网络安全法解读之网络数据安全与SSL证书

简介:

网络安全法解读之网络数据安全与SSL证书

  网络数据及其安全问题解读

网络数据是指什么?

今年6月1日正式生效实施的《中华人民共和国网络安全法》第七十六条规定:“网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。”

对于普通用户,浏览的网页、输入的数据等线上操作,均会涉及较大数据量。对于企业,企业信息、用户信息等,也都是需要保护的重要数据。而一旦数据无法得到保护,造成信息隐私泄露,损失将难以估量。

《中华人民共和国网络安全法》第三章三十七条至三十八条,第四章四十一条至四十四条,就分别对关键信息基础设施的运营者、网络运营者在网络数据收集、存储、传输、处理等行为中作出明确要求。(详见文末延伸阅读)

随着网络数据价值不断提升,网络数据受到的安全威胁也开始增多。那么,网络数据安全需从哪些方面进行把控呢?

1. 物理安全

物理安全威胁主要表现在企业软件资产(操作系统、数据库等)和硬件资产(计算机及外设、网络设备等)因自然灾害、环境事故等引起的威胁。此类问题的解决速度较慢,若物理安全事件发生,企业将面临巨大的损失。

2. 系统性安全

数据库受到的攻击,操作系统的漏洞都是主要风险。缓冲区溢出漏洞会造成内存溢出,被恶意攻击,会对系统安全造成严重的危害。

3. 数据传输的安全

端口对端口如果不及时关闭,远程连接,病毒的感染,对数据访问控制的策略均是常见的安全隐患;在数据传输过程中被黑客攻击,传输的信息未加密也是数据丢失及轻易被截获的因素。

4. 敏感数据

有些政府机构的数据非常敏感、机密性高,此类重要信息不能出国,以防被窃取造成巨大损失,对此类敏感且重要的数据的传输和保存是网络安全中十分重要的一环。

信息传输过程中的安全解决方案:SSL证书

目前,互联网站及基于互联网的应用系统面临着各种各样的安全威胁,其中有两个基本问题亟待解决:

1. 网站身份的真实性

用户访问网站时需要确认网站的真实性。由于互联网的开放和共享,互联网上存在很多虚假的网站。如何让用户信任自己访问的网站是真实的?

2. 信息传输的机密性

大量的网上应用需要用户向网站应用系统提交一些隐私或者机密的信息,同时网站应用系统也可能向用户返回一些隐私或者机密信息。如何确保信息传输的机密性?

SSL证书就能解决上述问题。SSL证书由权威可信的第三方数字证书认证机构(CA)签发,是一种用于标记网站身份的数字证书。因其通常部署在网站服务器上,也称为网站证书或者服务器证书。

SSL证书在客户端浏览器和网站服务器之间通过https协议建立一条安全通道,对传输的数据进行加密,确保数据在传输过程中不被窃听、篡改及伪造,有效解决了网站身份的真实性和信息传输的保密性问题。

目前,英美等国也都已出台相关法律规定,要求政府部门网站必须使用SSL证书保护。

如何甄选适合你的SSL证书?

市面上的SSL证书琳琅满目,建议用户纠结的时候不妨多关注厂商的各项资质。

挑选攻略:

既然HTTPS必须有 你该安装何种SSL证书?(上)

http://mp.weixin.qq.com/s/2RIn-vBjjTcebRL7-9f4fA

既然HTTPS必须有,你该安装何种SSL证书?(下)

http://mp.weixin.qq.com/s/IN86JjG3k1oErgPiAMdH_g

比如,由中国金融认证中心(CFCA)自主研发的SSL证书,是目前唯一可在性能上与国外证书相媲美的国产证书,实现了对微软、谷歌、苹果、火狐等所有浏览器和操作系统的支持。

CFCA全球信任SSL证书的主要优势表现在:

由国家级权威安全认证机构,国家重要的金融信息安全基础设施之一CFCA签发;

CFCA是国际CA浏览器联盟组织(CA/Browser Forum)成员,是国际证书标准的参与者;

CFCA通过国际WebTrust认证,遵循全球统一认证标准;

根系统、吊销列表、证书管理、认证资料、服务支持本地化;

金融级的安全保障服务;

完善的风险承保计划,确保理赔的可行性和便捷性;

中文版CPS(全球信任体系电子认证业务规则)便于用户理解双方权利和义务。

CFCA全球信任SSL证书如何契合网络安全法?

虽然CFCA全球信任SSL证书具有很多突出的优势,但是,真正在部署使用时,你可能会仍然有困惑,它是否满足网络安全法中相关条款的要求?

而这些,你完全不用担心。

CFCA 全球信任SSL证书是纯国产证书,国际国内双认证,完全自主可控,证书国内生成,资料国内审核,审计国内完成,除可在互联网公开的数据外,收集和产生的个人信息和重要数据确保在境内存储,资料不出国,符合《中华人民共和国网络安全法》第三章三十七条的要求。

CFCA 全球信任SSL证书每年经过WebTrust审计,该审计是对于CA系统强度最严格的审计,使用国际WebTrust2.0,WebTrust BR, WebTrust EV等规范。同时,系统的自检、自查内部评审以及对国内规范的符合程度上,符合《中华人民共和国网络安全法》第三章三十八条的要求。

CFCA在其全球信任体系电子认证业务规则(CPS)9.4中有着详细的规定:个人信息私密性,通过明确什么信息可以公布,什么信息属于隐私,明确了信息的公开和保护程度,符合《中华人民共和国符合网络安全法》第四章四十一到四十四条的要求。

因此,网站选择配置CFCA SSL证书,是能同时满足安全认证与合法合规的理想方案。

延伸阅读:《中华人民共和国网络安全法》第三章、第四章相关条款

第三章 网络运行安全

第二节 关键信息基础设施的运行安全

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第四章 网络信息安全

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

如果您希望了解更多与HTTPS、SSL证书相关的信息,请拨打010-59798680或登录ssl.cfca.com.cn查询。


本文转自d1net(转载)

相关文章
|
25天前
|
存储 安全 网络安全
云计算与网络安全:云服务、网络安全、信息安全等技术领域的探讨
随着云计算技术的不断发展,其在各个领域的应用越来越广泛。然而,随之而来的网络安全问题也日益突出。本文将深入探讨云计算与网络安全之间的关系,重点关注云服务、网络安全和信息安全等技术领域。我们将分析云计算面临的安全挑战,并提出相应的解决方案,以确保云计算在为人们带来便利的同时,也能保障数据的安全性。
|
2天前
|
SQL 安全 网络安全
网络安全与信息安全:防范网络漏洞,提升安全意识
【6月更文挑战第22天】在数字化时代,网络安全与信息安全的重要性日益凸显。本文将深入探讨网络安全漏洞、加密技术以及安全意识等方面的问题。我们将了解常见的网络安全漏洞及其成因,分析加密技术在保护信息安全中的关键作用,并强调提升个人和组织的安全意识对于防范网络攻击的重要性。通过分享相关知识和实践建议,旨在帮助读者更好地应对网络安全挑战。
14 6
|
1天前
|
SQL 安全 网络安全
网络防御的盾牌:深入探索网络安全漏洞与先进加密技术
【6月更文挑战第23天】在数字时代的浪潮下,网络安全成为维护信息安全的关键防线。本文将剖析当前网络安全面临的主要漏洞,探讨如何通过先进的加密技术和提升安全意识来构建坚固的网络防御体系。我们将从网络攻击者的角度出发,了解他们利用的漏洞类型,并介绍一些实用的防御策略。文章还将深入讨论加密技术的演变,以及如何正确应用这些技术来保护数据。最后,强调培养良好的安全习惯和提高个人及组织的安全意识对于预防网络威胁的重要性。
|
3天前
|
SQL 安全 网络安全
网络防御的盾牌:探索网络安全漏洞、加密技术与安全意识的重要性
【6月更文挑战第21天】在数字时代,网络安全已成为保护个人隐私和企业资产的关键。本文将深入探讨网络安全中的薄弱环节,包括常见的安全漏洞及其成因,同时介绍加密技术如何成为防御策略的核心。此外,文章强调了提高用户安全意识的必要性,并提出了实用的建议来增强个人和组织的网络防御能力。通过这些措施,我们可以更好地保护自己免受网络威胁的侵害。
|
13天前
|
机器学习/深度学习 人工智能 安全
网络安全基础:防御是最佳进攻——构建坚实的网络安全防线
【6月更文挑战第12天】网络安全至关重要,防御是最佳进攻。本文探讨基础概念、关键策略及未来趋势。防火墙、入侵检测、加密技术、身份认证、访问控制、漏洞管理是防御关键。未来,人工智能、机器学习将增强威胁防御,零信任架构普及,隐私保护和数据安全成为焦点。构建坚实防线,持续学习改进,共同应对网络安全挑战。
|
25天前
|
存储 安全 网络安全
网络安全与信息安全:保护数据安全的关键技术与意识
在数字化时代,网络安全与信息安全已经成为社会发展和个人生活中不可或缺的重要组成部分。本文探讨了网络安全漏洞、加密技术以及安全意识等方面的知识,并阐述了它们在保护数据安全中的关键作用。通过加强对网络安全与信息安全的认识与应对,我们可以更好地应对日益复杂的网络威胁,保障个人和组织的数据安全。
|
25天前
|
存储 安全 网络安全
云计算与网络安全:云服务、网络安全和信息安全的交叉领域
【5月更文挑战第31天】随着云计算技术的飞速发展,其安全性问题也日益凸显。本文将探讨云计算与网络安全的关系,包括云服务的安全性、网络安全的挑战以及信息安全的重要性。我们将深入分析云计算环境下的安全威胁,并提出相应的防护策略。通过本文,读者将更好地理解云计算与网络安全之间的紧密联系,并掌握保护云服务安全的关键技术和方法。
|
25天前
|
安全 网络安全 API
构建高效微服务架构的五大关键策略网络安全与信息安全:防范网络威胁的关键策略
【5月更文挑战第31天】 在现代软件开发领域,微服务架构已经成为实现灵活、可扩展及容错系统的重要解决方案。本文将深入探讨构建高效微服务架构的五个核心策略:服务划分原则、API网关设计、服务发现与注册、熔断机制以及持续集成与部署。这些策略不仅有助于开发团队提升系统的可维护性和可伸缩性,同时也确保了高可用性和服务质量。通过实践案例和性能分析,我们将展示如何有效应用这些策略以提高微服务的性能和稳定性。
|
25天前
|
SQL 安全 网络安全
网络安全与信息安全:防范网络威胁的关键策略
【5月更文挑战第31天】在数字化时代,数据已成为最宝贵的资产之一。然而,随着网络攻击的日益频繁和复杂,组织和个人面临着前所未有的安全挑战。本文将深入探讨网络安全漏洞的概念、加密技术的重要性以及提升安全意识的必要性。我们将分析当前网络环境中存在的安全风险,并分享如何通过综合策略来增强网络和信息的安全性。
19 0
|
1月前
|
消息中间件 Java Linux
2024年最全BATJ真题突击:Java基础+JVM+分布式高并发+网络编程+Linux(1),2024年最新意外的惊喜
2024年最全BATJ真题突击:Java基础+JVM+分布式高并发+网络编程+Linux(1),2024年最新意外的惊喜