“您與此網站之間建立的連接不安全，請勿在此網站上輸入任何敏感信息（例如密碼或者信用卡信息），因為攻擊者可能會盜取這些信息”。

圖1 瀏覽器關于網站不安全的相關提示

當您訪問的網站出現這樣的提示時，不知您心中是否和筆者一樣存在兩個疑慮？

疑慮一：它是李逵還是“李鬼”？

我訪問的網站不屬于非法網站，為何瀏覽器會有安全提示？莫非當前訪問的是個假網站嗎？

答案是不一定。

在2017年1月，Chrome 56首次將帶有密碼或信用卡號碼的網頁標記為“不安全”。2018年7月，Chrome 68將所有HTTP網站標記為“不安全”。故當前所有采用HTTP協議的網站均會出現以上風險提示，即便該網站真實合法。

因HTTP協議無法實現身份驗證，網站存在被仿冒、釣魚風險。而釣魚網站通常會偽裝成目標網站，仿冒真實網站的URL地址以及頁面內容，誘導用戶在仿冒的網頁上操作，進而竊取用戶提交的帳號、密碼、個人信息等私密信息，帶來數據安全問題，造成數據泄露。

疑慮二：我的信息真的會被盜取嗎？

作為采用HTTP協議的網站，是否真的存在信息被盜取的問題呢？下圖將通過技術手段進行直觀的效果展示，助您尋找真實的答案。

圖2 HTTP數據包分析（敏感信息已特殊處理）

由圖2可見，由于HTTP協議采用明文傳輸，通過某些數據抓包軟件，可輕易劫取網頁傳輸數據包中關于用戶名、密碼、用戶信息等敏感信息，造成用戶數據泄露，進而引發相關安全事件。

而隨著國家大數據發展戰略加快實施，大數據技術創新與應用日趨活躍，產生和集聚了類型豐富多樣、應用價值不斷提升的海量網絡數據，成為數字經濟發展的關鍵生產要素。而數據過度采集濫用、非法交易及用戶數據泄露等數據安全問題日益凸顯。

為此，國家先后頒布了《網絡安全法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《互聯網信息服務管理辦法》等法律法規，對網絡運營者關于做好用戶個人信息保護、數據安全防護等均提出明確要求。

對于網絡運營者，應積極落實國家相關法律法規，切實維護用戶及自身利益，共同維護國家網絡安全、數據安全。針對以上問題，網絡運營者和用戶可采用以下措施：

1. 拒絕HTTP，給網站加個“S”

HTTP協議采用明文傳輸，無法加密，無法驗證網站真實身份。網站應盡快升級更加安全的HTTPS協議，并采用全球信任的服務器證書，進而提高網站安全等級、可信度和企業形象，給網站及企業增加一把“數據安全守護鎖”。

2. 養成良好上網習慣，提高安全意識

用戶要養成良好的上網習慣，提高安全意識，盡量較少的公開自己的個人信息，減少HTTP網站訪問，盡量不在公共場所或他人電腦上登錄涉及資金等重要網站，以免給自己帶來不必要的損失。

中國金融認證中心（CFCA）作為目前中國大陸境內唯一全部入根各大操作系統及瀏覽器的CA機構，可頒發支持IE、Chrome、Safari、Firefox、安卓、iOS環境的全球信任服務器證書。

責任編輯：韓希宇