什么是 HTTPS-Only 标准?

HTTPS-Only标准 是美国白宫于2015年6月8日下午发布的官方文件,意在使HTTPS成为其公共网站联邦安全标准。该标准要求所有可公开访问的联邦网站和网络服务使用HTTPS加密,在2016年12月31日前完成全站HTTPS部署,以后不允许政府网站使用HTTP明文协议。HTTPS-Only标准保证政府网站上各种信息的安全、保护用户的隐私、保证政府网站不会假冒,为公众提供统一的安全浏览环境和隐私保护措施。

“互联网+”战略提速,“+安全”必不可少!

棱镜门事件后,中国政府已经将网络安全上升到了国家战略高度,由国家领导人直接领导中央网络安全和信息化领导小组、宣布出台网络安全审查制度、政府安全产品采购国产化等举措,都显示出我国在网络安全上的决心。国家“互联网+”战略提速,网络信息安全被认为是保障“互联网+”战略实施的重要环节。

为了更好地响应国家安全战略,我国政府的网站很有必要借鉴美国,全面实现HTTPS安全访问,制定中国版的“HTTPS-Only标准”。政府网站虽然基本不涉及资金支付,但其与公民的隐私密切相关,如举报人的个人信息、社保账户信息、公民档案信息,一旦出现泄密或篡改,不仅会给公民造成经济损失,而且将对政府的形象和公信力造成负面影响。

我国电子政务系统面临的安全威胁

  • 由于各种电子政务业务都已经移到互联网上,导致大量重要机密信息都在互联网上“裸奔”,已经严重危及到国家安全。

  • 假冒电子政务网站已经泛滥,主要由于不重视政府网站的安全建设,不采用.Gov.cn域名,直接使用老百姓无法记住的IP地址,不积极采取各种安全防范措施。

  • 电子政务邮件也都是“裸奔”,导致各种机密信息都通过明文的邮件系统泄密。

  • 政府内网也都是“裸奔”,物理隔离形同虚设,根本无法解决涉密信息外泄问题。

我国电子政务网站信息安全存在的问题

  • http明文传输:我国几乎所有电子政务网站都没有部署SSL证书来保证用户账户安全和系统机密信息安全。非常容易被非法窃取,而且窃取后无需费力解密。

  • 使用自签证书:我国几乎所有电子政务VPN系统都没有部署浏览器信任的SSL证书来保证安全地访问内网和确保内网系统安全,使用自签证书极易造成中间人攻击。

  • 政务邮件“裸奔”:我国几乎所有电子政务邮件系统都没有部署SSL证书来保证用户账户安全、邮件内容安全和邮件系统安全,所有邮件都非常容易被非法窃取。

  • 政府网站标识易篡改:我国目前采取的“党政机关统一标识”,无可靠PKI技术保障,易被篡改。

欧美电子政务网站信息安全保护措施

  • 美国出台政策明确要求政府网站使用https加密,2016年12月31日实现政府网站全面覆盖https。

  • 欧美所有电子政务网站、政务VPN、政务邮件系统都部署受浏览器信任的SSL证书,使用https加密保护机密数据。

  • 欧美政府网站部署显示绿色地址栏的EV SSL证书,防止钓鱼网站假冒,身份真实可信,用户一目了然。

提升电子政务网站信息安全的技术措施

  • 电子政务网站:所有电子政务网站都部署SSL证书来保证用户账户安全和系统机密信息安全防非法窃取,防非法篡改,防止被假冒。

  • 政务VPN:所有电子政务VPN系统都部署浏览器信任的SSL证书来保证安全地访问内网和确保内网系统安全。

  • 政务邮件系统:所有电子政务邮件系统都部署SSL证书来保证用户账户安全、邮件内容安全和邮件系统安全,防止邮件泄密和被非法窃取。使用客户端证书加密所有电子邮件,确保政务邮件的全程安全。

  • 政府网站标识:所有电子政务网站不仅要统一采用.Gov.cn的域名和网站认证标识,还应采用数字证书与认证标识相结合的统一标识方案,浏览器地址栏直观展示政府单位名称、绿色地址栏、安全锁,安全可信。浏览器的安全机制自动验证网站真实身份并显示效果,无法被假冒,从而彻底杜绝认证标识被假冒的问题。

电子政务网站必须选择国产SSL证书

考虑到之前发生的棱镜门等国外监听计划,政府网站不仅要全站HTTPS,还应选择自主可控的国产SSL证书,不能使用国外SSL证书产品,防止加密流量被监听,防止国家重要民生数据被泄露。

由于SSL证书的特殊性,并不是所有国产CA机构都能签发SSL证书,只有通过国际WebTrust认证,才能签发受全球浏览器信任的SSL证书。沃通CA作为工信部许可的CA机构,是我国目前唯一可完全取代国外CA证书的合法CA机构!沃通SSL证书能完美兼容1999年以后的所有浏览器、服务器及移动终端,实现信息安全自主可控的同时,兼具良好的通用性,性能上可完全替代国外SSL证书产品。

沃通CA在中国市场占有率超过 50%,已经为工业和信息化部、北京市地震局、湖北省国家税务局、深圳市社会保险基金管理局、深圳市住房公积金管理中心、深圳市道路交通管理中心、福建省经济信息中心等多个党政机关、事业单位提供国产SSL证书产品和服务。

电子政务网站SSL证书应用案例

工业和信息化部邮件系统,启用沃通超安EV SSL证书 “深圳市小汽车增量调控管理信息系统”成功部署沃通超真SSL证书 深圳市电子政务资源中心成功部署沃通SSL证书