國(guó)際互聯(lián)網(wǎng)安全形勢(shì)日益嚴(yán)峻，地下黑色產(chǎn)業(yè)鏈的成熟活躍，政府網(wǎng)站承載著各種公民隱私數(shù)據(jù)，成為黑客組織首要的攻擊目標(biāo)。英美兩國(guó)政府都多次爆出重大的政府網(wǎng)站數(shù)據(jù)泄露事件，美國(guó)OPM(人事管理辦公室) 400萬(wàn)聯(lián)邦雇員信息泄露、1.9億美國(guó)選民信息泄露以及近期英國(guó)國(guó)防部軍隊(duì)內(nèi)部資料面臨泄露威脅等安全事件，都在向政府機(jī)構(gòu)發(fā)出警示，政府機(jī)構(gòu)數(shù)據(jù)安全正遭遇著前所未有的巨大威脅。

 

　　數(shù)據(jù)泄露的原因涉及多個(gè)方面，而由于數(shù)據(jù)未加密或安全協(xié)議不足等基礎(chǔ)防護(hù)問(wèn)題導(dǎo)致的泄露事件為數(shù)眾多。如果基礎(chǔ)安全防護(hù)不到位，不管啟用多么昂貴的系統(tǒng)同樣不堪一擊。因此，2015年6月，美國(guó)政府出臺(tái)了HTTPS-Only標(biāo)準(zhǔn)，強(qiáng)制要求聯(lián)邦政府公共服務(wù)網(wǎng)站在2016年底啟用全站HTTPS加密連接。同年9月，英國(guó)政府通信總部也曾發(fā)布指南指導(dǎo)、建議使用HTTPS，當(dāng)時(shí)并沒(méi)有強(qiáng)硬設(shè)置最后期限。然而，隨著政府?dāng)?shù)據(jù)安全事件愈演愈烈，英國(guó)政府近期再次發(fā)布最新安全指導(dǎo)細(xì)則要求所有政府網(wǎng)站在2016年10月之前實(shí)現(xiàn)強(qiáng)制HTTPS加密，比美國(guó)還要提前3個(gè)月實(shí)現(xiàn)政府網(wǎng)站全站HTTPS加密。

 

 

　　美國(guó)政府啟用HTTPS-Only的原則：

 

　　(1)所有在聯(lián)邦代理域或子域下的新開(kāi)發(fā)的網(wǎng)站和服務(wù)必須即刻遵守HTTPS-Only政策;

 

　　(2)涉及到個(gè)人身份信息交互的、本質(zhì)上特別敏感的或需經(jīng)高級(jí)別保密通信的 Web 服務(wù)需部署HTTPS;

 

　　(3)聯(lián)邦機(jī)構(gòu)必須在2016年底內(nèi)實(shí)現(xiàn)可通過(guò)安全連接(HTTPS Only)訪問(wèn)到目前所有的網(wǎng)站和服務(wù);

 

　　(4)鼓勵(lì)但不強(qiáng)制企業(yè)網(wǎng)站和系統(tǒng)也都使用 HTTPS。

 

　　英國(guó)政府則對(duì)啟用HTTPS連接提出了更加細(xì)致的要求：

 

　　(1)使用HTTPS加密連接并設(shè)置HSTS(HTTP嚴(yán)格傳輸安全)保護(hù)

 

　　啟用HSTS(HTTP嚴(yán)格傳輸安全)保護(hù)，可以確保瀏覽器始終采用HTTPS連接網(wǎng)站服務(wù)，拒絕使用HTTP協(xié)議，避免降級(jí)攻擊。英國(guó)政府還計(jì)劃將service.gov.uk提交至瀏覽器廠商的HSTS預(yù)加載列表，換言之，所有當(dāng)代主流瀏覽器只有通過(guò)HTTPS才能訪問(wèn)政府服務(wù)。

 

　　(2)啟用DMARC協(xié)議進(jìn)行電子郵件認(rèn)證

 

　　英國(guó)政府還規(guī)定，使用DMARC協(xié)議進(jìn)行電子郵件認(rèn)證。DMARC策略將確保公民不會(huì)收到由騙子和釣魚(yú)者發(fā)出的假冒政府郵件。如果這一策略在2016年10月1日沒(méi)有執(zhí)行，郵件可能會(huì)被外部電子郵件提供商拒絕。

 

 

　　目前我國(guó)政府網(wǎng)站的安全問(wèn)題更加令人擔(dān)憂，隨著“互聯(lián)網(wǎng)+政務(wù)”的戰(zhàn)略提速，大部分電子政務(wù)業(yè)務(wù)都已經(jīng)遷移到互聯(lián)網(wǎng)上，網(wǎng)上辦事變得方便快捷，但相應(yīng)的安全建設(shè)卻沒(méi)有及時(shí)提上議程，政府門戶網(wǎng)站被篡改、網(wǎng)絡(luò)釣魚(yú)、敏感數(shù)據(jù)泄露等事件層出不窮。2015年爆發(fā)的超30省社保數(shù)據(jù)泄露的重大事件，造成數(shù)千萬(wàn)用戶的個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息泄露，引發(fā)公眾恐慌，嚴(yán)重影響政府網(wǎng)站公信力。

 

　　HTTPS加密作為網(wǎng)站基礎(chǔ)安全機(jī)制，在英美政府強(qiáng)制推動(dòng)下得到廣泛普及，但在我國(guó)政府網(wǎng)站中普及率卻非常之低。沃通CA針對(duì)已解析到Gov.cn的68029個(gè)政府網(wǎng)站進(jìn)行了統(tǒng)計(jì)分析，結(jié)果顯示近90%的政府網(wǎng)站未部署SSL證書(shū)，4%的政府網(wǎng)站部署了非常不安全的自簽名證書(shū)，5.6%的政府網(wǎng)站證書(shū)已過(guò)期或無(wú)效，僅1.7%的政府網(wǎng)站部署了有效的SSL證書(shū)。

 

 

　　HTTP是非常不安全的明文傳輸協(xié)議，不提供任何方式的數(shù)據(jù)加密，任何通過(guò)HTTP傳輸?shù)臄?shù)據(jù)都以明文形式在網(wǎng)絡(luò)中“裸奔”，無(wú)需攻擊或拖庫(kù)，就能輕松攔截到用戶敏感數(shù)據(jù);而且HTTP無(wú)法驗(yàn)證服務(wù)器身份的真實(shí)性，服務(wù)器返回的請(qǐng)求容易被篡改或者假冒，用戶根本無(wú)法察覺(jué)。HTTP協(xié)議的缺陷是導(dǎo)致政府網(wǎng)站數(shù)據(jù)泄露、拖庫(kù)、數(shù)據(jù)篡改、釣魚(yú)仿冒等安全隱患的重要原因。

 

　　使用HTTPS加密能夠確保用戶數(shù)據(jù)在傳輸過(guò)程中處于加密狀態(tài)，同時(shí)驗(yàn)證服務(wù)器身份的真實(shí)性，防止網(wǎng)站被假冒、篡改，有效解決常見(jiàn)的數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持和釣魚(yú)欺詐等安全事件，確保用戶和政府網(wǎng)站進(jìn)行信息交互時(shí)始終安全。

 

 

　　網(wǎng)絡(luò)安全正在成為影響國(guó)家安全及其他領(lǐng)域發(fā)展和成敗的重要因素之一。為了推動(dòng)“互聯(lián)網(wǎng)+政務(wù)”戰(zhàn)略得到有力執(zhí)行，加強(qiáng)政府網(wǎng)站安全建設(shè)刻不容緩。沃通CA呼吁我國(guó)政府也應(yīng)出臺(tái)強(qiáng)制HTTPS政策，要求政府網(wǎng)站啟用HTTPS加密，提升公民隱私數(shù)據(jù)的安全防護(hù)，重塑公民網(wǎng)上信心，讓公民信任政府網(wǎng)站提供的公共服務(wù)是安全的。

 

　　沃通CA根據(jù)多年的互聯(lián)網(wǎng)安全從業(yè)經(jīng)驗(yàn)，對(duì)提升政府網(wǎng)站安全及公信力獻(xiàn)出以下對(duì)策和建議。

 

　　(1)強(qiáng)制HTTPS加密，保護(hù)數(shù)據(jù)傳輸安全

 

　　我國(guó)政府網(wǎng)站應(yīng)全部實(shí)現(xiàn)HTTPS安全訪問(wèn)，確保公民隱私數(shù)據(jù)傳輸安全(如舉報(bào)人的個(gè)人信息、社保賬戶信息、公民檔案信息以及各種網(wǎng)上辦事系統(tǒng))，重要的公共服務(wù)平臺(tái)還應(yīng)逐步設(shè)置HSTS保護(hù)，確保用戶始終使用HTTPS加密連接政府服務(wù)。

 

 

　　(2)啟用EV綠色地址欄，安全可信一目了然

 

　　遏制假冒政府網(wǎng)站泛濫，僅靠目前采取的“黨政機(jī)關(guān)統(tǒng)一標(biāo)識(shí)”方案還不夠，靜態(tài)圖標(biāo)仍然容易被篡改或仿冒。政府網(wǎng)站應(yīng)該引入基于PKI技術(shù)的EV SSL證書(shū)及全球信任的動(dòng)態(tài)簽章技術(shù)，瀏覽器醒目綠色地址欄及中文單位名稱，讓用戶輕松判斷網(wǎng)站身份真實(shí)可信，實(shí)時(shí)生成的EV動(dòng)態(tài)認(rèn)證簽章，懸掛在網(wǎng)站上，不可復(fù)制篡改!

 

 

　　(3)使用國(guó)產(chǎn)SSL證書(shū)

 

　　為規(guī)避棱鏡門等國(guó)外監(jiān)聽(tīng)風(fēng)險(xiǎn)，政府網(wǎng)站不僅要全站HTTPS，還應(yīng)選擇自主可控的國(guó)產(chǎn)SSL證書(shū)，不能使用國(guó)外SSL證書(shū)產(chǎn)品，防止加密流量被監(jiān)聽(tīng)，防止國(guó)家重要民生數(shù)據(jù)被泄露。

 

 

 

　　沃通WoSign是中國(guó)最大的自主品牌數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)(CA)，通過(guò)WebTrust國(guó)際認(rèn)證及工信部許可，符合中國(guó)標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)，中國(guó)SSL證書(shū)市場(chǎng)占有率第一并領(lǐng)先國(guó)外CA 8個(gè)百分點(diǎn)，成為首個(gè)趕超國(guó)外CA的中國(guó)SSL證書(shū)品牌。

 

　　沃通SSL證書(shū)能完美兼容所有瀏覽器、服務(wù)器及移動(dòng)終端，實(shí)現(xiàn)信息安全自主可控的同時(shí)兼具良好的通用性。目前，沃通CA已經(jīng)為工信部、湖北省稅務(wù)局、福建省政府、深圳住房公積金管理中心、深圳社會(huì)保險(xiǎn)服務(wù)、中國(guó)信通院等單位提供SSL證書(shū)產(chǎn)品和服務(wù)，保障政府網(wǎng)站系統(tǒng)中公民隱私數(shù)據(jù)傳輸安全，加速“互聯(lián)網(wǎng)+政務(wù)”的戰(zhàn)略發(fā)展。