無憂保早報：無憂保不僅是優(yōu)質(zhì)社保繳納平臺，還要做個體社保利益的捍衛(wèi)者，根植用戶，服務(wù)用戶，關(guān)注國家政策，解讀地方信息，實(shí)時跟進(jìn)，解決個體社保繳納和享受社會保障遇到的各個疑難問題。

英國政府發(fā)布官方聲明，從2016年10月1日起，英國所有政府網(wǎng)站強(qiáng)制使用HTTPS加密連接，而美國政府也曾發(fā)布HTTPS-Only標(biāo)準(zhǔn)，要求所有政府網(wǎng)站在2016年底強(qiáng)制使用HTTPS。英美兩國為何先后發(fā)布強(qiáng)制HTTPS政策?HTTPS加密對政府網(wǎng)站安全到底有多么重要?我國政府網(wǎng)站的HTTPS應(yīng)用現(xiàn)狀有何啟示?

網(wǎng)絡(luò)安全形勢堪憂，英美政府強(qiáng)勢推HTTPS加密政策

國際互聯(lián)網(wǎng)安全形勢日益嚴(yán)峻，地下黑色產(chǎn)業(yè)鏈的成熟活躍，政府網(wǎng)站承載著各種公民隱私數(shù)據(jù)，成為黑客組織首要的攻擊目標(biāo)。英美兩國政府都多次爆出重大的政府網(wǎng)站數(shù)據(jù)泄露事件，美國OPM(人事管理辦公室) 400萬聯(lián)邦雇員信息泄露、1.9億美國選民信息泄露以及近期英國國防部軍隊(duì)內(nèi)部資料面臨泄露威脅等安全事件，都在向政府機(jī)構(gòu)發(fā)出警示，政府機(jī)構(gòu)數(shù)據(jù)安全正遭遇著前所未有的巨大威脅。

數(shù)據(jù)泄露的原因涉及多個方面，而由于數(shù)據(jù)未加密或安全協(xié)議不足等基礎(chǔ)防護(hù)問題導(dǎo)致的泄露事件為數(shù)眾多。如果基礎(chǔ)安全防護(hù)不到位，不管啟用多么昂貴的系統(tǒng)同樣不堪一擊。因此，2015年6月，美國政府出臺了HTTPS-Only標(biāo)準(zhǔn)，強(qiáng)制要求聯(lián)邦政府公共服務(wù)網(wǎng)站在2016年底啟用全站HTTPS加密連接。同年9月，英國政府通信總部也曾發(fā)布指南指導(dǎo)、建議使用HTTPS，當(dāng)時并沒有強(qiáng)硬設(shè)置最后期限。然而，隨著政府?dāng)?shù)據(jù)安全事件愈演愈烈，英國政府近期再次發(fā)布最新安全指導(dǎo)細(xì)則要求所有政府網(wǎng)站在2016年10月之前實(shí)現(xiàn)強(qiáng)制HTTPS加密，比美國還要提前3個月實(shí)現(xiàn)政府網(wǎng)站全站HTTPS加密。

英美政府強(qiáng)制HTTPS政策的具體措施

美國政府啟用HTTPS-Only的原則：

(1)所有在聯(lián)邦代理域或子域下的新開發(fā)的網(wǎng)站和服務(wù)必須即刻遵守HTTPS-Only政策;

(2)涉及到個人身份信息交互的、本質(zhì)上特別敏感的或需經(jīng)高級別保密通信的 Web 服務(wù)需部署HTTPS;

(3)聯(lián)邦機(jī)構(gòu)必須在2016年底內(nèi)實(shí)現(xiàn)可通過安全連接(HTTPS Only)訪問到目前所有的網(wǎng)站和服務(wù);

(4)鼓勵但不強(qiáng)制企業(yè)網(wǎng)站和系統(tǒng)也都使用 HTTPS。

英國政府則對啟用HTTPS連接提出了更加細(xì)致的要求：

(1)使用HTTPS加密連接并設(shè)置HSTS(HTTP嚴(yán)格傳輸安全)保護(hù)

啟用HSTS(HTTP嚴(yán)格傳輸安全)保護(hù)，可以確保瀏覽器始終采用HTTPS連接網(wǎng)站服務(wù)，拒絕使用HTTP協(xié)議，避免降級攻擊。英國政府還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預(yù)加載列表，換言之，所有當(dāng)代主流瀏覽器只有通過HTTPS才能訪問政府服務(wù)。

(2)啟用DMARC協(xié)議進(jìn)行電子郵件認(rèn)證

英國政府還規(guī)定，使用DMARC協(xié)議進(jìn)行電子郵件認(rèn)證。DMARC策略將確保公民不會收到由騙子和釣魚者發(fā)出的假冒政府郵件。如果這一策略在2016年10月1日沒有執(zhí)行，郵件可能會被外部電子郵件提供商拒絕。

我國政府網(wǎng)站的HTTPS應(yīng)用現(xiàn)狀

目前我國政府網(wǎng)站的安全問題更加令人擔(dān)憂，隨著“互聯(lián)網(wǎng)+政務(wù)”的戰(zhàn)略提速，大部分電子政務(wù)業(yè)務(wù)都已經(jīng)遷移到互聯(lián)網(wǎng)上，網(wǎng)上辦事變得方便快捷，但相應(yīng)的安全建設(shè)卻沒有及時提上議程，政府門戶網(wǎng)站被篡改、網(wǎng)絡(luò)釣魚、敏感數(shù)據(jù)泄露等事件層出不窮。2015年爆發(fā)的超30省社保數(shù)據(jù)泄露的重大事件，造成數(shù)千萬用戶的個人身份證、社保參保信息、財務(wù)、薪酬、房屋等敏感信息泄露，引發(fā)公眾恐慌，嚴(yán)重影響政府網(wǎng)站公信力。

HTTPS加密作為網(wǎng)站基礎(chǔ)安全機(jī)制，在英美政府強(qiáng)制推動下得到廣泛普及，但在我國政府網(wǎng)站中普及率卻非常之低。沃通CA針對已解析到Gov.cn的68029個政府網(wǎng)站進(jìn)行了統(tǒng)計分析，結(jié)果顯示近90%的政府網(wǎng)站未部署SSL證書，4%的政府網(wǎng)站部署了非常不安全的自簽名證書，5.6%的政府網(wǎng)站證書已過期或無效，僅1.7%的政府網(wǎng)站部署了有效的SSL證書。

HTTPS加密對政府網(wǎng)站安全到底有多么重要?

HTTP是非常不安全的明文傳輸協(xié)議，不提供任何方式的數(shù)據(jù)加密，任何通過HTTP傳輸?shù)臄?shù)據(jù)都以明文形式在網(wǎng)絡(luò)中“裸奔”，無需攻擊或拖庫，就能輕松攔截到用戶敏感數(shù)據(jù);而且HTTP無法驗(yàn)證服務(wù)器身份的真實(shí)性，服務(wù)器返回的請求容易被篡改或者假冒，用戶根本無法察覺。HTTP協(xié)議的缺陷是導(dǎo)致政府網(wǎng)站數(shù)據(jù)泄露、拖庫、數(shù)據(jù)篡改、釣魚仿冒等安全隱患的重要原因。

使用HTTPS加密能夠確保用戶數(shù)據(jù)在傳輸過程中處于加密狀態(tài)，同時驗(yàn)證服務(wù)器身份的真實(shí)性，防止網(wǎng)站被假冒、篡改，有效解決常見的數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持和釣魚欺詐等安全事件，確保用戶和政府網(wǎng)站進(jìn)行信息交互時始終安全。

強(qiáng)制HTTPS加密，中國政府網(wǎng)站更需要!

網(wǎng)絡(luò)安全正在成為影響國家安全及其他領(lǐng)域發(fā)展和成敗的重要因素之一。為了推動“互聯(lián)網(wǎng)+政務(wù)”戰(zhàn)略得到有力執(zhí)行，加強(qiáng)政府網(wǎng)站安全建設(shè)刻不容緩。沃通CA呼吁我國政府也應(yīng)出臺強(qiáng)制HTTPS政策，要求政府網(wǎng)站啟用HTTPS加密，提升公民隱私數(shù)據(jù)的安全防護(hù)，重塑公民網(wǎng)上信心，讓公民信任政府網(wǎng)站提供的公共服務(wù)是安全的。

沃通CA根據(jù)多年的互聯(lián)網(wǎng)安全從業(yè)經(jīng)驗(yàn)，對提升政府網(wǎng)站安全及公信力獻(xiàn)出以下對策和建議。

(1)強(qiáng)制HTTPS加密，保護(hù)數(shù)據(jù)傳輸安全

我國政府網(wǎng)站應(yīng)全部實(shí)現(xiàn)HTTPS安全訪問，確保公民隱私數(shù)據(jù)傳輸安全(如舉報人的個人信息、社保賬戶信息、公民檔案信息以及各種網(wǎng)上辦事系統(tǒng))，重要的公共服務(wù)平臺還應(yīng)逐步設(shè)置HSTS保護(hù)，確保用戶始終使用HTTPS加密連接政府服務(wù)。

遏制假冒政府網(wǎng)站泛濫，僅靠目前采取的“黨政機(jī)關(guān)統(tǒng)一標(biāo)識”方案還不夠，靜態(tài)圖標(biāo)仍然容易被篡改或仿冒。政府網(wǎng)站應(yīng)該引入基于PKI技術(shù)的EV SSL證書及全球信任的動態(tài)簽章技術(shù)，瀏覽器醒目綠色地址欄及中文單位名稱，讓用戶輕松判斷網(wǎng)站身份真實(shí)可信，實(shí)時生成的EV動態(tài)認(rèn)證簽章，懸掛在網(wǎng)站上，不可復(fù)制篡改!

為規(guī)避棱鏡門等國外監(jiān)聽風(fēng)險，政府網(wǎng)站不僅要全站HTTPS，還應(yīng)選擇自主可控的國產(chǎn)SSL證書，不能使用國外SSL證書產(chǎn)品，防止加密流量被監(jiān)聽，防止國家重要民生數(shù)據(jù)被泄露。

沃通WoSign是中國最大的自主品牌數(shù)字證書頒發(fā)機(jī)構(gòu)(CA)，通過WebTrust國際認(rèn)證及工信部許可，符合中國標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)，中國SSL證書市場占有率第一并領(lǐng)先國外CA 8個百分點(diǎn)，成為首個趕超國外CA的中國SSL證書品牌。

沃通SSL證書能完美兼容所有瀏覽器、服務(wù)器及移動終端，實(shí)現(xiàn)信息安全自主可控的同時兼具良好的通用性。目前，沃通CA已經(jīng)為工信部、湖北省稅務(wù)局、福建省政府、深圳住房公積金管理中心、深圳社會保險服務(wù)、中國信通院等單位提供SSL證書產(chǎn)品和服務(wù)，保障政府網(wǎng)站系統(tǒng)中公民隱私數(shù)據(jù)傳輸安全，加速“互聯(lián)網(wǎng)+政務(wù)”的戰(zhàn)略發(fā)展。

無憂保注冊用戶數(shù)突破100萬，成為個體社保在線繳納領(lǐng)域體量最大、功能最全、覆蓋最廣的平臺，全面開啟中國個體社保自由繳時代，同時也奠定了無憂保中國個體在線社保第一品牌的行業(yè)地位。 小編有話說：謝謝這么優(yōu)秀的你來看文章，有什么想對小編說的盡管來吧，大家的支持就是我們的動力，歡迎大家踴躍發(fā)表疑問，歡迎吐槽，社保生態(tài)圈群：248069515