等保三級合規要求：全站HTTPS安全升級將成必然

根據網路安全等級保護技術2.0 （簡稱“等保2.0 ”）的第三級等保標準要求：從雲端計算、物聯網、工控系統、移動互聯、大資料安全五個方面著手採用密碼技術保證網路通訊安全，確保通訊過程中資料的完整性、保密性和抗抵賴性。 基於現階段網路環境及等保 2.0 合規要求，全網站採用 進行HTTPS 安全加密將勢在必行！

等保三級安全技術要求

1.      安全通訊網路之通訊傳輸

• a ）應採用校驗技術或密碼技術保證通訊過程中資料的完整性；

• b ）應釆用密碼技術保證通訊過程中資料的保密性。

2.   安全計算環境之資料完整性和保密性

• a ）應採用校驗技術或密碼技術保證重要資料在傳輸過程中的完整性，包括但不限於鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等；

• b ）應釆用密碼技術保證重要資料在傳輸過程中的保密性，包括但不限於鑑別資料、重要業務資料和重要個人資訊等。

（等保2.0 三級安全通訊和計算技術要求）

綜上述合規要求， 部署 SSL 證書實現網站HTTPS 升級是現行網路架構下最安全最快捷的解決方案 ，其原因在於SSL 證書可以：

1.     確保網路傳輸資料的保密性

當使用者透過HTTP 協議訪問網站時，客戶端與伺服器之間傳輸的資料，如賬號、密碼、線上交易記錄等敏感資訊都是明文的，這樣就會存在諸如資訊洩露、竊取、篡改等安全隱患。當部署SSL 證書，將由HTTP 升級到HTTPS 協議進行訪問網站，客戶端與伺服器之間建立起SSL 加密通道，並給網站加上一把安全鎖，從而防止敏感資料被竊聽、洩露或篡改，保證網路資料傳輸的安全，確保通訊資料的保密性和完整性。

（HTTP 與HTTPS 位址列展示對比）

2.     保證網站真實性，防釣魚、防欺詐

由於網際網路的廣泛性和開放性，使得網際網路上存在著許多假冒、釣魚網站。作為企業需要思考的重要問題是如何讓使用者信任自己正在訪問的網站。沒有HTTPS 的網站，駭客可以偽造一個與網站類似的域名製造釣魚網站，企業部署SSL 證書之後，網站實現HTTPS 加密，SSL 證書可以認證伺服器真實身份，可以有效的區別釣魚網站和官方網站。網站部署全球信任的SSL 證書後，瀏覽器內建安全機制，實時查驗證書狀態；此外，當使用者需要確認網站身份時，只需要點選瀏覽器位址列前的安全鎖即可檢視，如此可讓使用者輕鬆識別網站合法身份，增強網站可信度，防止釣魚網站假冒、欺詐。

（EV SSL 證書直觀展示企業名稱）

如果您的網站仍然處於不安全狀態中，銳成資訊建議您全面部署SSL 證書、實施全站HTTPS 加密，滿足等保2.0 的三級安全通用要求，確保網際網路安全協議的傳輸和加密。

 本文轉載於https://www.racent.com/blog/https-encryption-the-fast-cybersecurity-compliance-solution