2015年中,美国白宫正式发布官方文件,“HTTPS-Only”将成为公共网站联邦安全标准。HTTPS-Only标准要求所有政府网站在2016年12月31日前完成全站https部署。至今,美国政府所有的官方网站全部已经弃用HTTP明文协议,全面实施HTTPS加密协议。美国政府对于HTTTS的实施举措引起了全球的关注,并且马上得到其他国家的政府支持,16年英国政府效仿美国政府的政策,着手要求政府网站全面部署HTTPS安全协议。
英美政府强制HTTPS政策的具体措施
美国政府启用HTTPS-Only的原则:
(1)所有在联邦代理域或子域下的新开发的网站和服务必须即刻遵守HTTPS-Only政策;
(2)涉及到个人身份信息交互的、本质上特别敏感的或需经高级别保密通信的 Web 服务需部署HTTPS;
(3)联邦机构必须在2016年底内实现可通过安全连接(HTTPS Only)访问到目前所有的网站和服务;
(4)鼓励但不强制企业网站和系统也都使用 HTTPS。
英国政府则对启用HTTPS连接提出了更加细致的要求:
(1)使用HTTPS加密连接并设置HSTS(HTTP严格传输安全)保护
启用HSTS(HTTP严格传输安全)保护,可以确保浏览器始终采用HTTPS连接网站服务,拒绝使用HTTP协议,避免降级攻击。英国政府还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表,换言之,所有当代主流浏览器只有通过HTTPS才能访问政府服务。
(2)启用DMARC协议进行电子邮件认证
英国政府还规定,使用DMARC协议进行电子邮件认证。DMARC策略将确保公民不会收到由骗子和钓鱼者发出的假冒政府邮件。如果这一策略在2016年10月1日没有执行,邮件可能会被外部电子邮件提供商拒绝。
什么是HTTPS?
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。 它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。
中国政府网络安全状况?
近年来, 我国政府网站频繁爆发信息安全事件。如2015年我国爆发的超30省社保数据泄露的重大事件,造成数千万用户的个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息泄露。2016年,中国电网被爆大量家庭用户信息被泄露,甚至流入黑市被叫卖。类似事件引发公众恐慌,严重影响政府网站公信力。
HTTPS加密作为网站基础安全机制,在英美政府强制推动下得到广泛普及,但在我国政府网站中普及率却非常之低。据相关数据统计:Gov.cn的68029个政府网站进行了统计分析,结果显示近90%的政府网站未部署SSL证书,4%的政府网站部署了非常不安全的自签名证书,5.6%的政府网站证书已过期或无效,仅1.7%的政府网站部署了有效的SSL证书。
强制HTTPS加密,中国政府网站同等需要!
网络安全正在成为影响国家安全及其他领域发展和成败的重要因素之一。为了推动“互联网+电子政务”战略得到有力执行,加强政府网站安全建设刻不容缓。作为国内信息安全专家GDCA呼吁我国政府也应效仿英美政府,强制实现HTTPS-only政策,要求政府网站全面启用HTTPS加密,提升公民隐私数据的安全,重塑公民网上信心,相信政府网站提供的公共服务是安全的。
领取优惠
提交成功!