近年来,各类网站频繁遭受黑客攻击致使网络瘫痪、内容被篡改,商业机密和用户隐私被窃取,使网站经营者和用户都损失惨重。电商网站和政府服务网站一直是网络攻击的重灾区,京东、当当网都曾遭受过黑客攻击,造成直接经济损失。2015年,多地社保系统被爆存在高危漏洞,超过30个省市,涉及人员达数千万,包括个人身份证、社保参保信息、财务信息、房产等敏感内容。
另据乌云网报道,还有大量政府网站存在被黑客劫持做黑帽SEO的情况,用户访问链接时会被跳转到赌博网站,严重影响政府自身形象,造成政府公信力下降。
数据窃取或成最大隐患
网站面临的主要问题可以归纳为几类,首先是以SQL注入为代表的漏洞攻击,攻击者利用网站程序自身的漏洞入侵系统,破坏服务或篡改数据,达到攻击目的。其次是以CC攻击为代表的DDoS攻击,攻击者利用协议的漏洞像服务器发送请求,消耗服务器性能或带宽资源,使其不能正常对外提供服务。还有一种是中间人攻击,攻击者利用数据传输过程中的网络节点,将数据拦截下来,进行窃取或篡改。
通常来说,网站的管理者会通过各种安全设备和相应技术手段对网站自身做安全加固,检测并修复可能存在的漏洞,拦截异常流量。但其往往忽视了对于传输通道的加密保护,假设网站自身没有安全漏洞,那么黑客是怎么窃取数据的呢?
一般情况下,网站都是通过HTTP协议与用户通讯,数据会经过终端用户的家庭路由器、公共无线WIFI、运营商网络设备、代理服务器等节点,而HTTP协议是明文传输的,用户与服务器交互的所有数据,对于这些网络节点来说,都是可见的。这些“中间节点”的安全性无法保证,黑客可以轻而易举利用这些“中间节点”的漏洞或后门截获这些信息,轻则植入广告,重则恶意篡改网站内容窃取用户个人隐私,给用户和网站都带来了非常不好的影响。
HTTPS加密,保障数据传输安全
通过数据加密技术保障传输过程安全可信是业内的通用做法,在涉及资金、交易、支付和搜索引擎的场景下,这一技术已经运用的非常普遍。
简单来说,就是通过SSL安全套接字技术实现网站从HTTP到HTTPS的转变,使传输过程被加密和认证,为用户构建一条经过安全的访问通路。即使数据被黑客拦截,也无法获取数据包的真实内容,更无法对其内容进行篡改,保证用户能够访问到正确的服务器。
通过SSL安全套接字构建的加密隧道,可以有效保护商业机密和用户隐私,几乎所有的HTTP内容都可以收到保护,比如cookie、URL、表单、查询字符串和代理信息。
各类网站都在使用HTTPS加密
加密算法改造,信息安全更可控
斯诺登事件后,西方国家越来越重视通信安全,W3C和IAB(互联网架构委员会)先后发表了声明,强烈建议网站部署HTTPS。美国政府也于2015年6月宣布了一项新的计划,要求所有美国联邦政府网站在2016年12月31日之前完成全站点的HTTPS加密部署,以后不再允许联邦政府网站使用HTTP协议明文传输数据,每一个以gov为后缀的网站都需要为用户提供一个安全的连接,“HTTPS-Only”成为公共网站联邦安全标准。
美国政府的做法值得借鉴,就国内来说,目前绝大多数政府的网站还没有进行加密,网站本身虽然不涉及资金,但其与公民隐私密切相关,一旦出现泄密,会给政府形象和公信力带来负面影响。考虑到之前国外产品的“后门”事件,政府网站不但要全站加密,更要选择自主可控的加密算法。工信部、国密办共同研究,推出了我国自主研发的国密算法(SM),用于替换商密算法(RSA),保障我国信息化产业安全风险完全自主可控。
深信服应用交付AD产品,可同时支持商密算法(RSA)和国密算法(SM),其部署简单且性能强大,无需改动原有网络结构,通过SSL压力卸载技术帮助用户进行网站HTTPS改造,避免服务器因加密而引起的性能过度消耗,更可帮助用户快速实现加密算法的国密改造。