网络数据及其安全问题解读
网络数据是指什么?
今年6月1日正式生效实施的《中华人民共和国网络安全法》第七十六条规定:“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”
对于普通用户,浏览的网页、输入的数据等线上操作,均会涉及较大数据量。对于企业,企业信息、用户信息等,也都是需要保护的重要数据。而一旦数据无法得到保护,造成信息隐私泄露,损失将难以估量。
《中华人民共和国网络安全法》第三章三十七条至三十八条,第四章四十一条至四十四条,就分别对关键信息基础设施的运营者、网络运营者在网络数据收集、存储、传输、处理等行为中作出明确要求。(详见文末延伸阅读)
随着网络数据价值不断提升,网络数据受到的安全威胁也开始增多。那么,网络数据安全需从哪些方面进行把控呢?
1. 物理安全
物理安全威胁主要表现在企业软件资产(操作系统、数据库等)和硬件资产(计算机及外设、网络设备等)因自然灾害、环境事故等引起的威胁。此类问题的解决速度较慢,若物理安全事件发生,企业将面临巨大的损失。
2. 系统性安全
数据库受到的攻击,操作系统的漏洞都是主要风险。缓冲区溢出漏洞会造成内存溢出,被恶意攻击,会对系统安全造成严重的危害。
3. 数据传输的安全
端口对端口如果不及时关闭,远程连接,病毒的感染,对数据访问控制的策略均是常见的安全隐患;在数据传输过程中被黑客攻击,传输的信息未加密也是数据丢失及轻易被截获的因素。
4. 敏感数据
有些政府机构的数据非常敏感、机密性高,此类重要信息不能出国,以防被窃取造成巨大损失,对此类敏感且重要的数据的传输和保存是网络安全中十分重要的一环。
信息传输过程中的安全解决方案:SSL证书
目前,互联网站及基于互联网的应用系统面临着各种各样的安全威胁,其中有两个基本问题亟待解决:
1. 网站身份的真实性
用户访问网站时需要确认网站的真实性。由于互联网的开放和共享,互联网上存在很多虚假的网站。如何让用户信任自己访问的网站是真实的?
2. 信息传输的机密性
大量的网上应用需要用户向网站应用系统提交一些隐私或者机密的信息,同时网站应用系统也可能向用户返回一些隐私或者机密信息。如何确保信息传输的机密性?
SSL证书就能解决上述问题。SSL证书由权威可信的第三方数字证书认证机构(CA)签发,是一种用于标记网站身份的数字证书。因其通常部署在网站服务器上,也称为网站证书或者服务器证书。
SSL证书在客户端浏览器和网站服务器之间通过https协议建立一条安全通道,对传输的数据进行加密,确保数据在传输过程中不被窃听、篡改及伪造,有效解决了网站身份的真实性和信息传输的保密性问题。
目前,英美等国也都已出台相关法律规定,要求政府部门网站必须使用SSL证书保护。
如何甄选适合你的SSL证书?
市面上的SSL证书琳琅满目,建议用户纠结的时候不妨多关注厂商的各项资质。
挑选攻略:
既然HTTPS必须有 你该安装何种SSL证书?(上)
http://mp.weixin.qq.com/s/2RIn-vBjjTcebRL7-9f4fA
既然HTTPS必须有,你该安装何种SSL证书?(下)
http://mp.weixin.qq.com/s/IN86JjG3k1oErgPiAMdH_g
比如,由中国金融认证中心(CFCA)自主研发的SSL证书,是目前唯一可在性能上与国外证书相媲美的国产证书,实现了对微软、谷歌、苹果、火狐等所有浏览器和操作系统的支持。
CFCA全球信任SSL证书的主要优势表现在:
· 由国家级权威安全认证机构,国家重要的金融信息安全基础设施之一CFCA签发;
· CFCA是国际CA浏览器联盟组织(CA/Browser Forum)成员,是国际证书标准的参与者;
· CFCA通过国际WebTrust认证,遵循全球统一认证标准;
· 根系统、吊销列表、证书管理、认证资料、服务支持本地化;
· 金融级的安全保障服务;
· 完善的风险承保计划,确保理赔的可行性和便捷性;
· 中文版CPS(全球信任体系电子认证业务规则)便于用户理解双方权利和义务。
CFCA全球信任SSL证书如何契合网络安全法?
虽然CFCA全球信任SSL证书具有很多突出的优势,但是,真正在部署使用时,你可能会仍然有困惑,它是否满足网络安全法中相关条款的要求?
而这些,你完全不用担心。
CFCA 全球信任SSL证书是纯国产证书,国际国内双认证,完全自主可控,证书国内生成,资料国内审核,审计国内完成,除可在互联网公开的数据外,收集和产生的个人信息和重要数据确保在境内存储,资料不出国,符合《中华人民共和国网络安全法》第三章三十七条的要求。
CFCA 全球信任SSL证书每年经过WebTrust审计,该审计是对于CA系统强度最严格的审计,使用国际WebTrust2.0,WebTrust BR, WebTrust EV等规范。同时,系统的自检、自查内部评审以及对国内规范的符合程度上,符合《中华人民共和国网络安全法》第三章三十八条的要求。
CFCA在其全球信任体系电子认证业务规则(CPS)9.4中有着详细的规定:个人信息私密性,通过明确什么信息可以公布,什么信息属于隐私,明确了信息的公开和保护程度,符合《中华人民共和国符合网络安全法》第四章四十一到四十四条的要求。
因此,网站选择配置CFCA SSL证书,是能同时满足安全认证与合法合规的理想方案。
延伸阅读:《中华人民共和国网络安全法》第三章、第四章相关条款
第三章 网络运行安全
第二节 关键信息基础设施的运行安全
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第四章 网络信息安全
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
扫描二维码分享到微信