• <dd id="hqlm9"></dd>

  • <em id="hqlm9"></em>
  • <form id="hqlm9"><object id="hqlm9"><u id="hqlm9"></u></object></form>
    1. <dd id="hqlm9"></dd>
      【安全合規】網站HTTPS服務部署啟動公告

      一、啟動背景


      監管合規背景

      根據《網絡安全法》,企業需履行一定的義務并承擔網絡安全相關責任。其中,網安法第二十一條:國家實行網絡安全等級保護制度,等保安全制度適用于境內所有信息系統。城市站平臺被監管部門評定為“具有輿論屬性或社會動員功能的互聯網信息服務”的網站。部署SSL證書,為網站提供HTTPS服務,加密應用層數據,是網站合規運營的基礎。


      市場需求背景

      當前對接三方應用,如抖音、頭條、蘋果、微軟、微信小程序等,均強制要求使用HTTPS接入,如果不使用HTTPS請求,相關業務就無法對接,因為這些平臺已經將此列入基本的入門條件。而很多公司之間的業務往來,例如API數據對接,同樣會要求對接的請求是HTTPS加密鏈接。網站提供HTTPS服務,是接入三方應用的必要條件。


      當前狀態

      聯盟于2018年開始啟動網站HTTPS接入,現完成城緣相親、小樂微生活、小程序和部分公用接口等業務部署。PC端門戶網站和移動端手機站暫未部署。


      二、解決的問題


      1、符合當地監管部門對網站安全合規的要求

      1.1、符合網信辦(網絡與信息安全通報中心)對網站安全隱患預防要求

      說明:網信辦統籌協調管理當地網絡安全工作,每年約2-4次左右,執法形式為通報公告

      《網站安全服務評估報告》

      《網站安全態勢感知預警平臺》

      《網站安全隱患處置結果反饋表》

      《網絡與信息安全情況通報》

      1.2、符合網安(公安局網安大隊)對網站安全等保要求

      說明:網安負責網絡安全保護和監督執行工作,要求網站快速反饋,執法頻率高,時間不固定,在特定日期/專項整治期要保持高度警惕,執法形式為通知通告

      《信息安全系統等級保護限期整改通知單》

      《公安機關網絡安全執法檢查自查表》

      《大數據安全專項整治行動》

      《網站安全隱患告知書》

      《計算機安全隱患整改通知書》

      《網站安全風險報告》

      《網站安全檢查記錄表》

      《互聯網信息服務安全評估報告》

      1.3、符合通信管理局對網站安全防護能力的要求

      說明:負責網絡安全監督管理工作,執法頻率低,形式為檢測報告

      《平臺網絡安全防護檢測》

      《應用程序安全保障能力檢測》


      2、解決對接三方應用市場的強制性要求

       如:抖音、頭條要求與之對接或者鏈接的頁面必須啟用HTTPS加密鏈接

      微信小程序接入必須使用HTTPS請求進行網絡通信,不滿足條件的域名和協議無法請求

      支付寶小程序接入必須使用HTTPS請求進行連接

      網銀支付類相關接入必須使用HTTPS請求進行連接

      對接政府網站或政務云接入必須使用HTTPS連接

      IOS、谷歌等平臺接入必須使用HTTPS連接


      3、瀏覽器地址欄安全掛鎖

      消除 http 網站“不安全”警告提示,增加訪客信任度       

      向用戶證明網站的真實身份,防止被釣魚網站攻擊


      4、數據加密傳輸,保護網站安全性

      網站數據由原來的http明文傳輸轉為https加密傳輸,防止信息被竊取和泄露,可有效保護用戶隱私和信息安全

      降低網站被DNS劫持的風險,可有效防止因寬帶流量或DNS劫持而在網站彈出廣告

      降低網站被鏡像的風險,預防被賭博、色情等非法網站的鏡像


      5、提升網站在搜索引擎的排名權重

      谷歌和百度都明確表示優先收錄https的網站


       三、部署對象實施說明


      城市站是個平臺,支持網站的正常運轉是由多個域名主體構成,分別為:

      1、主域名:使用CCOO域名或使用頂級名

      2、業務線分域名:聯盟各業務線申請的個性域名,如相親zccoo/微生活iccoo/投票accoo等

      3、公共資源域名:如圖庫、樣式、公用接口、JS等


      (一)公共域名主體部署

      1、業務線部署已完成(小程序、相親業務線、小樂微生活業務線)

      2、公用資源部署已完成(圖庫、樣式、JS、公用接口)


      (二)獨立域名主體部署

      1、盟友主體域名部署(頂級域名或二級域名都需要)


      為什么CCOO域名也需要獨立部署?

      答:由于HTTPS證書僅支持單站點或單級域名匹配,如www.bc.ccoo.cn就無法使用ccoo.cn的證書。



      四、技術架構




      五、部署所需配套產品及費用


      1、域名HTTPS數字證書,采用DV型泛域名證書

      2、HTTPS網站服務器集群,采用計算網絡增強型ECS服務器

      3、HTTPS網站所需443端口帶寬,單站保底帶寬5M

      4、網站程序改造開發

      5、安裝配置域名HTTPS數字證書及后續維護

      6、HTTPS網站服務器集群后期運維


      六、部署HTTPS的FAQ


      那些網站需要部署HTTPS?

      1、當地監管比較嚴格、政府有明確要求

      2、網站對接大流量平臺(微信、抖音、快手等),有明確市場需要

      3、當地網絡環境惡劣,網站經常被掛馬,用戶體驗較差的網站

      4、網站流量高,在當地有較大影響力,經營面比較寬,企業自身對安全合規要示比較高的站點(早部署早安心)


      部署有費用支出,僅建議有實際需要的網站使用,無迫切需求的網站暫不必采用。


      部署HTTPS為什么要收費?

      由于HTTPS部署時證書僅支持單域名、單級網站。聯盟現實情況是,域名結構不統一,綁定頂級域名站點多,單站關聯的域名多,分手機端、PC端、APP。僅單站部署就需要3個HTTPS證書,按監管要求實現全聯盟部署至少需要上千證書和配套服務器,成本和費用太高無法實施。


      為什么不采用免費證書?

      免費的SSL證書(DV SSL)雖然申請流程簡單、簽發快速,但僅支持加密功能,但存在驗證機制不完善,無法驗證服務器身份,由此引發的潛在威脅較大(此前已有案例),建議謹慎采用。所以我們選擇了使用性價比較高的阿里云進行合作。


      證書類型的選擇?

      我們選擇的證書類型為通配符域名(泛域名)證書,它支持同級匹配。

      例如58同城網配置*.58.com的通配符域名,支持www.58.com/bj.58.com/sh.58.com等同級域名使用,不支持www.bj.58.com和www.sh.58.com使用。

      CCOO現有網站主域名結構為www.bc.ccoo.cn/m.bc.ccoo.cn,無法使用*.ccoo.cn的通配符證書。


      服務器及網絡為什么收費?

      Web 服務器是可以安裝多個 SSL 證書,但是只能使用一個。假設我們在 IIS 建立了網站 A、網站 B,通過綁定主機頭,實現不同的域名獨立訪問,這在 HTTP 中沒問題,但是在 HTTPS 中,雖然我們仍然可以填寫不同的主機頭,但是 SSL 證書同臺服務器只能用一個,即網站A和網站B證書相同。所以需要通過增加服務器設備和IP,對網站和網絡端口進行拆分。


      證書是否長期有效?

      SSL 數字證書無論是免費的域名型或者是付費的企業型,CA 機構都規定了有效期的,從安全性上考慮,不能保證一個合法網站永遠不會成為一個釣魚站點,CA 機構需要定期審核,所以不會頒發永久有效的證書。目前數字證書有效期時長一般為1年。過期之后將無法繼續使用,需要在證書到期前及時續費,并重新綁定域名和提交審核。審核通過后,將獲得一張新的數字證書,需要在服務器上安裝新的數字證書來替換即將過期的證書。


      部署HTTPS的缺點?

      部署需要SSL證書和額外服務器支持,費用越高,流量較小的網站沒有必要使用;

      服務器端資源占用高很多,支持訪客稍多的網站需要投入更大的成本;

      HTTPS協議握手階段比較費時,會使頁面的加載時間延長近10-20%,對網站的響應速度有負面影響。



      參考:配置產品市場報價

      SSL 數字證書、服務器及出口帶寬均采購自阿里云,以下為各產品的阿里云官方報價

      證書

      https://www.aliyun.com/product/cas?spm=5176.12825654.eofdhaal5.19.e9392c4aO5zPBj&aly_as=DcfJfSMY

      服務器

      https://www.aliyun.com/pricing-calculator?spm=5176.8789780.1092586.2.737455cak2XbVL&aly_as=G1GShULX#/add/1207003/vm/vm

      IP帶端口寬

      https://www.aliyun.com/product/eip?spm=5176.12825654.h2v3icoap.72.76902c4aQquAZb



      七、預約部署


      部署需要HTTPS數字證書、服務器硬件配套、證書驗證安裝以及對現有網站程序開發改造和后續維護等,部署時間和成本開支大,將采取預約定制模式。


      預約時間:每月1-20號

      部署時間:每月20-30號


      =======================================================================


      如您對網站安全合規建設有好的建議和需求都可以及時提出,我們會在每月的工作中吸收盟友合理需求和建議,希望大家理解和支持方案的實施,共同打造安全穩定合規的系統平臺。


      ========================================================================



      城市中國運維部

      2020年8月4日

      棋牌娱乐下载