要知道，HTTP協(xié)議是以明文方式發(fā)送內(nèi)容，其不提供任何方式的數(shù)據(jù)加密，因此信息在傳送過程中很容易遭到截取，作為HTTP的安全版，HTTPS被廣泛的用于網(wǎng)絡上安全敏感的通訊，例如我們常見的在線支付方面。

“據(jù)英國政府發(fā)布官方聲明，從2016年10月1日起，英國所有的政府數(shù)字服務（GDS）網(wǎng)站就已被強制要求啟用HTTPS加密，所有服務都必須在郵件系統(tǒng)中部署基于域的消息身份驗證、報告和合規(guī)性（DMARC）策略。另外，美國政府也曾發(fā)布HTTPS-Only標準，要求所有政府網(wǎng)站在2016年底強制使用HTTPS。”

英美兩國為何先后發(fā)布強制HTTPS政策？HTTPS加密對政府網(wǎng)站安全到底有多么重要？對我國政府網(wǎng)站的HTTPS應用現(xiàn)狀有何啟示？

網(wǎng)絡安全形勢堪憂，英美政府強勢推HTTPS加密政策

國際互聯(lián)網(wǎng)安全形勢日益嚴峻，地下黑色產(chǎn)業(yè)鏈的成熟活躍，政府網(wǎng)站承載著各種公民隱私數(shù)據(jù)，成為黑客組織首要的攻擊目標。英美兩國政府都多次爆出重大的政府網(wǎng)站數(shù)據(jù)泄露事件，美國OPM(人事管理辦公室) 400萬聯(lián)邦雇員信息泄露、1.9億美國選民信息泄露以及近期英國國防部軍隊內(nèi)部資料面臨泄露威脅等安全事件，都在向政府機構(gòu)發(fā)出警示，政府機構(gòu)數(shù)據(jù)安全正遭遇著前所未有的巨大威脅。

數(shù)據(jù)泄露的原因涉及多個方面，而由于數(shù)據(jù)未加密或安全協(xié)議不足等基礎防護問題導致的泄露事件為數(shù)眾多。如果基礎安全防護不到位，不管啟用多么昂貴的系統(tǒng)同樣不堪一擊。因此，2015年6月，美國政府出臺了HTTPS-Only標準，強制要求聯(lián)邦政府公共服務網(wǎng)站在2016年底啟用全站HTTPS加密連接。同年9月，英國政府通信總部也曾發(fā)布指南指導、建議使用HTTPS，當時并沒有強硬設置最后期限。然而，隨著政府數(shù)據(jù)安全事件愈演愈烈，英國政府近期再次發(fā)布最新安全指導細則要求所有政府網(wǎng)站在2016年10月之前實現(xiàn)強制HTTPS加密，比美國還要提前3個月實現(xiàn)政府網(wǎng)站全站HTTPS加密。

英美政府強制HTTPS政策的具體措施

英國政府對啟用HTTPS連接提出了細致的要求：

(1)使用HTTPS加密連接并設置HSTS保護

啟用HSTS(HTTP嚴格傳輸安全)保護，可以確保瀏覽器始終采用HTTPS連接網(wǎng)站服務，拒絕使用HTTP協(xié)議，避免降級攻擊。英國政府還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預加載列表，換言之，所有當代主流瀏覽器只有通過HTTPS才能訪問政府服務。

(2)啟用DMARC協(xié)議進行電子郵件認證

英國政府還規(guī)定，使用DMARC協(xié)議進行電子郵件認證。DMARC策略將確保公民不會收到由騙子和釣魚者發(fā)出的假冒政府郵件。如果這一策略在2016年10月1日沒有執(zhí)行，郵件可能會被外部電子郵件提供商拒絕。

美國政府啟用HTTPS-Only的原則：

(1)所有在聯(lián)邦代理域或子域下的新開發(fā)的網(wǎng)站和服務必須即刻遵守HTTPS-Only政策；

(2)涉及到個人身份信息交互的、本質(zhì)上特別敏感的或需經(jīng)高級別保密通信的 Web 服務需部署HTTPS；

(3)聯(lián)邦機構(gòu)必須在2016年底內(nèi)實現(xiàn)可通過安全連接（HTTPS Only）訪問到目前所有的網(wǎng)站和服務；

(4)鼓勵但不強制企業(yè)網(wǎng)站和系統(tǒng)也都使用 HTTPS。

我國政府網(wǎng)站的HTTPS應用現(xiàn)狀

目前我國政府網(wǎng)站的安全問題更加令人擔憂，隨著“互聯(lián)網(wǎng)+政務”的戰(zhàn)略提速，大部分電子政務業(yè)務都已經(jīng)遷移到互聯(lián)網(wǎng)上，網(wǎng)上辦事變得方便快捷，但相應的安全建設卻沒有及時提上議程，政府門戶網(wǎng)站被篡改、網(wǎng)絡釣魚、敏感數(shù)據(jù)泄露等事件層出不窮。2015年爆發(fā)的超30省社保數(shù)據(jù)泄露的重大事件，造成數(shù)千萬用戶的個人身份證、社保參保信息、財務、薪酬、房屋等敏感信息泄露，引發(fā)公眾恐慌，嚴重影響政府網(wǎng)站公信力。

HTTPS加密作為網(wǎng)站基礎安全機制，在英美政府強制推動下得到廣泛普及，但在我國政府網(wǎng)站中普及率卻非常之低。CA針對已解析到Gov.cn的68029個政府網(wǎng)站進行了統(tǒng)計分析，結(jié)果顯示近90%的政府網(wǎng)站未部署SSL證書，4%的政府網(wǎng)站部署了非常不安全的自簽名證書，5.6%的政府網(wǎng)站證書已過期或無效，僅1.7%的政府網(wǎng)站部署了有效的SSL證書。

HTTPS加密對政府網(wǎng)站安全到底有多么重要？

HTTP是非常不安全的明文傳輸協(xié)議，不提供任何方式的數(shù)據(jù)加密，任何通過HTTP傳輸?shù)臄?shù)據(jù)都以明文形式在網(wǎng)絡中“裸奔”，無需攻擊或拖庫，就能輕松攔截到用戶敏感數(shù)據(jù)；而且HTTP無法驗證服務器身份的真實性，服務器返回的請求容易被篡改或者假冒，用戶根本無法察覺。HTTP協(xié)議的缺陷是導致政府網(wǎng)站數(shù)據(jù)泄露、拖庫、數(shù)據(jù)篡改、釣魚仿冒等安全隱患的重要原因。

使用HTTPS加密能夠確保用戶數(shù)據(jù)在傳輸過程中處于加密狀態(tài)，同時驗證服務器身份的真實性，防止網(wǎng)站被假冒、篡改，有效解決常見的數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持和釣魚欺詐等安全事件，確保用戶和政府網(wǎng)站進行信息交互時始終安全。

強制HTTPS加密，中國政府網(wǎng)站更需要！

網(wǎng)絡安全正在成為影響國家安全及其他領域發(fā)展和成敗的重要因素之一。為推動“互聯(lián)網(wǎng)+政務”戰(zhàn)略得到有力執(zhí)行，加強政府網(wǎng)站安全建設，我國政府也應出臺強制HTTPS政策，要求政府網(wǎng)站啟用HTTPS加密，提升公民隱私數(shù)據(jù)的安全防護，重塑公民網(wǎng)上信心，讓公民信任政府網(wǎng)站提供的公共服務是安全的。