要知道,HTTP协议是以明文方式发送内容,其不提供任何方式的数据加密,因此信息在传送过程中很容易遭到截取,作为HTTP的安全版,HTTPS被广泛的用于网络上安全敏感的通讯,例如我们常见的在线支付方面。
“据英国政府发布官方声明,从2016年10月1日起,英国所有的政府数字服务(GDS)网站就已被强制要求启用HTTPS加密,所有服务都必须在邮件系统中部署基于域的消息身份验证、报告和合规性(DMARC)策略。另外,美国政府也曾发布HTTPS-Only标准,要求所有政府网站在2016年底强制使用HTTPS。”
英美两国为何先后发布强制HTTPS政策?HTTPS加密对政府网站安全到底有多么重要?对我国政府网站的HTTPS应用现状有何启示?
网络安全形势堪忧,英美政府强势推HTTPS加密政策
国际互联网安全形势日益严峻,地下黑色产业链的成熟活跃,政府网站承载着各种公民隐私数据,成为黑客组织首要的攻击目标。英美两国政府都多次爆出重大的政府网站数据泄露事件,美国OPM(人事管理办公室) 400万联邦雇员信息泄露、1.9亿美国选民信息泄露以及近期英国国防部军队内部资料面临泄露威胁等安全事件,都在向政府机构发出警示,政府机构数据安全正遭遇着前所未有的巨大威胁。
数据泄露的原因涉及多个方面,而由于数据未加密或安全协议不足等基础防护问题导致的泄露事件为数众多。如果基础安全防护不到位,不管启用多么昂贵的系统同样不堪一击。因此,2015年6月,美国政府出台了HTTPS-Only标准,强制要求联邦政府公共服务网站在2016年底启用全站HTTPS加密连接。同年9月,英国政府通信总部也曾发布指南指导、建议使用HTTPS,当时并没有强硬设置最后期限。然而,随着政府数据安全事件愈演愈烈,英国政府近期再次发布最新安全指导细则要求所有政府网站在2016年10月之前实现强制HTTPS加密,比美国还要提前3个月实现政府网站全站HTTPS加密。
英美政府强制HTTPS政策的具体措施
英国政府对启用HTTPS连接提出了细致的要求:
(1)使用HTTPS加密连接并设置HSTS保护
启用HSTS(HTTP严格传输安全)保护,可以确保浏览器始终采用HTTPS连接网站服务,拒绝使用HTTP协议,避免降级攻击。英国政府还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表,换言之,所有当代主流浏览器只有通过HTTPS才能访问政府服务。
(2)启用DMARC协议进行电子邮件认证
英国政府还规定,使用DMARC协议进行电子邮件认证。DMARC策略将确保公民不会收到由骗子和钓鱼者发出的假冒政府邮件。如果这一策略在2016年10月1日没有执行,邮件可能会被外部电子邮件提供商拒绝。
美国政府启用HTTPS-Only的原则:
(1)所有在联邦代理域或子域下的新开发的网站和服务必须即刻遵守HTTPS-Only政策;
(2)涉及到个人身份信息交互的、本质上特别敏感的或需经高级别保密通信的 Web 服务需部署HTTPS;
(3)联邦机构必须在2016年底内实现可通过安全连接(HTTPS Only)访问到目前所有的网站和服务;
(4)鼓励但不强制企业网站和系统也都使用 HTTPS。
我国政府网站的HTTPS应用现状
目前我国政府网站的安全问题更加令人担忧,随着“互联网+政务”的战略提速,大部分电子政务业务都已经迁移到互联网上,网上办事变得方便快捷,但相应的安全建设却没有及时提上议程,政府门户网站被篡改、网络钓鱼、敏感数据泄露等事件层出不穷。2015年爆发的超30省社保数据泄露的重大事件,造成数千万用户的个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息泄露,引发公众恐慌,严重影响政府网站公信力。
HTTPS加密作为网站基础安全机制,在英美政府强制推动下得到广泛普及,但在我国政府网站中普及率却非常之低。CA针对已解析到Gov.cn的68029个政府网站进行了统计分析,结果显示近90%的政府网站未部署SSL证书,4%的政府网站部署了非常不安全的自签名证书,5.6%的政府网站证书已过期或无效,仅1.7%的政府网站部署了有效的SSL证书。
HTTPS加密对政府网站安全到底有多么重要?
HTTP是非常不安全的明文传输协议,不提供任何方式的数据加密,任何通过HTTP传输的数据都以明文形式在网络中“裸奔”,无需攻击或拖库,就能轻松拦截到用户敏感数据;而且HTTP无法验证服务器身份的真实性,服务器返回的请求容易被篡改或者假冒,用户根本无法察觉。HTTP协议的缺陷是导致政府网站数据泄露、拖库、数据篡改、钓鱼仿冒等安全隐患的重要原因。
使用HTTPS加密能够确保用户数据在传输过程中处于加密状态,同时验证服务器身份的真实性,防止网站被假冒、篡改,有效解决常见的数据泄露、数据篡改、流量劫持和钓鱼欺诈等安全事件,确保用户和政府网站进行信息交互时始终安全。
强制HTTPS加密,中国政府网站更需要!
网络安全正在成为影响国家安全及其他领域发展和成败的重要因素之一。为推动“互联网+政务”战略得到有力执行,加强政府网站安全建设,我国政府也应出台强制HTTPS政策,要求政府网站启用HTTPS加密,提升公民隐私数据的安全防护,重塑公民网上信心,让公民信任政府网站提供的公共服务是安全的。