國際互聯(lián)網(wǎng)安全形勢日益嚴峻，地下黑色產(chǎn)業(yè)鏈的成熟活躍，政府網(wǎng)站承載著各種公民隱私數(shù)據(jù)，成為黑客組織首要的攻擊目標。英美兩國政府都多次爆出重大的政府網(wǎng)站數(shù)據(jù)泄露事件，美國OPM(人事管理辦公室) 400萬聯(lián)邦雇員信息泄露、1.9億美國選民信息泄露以及近期英國國防部軍隊內(nèi)部資料面臨泄露威脅等安全事件，都在向政府機構發(fā)出警示，政府機構數(shù)據(jù)安全正遭遇著前所未有的巨大威脅。

 

　　數(shù)據(jù)泄露的原因涉及多個方面，而由于數(shù)據(jù)未加密或安全協(xié)議不足等基礎防護問題導致的泄露事件為數(shù)眾多。如果基礎安全防護不到位，不管啟用多么昂貴的系統(tǒng)同樣不堪一擊。因此，2015年6月，美國政府出臺了HTTPS-Only標準，強制要求聯(lián)邦政府公共服務網(wǎng)站在2016年底啟用全站HTTPS加密連接。同年9月，英國政府通信總部也曾發(fā)布指南指導、建議使用HTTPS，當時并沒有強硬設置最后期限。然而，隨著政府數(shù)據(jù)安全事件愈演愈烈，英國政府近期再次發(fā)布最新安全指導細則要求所有政府網(wǎng)站在2016年10月之前實現(xiàn)強制HTTPS加密，比美國還要提前3個月實現(xiàn)政府網(wǎng)站全站HTTPS加密。

 

 

　　美國政府啟用HTTPS-Only的原則：

 

　　(1)所有在聯(lián)邦代理域或子域下的新開發(fā)的網(wǎng)站和服務必須即刻遵守HTTPS-Only政策;

 

　　(2)涉及到個人身份信息交互的、本質(zhì)上特別敏感的或需經(jīng)高級別保密通信的 Web 服務需部署HTTPS;

 

　　(3)聯(lián)邦機構必須在2016年底內(nèi)實現(xiàn)可通過安全連接(HTTPS Only)訪問到目前所有的網(wǎng)站和服務;

 

　　(4)鼓勵但不強制企業(yè)網(wǎng)站和系統(tǒng)也都使用 HTTPS。

 

　　英國政府則對啟用HTTPS連接提出了更加細致的要求：

 

　　(1)使用HTTPS加密連接并設置HSTS(HTTP嚴格傳輸安全)保護

 

　　啟用HSTS(HTTP嚴格傳輸安全)保護，可以確保瀏覽器始終采用HTTPS連接網(wǎng)站服務，拒絕使用HTTP協(xié)議，避免降級攻擊。英國政府還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預加載列表，換言之，所有當代主流瀏覽器只有通過HTTPS才能訪問政府服務。

 

　　(2)啟用DMARC協(xié)議進行電子郵件認證

 

　　英國政府還規(guī)定，使用DMARC協(xié)議進行電子郵件認證。DMARC策略將確保公民不會收到由騙子和釣魚者發(fā)出的假冒政府郵件。如果這一策略在2016年10月1日沒有執(zhí)行，郵件可能會被外部電子郵件提供商拒絕。

 

 

　　目前我國政府網(wǎng)站的安全問題更加令人擔憂，隨著“互聯(lián)網(wǎng)+政務”的戰(zhàn)略提速，大部分電子政務業(yè)務都已經(jīng)遷移到互聯(lián)網(wǎng)上，網(wǎng)上辦事變得方便快捷，但相應的安全建設卻沒有及時提上議程，政府門戶網(wǎng)站被篡改、網(wǎng)絡釣魚、敏感數(shù)據(jù)泄露等事件層出不窮。2015年爆發(fā)的超30省社保數(shù)據(jù)泄露的重大事件，造成數(shù)千萬用戶的個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息泄露，引發(fā)公眾恐慌，嚴重影響政府網(wǎng)站公信力。

 

　　HTTPS加密作為網(wǎng)站基礎安全機制，在英美政府強制推動下得到廣泛普及，但在我國政府網(wǎng)站中普及率卻非常之低。沃通CA針對已解析到Gov.cn的68029個政府網(wǎng)站進行了統(tǒng)計分析，結果顯示近90%的政府網(wǎng)站未部署SSL證書，4%的政府網(wǎng)站部署了非常不安全的自簽名證書，5.6%的政府網(wǎng)站證書已過期或無效，僅1.7%的政府網(wǎng)站部署了有效的SSL證書。

 

 

　　HTTP是非常不安全的明文傳輸協(xié)議，不提供任何方式的數(shù)據(jù)加密，任何通過HTTP傳輸?shù)臄?shù)據(jù)都以明文形式在網(wǎng)絡中“裸奔”，無需攻擊或拖庫，就能輕松攔截到用戶敏感數(shù)據(jù);而且HTTP無法驗證服務器身份的真實性，服務器返回的請求容易被篡改或者假冒，用戶根本無法察覺。HTTP協(xié)議的缺陷是導致政府網(wǎng)站數(shù)據(jù)泄露、拖庫、數(shù)據(jù)篡改、釣魚仿冒等安全隱患的重要原因。

 

　　使用HTTPS加密能夠確保用戶數(shù)據(jù)在傳輸過程中處于加密狀態(tài)，同時驗證服務器身份的真實性，防止網(wǎng)站被假冒、篡改，有效解決常見的數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持和釣魚欺詐等安全事件，確保用戶和政府網(wǎng)站進行信息交互時始終安全。

 

 

　　網(wǎng)絡安全正在成為影響國家安全及其他領域發(fā)展和成敗的重要因素之一。為了推動“互聯(lián)網(wǎng)+政務”戰(zhàn)略得到有力執(zhí)行，加強政府網(wǎng)站安全建設刻不容緩。沃通CA呼吁我國政府也應出臺強制HTTPS政策，要求政府網(wǎng)站啟用HTTPS加密，提升公民隱私數(shù)據(jù)的安全防護，重塑公民網(wǎng)上信心，讓公民信任政府網(wǎng)站提供的公共服務是安全的。

 

　　沃通CA根據(jù)多年的互聯(lián)網(wǎng)安全從業(yè)經(jīng)驗，對提升政府網(wǎng)站安全及公信力獻出以下對策和建議。

 

　　(1)強制HTTPS加密，保護數(shù)據(jù)傳輸安全

 

　　我國政府網(wǎng)站應全部實現(xiàn)HTTPS安全訪問，確保公民隱私數(shù)據(jù)傳輸安全(如舉報人的個人信息、社保賬戶信息、公民檔案信息以及各種網(wǎng)上辦事系統(tǒng))，重要的公共服務平臺還應逐步設置HSTS保護，確保用戶始終使用HTTPS加密連接政府服務。

 

 

　　(2)啟用EV綠色地址欄，安全可信一目了然

 

　　遏制假冒政府網(wǎng)站泛濫，僅靠目前采取的“黨政機關統(tǒng)一標識”方案還不夠，靜態(tài)圖標仍然容易被篡改或仿冒。政府網(wǎng)站應該引入基于PKI技術的EV SSL證書及全球信任的動態(tài)簽章技術，瀏覽器醒目綠色地址欄及中文單位名稱，讓用戶輕松判斷網(wǎng)站身份真實可信，實時生成的EV動態(tài)認證簽章，懸掛在網(wǎng)站上，不可復制篡改!

 

 

　　(3)使用國產(chǎn)SSL證書

 

　　為規(guī)避棱鏡門等國外監(jiān)聽風險，政府網(wǎng)站不僅要全站HTTPS，還應選擇自主可控的國產(chǎn)SSL證書，不能使用國外SSL證書產(chǎn)品，防止加密流量被監(jiān)聽，防止國家重要民生數(shù)據(jù)被泄露。

 

 

 

　　沃通WoSign是中國最大的自主品牌數(shù)字證書頒發(fā)機構(CA)，通過WebTrust國際認證及工信部許可，符合中國標準和國際標準，中國SSL證書市場占有率第一并領先國外CA 8個百分點，成為首個趕超國外CA的中國SSL證書品牌。

 

　　沃通SSL證書能完美兼容所有瀏覽器、服務器及移動終端，實現(xiàn)信息安全自主可控的同時兼具良好的通用性。目前，沃通CA已經(jīng)為工信部、湖北省稅務局、福建省政府、深圳住房公積金管理中心、深圳社會保險服務、中國信通院等單位提供SSL證書產(chǎn)品和服務，保障政府網(wǎng)站系統(tǒng)中公民隱私數(shù)據(jù)傳輸安全，加速“互聯(lián)網(wǎng)+政務”的戰(zhàn)略發(fā)展。