資訊中心
當前位置:首頁 > 新聞動態 > 企業新聞
數據傳輸隱患多多,你的網站加密了嗎?
發布人:admin發布時間:2016/5/11 13:07:34
近年來,各類網站頻繁遭受黑客攻擊致使網絡癱瘓、內容被篡改,商業機密和用戶隱私被竊取,使網站經營者和用戶都損失慘重。電商網站和政府服務網站一直是網絡攻擊的重災區,京東、當當網都曾遭受過黑客攻擊,造成直接經濟損失。2015年,多地社保系統被爆存在高危漏洞,超過30個省市,涉及人員達數千萬,包括個人身份證、社保參保信息、財務信息、房產等敏感內容。
另據烏云網報道,還有大量政府網站存在被黑客劫持做黑帽SEO的情況,用戶訪問鏈接時會被跳轉到賭博網站,嚴重影響政府自身形象,造成政府公信力下降。
數據竊取或成最大隱患
網站面臨的主要問題可以歸納為幾類,首先是以SQL注入為代表的漏洞攻擊,攻擊者利用網站程序自身的漏洞入侵系統,破壞服務或篡改數據,達到攻擊目的。其次是以CC攻擊為代表的DDoS攻擊,攻擊者利用協議的漏洞像服務器發送請求,消耗服務器性能或帶寬資源,使其不能正常對外提供服務。還有一種是中間人攻擊,攻擊者利用數據傳輸過程中的網絡節點,將數據攔截下來,進行竊取或篡改。
通常來說,網站的管理者會通過各種安全設備和相應技術手段對網站自身做安全加固,檢測并修復可能存在的漏洞,攔截異常流量。但其往往忽視了對于傳輸通道的加密保護,假設網站自身沒有安全漏洞,那么黑客是怎么竊取數據的呢?
一般情況下,網站都是通過HTTP協議與用戶通訊,數據會經過終端用戶的家庭路由器、公共無線WIFI、運營商網絡設備、代理服務器等節點,而HTTP協議是明文傳輸的,用戶與服務器交互的所有數據,對于這些網絡節點來說,都是可見的。這些“中間節點”的安全性無法保證,黑客可以輕而易舉利用這些“中間節點”的漏洞或后門截獲這些信息,輕則植入廣告,重則惡意篡改網站內容竊取用戶個人隱私,給用戶和網站都帶來了非常不好的影響。
HTTPS加密,保障數據傳輸安全
通過數據加密技術保障傳輸過程安全可信是業內的通用做法,在涉及資金、交易、支付和搜索引擎的場景下,這一技術已經運用的非常普遍。
簡單來說,就是通過SSL安全套接字技術實現網站從HTTP到HTTPS的轉變,使傳輸過程被加密和認證,為用戶構建一條經過安全的訪問通路。即使數據被黑客攔截,也無法獲取數據包的真實內容,更無法對其內容進行篡改,保證用戶能夠訪問到正確的服務器。
通過SSL安全套接字構建的加密隧道,可以有效保護商業機密和用戶隱私,幾乎所有的HTTP內容都可以收到保護,比如cookie、URL、表單、查詢字符串和代理信息。
各類網站都在使用HTTPS加密
加密算法改造,信息安全更可控
斯諾登事件后,西方國家越來越重視通信安全,W3C和IAB(互聯網架構委員會)先后發表了聲明,強烈建議網站部署HTTPS。美國政府也于2015年6月宣布了一項新的計劃,要求所有美國聯邦政府網站在2016年12月31日之前完成全站點的HTTPS加密部署,以后不再允許聯邦政府網站使用HTTP協議明文傳輸數據,每一個以gov為后綴的網站都需要為用戶提供一個安全的連接,“HTTPS-Only”成為公共網站聯邦安全標準。
美國政府的做法值得借鑒,就國內來說,目前絕大多數政府的網站還沒有進行加密,網站本身雖然不涉及資金,但其與公民隱私密切相關,一旦出現泄密,會給政府形象和公信力帶來負面影響。考慮到之前國外產品的“后門”事件,政府網站不但要全站加密,更要選擇自主可控的加密算法。工信部、國密辦共同研究,推出了我國自主研發的國密算法(SM),用于替換商密算法(RSA),保障我國信息化產業安全風險完全自主可控。
深信服應用交付AD產品,可同時支持商密算法(RSA)和國密算法(SM),其部署簡單且性能強大,無需改動原有網絡結構,通過SSL壓力卸載技術幫助用戶進行網站HTTPS改造,避免服務器因加密而引起的性能過度消耗,更可幫助用戶快速實現加密算法的國密改造。