網(wǎng)絡(luò)安全法解讀之網(wǎng)絡(luò)數(shù)據(jù)安全與SSL證書

責(zé)任編輯:editor006

2017-11-14 17:13:58

摘自:中國電子銀行網(wǎng)

今年6月1日正式生效實施的《中華人民共和國網(wǎng)絡(luò)安全法》第七十六條規(guī)定:“網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。

網(wǎng)絡(luò)安全法解讀之網(wǎng)絡(luò)數(shù)據(jù)安全與SSL證書

  網(wǎng)絡(luò)數(shù)據(jù)及其安全問題解讀

網(wǎng)絡(luò)數(shù)據(jù)是指什么?

今年6月1日正式生效實施的《中華人民共和國網(wǎng)絡(luò)安全法》第七十六條規(guī)定:“網(wǎng)絡(luò)數(shù)據(jù),是指通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。”

對于普通用戶,瀏覽的網(wǎng)頁、輸入的數(shù)據(jù)等線上操作,均會涉及較大數(shù)據(jù)量。對于企業(yè),企業(yè)信息、用戶信息等,也都是需要保護(hù)的重要數(shù)據(jù)。而一旦數(shù)據(jù)無法得到保護(hù),造成信息隱私泄露,損失將難以估量。

《中華人民共和國網(wǎng)絡(luò)安全法》第三章三十七條至三十八條,第四章四十一條至四十四條,就分別對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者、網(wǎng)絡(luò)運(yùn)營者在網(wǎng)絡(luò)數(shù)據(jù)收集、存儲、傳輸、處理等行為中作出明確要求。(詳見文末延伸閱讀)

隨著網(wǎng)絡(luò)數(shù)據(jù)價值不斷提升,網(wǎng)絡(luò)數(shù)據(jù)受到的安全威脅也開始增多。那么,網(wǎng)絡(luò)數(shù)據(jù)安全需從哪些方面進(jìn)行把控呢?

1. 物理安全

物理安全威脅主要表現(xiàn)在企業(yè)軟件資產(chǎn)(操作系統(tǒng)、數(shù)據(jù)庫等)和硬件資產(chǎn)(計算機(jī)及外設(shè)、網(wǎng)絡(luò)設(shè)備等)因自然災(zāi)害、環(huán)境事故等引起的威脅。此類問題的解決速度較慢,若物理安全事件發(fā)生,企業(yè)將面臨巨大的損失。

2. 系統(tǒng)性安全

數(shù)據(jù)庫受到的攻擊,操作系統(tǒng)的漏洞都是主要風(fēng)險。緩沖區(qū)溢出漏洞會造成內(nèi)存溢出,被惡意攻擊,會對系統(tǒng)安全造成嚴(yán)重的危害。

3. 數(shù)據(jù)傳輸?shù)陌踩?/strong>

端口對端口如果不及時關(guān)閉,遠(yuǎn)程連接,病毒的感染,對數(shù)據(jù)訪問控制的策略均是常見的安全隱患;在數(shù)據(jù)傳輸過程中被黑客攻擊,傳輸?shù)男畔⑽醇用芤彩菙?shù)據(jù)丟失及輕易被截獲的因素。

4. 敏感數(shù)據(jù)

有些政府機(jī)構(gòu)的數(shù)據(jù)非常敏感、機(jī)密性高,此類重要信息不能出國,以防被竊取造成巨大損失,對此類敏感且重要的數(shù)據(jù)的傳輸和保存是網(wǎng)絡(luò)安全中十分重要的一環(huán)。

信息傳輸過程中的安全解決方案:SSL證書

目前,互聯(lián)網(wǎng)站及基于互聯(lián)網(wǎng)的應(yīng)用系統(tǒng)面臨著各種各樣的安全威脅,其中有兩個基本問題亟待解決:

1. 網(wǎng)站身份的真實性

用戶訪問網(wǎng)站時需要確認(rèn)網(wǎng)站的真實性。由于互聯(lián)網(wǎng)的開放和共享,互聯(lián)網(wǎng)上存在很多虛假的網(wǎng)站。如何讓用戶信任自己訪問的網(wǎng)站是真實的?

2. 信息傳輸?shù)臋C(jī)密性

大量的網(wǎng)上應(yīng)用需要用戶向網(wǎng)站應(yīng)用系統(tǒng)提交一些隱私或者機(jī)密的信息,同時網(wǎng)站應(yīng)用系統(tǒng)也可能向用戶返回一些隱私或者機(jī)密信息。如何確保信息傳輸?shù)臋C(jī)密性?

SSL證書就能解決上述問題。SSL證書由權(quán)威可信的第三方數(shù)字證書認(rèn)證機(jī)構(gòu)(CA)簽發(fā),是一種用于標(biāo)記網(wǎng)站身份的數(shù)字證書。因其通常部署在網(wǎng)站服務(wù)器上,也稱為網(wǎng)站證書或者服務(wù)器證書。

SSL證書在客戶端瀏覽器和網(wǎng)站服務(wù)器之間通過https協(xié)議建立一條安全通道,對傳輸?shù)臄?shù)據(jù)進(jìn)行加密,確保數(shù)據(jù)在傳輸過程中不被竊聽、篡改及偽造,有效解決了網(wǎng)站身份的真實性和信息傳輸?shù)谋C苄詥栴}。

目前,英美等國也都已出臺相關(guān)法律規(guī)定,要求政府部門網(wǎng)站必須使用SSL證書保護(hù)。

如何甄選適合你的SSL證書?

市面上的SSL證書琳瑯滿目,建議用戶糾結(jié)的時候不妨多關(guān)注廠商的各項資質(zhì)。

挑選攻略:

既然HTTPS必須有 你該安裝何種SSL證書?(上)

http://mp.weixin.qq.com/s/2RIn-vBjjTcebRL7-9f4fA

既然HTTPS必須有,你該安裝何種SSL證書?(下)

http://mp.weixin.qq.com/s/IN86JjG3k1oErgPiAMdH_g

比如,由中國金融認(rèn)證中心(CFCA)自主研發(fā)的SSL證書,是目前唯一可在性能上與國外證書相媲美的國產(chǎn)證書,實現(xiàn)了對微軟、谷歌、蘋果、火狐等所有瀏覽器和操作系統(tǒng)的支持。

CFCA全球信任SSL證書的主要優(yōu)勢表現(xiàn)在:

由國家級權(quán)威安全認(rèn)證機(jī)構(gòu),國家重要的金融信息安全基礎(chǔ)設(shè)施之一CFCA簽發(fā);

CFCA是國際CA瀏覽器聯(lián)盟組織(CA/Browser Forum)成員,是國際證書標(biāo)準(zhǔn)的參與者;

CFCA通過國際WebTrust認(rèn)證,遵循全球統(tǒng)一認(rèn)證標(biāo)準(zhǔn);

根系統(tǒng)、吊銷列表、證書管理、認(rèn)證資料、服務(wù)支持本地化;

金融級的安全保障服務(wù);

完善的風(fēng)險承保計劃,確保理賠的可行性和便捷性;

中文版CPS(全球信任體系電子認(rèn)證業(yè)務(wù)規(guī)則)便于用戶理解雙方權(quán)利和義務(wù)。

CFCA全球信任SSL證書如何契合網(wǎng)絡(luò)安全法?

雖然CFCA全球信任SSL證書具有很多突出的優(yōu)勢,但是,真正在部署使用時,你可能會仍然有困惑,它是否滿足網(wǎng)絡(luò)安全法中相關(guān)條款的要求?

而這些,你完全不用擔(dān)心。

CFCA 全球信任SSL證書是純國產(chǎn)證書,國際國內(nèi)雙認(rèn)證,完全自主可控,證書國內(nèi)生成,資料國內(nèi)審核,審計國內(nèi)完成,除可在互聯(lián)網(wǎng)公開的數(shù)據(jù)外,收集和產(chǎn)生的個人信息和重要數(shù)據(jù)確保在境內(nèi)存儲,資料不出國,符合《中華人民共和國網(wǎng)絡(luò)安全法》第三章三十七條的要求。

CFCA 全球信任SSL證書每年經(jīng)過WebTrust審計,該審計是對于CA系統(tǒng)強(qiáng)度最嚴(yán)格的審計,使用國際WebTrust2.0,WebTrust BR, WebTrust EV等規(guī)范。同時,系統(tǒng)的自檢、自查內(nèi)部評審以及對國內(nèi)規(guī)范的符合程度上,符合《中華人民共和國網(wǎng)絡(luò)安全法》第三章三十八條的要求。

CFCA在其全球信任體系電子認(rèn)證業(yè)務(wù)規(guī)則(CPS)9.4中有著詳細(xì)的規(guī)定:個人信息私密性,通過明確什么信息可以公布,什么信息屬于隱私,明確了信息的公開和保護(hù)程度,符合《中華人民共和國符合網(wǎng)絡(luò)安全法》第四章四十一到四十四條的要求。

因此,網(wǎng)站選擇配置CFCA SSL證書,是能同時滿足安全認(rèn)證與合法合規(guī)的理想方案。

延伸閱讀:《中華人民共和國網(wǎng)絡(luò)安全法》第三章、第四章相關(guān)條款

第三章 網(wǎng)絡(luò)運(yùn)行安全

第二節(jié) 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全

第三十七條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。

第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估,并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。

第四章 網(wǎng)絡(luò)信息安全

第四十一條 網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意。

網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息,不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息,并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定,處理其保存的個人信息。

第四十二條 網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、毀損其收集的個人信息;未經(jīng)被收集者同意,不得向他人提供個人信息。但是,經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。

網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時,應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。

第四十三條 個人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個人信息;發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲的其個人信息有錯誤的,有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。

第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。

如果您希望了解更多與HTTPS、SSL證書相關(guān)的信息,請撥打010-59798680或登錄ssl.cfca.com.cn查詢。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號