等保合规：HTTP与HTTPS

Posted 2021-04-26 数据合规

其实，无论是http还是https，简单地说都是一种由浏览器向服务器发送请求的“语言”。http协议是（Hyper Text Transfer Protocol超文本传输协议）的缩写, 主要工作于客户端与服务端的架构上。浏览器作为http客户端通过URL向http服务端即Web服务器发送所有请求。Web服务器根据接收到的请求后，向客户端发送响应信息。http协议具有简单快捷的优点，但是因为http协议是一种无连接无状态的协议，因此其无法记忆相关的数据处理信息，应答后也会直接断开连接。对于http的无状态特点，有时会采用cookie进行改进，后续在有关cookie介绍的文章里我们再去好好研究，毕竟cookie与数据合规有着非常密切的关联。

而https协议则是http协议的安全版，是一种通过计算机网络进行安全通信的传输协议，简单地来讲可以看作是http+SSL/TLS。

SSL(SecureSocket Layer 安全套接层)与TLS (TransportLayerSecurity，传输层安全协议)都是网景（Netscap）公司为了解决HTTP明文传输数据的安全隐患而推出的。本质上两者没有太大的区别，而https协议就是通过SSL或TLS提供加密处理数据、验证对方身份以及数据完整性保护实现了数据传输的安全升级。

《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》中从一级开始就要求保证通信过程中的数据完整性，网络通信过程中采取相应校验技术保证数据完整性也是企业在等保测评中必须要满足的控制点。但其实大家可以发现，很多企业的官网、内部系统以及一些非互联网行业企业的官方网站都还在使用http协议进行传输。当然这并不意味着https协议是解决一切数据完整性合规要求的万能钥匙，相应的整改还是需要在专业团队的指导下进行。

随着等保2.0体系的推进以及各地执法机关的密集执法，等保基本要求项下的合规整改都将成为企业所要面临的首要问题，所以这也就需要公司内部的IT部门以及其他管理部门一同从技术层面以及制度层面严格落实相应等保级别的基本要求。

所以现在你登陆的网站还在用http协议么？