数@@,HTTPS加密@@作为网站最基本的安全防护措施@@,在我国政府@@网站@@中的部署率却不足@@10%,今年@@@@4月@@发生的@@30省千万用户社保数据泄露事件就显现出政府@@网站@@安全隐患的@@“冰山一角@@”。我国政府@@很有必要效仿欧美@@,出台相关政策要求政府@@对外服务@@网站加强网站安全防护@@,启用@@HTTPS加密@@服务@@@@,保证政府@@网站@@信息安全@@、保护公民隐私数据@@、保证政府@@网站@@不会被假冒@@。
为了防止加密@@流量被监听@@,防止国家重要民生数据被泄露@@,政府@@网站@@不仅要全站@@HTTPS,还应选择自主可控的国产@@SSL证书@@。沃通@@CA获工信部许可@@,是我国目前@@唯一可完全取代国外@@SSL证书@@的合法@@CA机构@@!沃通@@SSL证书@@能完美兼容@@1999年@@以后的所有浏览器@@、服务@@器及移动终端@@,性能上可完全替代国外@@SSL证书@@产品@@,目前@@已经为工业和信息化部@@、北京市地震局@@、湖北省国家税务局@@、深圳市社会保险基金管理局@@、深圳市住房公积金管理中心@@、深圳市道路交通管理中心@@、福建省经济信息中心等多个政府@@对外服务@@网站提供@@HTTPS加密@@和@@SSL认证服务@@@@,希望我国越来越多的政府@@网站@@加入全站@@HTTPS加密@@的行列@@。
