ENGLISH 4006-WOSIGN
首页>沃通新闻>英美政府网站强制要求HTTPS加密,值得我国借鉴

英美政府网站强制要求HTTPS加密,值得我国借鉴

更新此文章已于2016年7月22日被中国政府网转载

英国政府出台安全规定,从2016年10月1日起,英国所有政府网站强制使用HTTPS加密连接,而美国政府也曾发布HTTPS-Only标准,要求所有政府网站在2016年底强制使用HTTPS。英美两国为何先后发布强制HTTPS政策?HTTPS加密对政府网站安全到底有多么重要?我国政府网站的HTTPS应用现状有何启示?

网络安全形势堪忧,英美政府强势推HTTPS加密政策

国际互联网安全形势日益严峻,地下黑色产业链的成熟活跃,政府网站承载着各种公民隐私数据,成为黑客组织首要的攻击目标。英美两国政府都多次爆出重大的政府网站数据泄露事件,美国OPM(人事管理办公室) 400万联邦雇员信息泄露、1.9亿美国选民信息泄露以及近期英国国防部军队内部资料面临泄露威胁等安全事件,都在向政府机构发出警示,政府机构数据安全正遭遇着前所未有的巨大威胁。

数据泄露的原因涉及多个方面,而由于数据未加密或安全协议不足等基础防护问题导致的泄露事件为数众多。如果基础安全防护不到位,不管启用多么昂贵的系统同样不堪一击。因此,2015年6月,美国政府出台了HTTPS-Only标准,强制要求联邦政府公共服务网站在2016年底启用全站HTTPS加密连接。同年9月,英国政府通信总部也曾发布指南指导、建议使用HTTPS,当时并没有强硬设置最后期限。然而,随着政府数据安全事件愈演愈烈,英国政府近期再次发布最新安全指导细则要求所有政府网站在2016年10月之前实现强制HTTPS加密,比美国还要提前3个月实现政府网站全站HTTPS加密。

英美政府强制HTTPS政策的具体措施

>>美国政府启用HTTPS-Only的原则:

(1)所有在联邦代理域或子域下的新开发的网站和服务必须即刻遵守HTTPS-Only政策;

(2)涉及到个人身份信息交互的、本质上特别敏感的或需经高级别保密通信的 Web 服务需部署HTTPS;

(3)联邦机构必须在2016年底内实现可通过安全连接(HTTPS Only)访问到目前所有的网站和服务;

(4)鼓励但不强制企业网站和系统也都使用 HTTPS。

>>英国政府则对启用HTTPS连接提出了更加细致的要求:

(1)使用HTTPS加密连接并设置HSTS(HTTP严格传输安全)保护

启用HSTS(HTTP严格传输安全)保护,可以确保浏览器始终采用HTTPS连接网站服务,拒绝使用HTTP协议,避免降级攻击。英国政府还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表,换言之,所有当代主流浏览器只有通过HTTPS才能访问政府服务。

(2)启用DMARC协议进行电子邮件认证

英国政府还规定,使用DMARC协议进行电子邮件认证。DMARC策略将确保公民不会收到由骗子和钓鱼者发出的假冒政府邮件。如果这一策略在2016年10月1日没有执行,邮件可能会被外部电子邮件提供商拒绝。

我国政府网站的HTTPS应用现状

目前我国政府网站的安全问题更加令人担忧,随着“互联网+政务”的战略提速,大部分电子政务业务都已经迁移到互联网上,网上办事变得方便快捷,但相应的安全建设却没有及时提上议程,政府门户网站被篡改、网络钓鱼、敏感数据泄露等事件层出不穷。2015年爆发的超30省社保数据泄露的重大事件,造成数千万用户的个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息泄露,引发公众恐慌,严重影响政府网站公信力。

HTTPS加密作为网站基础安全机制,在英美政府强制推动下得到广泛普及,但在我国政府网站中普及率却非常之低。沃通CA针对已解析到Gov.cn的68029个政府网站进行了统计分析,结果显示近90%的政府网站未部署SSL证书4%的政府网站部署了非常不安全的自签名证书,5.6%的政府网站证书已过期或无效,仅1.7%的政府网站部署了有效的SSL证书。

HTTPS加密对政府网站安全到底有多么重要?

HTTP是非常不安全的明文传输协议,不提供任何方式的数据加密,任何通过HTTP传输的数据都以明文形式在网络中“裸奔”,无需攻击或拖库,就能轻松拦截到用户敏感数据;而且HTTP无法验证服务器身份的真实性,服务器返回的请求容易被篡改或者假冒,用户根本无法察觉。HTTP协议的缺陷是导致政府网站数据泄露、拖库、数据篡改、钓鱼仿冒等安全隐患的重要原因。

使用HTTPS加密能够确保用户数据在传输过程中处于加密状态,同时验证服务器身份的真实性,防止网站被假冒、篡改,有效解决常见的数据泄露、数据篡改、流量劫持和钓鱼欺诈等安全事件,确保用户和政府网站进行信息交互时始终安全。

强制HTTPS加密,中国政府网站更需要!

网络安全正在成为影响国家安全及其他领域发展和成败的重要因素之一。为了推动“互联网+政务”战略得到有力执行,加强政府网站安全建设刻不容缓。沃通CA呼吁我国政府也应出台强制HTTPS政策,要求政府网站启用HTTPS加密,提升公民隐私数据的安全防护,重塑公民网上信心,让公民信任政府网站提供的公共服务是安全的。

沃通CA(www.wosign.com)根据多年的互联网安全从业经验,对提升政府网站安全及公信力献出以下对策和建议。

(1)强制HTTPS加密,保护数据传输安全

我国政府网站应全部实现HTTPS安全访问,确保公民隐私数据传输安全(如举报人的个人信息、社保账户信息、公民档案信息以及各种网上办事系统),重要的公共服务平台还应逐步设置HSTS保护,确保用户始终使用HTTPS加密连接政府服务。

深圳住房公积金管理中心

(2)启用EV绿色地址栏,安全可信一目了然

遏制假冒政府网站泛滥,仅靠目前采取的“党政机关统一标识”方案还不够,静态图标仍然容易被篡改或仿冒。政府网站应该引入基于PKI技术的EV SSL证书及全球信任的动态签章技术,浏览器醒目绿色地址栏及中文单位名称,让用户轻松判断网站身份真实可信,实时生成的EV动态认证签章,悬挂在网站上,不可复制篡改!

中国工信部

(3)使用国产SSL证书

为规避棱镜门等国外监听风险,政府网站不仅要全站HTTPS,还应选择自主可控的国产SSL证书,不能使用国外SSL证书产品,防止加密流量被监听,防止国家重要民生数据被泄露。

国产服务器证书

沃通CA符合中国标准和国际标准

沃通WoSign(www.wosign.com)是中国最大的自主品牌数字证书颁发机构(CA),通过WebTrust国际认证及工信部许可,符合中国标准和国际标准,中国SSL证书市场占有率第一并领先国外CA 8个百分点,成为首个赶超国外CA的中国SSL证书品牌。

沃通SSL证书能完美兼容所有浏览器、服务器及移动终端,实现信息安全自主可控的同时兼具良好的通用性。目前,沃通CA已经为工信部、湖北省税务局、福建省政府、深圳住房公积金管理中心、深圳社会保险服务、中国信通院等单位提供SSL证书产品和服务,保障政府网站系统中公民隐私数据传输安全,加速“互联网+政务”的战略发展。

本文首发:沃通CA,转载请保留文章地址:http://www.wosign.com/news/cn-gov-https.htm

相关资讯:

英国政府网站启用HTTPS HSTS DMARC安全保护

英国所有的政府网站将默认启用HTTPS加密

英国政府建议公共服务网站启用全站HTTPS加密

美国正在推进政府网站采用HTTPS-Only标准

中国也需要HTTPS-Only标准