数据窃取或成最大隐患
网站面临的主要问题可以归纳为几类,首先是以SQL注入为代表的漏洞攻击,攻击者利用网站程序自身的漏洞入侵系统,破坏服务器或篡改数据,达到攻击目的。其次是以CC攻击为代表的DDoS攻击,攻击者利用协议的漏洞向服务器发送请求,消耗服务器性能或带宽资源,使其不能正常对外提供服务。还有一种是中间人攻击,攻击者利用数据传输过程中的网络节点,将数据拦截下来,进行窃取或篡改。
通常来说,网站的管理者会通过各种安全设备和相应技术手段对网站自身做安全加固,检测并修复可能存在的漏洞,拦截异常流量。但其往往忽视了对于传输通道的加密保护,假设网站自身没有安全漏洞,那么黑客是怎么窃取数据的呢?
一般情况下,网站都是通过HTTP协议与用户通讯,数据会经过终端用户的家庭路由器、公共无线WIFI、运营商网络设备、代理服务器等节点,而HTTP协议是明文传输的,用户与服务器交互的所有数据,对于这些网络节点来说,都是可见的。这些“中间节点”的安全性无法保证,黑客可以轻而易举利用这些“中间节点”的漏洞或后门截获这些信息,轻则植入广告,重则恶意篡改网站内容窃取用户个人隐私,给用户和网站都带来了非常不好的影响。
HTTPS加密,保障数据传输安全
通过数据加密技术保障传输过程安全可信是业内的通用做法,在涉及资金、交易、支付和搜索引擎的场景下,这一技术已经运用的非常普遍。
简单来说,就是通过SSL安全套接字技术实现网站从HTTP到HTTPS的转变。数据在传输过程中会被加密,即使被黑客拦截,也无法获取数据包的真实内容,更无法对内容进行篡改,从而为用户构建一条安全的访问通路。
通过SSL安全套接字构建的加密隧道,可以有效保护商业机密和用户隐私,几乎所有的HTTP内容都可以受到保护,比如cookie、URL、表单、查询字符串和代理信息。
加密算法改造,信息安全更可控
斯诺登事件后,西方国家越来越重视通信安全,W3C和IAB(互联网架构委员会)先后发表了声明,强烈建议网站部署HTTPS。美国政府也于2015年6月宣布了一项新的计划,要求所有美国联邦政府网站在2016年12月31日之前完成全站点的HTTPS加密部署,以后不再允许联邦政府网站使用HTTP协议明文传输数据,每一个以gov为后缀的网站都需要为用户提供一个安全的连接,“HTTPS-Only”成为公共网站联邦安全标准。
美国政府的做法值得借鉴,就国内来说,目前绝大多数政府的网站还没有进行加密,网站本身虽然不涉及资金,但其与公民隐私密切相关,一旦出现泄密,会给政府形象和公信力带来负面影响。考虑到之前国外产品的“后门”事件,政府网站不但要全站加密,更要选择自主可控的加密算法。工信部、国密办共同研究,推出了我国自主研发的国密算法(SM),用于替换商密算法(RSA),保障我国信息化产业安全风险完全自主可控。
鑫塔科技致力于研发专业的安全产品,为您建设安全的网络环境,保驾护航!