360公司创始人、总裁齐向东近日在中国政务和公益机构域名注册管理中心(CONAC)与360的战略合作协议签署仪式上表示,针对当前的网站安全形势,解决中国网站安全问题需要分两步走,第一步是政企联合,对党政机关及事业单位网站进行域名、IP、标识等信息的云端服务认证,并通过互联网终端产品进行展示。第二步是用3-5年时间,在全国范围内推广使用数字签名证书,让假冒网站等行为付出高昂的犯罪成本。
政务类网站是安全重灾区
国内最大的漏洞响应平台补天的数据显示,2015年以来,补天平台共收录白帽子报告安全漏洞37523个。其中,4039个政府及事业单位网站的安全漏洞达4126个,占漏洞报告总量的11%,按照行业领域划分,排名第一。这些漏洞里,地市及以下行政级别的政府及事业单位网站问题尤为严重,占到了51%。
今年以来,补天平台收录的4126个政府及事业单位网站漏洞中,共有339个漏洞可能造成个人信息泄露,涉及的可泄露个人信息总量高达17.7亿条。
“由于政府及事业单位、公益网站的权重高,通过对这类网站进行暗链植入、篡改等手段,可以获得巨大的经济利益,在利益的驱动下,这类犯罪行为尤为猖獗。”齐向东介绍。
政企联合推进互联网治理
政务和公益机构域名注册管理中心(CONAC)与360的联合,旨在利用360公司的强大安全保障能力和透过广大的用户群体,通过规范与管理我国党政机关、事业单位和社会组织的网上名称及其网站标识,为公众建立一条快速、准确访问政务部门和公益机构网站的绿色通道,从源头上切断新型互联网诈骗。同时,也保护党政机关、事业单位和社会组织的合法权益,以推动我国政务公开和电子政务的发展。
CONAC将根据党政机关向机构编制部门提出的申请进行核准,统一颁发网站标识,这一标识包含可公开的单位基本信息和网上名称信息等内容,并显示在网站显著位置。
通过政企联合,对党政机关及事业单位网站进行域名、IP、标识等信息的云端服务认证,并通过互联网终端产品进行展示。
数字签名认证已成大趋势
齐向东认为,网站标识的推行,是互联网治理迈出的一大步,但要想治本,还需要第二步,即推行目前国际通行的数字证书验证机制。“万物互联的时代,已经无法用浏览器或者安全软件的思路去解决网站安全问题。我们需要创新的机制和思维方式。随着新型终端、技术手段的不断涌现,数字签名认证已经是大势所趋。”
据了解,美国白宫要求所有政府网站都必须在2016年12月31日之前完成全站https加密,英国政府也发布了要求所有政府网站都必须采用全站https加密的征求意见稿。
数字证书的优点在于高度安全,难以仿冒。同时,数字证书全球通用,不受浏览器、应用和App的限制。
“我国几乎所有电子政务网站都没有使用数字证书。”齐向东建议:“我们需要拥有自主可控、全球通行的数字认证,有条件的单位应尽快推动数字证书的认证,开启互联网安全的新篇章。”
原文发布时间为:2015-12-01