数据传输隐患多多,你的网站加密了吗?
  

Sangfor_闪电回_朱丽 9266

{{ttag.title}}
数据传输隐患多多,你的网站加密了吗?


       近年来,各类网站频繁遭受黑客攻击致使网络瘫痪、内容被篡改,商业机密和用户隐私被窃取,使网站经营者和用户都损失惨重。电商网站和政府服务网站一直是网络攻击的重灾区,京东、某公司都曾遭受过黑客攻击,造成直接经济损失。2015年,多地社保系统被爆存在高危漏洞,超过30个省市,涉及人员达数千万,包括个人身份证、社保参保信息、财务信息、房产等敏感内容。


       另据乌云网报道,还有大量政府网站存在被黑客劫持做黑帽SEO的情况,用户访问链接时会被跳转到赌博网站,严重影响政府自身形象,造成政府公信力下降。


数据窃取或成最大隐患

      网站面临的主要问题可以归纳为几类,首先是以SQL注入为代表的漏洞攻击,攻击者利用网站程序自身的漏洞入侵系统,破坏服务或篡改数据,达到攻击目的。其次是以CC攻击为代表的DDoS攻击,攻击者利用协议的漏洞像服务器发送请求,消耗服务器性能或带宽资源,使其不能正常对外提供服务。还有一种是中间人攻击,攻击者利用数据传输过程中的网络节点,将数据拦截下来,进行窃取或篡改。


      通常来说,网站的管理者会通过各种安全设备和相应技术手段对网站自身做安全加固,检测并修复可能存在的漏洞,拦截异常流量。但其往往忽视了对于传输通道的加密保护,假设网站自身没有安全漏洞,那么黑客是怎么窃取数据的呢?


      一般情况下,网站都是通过HTTP协议与用户通讯,数据会经过终端用户的家庭路由器、公共无线WIFI、运营商网络设备、代理服务器等节点,而HTTP协议是明文传输的,用户与服务器交互的所有数据,对于这些网络节点来说,都是可见的。这些“中间节点”的安全性无法保证,黑客可以轻而易举利用这些“中间节点”的漏洞或后门截获这些信息,轻则植入广告,重则恶意篡改网站内容窃取用户个人隐私,给用户和网站都带来了非常不好的影响。


                              
HTTPS加密,保障数据传输安全
       通过数据加密技术保障传输过程安全可信是业内的通用做法,在涉及资金、交易、支付和搜索引擎的场景下,这一技术已经运用的非常普遍。


      简单来说,就是通过SSL安全套接字技术实现网站从HTTP到HTTPS的转变,使传输过程被加密和认证,为用户构建一条经过安全的访问通路。即使数据被黑客拦截,也无法获取数据包的真实内容,更无法对其内容进行篡改,保证用户能够访问到正确的服务器。


       通过SSL安全套接字构建的加密隧道,可以有效保护商业机密和用户隐私,几乎所有的HTTP内容都可以收到保护,比如cookie、URL、表单、查询字符串和代理信息。

各类网站都在使用HTTPS加密

加密算法改造,信息安全更可控

      斯诺登事件后,西方国家越来越重视通信安全,W3C和IAB(互联网架构委员会)先后发表了声明,强烈建议网站部署HTTPS。美国政府也于2015年6月宣布了一项新的计划,要求所有美国联邦政府网站在2016年12月31日之前完成全站点的HTTPS加密部署,以后不再允许联邦政府网站使用HTTP协议明文传输数据,每一个以gov为后缀的网站都需要为用户提供一个安全的连接,“HTTPS-Only”成为公共网站联邦安全标准。



      美国政府的做法值得借鉴,就国内来说,目前绝大多数政府的网站还没有进行加密,网站本身虽然不涉及资金,但其与公民隐私密切相关,一旦出现泄密,会给政府形象和公信力带来负面影响。考虑到之前国外产品的“后门”事件,政府网站不但要全站加密,更要选择自主可控的加密算法。工信部、国密办共同研究,推出了我国自主研发的国密算法(SM),用于替换商密算法(RSA),保障我国信息化产业安全风险完全自主可控。


      某公司应用交付AD产品,可同时支持商密算法(RSA)和国密算法(SM),其部署简单且性能强大,无需改动原有网络结构,通过SSL压力卸载技术帮助用户进行网站HTTPS改造,避免服务器因加密而引起的性能过度消耗,更可帮助用户快速实现加密算法的国密改造。

对于网站加密传输,您怎么看?欢迎跟帖,分享您使用的防护策略或您遇到的网站安全问题~
每条分享可获得200S豆的奖励!

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

carl 发表于 2016-6-17 11:16
  
最近访问的很多网站,都被加密了,像百度,QQ之类的,AD确实做了件大好事呀,支持!
adds 发表于 2016-7-1 16:43
  
这么好的帖子怎么就沉了呢?顶上去,让更多的小伙伴看到。
2015年,美国政府要求所有的联邦政府网站在2017年前完成网站从HTTP向HTTPS的转换工作。--我觉得中国政府真的好好借鉴下。
安全不能仅仅停留在口号上,更要有行动。除了上架设备,我们还要学习怎么使用这些先进的安全设备为自己的网络平台搭建起完善的安全系统。
小少 发表于 2016-7-5 15:53
  
虽然https并不完全等于安全,js中间人投毒,https降级攻击,浏览器恶意插件等攻击手段还是能窃取(其实我也不懂),但是要实现那样的入侵也不是简单的事情,加重入侵成本,还是有用的。附上以上三种窃取手段的资料。
http://mp.weixin.qq.com/s?__biz= ... e=0#wechat_redirect
北回归线 发表于 2016-7-16 08:17
  
现在国内的很多网站都在慢慢的采用SSL加密了,数据传输的安全也越来越重视。自从315曝光了wifi安全问题后,发现安全隐患真的令人堪忧啊,大部分的APP都没做SSL加密,公共wifi都不敢连接了。
新手494742 发表于 2019-5-9 10:29
  
好东西,收藏了
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
自助服务平台操作指引
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人