十年技术深耕细作

为您提供各行业互联网私人定制开发解决方案

免费咨询热线15890197308
新闻资讯
把握先机赢得挑战与世界同步
首页 新闻中心 网络安全

联邦政府71%网站已通过SSL测试 我国政府网站安全令人堪忧

来源:数安时代 发布时间:2017-11-30浏览:3174次

联邦政府71%网站已通过SSL测试我国政府网站安全令人堪忧DNSSec(DNS安全扩展)虽然使用越来越广泛,但SSL安全协议目前仍存在不足周一,信息技术与创新基金会发布了一份名为“美国政府网站标杆管理”的报告。其中内容包含了联邦政府网站的性能和安全性的统计数据。报告显示,联邦政府网站部署SSL证书的采用率持续上升。但这并不代表所有的SSL证书的部署都是正确无误的,因此在SSL安全证书方面后续仍有大量的安全改善工作。该报告对468个联邦政府进行了SSL相关的安全测试“为了调查联邦网站是否遵守安全基准的情况,该报告表示...

联邦政府71%网站已通过SSL测试 我国政府网站安全令人堪忧

DNSSec(DNS安全扩展)虽然使用越来越广泛,但SSL安全协议目前仍存在不足

周一,信息技术与创新基金会发布了一份名为“美国政府网站标杆管理”的报告。其中内容包含了联邦政府网站的性能和安全性的统计数据。

报告显示,联邦政府网站部署SSL证书的采用率持续上升。但这并不代表所有的SSL证书的部署都是正确无误的,因此在SSL安全证书方面后续仍有大量的安全改善工作。

1.jpg

该报告对468个联邦政府进行了SSL相关的安全测试

“为了调查联邦网站是否遵守安全基准的情况,该报告表示通过两种不同的方式分别进行测试。第一种,通过Verisign实验室的“DNSSec调试器”,这是一款基于网络的安全工具,用于检查DNSSec的网站,测试数字证书是否在联邦政府网站的“信任链”中得到验证。

第二种,为了检查网站是否启用了HTTPS协议,主要是通过安全工具来检查HTTPS连接的安全套接字层(SSL)证书。Qualys SSL实验室的“SSL服务器测试”分别对公共SSL Web服务器进行了检查,检查的范围包括是:证书,协议的期限,密钥强度和密码强度。该工具还可分析出网站潜在的安全隐患因素,如过期的协议、安全漏洞等。

然后根据分值制度,通过安全工具对网站存在的网络安全问题(如已知的安全漏洞)进行数值评估,最终网站在1-100点之间产生最终的SSL评分。而得分为90分的视为合格。”

报告还给出了最终积分的分析结果,如下:

90%的网站已经启用了DNSSec

只有71%的联邦政府网站通过了SSL测试,这比去年有了小幅度的提升,去年为67%。

但在Alexa 100,000的政府网站中,通行证数量却从78%下降到75%。

今年报告和上年度测试对比,大部分(55%)网站在网络安全方面是没有改善甚至存在下降。

有31%的网站的SSL分数有提升,而14%呈现下降。

在没有变动的网站中,有23%的SSL测试失败。

2.png

图表来源于ITIF

根据联邦政府网站SSL情况分析

除了8%的网站外,其他网站都启用了HTTPS

国际贸易管理局(trade.gov)仍然通过HTTP服务

美国贸易代表(ustr.gov)和国家气象局(weather.com)容易受到POODLE攻击

国际贸易管理局(trade.gov)很容易被攻击。

最后

根据“美国政府网站标杆管理”的报告提供的数据,与我国政府网站SSL证书情况对比,我国政府网站安全情况却是令人堪忧。周一还被各大媒体曝出我国教育机构网站、社保网站被黑客攻击,篡改网站内容。国内信息安全服务商数安时代(GDCA)认为我国政府网站绝大部分的基本网络安全防护十分脆弱,有些甚至毫无安全保护。所以数安时代(GDCA)建议我们政府网站应向美国联邦政府网站学习,尽早完善政府网站的基本防护,对网站进行加密设置。

3.jpg

HTTPS加密协议已经在逐步代替HTTP协议的主流位置,成为网络传输的基本防护。并且今年SSL证书的最长有限期由原来的三年缩短到两年,是希望:1、希望通过不断发行和安装新的证书,可保持网站加密的更新。2、数字证书存在服务器上的时间越长,安全性能越容易过时。

因此每一个服务器需要定期更新SSL证书,确保支持最新的安全协议、密码和算法。