英美政府@@网站@@强制@@要求@@HTTPS加密@@ 值得借鉴@@

 

 

　　国际互联网@@安全形势日益严峻@@，地下黑色产业链的@@成熟活跃@@，政府@@网站@@承载着各种公民隐私数据@@，成为黑客组织首要的@@攻击目标@@。英美两国政府@@都多次@@爆出重大的@@政府@@网站@@数据泄露事件@@，美国@@OPM(人事管理办公室@@) 400万联邦雇员信息泄露@@、1.9亿美国@@选民信息泄露以及近期英国国防部军队内部资料面临泄露威胁等安全事件@@，都在向政府@@机构发出警示@@，政府@@机构数据安全正遭遇着前所未有的@@巨大威胁@@。

 

　　数据泄露的@@原因涉及多个方面@@，而由于数据未加密@@或安全协议@@不足等基础防护问题导致的@@泄露事件为数众多@@。如果基础安全防护不到位@@，不管启用@@多么昂贵的@@系统同样不堪一击@@。因此@@，2015年@@6月@@，美国@@政府@@出台了@@HTTPS-Only标准@@，强制@@要求联邦政府@@公共服务网站在@@2016年@@底启用@@全站@@HTTPS加密@@连接@@。同年@@@@9月@@，英国政府@@通信总部也曾发布指南指导@@、建议使用@@@@HTTPS，当时并没有强硬设置最后期限@@。然而@@，随着@@政府@@数据安全事件愈演愈烈@@，英国政府@@近期再次@@发布最新安全指导细则要求所有政府@@网站@@在@@@@2016年@@10月@@之前实现强制@@@@HTTPS加密@@，比美国@@还要提前@@3个月@@实现政府@@网站@@全站@@HTTPS加密@@。

 

 

　　美国@@政府@@启用@@@@HTTPS-Only的@@原则@@：

 

　　(1)所有在联邦代理域或子域下的@@新开发的@@网站和服务必须即刻遵守@@HTTPS-Only政策@@;

 

　　(2)涉及到个人身份信息交互的@@@@、本质上特别敏感的@@或需经高级别保密通信的@@@@ Web 服务需部署@@HTTPS;

 

　　(3)联邦机构必须在@@2016年@@底内实现可通过@@安全连接@@(HTTPS Only)访问到目前@@所有的@@网站和服务@@;

 

　　(4)鼓励但不强制@@企业网站和系统也都使用@@@@ HTTPS。

 

　　英国政府@@则对启用@@@@HTTPS连接提出了更加细致的@@要求@@：

 

　　(1)使用@@HTTPS加密@@连接@@并设置@@HSTS(HTTP严格传输安全@@)保护@@

 

　　启用@@HSTS(HTTP严格传输安全@@)保护@@，可以确保浏览器始终采用@@HTTPS连接网站服务@@，拒绝使用@@@@HTTP协议@@，避免降级攻击@@。英国政府@@还计划将@@service.gov.uk提交至浏览器厂商的@@@@HSTS预加载列表@@，换言之@@，所有当代主流浏览器只有通过@@@@HTTPS才能访问政府@@服务@@。

 

　　(2)启用@@DMARC协议@@进行电子邮件认证@@

 

　　英国政府@@还规定@@，使用@@DMARC协议@@进行电子邮件认证@@。DMARC策略将确保公民不会收到由骗子和钓鱼者发出的@@假冒政府@@邮件@@。如果这一策略在@@2016年@@10月@@1日没有执行@@，邮件可能会被外部电子邮件提供商拒绝@@。

 

 

　　目前@@我国政府@@网站@@的@@@@安全问题更加令人担忧@@，随着@@“互联网@@+政务@@”的@@战略提速@@，大部分电子政务@@业务都已经迁移到互联网@@上@@，网上办事变得方便快捷@@，但相应的@@安全建设却没有及时提上议程@@，政府@@门户网站被篡改@@@@、网络钓鱼@@、敏感数据泄露等事件层出不穷@@。2015年@@爆发的@@超@@30省社保数据泄露的@@重大事件@@，造成数千万用户的@@个人身份证@@、社保参保信息@@、财务@@、薪酬@@、房屋等敏感信息泄露@@，引发公众恐慌@@，严重影响政府@@网站@@公信力@@。

 

　　HTTPS加密@@作为网站基础安全机制@@，在英美政府@@强制@@@@推动下得到广泛普及@@，但在我国政府@@网站@@中普及率却非常之低@@。沃通@@CA针对已解析到@@Gov.cn的@@68029个政府@@网站@@进行了统计分析@@，结果显示近@@90%的@@政府@@网站@@未部署@@SSL证书@@，4%的@@政府@@网站@@部署了非常不安全的@@自签名证书@@@@，5.6%的@@政府@@网站@@证书@@已过期或无效@@，仅@@1.7%的@@政府@@网站@@部署了有效的@@@@SSL证书@@。

 

 

　　HTTP是非常不安全的@@明文传输协议@@@@，不提供任何方式的@@数据加密@@@@，任何通过@@@@HTTP传输的@@数据都以明文形式在网络中@@“裸奔@@”，无需攻击或拖库@@@@，就能轻松拦截到用户敏感数据@@;而且@@HTTP无法验证服务器身份的@@真实性@@，服务器返回的@@请求容易被篡改@@或者假冒@@，用户根本无法察觉@@。HTTP协议@@的@@缺陷是导致政府@@网站@@数据泄露@@、拖库@@、数据篡改@@@@、钓鱼仿冒等安全隐患的@@重要原因@@。

 

　　使用@@HTTPS加密@@能够确保用户数据在传输过程中处于加密@@状态@@，同时验证服务器身份的@@真实性@@，防止网站被假冒@@、篡改@@，有效解决常见的@@数据泄露@@、数据篡改@@@@、流量劫持和钓鱼欺诈等安全事件@@，确保用户和政府@@网站@@进行信息交互时始终安全@@。

 

 

　　网络安全正在成为影响国家安全及其他领域发展和成败的@@重要因素之一@@。为了推动@@“互联网@@+政务@@”战略得到有力执行@@，加强政府@@网站@@安全@@建设刻不容缓@@。沃通@@CA呼吁我国政府@@也应出台强制@@@@HTTPS政策@@，要求政府@@网站@@启用@@@@HTTPS加密@@，提升公民隐私数据的@@安全防护@@，重塑公民网上信心@@，让公民信任政府@@网站@@提供的@@公共服务是安全的@@@@。

 

　　沃通@@CA根据多年@@的@@互联网@@安全从@@业经验@@，对提升政府@@网站@@安全@@及公信力献出以下对策和建议@@。

 

　　(1)强制@@HTTPS加密@@，保护@@数据传输安全@@

 

　　我国政府@@网站@@应全部实现@@HTTPS安全访问@@，确保公民隐私数据传输安全@@(如举报人的@@个人信息@@、社保账户信息@@、公民档案信息以及各种网上办事系统@@)，重要的@@公共服务平台@@还应逐步设置@@HSTS保护@@，确保用户始终使用@@@@HTTPS加密@@连接@@政府@@服务@@。

 

 

　　(2)启用@@EV绿色@@地址栏@@，安全可信一目了然@@

 

　　遏制假冒政府@@网站@@泛滥@@，仅@@靠目前@@采取的@@@@“党政机关统一标识@@”方案还不够@@，静态图标仍然容易被篡改@@或仿冒@@。政府@@网站@@应该引入基于@@PKI技术的@@@@EV SSL证书@@及全球信任的@@动态签章技术@@，浏览器醒目绿色@@地址栏@@及中文单位名称@@，让用户轻松判断网站身份真实可信@@，实时生成的@@@@EV动态认证签章@@，悬挂在网站上@@，不可复制篡改@@@@!

 

 

　　(3)使用@@国产@@SSL证书@@

 

　　为规避棱镜门等国外监听风险@@，政府@@网站@@不仅@@要全站@@HTTPS，还应选择自主可控的@@国产@@SSL证书@@，不能使用@@国外@@SSL证书@@产品@@，防止加密@@流量被监听@@，防止国家重要民生数据被泄露@@。

 

 

 

　　沃通@@WoSign是中国@@最大的@@自主品牌数字证书@@颁发机构@@(CA)，通过@@WebTrust国际认证及工信部许可@@，符合中国@@标准@@和国际标准@@@@，中国@@SSL证书@@市场占有率第一并领先国外@@CA 8个百分点@@，成为首个赶超国外@@CA的@@中国@@@@SSL证书@@品牌@@。

 

　　沃通@@SSL证书@@能完美兼容所有浏览器@@、服务器及移动终端@@，实现信息安全自主可控的@@同时兼具良好的@@通用性@@。目前@@，沃通@@CA已经为工信部@@、湖北省税务局@@、福建省政府@@@@、深圳住房公积金管理中心@@、深圳社会保险服务@@、中国@@信通院等单位提供@@SSL证书@@产品@@和服务@@，保障政府@@网站@@系统中公民隐私数据传输安全@@，加速@@“互联网@@+政务@@”的@@战略发展@@。