HTTPS是網站安全救世主嗎

n近日鬧的沸沸揚揚的網易郵箱數據泄露事件繼續發酵，幾日前烏雲稱，根據白帽子報告，網易郵箱的用戶資料庫疑似泄露，數量多達5億條，其中包括用戶名、密n碼、密碼提示問題和答案、註冊IP地址、生日等等，部分數據甚至已經在網上流傳。但隨後遭到易否認，稱不存在自身資料庫泄露問題。而國家互聯網應急中心昨n天通報稱，網易郵箱存在泄露情況，但不支持「過億數據泄露」這一判斷。

n無論真相如何，網路安全形勢嚴峻已是不爭的事實，而上個星期百略網也無端遭受了外部網路攻擊，導致了一天的宕機。事實上我們對這種無良行為深惡痛絕，但在譴責這種犯罪行徑的同時，網路安全也必須引起足夠的重視。

網站安全形勢嚴峻

n從去年的iCloud好萊塢明星艷照、到Gmail、eBay數據泄密；從索尼遭遇黑客攻擊到12306網站用戶信息被出售，網路安全事件層出窮，且有越演越烈的趨勢。

n據360年初發布的2014年中國網站安全報告稱：

中國網站存在後門的網站數量大幅攀升

n《報告》披露，目前有漏洞和高危漏洞的網站比例較2013年大幅下降，但網站存在後門的比例和絕對數量卻大幅攀升。2014年全年，360網站安全檢測共n對覆蓋網站199.6萬個的8409台網站伺服器進行了網站後門檢測，發現約3465台伺服器存在後門，佔比41.2%，比2013年增多了7.4個百分n點。

來自互聯網協會的網站安全報告也顯示

n2013年，互聯網黑客地下產業仍然較為活躍，針對中國互聯網站的篡改、後門攻擊事件數量呈現逐年上升趨勢，其中政府網站是重要的攻擊目標。

據了解網站遭受攻擊方式則主要有以下3種方式

網站篡改與後門：

n2014年全年，360網站安全檢測平台共掃描各類網站164.2萬個，其中，被篡改的網站17.7萬個，約佔掃描網站總數的10.8%。這也直接導致了釣魚網站的增多。而這些被篡改的網站也導致了用戶的信息泄露，繼而受到電信、網路詐騙。

通過對8409台網站伺服器進行了網站後門檢測，覆蓋網站199.6萬個，掃描共發現約3465台伺服器存在後門，占所有掃描網站伺服器的41.2%。 統計顯示，伺服器刪除新發現後門的平均周期為8.28天。這種後門漏洞也導致了大量網站頻繁被黑。

漏洞攻擊

n2014年全年，360網站衛士共攔截各類網站漏洞攻擊7.0億次，平均每天攔截漏洞攻擊209.6萬次。

n平均每月有11.0萬個網站遭遇各類漏洞攻擊，其中，11月是網站遭遇漏洞攻擊最為頻繁的一個月，平均每天約有6667個網站遭到漏洞攻擊。

流量攻擊

n流量攻擊一般分為兩類：

1. 通過帶有欺騙性的合法大量數據請求，大流量像洪水一樣來壓垮網路設備和伺服器；（類似於將通道堵塞，使交通癱瘓）

2. 有意製造大量無法完成的不完全請求來快速消耗計算資源，使伺服器沒辦法處理正常的事物和請求。（類似於不斷打騷擾電話，讓伺服器沒辦法正常工作）

n2014年全年，360網站衛士共攔截各類CC攻擊205.0億次，平均每天攔截CC攻擊6138萬次。統計顯示，全年共有15.6萬個網站被遭遇CC攻擊。

n全年，360網站衛士平均每月攔截各類DDoS攻擊744.4Gb/s。5月（1389Gb/s）和7月（1444Gb/s）是全年攔截DDoS攻擊的高峰期。

網站安全問題頻繁，呼喚HTTPS

n面對嚴峻的安全形勢，專家一直呼籲網站能用上加密技術。比如目前，計算機業界以及美國政府正在發起聲勢浩大、牽涉面極廣的網站加密運動，即 HTTPS。

nHTTPS是一種網站加密技術，在說HTTPS之前先講什麼是HTTP，HTTP就是我們平時瀏覽網頁時候使用的一種協議。HTTP協議傳輸的數據都是未n加密的，也就是明文的，因此使HTTP協議傳輸隱私信息非常不安全。為了保證這些隱私數據能加密傳輸，二十年前，網景公司設計了nSSL（Secure Sockets Layer）協議用於對HTTP協議傳輸的數據進行加密，從而就誕生了HTTPS。簡單講是HTTP的安全版。

n繼谷歌之後，百度也在今年年初已經實現全站HTTPS加密搜索，不過我國網站的HTTPS加密普及率仍舊較低，HTTPS加密未來在中國仍然有很長一段路程要走。

HTTPS能解決網站安全問題嗎

n不過網路安全是一項系統的工程，涉及到個人計算機的安全，協議的安全，傳輸數據的安全，以及軟體開發公司和網站的安全，單純的依靠一個HTTPS協議並不能解決所有的問題。

n因此雖然採用HTTPS協議確實可以讓網站的安全性大大提高，但是HTTPS協議所針對的加密範圍較為有限，在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面卻起不到什麼作用。

要不要採用HTTPS

n那麼「到底該不該採用HTTPS協議呢？」如果也有這個疑問的話，就想想怎樣做對你的用戶更友好吧！

n如果網站屬於資金安全的電子商務、金融、以及用戶隱私的社交網路等領域的話，那最好是採用HTTPS協議；反之；如果只是獲取信息的博客、宣傳類網站、分n類信息網站、抑或是新聞網站等不要求用戶登錄的，可不必跟風。畢竟使用HTTPS協議既耗錢，又浪費精力，甚至由於載入緩慢，伺服器資源佔用高等原因在一n定程度上不利於用戶的瀏覽體驗。

n正如360在分析報告中稱：企業網站與管理系統的主要安全問題往往並不是那些技術複雜度很高的網站漏洞，而是一些比較低級的技術錯誤或人為的失誤，主要表現在以下三個方面：密碼安全性不足、運維配置不當、SQL注入漏洞。

以上內容為百略網原創，首發於百略網（百略網-專註泛互聯網商業革新和科技創新），轉載請註明出處！
推薦閱讀：