设想一下,学生在相关教育网站进行注册、账户登陆、填写报考信息、查询成绩等操作时,未经加密的密码、学籍、成绩等数据在传输过程中极易遭到截取,使这些信息落入数据贩卖或电信诈骗分子手中,导致大批学生面临被骗的威胁。HTTP明文传输的漏洞,是出现学生数据遭泄露篡改、教育网站被仿冒站点钓鱼攻击等安全问题的主要原因之一。而能解决这些问题的举措就是在教育行业网站内普及SSL证书,实现HTTPS加密传输。
HTTPS=HTTP+SSL,就是在HTTP明文协议的基础上增加SSL/TLS安全协议,实现HTTPS加密传输和网站身份真实性验证,避免信息泄露和“钓鱼”攻击,而加载SSL/TLS协议需要在网站服务器上部署SSL证书。SSL证书亦称服务器证书,是由CA(证书签发机构)颁发的数字证书,是目前应用于数据传输加密和网站身份认证的最佳安全产品,也是最基础的网站安全工具之一。目前,SSL证书已在欧美等国家的教育类网站达到较高的普及率。但在我国,只有银行、电商、金融等少数行业具备一定的HTTPS安全意识,SSL证书在这些行业的网站普及率也在逐步增加。而教育行业尚未意识到HTTPS的重要性,SSL证书也极少被应用在我国的教育网站上。
英国特伦特大学部署EV SSL证书实现HTTPS加密访问并显示学校认证信息及绿色安全地址栏。因此,为了保护学生的信息,强烈建议省部级教育及高校网站使用OV机构型或EV增强型SSL证书。在SSL证书的选择上,应使用合法合规、支持主流算法、可以满足用户使用各种主流操作系统与浏览器访问需求的证书。
当然,学生信息泄露问题不是仅靠SSL证书就能彻底解决的,教育行业网站还应考虑开展等级保护测评、渗透测试、网站风险评估等工作。但与上述工作相比,部署SSL证书,在满足网站最基础的HTTPS加密和网站认证需求的同时,具备成本低廉(基本为一次性投入,不涉及建设、维保等费用,不会给学校造成过重的成本负担)、申请便捷、部署简易等优点,适宜在教育行业网站进行大范围推广。在连续发生多起因信息泄露导致学生被骗案件后,希望我国教育行业能更多的关注网络信息安全,做好HTTPS加密等安全工作,加大学生信息的保护力度,让诈骗行为远离我们的学生。
推荐阅读:
天威诚信SSL证书 网站HTTPS安全有保障
免费Wifi 存安全隐患,HTTPS来助力
