近几年来,政府机关、国有企业遭受到网络攻击、数据泄露、伪造网站等问题时有发生。怎样加强信息安全管理,已成为各级政府和机关日益关注的问题。文章从 SSL/TLS 协议的角度分析了如何选择SSL证书来保障政府网站信息安全。
为何政府网站要加强信息安全?
第一,由于政府网站的特殊性,受到社会各方面的广泛关注,受到攻击的几率相对较高。很多政府网站存在或潜在的问题是域名和网页被假冒,网页被直接篡改。根据举报数据发现,有上千个政府假冒网站举报,占总数的百分之四十几。其中安全监管、工商、人力资源等民生部门成为不法分子仿冒的重点对象。若不法分子一旦得逞,不仅会给公众带来经济损失,同时也会严重损害政府的公信力。
第二,根据《政府网站发展指引》第七条:“政府网站要根据网络安全法等要求,贯彻落实网络安全等级保护制度,采取必要措施,对攻击、侵入和破坏政府网站的行为以及影响政府网站正常运行的意外事故进行防范,确保网站稳定、可靠、安全运行。”作为政府职能部门在因特网上的门面,政府网站更应该做好对网络安全的充分防范与维护。
如何使用SSL证书保护政府网站信息安全?
针对上述情况,保证政府网站的安全,实现网站数据加密传输(保密性)、数据完整性校验(完整性)和网站身份认证(真实性),有效解决伪造网站、流量劫持、数据泄露和篡改等安全问题。
数据加密——防止信息被盗用和篡改
在政府信息门户网站和电子政务网站上,用户登录时必须输入帐号、密码并填写各种公民基本帐号等机密信息,如果这些机密信息不经过加密传输,就很可能在传输过程中被非法截取,造成用户敏感信息的泄露。
通过SSL证书,可以在客户端和服务器端之间建立加密通道,对网站数据进行加密传输,保证信息传输的保密性,保护帐户的安全,有效地防止信息的盗用篡改,防止信息的外泄。
身份认证——防止政府网站被伪造
在网站部署SSL证书后,所有浏览器自动向用户显示网站身份认证信息,用户在访问网站时,可通过认证证书所有者的身份信息,确认网站的真实性,防止假冒政府网站。保证网站安全,屏蔽骚扰攻击、钓鱼网站和中间商攻击。
如何选择政府网站的SSL证书?
而与民生关系最为密切的政府、国有企业事业单位,也是国家信息安全保障的重要对象,所以想要升级到 HTTPS 加密协议的网站,需要高安全性、高强度加密,并经过身份认证的SSL证书。
OV SSL证书和EV SSL证书符合上述要求,既可实现政企单位网站数据加密,又可验证政企单位的真实信息。
OV SSL证书:申请时需要对组织的真实信息进行认证,确认申请单位是一个真正合法的组织,用户可以在证书信息中看到申请单位的名称,保护网站的信息安全,同时,也可以有效地防止钓鱼网站的发生。
EV SSL证书:与OV SSL证书相比,EV SSL证书的安全等级更高,并且在通过更严格的审核之后,CA才能颁发证书。EV SSL证书安装之后,一部分浏览器地址栏上会显示绿色的组织名称。使用者可以一目了然地辨别网站的真假,有助于提高政府网站的可信度。
因此,政企单位要加强信息安全,必须选择OV SSL证书或者EV SSL证书,当然选验证级别最高的EV SSL证书效果会更佳。
来源:freebuf.com 2021-05-25 15:41:31 by: CA-沃通WoSign
请登录后发表评论
注册