网站安全云服务本地化部署方案

一、国密HTTPS加密改造，很难

所有网站都必须实现https加密，否则所有浏览器都会提示“不安全”，这是因为用户在网站上输入的各种机密信息将明文传输到云端服务器上，非常容易被非法截获或被非法篡改，无法保障网站访问者的安全。即使是仅有静态信息页面，如果不采用https加密，则会泄露网站访问者的访问行为隐私，页面中链接到其他系统的链接非常容易被非法篡改而导致用户被链接到一个假冒的上游网站或假冒的登录页面，一样会导致用户的机密信息泄露和影响用户在其他系统的账户安全和信息安全。这就是为何业界一直在推广全站https加密，所有网站都应该抛弃http方式，全部实现https加密方式。

而我国网站还有《密码法》、《网络安全法》和《数据安全法》等法律法规的合规要求，这些法规要求网站必须采用国密算法实现国密https加密！这就要求国密改造，使得网站系统Web服务器支持国密算法，需要在服务器部署国密SSL证书，使用支持国密算法的浏览器来实现国密https加密。国密浏览器有完全免费的零信浏览器，这不是问题；国密SSL证书也已经有多家CA机构可以签发，证签技术有免费国密SSL证书可以申请，这也不是问题。问题就卡在Web服务器的升级改造和安装SSL证书上了。当然，用户可以选用零信网站安全云服务，零改造实现国密https加密，但是有些用户自己有机房，自己有服务器，希望不依赖于第三方服务而实现完全自主可控。

最关键的是，现有的业务系统已经成熟运行多年，如电子政务服务系统、企业管理系统，这些系统业务不能停，不能动这些服务器，这是国密改造的最大难处！必须改造但又不能改造，保证业务系统稳定不中断运行是第一要务，https加密和国密https加密是第二要务。怎么办？

二、零信技术解决方案—原网站零改造，全自动实现国密HTTPS加密，很容易

零信技术的解决方案是把零改造实现国密https加密的网站安全云服务变成本地产品让用户本地化部署，一样可以零改造实现国密https加密！

如下左图所示，这是零信网站安全云服务的示意图，用户只需做3次域名解析即可通过零信云SSL系统自动配置国密SSL证书和国际SSL证书到阿里云WAF+CDN系统中，全自动实现https加密和卸载转发，自适应加密算法，零信浏览器优先采用国密算法实现国密https加密。而本地化部署方案如下右图所示，在用户机房本地部署一台零信国密HTTPS加密自动化网关，由网关来对接零信云SSL系统自动化获取国密SSL证书和国际SSL证书，并自动化部署在网关中实现自适应加密算法的https加密，国密HTTPS加密自动化网关同时实现https卸载后转发到内部源网站(原网站)，后面的原网站零改造实现国密https加密。

1.国密HTTPS加密自动化网关：MHG-1

零信国密HTTPS加密自动化网关MHG-1是一个集https加密响应、https卸载转发、国密算法模块、SSL证书自动化、负载均衡等多项功能于一体的高性能网站安全硬件网关设备，内置专业级高性能硬件密码卡和硬件加速卡实现高速密码运算和网络包转发，并且对内置操作系统、网络协议、SSL/TLS协议和密码算法都进行了专业的深度优化，实现了业界领先的极致性能：HTTPS新建连接可达到5万次/秒、HTTPS吞吐量可达到32Gbps、HTTPS并发量可达到300万个连接。

零信国密HTTPS加密自动化网关的一个重要模块是国密算法模块，支持采用国密SSL证书和采用国密算法实现https加密，支持同浏览器握手协商加密协议是优先采用国密算法，使得零信浏览器能优先采用国密算法同网关建立https连接。当然，支持所有国际算法(RSA和ECC算法)，支持所有浏览器协商各种安全加密套件实现https加密。这就满足了用户需要的国密合规和全球信任的应用需求，因为用于互联网公众服务的网站系统不能强制要求用户采用何种浏览器，必须同时支持国密浏览器和非国密浏览器。

零信国密HTTPS加密自动化网关同其他类似产品有一个最大的不同是：内置国密ACME客户端软件，自动对接零信云SSL系统的ACME服务系统，自动完成域名验证、双算法SSL证书申请、双算法SSL证书取回并部署使用，以自动化实现https加密，并且是自适应加密和优先采用国密算法。用户无需手动向CA申请SSL证书和手动配置SSL证书，同时也无需在证书到期时又要手动重新申请证书并重新安装证书，不会发生人工管理证书而有可能忘了证书续期而导致业务系统中断而影响业务的正常运行。整个SSL证书的全生命周期管理都由内置的国密ACME客户端软件自动化完成，实现24小时x 365天的不间断https加密服务。自动配置的国密SSL证书支持国密证书透明，国际SSL证书支持国际证书透明，有力保障双SSL证书的自身安全可信。

为了保证网站系统的不间断https加密服务，强烈推荐双机热备方式运行，不仅可以实现双机负载均衡(第四层和第七层)，而且可以实现一旦一台设备故障另一台设备秒级失效切换。支持Master/Master与Master/Backup集群方式，支持多达32个集群节点，支持各种均衡调度算法、支持会话保持，支持轮询、加权轮询、最少连接、最短响应时间和IP哈希等。

零信国密HTTPS加密自动化网关即插即用，部署在网站服务器的前端，原网站服务器无需任何改动，即可实现无缝从http升级到https工作方式，并且是满足国密合规的国密https加密方式。其强大的https卸载转发功能为网站服务器提供了额外的性能增强支持，不仅完全无需增加https加解密负担，而且增强了对外响应能力和处理用户请求能力。零信国密HTTPS加密自动化网关的零改造、零维护、零影响的无缝切换，是国密https加密改造和系统安全从http升级到https的首选和必选。

2.国密HTTPS加密自动化网关+WAF模块/WAF设备

本方案是在国密HTTPS加密自动化网关的基础上增加WAF模块，支持常用的Web应用防火墙功能，如：阻止SQL注入、阻止跨站脚本攻击(XSS)、阻止利用本地文件包含漏洞进行攻击、阻止利用远程文件(包含漏洞)进行攻击、阻止利用远程命令执行漏洞进行攻击、阻止PHP代码注入、阻止违反HTTP协议的恶意访问、阻止利用远程代理感染漏洞进行攻击、阻止利用Shellshock漏洞进行攻击、阻止利用Session会话ID不变的漏洞进行攻击、阻止恶意扫描网站、阻止源代码或错误信息泄露、蜜罐项目黑名单、根据判断IP地址归属地来进行IP阻断等等。

如果用户已经购买了WAF设备，则无需选购WAF模块，只需在WAF设备之前部署国密HTTPS加密自动化网关即可，WAF设备只需负责解析明文http内容做出相应的防护，无需再向CA申请SSL证书部署在WAF设备上。

三、政务云国密HTTPS加密自动化管理平台
原网站零改造，从定制政务专用SSL中级根证书自主签发政务网站SSL证书

目前，我国各省市政务云硬件和软件建设非常迅速，并已经形成了一定的规模，有些省政务云平台已经为上万个政务网站提供了Web服务，但是由于部署SSL证书很难，根本不可能为所有这么多网站系统部署SSL证书，这就是为何目前各省政务云平台只是在省门户网站部署了SSL证书，而其他几乎是所有局委办官网和各下属市区县政府网站都是”不安全的”http网站！还有一个原因是必须保证现有的网站系统正常运行，不能因为需要实现https加密而影响了政务业务的正常运行。这是非常矛盾的决策，因为未实现https加密，没有安全保障，也是会影响政务业务的正常运行的。

唯一的解决方案是零改造实现国密https加密，同时需要实现完全自主可控，自主签发国密SSL证书和国际SSL证书。这就需要把上面的方案中的为国密HTTPS加密自动化网关签发双SSL证书的零信云SSL系统也实现本地化部署。如下左图所示，由国密HTTPS加密自动化网关集群统一为所有政务网站提供HTTPS加速响应和HTTPS卸载转发服务，后面的现有政务网站无需做任何改造，可以实现无缝从不安全的http网站升级到安全的https加密网站。而本地部署的政务云SSL系统则负责自主可控的自动化为国密HTTPS加密自动化网关提供国密SSL证书和国际SSL证书，用于所有政务网站的https加密，自适应加密算法，实现国密合规和全球信任。政务云SSL系统由证书签发系统(含密码机)、证书管理系统、域名验证系统、ACME服务系统、证书代理系统、证书吊销系统和国密证书透明日志系统等7大子系统组成，共同实现为政务网站自主签发国密SSL证书和国际SSL证书，系统架构如下右图所示，所有系统都是双机热备，确保政务SSL系统的不间断服务。

政务云SSL系统是一个本地化部署的用于签发国密合规的支持国密证书透明的国密SSL证书的CA系统，同时也是一个用于对接国际CA系统签发全球信任的国际SSL证书系统。全套系统的部署就是为了实现完全自主可控地签发和管理用于政务网站系统的国密SSL证书和相对独立自主的签发国际SSL证书。要做到自主可控的签发政务SSL证书，首先就必须有用于签发SSL证书的中级根证书，以便能可靠地实现所有政务系统只信任自己的中级根证书签发的SSL证书，有效地高效地阻止各种针对政务网站的SSL中间人攻击和其他假冒政务网站攻击。

根据政务业务的特点，需要定制两个国密算法SSL中级根证书，一个用于签发SM2 OV SSL证书的SSL中级根证书和一个用于签发SM2 DV SSL证书的SSL中级根证书，还有一个用于签发国际算法ECC DV SSL证书的SSL中级根证书。所有从定制根签发的国密SS证书全部支持国密证书透明，从定制根签发的国际SSL证书全部支持国际证书透明，所有政务网站都是自动配置双SSL证书，SSL证书组合一：SM2 OV SSL证书 + ECC DV SSL证书用于公众开放的政务网站；SSL证书组合二：SM2 DV SSL证书 + ECC DV SSL证书用于内部政务业务管理系统和物联网联网系统。

三个定制中级根证书和用户证书证书链如下图所示，AAA SM2 Root CA顶级根已预置零信浏览器信任，是我国目前唯一一个支持国密证书透明的根证书；Sectigo ECC顶级根证书是目前全球唯一一个最老的ECC算法根证书，支持所有浏览器、操作系统和各种新老设备(包括手机)。无论是国密SSL证书还是国际SSL证书都是采用密钥短的椭圆曲线算法，可节省机房带宽、省电、省流量和用户手机省电，为用户访问政务网站提供更好的用户体验。

政务云国密HTTPS加密自动化管理平台如下图所示，主要由政务云SSL系统和由国密HTTPS加密自动化网关阵列组成的HTTPS卸载系统两部分组成，政务云SSL系统负责从定制的政务专用中级根证书为政务网站签发双SSL证书，而多台国密HTTPS加密自动化网关的部署能实现为多个政务网站同时提供HTTPS加密响应和HTTPS卸载转发服务，从而实现现有政务网站系统零改造实现https加密的目标。在政务网站和HTTPS卸载系统之间可以增加WAF设备负责Web应用的安全防护，https加密加WAF防护，双重保护政务网站安全。政务网站用户使用支持国密算法和国密证书透明的零信浏览器访问则采用国密算法加密，而采用其他浏览器访问则采用ECC算法加密，能满足政务系统的国密合规和全球信任的网站安全需求。