零信网站安全解决方案

方案1:部署 国密HTTPS自动化网关
方案2:启用 国密HTTPS自动化云服务
方案3:建设 政务云国密HTTPS加密自动化管理平台

即插即用,原网站零改造,全自动实现国密https加密

一、国密HTTPS加密改造,很难

所有网站都必须实现https加密,否则所有浏览器都会提示“不安全”,这是因为用户在网站上输入的各种机密信息将明文传输到云端服务器上,非常容易被非法截获或被非法篡改,无法保障网站访问者同网站的交互信息安全。即使是仅有静态信息页面,如果不采用https加密,则会泄露网站访问者的访问行为隐私,页面中链接到其他系统的链接非常容易被非法篡改而导致用户被链接到一个假冒的上游网站或假冒的登录页面,一样会导致用户的机密信息泄露和影响用户在其他系统的账户安全和信息安全。这就是为何业界一直在推广全站https加密,所有网站都应该抛弃http方式,全部实现https加密方式。

而我国网站还有《密码法》、《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规的合规要求,这些法规要求网站必须采用国密算法实现国密https加密!这就要求国密改造,使得网站系统Web服务器支持国密算法,需要在服务器部署国密SSL证书,使用支持国密算法的浏览器来实现国密https加密。国密浏览器有完全免费的零信浏览器,这不是问题;国密SSL证书也已经有多家CA机构可以签发,证签技术有免费国密SSL证书可以申请,这也不是问题。问题就卡在Web服务器的国密算法支持升级改造和安装国密SSL证书上了。

用户可以选择在Web服务器上安装完全免费的零信国密ACME客户端软件-SM2cerBot,一次安装,永久免费自动配置国密SSL证书和国际SSL证书。但是,这个方案目前只支持特定Linux操作系统的Nginx Web服务器,并且会卸载原Ngnix,重新安装新的支持国密算法的Nginx,这个可能对正在运行的Web系统有一定的影响。如果用户的Web服务器不动的话,则不推荐此方案,除非是一个新启用的网站。

最关键的是:现有的业务系统已经成熟运行多年,如电子政务服务系统、企业管理系统,这些系统业务不能停,不能动这些服务器,这是国密改造的最大难处!必须改造但又不能改造,保证业务系统稳定不中断运行是第一要务,https加密和国密https加密是第二要务。怎么办?

二、零信网站安全解决方案—原网站零改造,全自动实现国密HTTPS加密,很容易

零信网站安全解决方案的原则是零改造、零安装、零维护,不动现有Web服务器、不在现有服务器上安装软件和SSL证书、本地部署即插即用的硬件设备或者启用云服务即可,很容易!

如下左图所示,这是零信国密HTTPS加密自动化云服务的示意图,这是一个基于阿里云CDN/WAF云服务打造的创新增值云服务,用户只需做3次域名解析即可通过零信云SSL服务系统自动签发和安装国密SSL证书和国际SSL证书到阿里云CDN/WAF系统中,全自动实现https加密和卸载转发,自适应加密算法,零信浏览器优先采用国密算法实现国密https加密。如果用户不想使用云服务,则可以采用本地化部署方案,如下右图所示,在机房本地部署一台零信国密HTTPS加密自动化网关,由网关来对接零信云SSL服务系统自动化申请国密SSL证书和国际SSL证书,并自动化部署证书到网关中实现自适应加密算法的https加密,网关同时实现https卸载后转发到内部源站(原网站),后面的原网站零改造实现国密https加密。

国密HTTPS加密改造 国密HTTPS加密改造

1.国密HTTPS加密自动化网关:MG-1

零信国密HTTPS加密自动化网关MG-1是一个集https加密响应、https卸载转发、国密算法模块、SSL证书自动化、负载均衡等多项功能于一体的高性能网站安全硬件网关设备,内置专业级高性能硬件密码卡实现高速密码运算和网络包转发,并且对内置操作系统、网络协议、SSL/TLS协议和密码算法都进行了专业的深度优化,实现了业界领先的极致性能:HTTPS新建连接可达到5万次/秒、HTTPS吞吐量可达到32Gbps、HTTPS并发量可达到300万个连接。

零信国密HTTPS加密自动化网关已经提交国家密码管理局商用密码检测中心申请商密产品检测认证。零信国密HTTPS加密自动化网关的一个重要模块是国密算法模块,支持采用国密SSL证书和采用国密算法实现https加密,支持同浏览器握手协商加密协议是优先采用国密算法,使得零信浏览器能优先采用国密算法同网关建立https连接。当然,支持所有国际算法(RSA和ECC算法),支持所有浏览器协商各种安全加密套件实现https加密。这就满足了用户需要的国密合规和全球信任的应用需求,因为用于互联网公众服务的网站系统不能强制要求用户采用何种浏览器,必须同时支持国密浏览器和非国密浏览器。请注意:HTTPS加密自动化网关支持http方式回源,源站无需安装SSL证书,但是从网关到原服务器之间是明文传输。也支持https方式回源,但源站必须安装SSL证书,可以是以前安装过的过期证书或自签证书。

国密HTTPS加密自动化网关

零信国密HTTPS加密自动化网关同其他类似产品有一个最大的不同是:内置国密ACME客户端软件,自动对接零信云SSL服务系统的ACME服务系统,自动完成域名验证、双算法SSL证书申请、双算法SSL证书取回并部署使用,以自动化实现https加密,并且是自适应加密和优先采用国密算法。用户无需手动向CA申请SSL证书和手动配置SSL证书,同时也无需在证书到期时又要手动重新申请证书并重新安装证书,不会发生人工管理证书而有可能忘了证书续期而导致业务系统中断而影响业务的正常运行。整个SSL证书的全生命周期管理都由内置的国密ACME客户端软件自动化完成,实现24小时x 365天的不间断https加密服务。自动配置的国密SSL证书支持国密证书透明,国际SSL证书支持国际证书透明,有力保障双SSL证书的自身安全可信。

为了保证网站系统的不间断https加密服务,强烈推荐双机热备方式运行,不仅可以实现双机负载均衡(第四层和第七层),而且可以实现一旦一台设备故障另一台设备秒级失效切换。支持Master/Master与Master/Backup集群方式,支持多达32个集群节点,支持各种均衡调度算法、支持会话保持,支持轮询、加权轮询、最少连接、最短响应时间和IP哈希等。

零信国密HTTPS加密自动化网关即插即用,部署在网站服务器的前端,原网站服务器无需任何改动,即可实现无缝从http升级到https工作方式,并且是满足国密合规的国密https加密方式。其强大的https卸载转发功能为网站服务器提供了额外的性能增强支持,不仅完全无需增加https加解密负担,而且增强了对外响应能力和处理用户请求能力。零信国密HTTPS加密自动化网关的零改造、零维护、零影响的无缝切换,是国密https加密改造和系统安全从http升级到https的首选和必选。

每台零信国密HTTPS加密自动化网关最多支持自动配置255张RSA/ECC SSL证书(单证书),同时最多支持255对国密SSL证书(一张签名证书和一张加密证书),标准的双算法双SSL证书配置支持为255个网站域名自动配置双SSL证书,实现双算法自适应https加密。当然。实际上能为多少个网站实现https加密受限于网关硬件所支持的新建连接数、吞吐量和并发量。

每台零信国密HTTPS加密自动化网关保用期为5年,5年内免费为最多不超过255个网站域名自动配置全球信任的ECC DV SSL证书和国密合规的SM2 DV SSL证书,如需自动配置OV SSL证书或EV SSL证书,请在采购时说明,需另外增加证书费用。

2.国密HTTPS加密自动化网关 + WAF模块:MG-2

MG-2是在国密HTTPS加密自动化网关MG-1的基础上增加WAF模块,Web应用防火墙模块基于开源ModSecurity系统开发,支持常用的Web应用防火墙功能,如:阻止SQL注入、阻止跨站脚本攻击(XSS)、阻止利用本地文件包含漏洞进行攻击、阻止利用远程文件(包含漏洞)进行攻击、阻止利用远程命令执行漏洞进行攻击、阻止PHP代码注入、阻止违反HTTP协议的恶意访问、阻止利用远程代理感染漏洞进行攻击、阻止利用Shellshock漏洞进行攻击、阻止利用Session会话ID不变的漏洞进行攻击、阻止恶意扫描网站、阻止源代码或错误信息泄露、蜜罐项目黑名单、根据判断IP地址归属地来进行IP阻断等等。

如果用户已经购买了WAF设备,则无需选购此模块,只需在WAF设备之前部署国密HTTPS加密自动化网关即可,WAF设备只需负责解析明文http内容做出相应的防护,无需向CA申请SSL证书部署在WAF设备上。

国密HTTPS加密自动化网关+WAF模块/WAF设备

3.国密HTTPS加密自动化云服务

零信国密HTTPS加密自动化云服务是一个基于阿里云CDN/WAF云服务打造的创新增值云服务,用户只需做3次域名解析即可通过零信云SSL服务系统自动签发和安装国密SSL证书和国际SSL证书到阿里云CDN/WAF系统中,全自动实现https加密和卸载转发,自适应加密算法,零信浏览器优先采用国密算法实现国密https加密,其他不支持国密算法和国密证书透明的浏览器使用ECC算法实现https加密,满足了用户需要的国密合规和全球信任的应用需求,因为用于互联网公众服务的网站系统不能强制要求用户采用何种浏览器,必须同时支持国密浏览器和非国密浏览器。请注意:HTTPS加密自动化云服务支持http方式回源,源站无需安装SSL证书,但是从阿里云CDN节点到源站之间是明文传输。也支持https方式回源,但源站必须安装SSL证书,可以是以前安装过的过期证书或自签证书。

国密HTTPS加密自动化云服务

零信国密HTTPS加密自动化云服务既是一个专为网站安全设计的零信任安全服务,也是一个云原生服务,所有服务都直接通过云服务来提供,用户无需在自己服务器上安装SSL证书,也无需安装ACME客户端软件,更不需要购置网关设备,只需做域名解析就能全自动实现https加密、CDN分发、边缘WAF防护和网站可信认证,这大大降低了用户保障网站安全的门槛和防护成本,是一个四位一体的立体防护,高效保护网站安全。

推荐选购多年服务,用户只需在启用服务时按要求设置域名解析,每年会自动化完成域名验证和自动化配置新的有效期的双SSL证书。即使将来国际标准要求SSL证书有效期缩短为90天,也无需担心,HTTPS加密自动化云服务会自动根据国际标准和国密标准配置90天有效期的双SSL证书,真正把网站管理员从繁琐的SSL证书手动申请和管理解放出来,专心于业务而不会为网站https加密浪费时间。

零信国密HTTPS加密自动化云服务基于业界领先的阿里云CDN/WAF打造,但用户无需向阿里云购买CDN/WAF服务,也无需向CA申请SSL证书,一键享受阿里云的https CDN/WAF服务,为网站提供高速内容分发服务,提升网站访问者用户体验,保障网站Web应用安全。用户购买一年期零信国密HTTPS加密自动化云服务,得到的是一年期的阿里云的CDN服务和边缘WAF防护、得到的是一年期双算法3张SSL证书(1张ECC SSL证书、1张国密加密证书、1张国密签名证书)、得到的是一年期的无忧网站安全服务。购买多年期,享受多年期的网站安全无忧服务。

三、政务云国密HTTPS加密自动化管理平台
原网站零改造,从定制政务专用SSL中级根证书自主签发政务网站SSL证书

目前,我国各省市政务云硬件和软件建设非常迅速,并已经形成了一定的规模,有些省政务云平台已经为上万个政务网站提供了Web服务,但是由于部署SSL证书很难,根本不可能为所有这么多网站系统部署SSL证书,这就是为何目前各省政务云平台只是在省门户网站部署了SSL证书,而其他几乎是所有局委办官网和各下属市区县政府网站都是”不安全的”http网站!还有一个原因是必须保证现有的网站系统正常运行,不能因为需要实现https加密而影响了政务业务的正常运行。这是非常矛盾的决策,因为未实现https加密,没有安全保障,也是会影响政务业务的正常运行的。

唯一的解决方案是零改造实现国密https加密,同时需要实现完全自主可控,自主签发国密SSL证书和国际SSL证书。这就需要把上面的方案中的为国密HTTPS加密自动化网关签发双SSL证书的零信云SSL系统也实现本地化部署。如下左图所示,由国密HTTPS加密自动化网关集群统一为所有政务网站提供HTTPS加速响应和HTTPS卸载转发服务,后面的现有政务网站无需做任何改造,可以实现无缝从不安全的http网站升级到安全的https加密网站。而本地部署的政务云SSL系统则负责自主可控的自动化为国密HTTPS加密自动化网关提供国密SSL证书和国际SSL证书,用于所有政务网站的https加密,自适应加密算法,实现国密合规和全球信任。政务云SSL系统由证书签发系统(含密码机)、证书管理系统、域名验证系统、ACME服务系统、国际证书接口系统、证书吊销系统和国密证书透明日志系统等7大子系统组成,共同实现为政务网站自主签发国密SSL证书和国际SSL证书,系统架构如下右图所示,所有系统都是双机热备,确保政务SSL系统的不间断服务。

国密HTTPS加密自动化网关+WAF模块/WAF设备 国密HTTPS加密自动化网关+WAF模块/WAF设备

政务云SSL系统是一个本地化部署的用于签发国密合规的支持国密证书透明的国密SSL证书的CA系统,同时也是一个用于对接国际CA系统签发全球信任的国际SSL证书系统。全套系统的部署就是为了实现完全自主可控地签发和管理用于政务网站系统的国密SSL证书和相对独立自主的签发国际SSL证书。要做到自主可控的签发政务SSL证书,首先就必须有用于签发SSL证书的中级根证书,以便能可靠地实现所有政务系统只信任自己的中级根证书签发的SSL证书,有效地高效地阻止各种针对政务网站的SSL中间人攻击和其他假冒政务网站攻击。

根据政务业务的特点,需要定制两个国密算法SSL中级根证书,一个用于签发SM2 OV SSL证书的SSL中级根证书和一个用于签发SM2 DV SSL证书的SSL中级根证书,还有一个用于签发国际算法ECC DV SSL证书的SSL中级根证书。所有从定制根签发的国密SS证书全部支持国密证书透明,从定制根签发的国际SSL证书全部支持国际证书透明,所有政务网站都是自动配置双SSL证书,SSL证书组合一:SM2 OV SSL证书 + ECC DV SSL证书用于公众开放的政务网站;SSL证书组合二:SM2 DV SSL证书 + ECC DV SSL证书用于内部政务业务管理系统和物联网联网系统。

三个定制中级根证书和用户证书证书链如下图所示,AAA SM2 Root CA顶级根已预置零信浏览器信任,是我国目前唯一一个支持国密证书透明的根证书;Sectigo ECC顶级根证书是目前全球唯一一个最老的ECC算法根证书,支持所有浏览器、操作系统和各种新老设备(包括手机)。无论是国密SSL证书还是国际SSL证书都是采用密钥短的椭圆曲线算法,可节省机房带宽、省电、省流量和用户手机省电,为用户访问政务网站提供更好的用户体验。

国密HTTPS加密自动化网关+WAF模块/WAF设备

政务云国密HTTPS加密自动化管理平台如下图所示,主要由政务云SSL系统和由国密HTTPS加密自动化网关阵列组成的HTTPS卸载系统两部分组成,政务云SSL系统负责从定制的政务专用中级根证书为政务网站签发双SSL证书,而多台国密HTTPS加密自动化网关的部署能实现为多个政务网站同时提供HTTPS加密响应和HTTPS卸载转发服务,从而实现现有政务网站系统零改造实现https加密的目标。推荐选用WAF模块,同时为政务网站提供Web应用的安全防护,https加密加WAF防护,双重保护政务网站安全。政务网站用户使用支持国密算法和国密证书透明的零信浏览器访问则采用国密算法加密,而采用其他浏览器访问则采用ECC算法加密,能满足政务系统的国密合规和全球信任的网站安全需求。

国密HTTPS加密自动化网关+WAF模块/WAF设备
HTTPS加密,您需要的是:零改造、零运维、无缝从http切换到https!
零信网站安全解决方案满足各种大小规模网站的https加密应用需求,国密合规和全球信任!