文 | 中国电子银行网 毕鑫龙

“您与此网站之间建立的连接不安全，请勿在此网站上输入任何敏感信息（例如密码或者信用卡信息），因为攻击者可能会盗取这些信息”。

图1 浏览器关于网站不安全的相关提示

当您访问的网站出现这样的提示时，不知您心中是否和笔者一样存在两个疑虑？

疑虑一：它是李逵还是“李鬼”？

我访问的网站不属于非法网站，为何浏览器会有安全提示？莫非当前访问的是个假网站吗？

答案是不一定。

在2017年1月，Chrome 56首次将带有密码或信用卡号码的网页标记为“不安全”。2018年7月，Chrome 68将所有HTTP网站标记为“不安全”。故当前所有采用HTTP协议的网站均会出现以上风险提示，即便该网站真实合法。

因HTTP协议无法实现身份验证，网站存在被仿冒、钓鱼风险。而钓鱼网站通常会伪装成目标网站，仿冒真实网站的URL地址以及页面内容，诱导用户在仿冒的网页上操作，进而窃取用户提交的帐号、密码、个人信息等私密信息，带来数据安全问题，造成数据泄露。

疑虑二：我的信息真的会被盗取吗？

作为采用HTTP协议的网站，是否真的存在信息被盗取的问题呢？下图将通过技术手段进行直观的效果展示，助您寻找真实的答案。

图2 HTTP数据包分析（敏感信息已特殊处理）

由图2可见，由于HTTP协议采用明文传输，通过某些数据抓包软件，可轻易劫取网页传输数据包中关于用户名、密码、用户信息等敏感信息，造成用户数据泄露，进而引发相关安全事件。

而随着国家大数据发展战略加快实施，大数据技术创新与应用日趋活跃，产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据，成为数字经济发展的关键生产要素。而数据过度采集滥用、非法交易及用户数据泄露等数据安全问题日益凸显。

为此，国家先后颁布了《网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《互联网信息服务管理办法》等法律法规，对网络运营者关于做好用户个人信息保护、数据安全防护等均提出明确要求。

对于网络运营者，应积极落实国家相关法律法规，切实维护用户及自身利益，共同维护国家网络安全、数据安全。针对以上问题，网络运营者和用户可采用以下措施：

1. 拒绝HTTP，给网站加个“S”

HTTP协议采用明文传输，无法加密，无法验证网站真实身份。网站应尽快升级更加安全的HTTPS协议，并采用全球信任的服务器证书，进而提高网站安全等级、可信度和企业形象，给网站及企业增加一把“数据安全守护锁”。

2. 养成良好上网习惯，提高安全意识

用户要养成良好的上网习惯，提高安全意识，尽量较少的公开自己的个人信息，减少HTTP网站访问，尽量不在公共场所或他人电脑上登录涉及资金等重要网站，以免给自己带来不必要的损失。

中国金融认证中心（CFCA）作为目前中国大陆境内唯一全部入根各大操作系统及浏览器的CA机构，可颁发支持IE、Chrome、Safari、Firefox、安卓、iOS环境的全球信任服务器证书。