等保三级合规要求：全站HTTPS安全加密将势在必行 – 作者:锐成信息Racent

根据网络安全等级保护技术2.0（简称“等保2.0”）的第三级等保标准要求：从云计算、物联网、工控系统、移动互联、大数据安全五个方面着手采用密码技术保证网络通信安全，确保通信过程中数据的完整性、保密性和抗抵赖性。基于现阶段网络环境及等保2.0合规要求，全网站采用SSL证书进行HTTPS安全加密将势在必行！

等保三级安全技术要求

1. 安全通信网络之通信传输

• a）应采用校验技术或密码技术保证通信过程中数据的完整性；
• b）应釆用密码技术保证通信过程中数据的保密性。

2. 安全计算环境之数据完整性和保密性

• a）应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；
• b）应釆用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

（等保2.0三级安全通信和计算技术要求）

综上述合规要求，部署SSL证书实现网站HTTPS升级是现行网络架构下最安全最快捷的解决方案，其原因在于SSL证书可以：

1.    确保网络传输数据的保密性

当用户通过HTTP协议访问网站时，客户端与服务器之间传输的数据，如账号、密码、在线交易记录等敏感信息都是明文的，这样就会存在诸如信息泄露、窃取、篡改等安全隐患。当部署SSL证书，将由HTTP升级到HTTPS协议进行访问网站，客户端与服务器之间建立起SSL加密通道，并给网站加上一把安全锁，从而防止敏感数据被窃听、泄露或篡改，保证网络数据传输的安全，确保通信数据的保密性和完整性。

（HTTP与HTTPS地址栏展示对比）

2.    保证网站真实性，防钓鱼、防欺诈

由于互联网的广泛性和开放性，使得互联网上存在着许多假冒、钓鱼网站。作为企业需要思考的重要问题是如何让用户信任自己正在访问的网站。没有HTTPS的网站，黑客可以伪造一个与网站类似的域名制造钓鱼网站，企业部署SSL证书之后，网站实现HTTPS加密，SSL证书可以认证服务器身份，可以有效的区别钓鱼网站和官方网站。网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态；此外，当用户需要确认网站身份时，只需要点击浏览器地址栏前的安全锁即可查看，如此可让用户轻松识别网站合法身份，增强网站可信度，防止钓鱼网站假冒、欺诈。

（EV SSL证书直观展示企业名称）

如果您的网站仍然处于不安全状态中，锐成信息建议您全面部署SSL证书、实施全站HTTPS加密，满足等保2.0的三级安全通用要求，确保互联网安全协议的传输和加密。

本文转载于https://www.racent.com/blog/https-encryption-the-fast-cybersecurity-compliance-solution

来源：freebuf.com 2021-07-12 18:01:21 by: 锐成信息Racent