网络安全技术rsa例题(网络安全技术考试答案)

sukai 09-16 51

默认

　　互联网发展至今，人们已经受够了因为在浏览器中输入HTTP格式的网址，而不得不承受访问行为曝光、数据泄露、钓鱼攻击的糟糕体验，HTTP网络安全问题像一个隐形的狙击手，狙击着世界网络的安全，由此推广全球化的全站HTTPS趋势已刻不容缓。

　　去年6月，苹果要求所有iOS App在2016年底全部使用HTTPS;同年天猫淘宝将数百几万级的HTTP页面大规模迁徙成HTTPS；而在去年11月Google宣布将不再为没有妥善加密的网站进行背书前，在云安全领域独树一帜的涂鸦智能已悄然攻破了全站HTTPS技术，在国内巨头忙于迁徙，中小型企业还处以混沌状态的HTTPS安全领域，涂鸦智能率先携手时代新贵『全站HTTPS』，全面守护用户设备安全并与全球化巨头共同衔接世界网络安全技术。

　　HTTP与HTTPS的时过境迁

　　某天的某个闲暇时间你在百度上随机输入“堕胎”两个字，紧接着无痛人流的电话就打进来了，此时你以为是百度把你的信息卖给了无良的医院，但一个成熟的互联网巨头不可能不知道用户信息泄露对于它本身而言意味着什么。

　　其实答案并非是百度售卖了用户信息，而是在于对外开放的HTTP协议造成的用户访问信息泄露。因为HTTP协接近裸奔，黑客可以从路由器和复杂的互联网链路中制造流量劫持、数据泄露、数据篡改、网站钓鱼等契机来获取非法收益。

HTTP主要问题

　　 1.裸露的风险

　　HTTP协议无法加密数据，通过网络嗅探设备，用户在基于HTTP协议的Web应用上的传输内容都可以被中间者轻易查看和修改，所以流量劫持、网站钓鱼、数据篡改等事件频发。

　　2无法验证网站身份

　　HTTP协议无法验证通信方身份，任何人都可以伪造虚假服务器欺骗用户，实现“钓鱼欺诈”，如果网站UI做的如假包换，那用户根本无法察觉。

　　HTTPS优势

　　通过HTTPS可以加密数据，就算出现流量劫持现象，黑客获取的数据也是加密数据，无法还原用户数据信息和访问信息。

　　从上图看，从客户端出来就已经是密文数据了

　　（图取自CSDN)

　　从HTTP至HTTPS的迁徙，符合时代劣币良逐的准则

　　为什么要建立全站HTTPS才是真正安全

　　1.很多网站所有者认为，只有登录页面和交易页面才需要HTTPS保护，而事实上，在 PC 端的流量很少有直接进入 HTTPS 网站的。典型的有支付场景，例如从淘宝跳到支付宝或京东跳转到银联、微信支付的页面，若淘宝或京东的页面没有使用HTTPS,那黑客通过注入XSS，便能将本该跳转到HTTPS页面的用户劫持到钓鱼网站，用户安全就会受到很大威胁。

　　2.部分用户通过网址输入访问网站，例如：www.baidu.com，此时浏览器可能使用默认的HTTP 去访问，若百度的HTTP版本存在，功能仅为将用户重定向到自己的HTTPS 站点上。劫持流量的黑客，在这个间隙中就可以拦下重定向命令，将用户劫持到自己重定向的站点内，如此，用户的安全也会受到很大威胁。

　　而全站HTTPS化可以确保用户在访问网站时全程HTTPS加密，不给中间人跳转劫持的机会。

　　（图片来源：EtherDream）

　　全站HTTPS的技术难点

　　如前文所述，既然前站HTTPS的优势如此明显，何为国内的网站还是未作出页面迁徙呢?由于HTTPS的技术难点居多，正式启用前还需要大量的方案Back up，以至于诸多公司望而却步。

　　HTTPS技术难点

　　1.HTTPS需要多次握手，因此网络耗时变长

　　 2.HTTPS要做RSA校验，影响设备性能

　　 3.所有CDN节点要支持HTTPS，需极其复杂的解决方案来面对DDOS挑战