什么是HTTPS-Only标准?
HTTPS-Only标准是美国白宫于2015年6月8日下午发布的官方文件,使HTTPS成为其公共网站联邦安全标准。该标准要求所有可公开访问的联邦网站和网络服务使用HTTPS加密,在2016年12月31日前完成全站HTTPS部署,以后不允许政府网站使用HTTP明文协议。HTTPS-Only标准保证政府网站上各种信息的安全、保护用户的隐私、保证政府网站不会假冒,为公众提供统一的安全浏览环境和隐私保护措施。
“互联网+”战略提速,“+安全”必不可少!
棱镜门事件后,中国政府已经将网络安全上升到了国家战略高度,由国家领导人直接领导中央网络安全和信息化领导小组、宣布出台网络安全审查制度、政府安全产品采购国产化等举措,都显示出我国提升网络安全的坚定决心。国家“互联网+”战略提速,网络信息安全被认为是保障“互联网+”战略实施的重要环节。
为了更好地响应国家安全战略,我国政府的网站很有必要借鉴美国,全面实现HTTPS安全访问,制定中国版的“HTTPS-Only标准”。政府网站虽然基本不涉及资金支付,但其与公民的隐私密切相关,如举报人的个人信息、社保账户信息、公民档案信息,一旦出现泄密或篡改,不仅会给公民造成经济损失,而且将对政府的形象和公信力造成负面影响。
我国电子政务网站信息安全存在的问题
http明文传输:我国几乎所有电子政务网站都没有部署SSL证书来保证用户账户安全和系统机密信息安全。非常容易被非法窃取,而且窃取后无需费力解密。
使用自签证书:我国几乎所有电子政务VPN系统都没有部署浏览器信任的SSL证书来保证安全地访问内网和确保内网系统安全,使用自签证书极易造成中间人攻击。
政务邮件“裸奔”:我国几乎所有电子政务邮件系统都没有部署SSL证书来保证用户账户安全、邮件内容安全和邮件系统安全,所有邮件都非常容易被非法窃取。
政府网站标识易篡改:我国目前采取的“党政机关统一标识”,无可靠PKI技术保障,易被篡改。
http明文窃取示例:通过免费WiFi可监听截获网上政务系统账号密码
电子政务网站HTTPS-Only技术措施
电子政务网站:所有电子政务网站都部署SSL证书来保证用户账户安全和系统机密信息安全防非法窃取,防非法篡改,防止被假冒。
? 政务VPN:所有电子政务VPN系统都部署浏览器信任的SSL证书来保证安全地访问内网和确保内网系统安全。
? 政务邮件系统:所有电子政务邮件系统都部署SSL证书来保证用户账户安全、邮件内容安全和邮件系统安全,防止邮件泄密和被非法窃取。使用客户端证书加密所有电子邮件,确保政务邮件的全程安全。
? 政府网站标识:所有电子政务网站不仅要统一采用.Gov.cn的域名和网站认证标识,还应采用数字证书与认证标识相结合的统一标识方案,浏览器地址栏直观展示政府单位名称、绿色地址栏、安全锁,安全可信。浏览器的安全机制自动验证网站真实身份并显示效果,无法被假冒,从而彻底杜绝认证标识被假冒的问题。
电子政务网站必须选择国产SSL证书
考虑到之前发生的棱镜门等国外监听计划,政府网站不仅要全站HTTPS,还应选择自主可控的国产SSL证书,不能使用国外SSL证书产品,防止加密流量被监听,防止国家重要民生数据被泄露。
由于SSL证书的特殊性,并不是所有国产CA机构都能签发SSL证书,只有通过国际WebTrust认证,才能签发受全球浏览器信任的SSL证书。沃通CA作为工信部许可的CA机构,是我国目前唯一可完全取代国外CA证书的合法CA机构!沃通SSL证书能完美兼容1999年以后的所有浏览器、服务器及移动终端,实现信息安全自主可控的同时,兼具良好的通用性,性能上可完全替代国外SSL证书产品。
沃通CA在中国市场占有率超过50%,已经为工业和信息化部、北京市地震局、湖北省国家税务局、深圳市社会保险基金管理局、深圳市住房公积金管理中心、深圳市道路交通管理中心、福建省经济信息中心等多个党政机关、事业单位提供国产SSL证书产品和服务。
希望我国的政府网站能尽快实现HTTPS的“全覆盖”,这不仅体现了政府对信息安全和公民隐私保护的重视,更会对其他行业起到示范引导作用,让更多的网站安装SSL证书,保护公民的网络信息安全。