HTTPS 的主要动机是防止攻击者读取和操纵您与网站的通信。因此，将其部署在内部站点上的决定取决于是否存在有人在公司网络内篡改您的流量的风险。

如果内部 HR 站点只提供公司内联网中任何人都可以访问的静态内容，那么有人可能会争辩说 HTTPS 不会增加任何安全性，因为在内部网络中拦截到该页面的流量将毫无意义。

但是，如果该站点使用登录系统并且不信任员工不会干扰内部网络或允许访客访问它 - 那么应始终通过安全连接访问该站点。

这是我们登录的网站（使用密码，我们被迫保留最多 8 个小写字符），我们可以在其中查看工资单、个人地址/联系方式等。

这是令人担忧的。不仅人工密码长度限制非常低，而且仅限小写字母的限制值得怀疑。如果该站点使用纯 HTTP，流氓同事（或他们机器上的恶意软件）可能会拦截您与该页面的连接，嗅探您的密码并记录您与该站点的交互。既然您说它是一家大公司，并非每个访问它的人都可能完全受信任，因此他们应该考虑部署 HTTPS。

不，这不安全。你说这不是一家小公司，这意味着可能不是每个人都完全信任的人（这对于超过 10 名员工来说几乎是不可能的），甚至可能意味着有一些职位被不同的人占据并离开公司频繁地。甚至可能只有几周的工作经验、暑期工作或类似的东西。

不能相信这些人不会操纵他们有权访问的 IT 系统。当通过以太网发送未加密的数据时，中间的每个人都可以读取它。

您甚至不使用质询-响应身份验证，而是使用密码。这意味着没有涉及实时操纵流量或拦截数据包并在操纵它们之后发送它们的复杂攻击，或者希望在操纵它们之后可以再次发送相同的数据包（因此使用该站点的人不会） t 注意到，因为他们从服务器获得响应）。取而代之的是，人们可以只记录流量，稍后对其进行分析，获取密码，然后访问 HR 站点，直到密码被更改并且他们必须再次记录流量。

如果可以从 Intranet 内部进行操作，那么迟早会有人这样做。人们甚至会在可能的情况下发布官方公告：

在这种情况下，该员工更改了公司的内部网欢迎页面，并带有以下信息：“沃特福德工厂将在 2008 年第一季度末之前裁员 500 人”。

（http://www.cpaireland.ie/docs/default-source/media-and-publications/accountancy-plus/it/email-and-internet-use-by-employees.pdf?sfvrsn=2）

互联网上有大量报告（例如http://www.askamanager.org/2014/02/ive-been-break-into-my-companys-computer-network.html），人们承认他们已经变得虚弱安防措施。这甚至不必是恶意的。这可能是由于无聊、好奇（在贵公司的情况下：史密斯先生真的赚得这么多，以至于他能买得起那 3 辆好车吗？），甚至是通过破坏安全屏障来提高生产力。

有很多类似的建议：

每个雇主都需要制定关于使用公司计算机和通过计算机访问的资源的详细政策，例如电子邮件、互联网和公司内部网（如果存在）。

（http://www.twc.state.tx.us/news/efte/monitoring_computers_internet.html）

当然，如果不执行合规性，那将毫无价值。而且您的连接在公司内部尽可能开放，因为没有使用任何传输加密，甚至密码都以纯文本传输。执行政策的最佳方式是让无视政策成为不可能。当然，这并不总是可能的，有时还有更好的方法，但在这种情况下，这似乎是最简单、最好和最可靠的方法。

此警告非常接近您的公司所面临的情况：

除了确保他们不违反 HIPAA 法规外，公司还需要关注另一个关键的 Intranet 安全问题：内部漏洞。Tatum CIO Partners 成员、互联网安全专家 Norbert Kubilus 表示，在大多数情况下，内网“黑客”是不高兴的员工，他们希望给公司带来不便或获得一些个人利益。

“我所听到和观察到的大部分都是内部虐待，”库比卢斯说。“您可以让心怀不满的员工进入内部网并通过更改假期时间表或考勤卡来造成严重破坏。如果您没有适当的保护措施，或适当的教育和流程，您就会让自己容易受到心怀不满的员工。”

（http://www.techrepublic.com/article/intranet-data-requires-a-good-security-review/）

当考虑到有风险的数据非常重要时，很明显这是一个不可接受的风险。根据您公司所在的位置，以这种方式运营网站也可能是非法的，例如因为它包含的个人数据安全性不足。

告诉管理层这是非法的（如果是的话）可能比告诉他们系统不安全更有可能提高安全性。

我不了解英国法律，但我认为你绝对不能在欧盟法律下拥有这样的系统，因此在英国法律下也不行。

经过快速搜索，我找到了这个欧盟法规。第 32 条的引述可以让你希望它是非法的：

考虑到最先进的技术、实施成本和处理的性质、范围、背景和目的，以及自然人权利和自由的可能性和严重程度不同的风险，控制者和处理者应实施适当的技术和组织措施，以确保与风险相适应的安全水平，除其他外，酌情包括：

[...]

(b) 确保处理系统和服务的持续机密性、完整性、可用性和弹性的能力；

如果公司中的每个人都可以在观看有关如何连接以太网电缆以使他们的笔记本电脑位于服务器和 HR 计算机之间的 10 分钟 YouTube 视频以及有关如何连接的 5 分钟 YouTube 视频后访问 HR 站点，则您无法保证机密性或完整性使用 Wireshark 获取通过网络发送的密码。当然，几乎任何玩过 Wireshark 的人都可以做到这一点，而无需先浪费 15 分钟观看 YouTube 视频。;-)

缺少 HTTPS 使得同一网络上的攻击者可以监听到该服务器的连接并修改请求和响应。例如，这可用于嗅探 HR 人员正在使用的密码。

究竟什么是“同一网络”取决于您的网络配置以及攻击者愿意投入多少工作。您很可能能够从公司计算机上执行攻击。有时，可以使用公司的 WiFi 从停车场发起中间人攻击。

HTTP 与 HTTPS 存在不同的问题，并且位于内部网络上应该可以缓解一些问题。

• 没有强大的服务器识别：在内部网络上并不重要，内部网络中不太可能存在假服务器。通常，此类 MITM 攻击需要管理权限，而在公司组织中，您已经必须信任管理员，因为他们管理所有网络设备和客户端机器。
• 对授权员工提出的请求的响应的保密性：这取决于所有授权访问是否都来自同一个办公室（只有具有同等访问权限的管理员或同事应该能够监视（*））或者是否任何经理都可以提出请求。在后一种情况下，截获机密数据的风险很重要，但（内部）攻击者无法事先知道它将获得什么信息。
• 凭据保护：即使认证过程使用纯 HTTP，问题也会严重得多。在这种情况下，攻击者可以获得凭据并能够代表合法用户发出请求（包括修改）：不再保证完整性而不是保密

当然，如果它是一个只读服务器，并且如果机密性不是真正的问题，则可以使用 HTTP。但是一旦我们谈到人力资源，保密性应该立即上升到中高水平。

(*) 在常见的公司网络中，交换机和代理的使用只允许在同一子网上进行间谍交换，但可以看到其域中所有未加密流量的网络管理员除外。