《政府网站发展指引》发布SSL证书保障政府网站安全

阅读 199 ·  发布日期 2019-07-30 ·  本站
        2017年6月8号国务院办公厅印发《政府网站发展指引》(以下简称《指引》),对全国政府网站的建设发展作出明确规范,同时对于政府网站的安全提出了更高的要求。《指引》对政府网站明确提出了以下几项安全要求:
        对重要数据、敏感数据做好加密存储和传输;
        利用对称、非对称的加密技术,对网站数据进行双重加密;
        设置专用加密通道,严格控制数据访问权限,确保安全,防止数据泄露、毁损、丢失;
        防范并及时处理假冒政府网站;
        设置严格的访问控制策略,加强用户管理;
        使用符合国家密码管理政策和标准规范的密码算法和产品;
        提高网站防篡改、防病毒、防攻击、防瘫痪、防劫持、防泄密能力。
        我国政府网站SSL证书部署现状
        SSL证书可有效解决假冒网站、流量劫持、数据泄露和数据篡改等安全问题,已成为全球网站安全建设的基本配置,但目前我国政府网站的SSL证书部署情况仍然堪忧。截至2017年4月,针对已解析到gov.cn的68931个政府网站进行分析统计,结果显示88%的政府网站未部署SSL证书,5%的政府网站证书已过期或无效,4%的政府网站部署非常不安全的自签名证书,仅3%的政府网站部署了有效的SSL证书。而部署了有效SSL证书的网站中,仍存在一些部署问题,例如证书绑定域名与使用证书的网站域名不符等情况。
        SSL证书保障政府网站安全
        通过HTTP明文协议传输的数据,相当于在网络中“裸奔”,随时处在被窃听、篡改、冒充的风险中,而SSL协议就是为了解决这三大风险而设计的。
        SSL证书是保障网站安全的基础防护措施,可实现网站数据加密传输(机密性)、数据完整性校验(完整性)和网站身份认证(真实性)三大主要功能,有效解决假冒网站、流量劫持、数据泄露和数据篡改等安全问题。
        防范假冒政府网站
        SSL证书是由第三方可信证书颁发机构,认证网站服务器身份后颁发的数字证书。网站部署全球信任的SSL证书后,所有浏览器都会自动向用户展示网站身份认证信息,让用户轻松识别政府网站真实身份,防范假冒政府网站。
        如下图,工业和信息化部信息中心的邮件系统,使用了超真SSL证书,可通过证书详细信息确认网站真实身份。
        双向认证控制访问权限
        为服务器端部署SSL证书,为用户颁发客户端证书,并配置服务器双向认证,不仅客户端可以验证服务器端身份,服务器端也可验证客户端用户是否为合法用户,并根据客户端证书配置访问策略、控制访问权限,实现基于客户端证书的角色管理和权限控制。
        网站数据加密传输
        SSL协议是一种实现网络通信加密的安全协议,可在客户端和服务器端之间建立一条加密通道,对网站数据进行加密传输,防止数据被窃取或篡改,提升政府网站防篡改、防劫持、防泄密的能力。
        近年来我国陆续推出网络安全方面的法律政策和指导意见,印发《互联网+政务服务技术体系建设指南》、印发《政府网站发展指引》、《网络安全法》正式实施等,可见我国政府对网络安全的重视程度之高。相信随着《政府网站发展指引》的贯彻落实,将推动政府网站安全建设进程稳步前进。葫芦娃将持续为网站安全提供全方位解决方案,构建安全可信的互联网环境。