網絡數據及其安全問題解讀

網絡數據是指什么？

今年6月1日正式生效實施的《中華人民共和國網絡安全法》第七十六條規定：“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。”

對于普通用戶，瀏覽的網頁、輸入的數據等線上操作，均會涉及較大數據量。對于企業，企業信息、用戶信息等，也都是需要保護的重要數據。而一旦數據無法得到保護，造成信息隱私泄露，損失將難以估量。

《中華人民共和國網絡安全法》第三章三十七條至三十八條，第四章四十一條至四十四條，就分別對關鍵信息基礎設施的運營者、網絡運營者在網絡數據收集、存儲、傳輸、處理等行為中作出明確要求。（詳見文末延伸閱讀）

隨著網絡數據價值不斷提升，網絡數據受到的安全威脅也開始增多。那么，網絡數據安全需從哪些方面進行把控呢？

1. 物理安全

物理安全威脅主要表現在企業軟件資產（操作系統、數據庫等）和硬件資產（計算機及外設、網絡設備等）因自然災害、環境事故等引起的威脅。此類問題的解決速度較慢，若物理安全事件發生，企業將面臨巨大的損失。

2. 系統性安全

數據庫受到的攻擊，操作系統的漏洞都是主要風險。緩沖區溢出漏洞會造成內存溢出，被惡意攻擊，會對系統安全造成嚴重的危害。

3. 數據傳輸的安全

端口對端口如果不及時關閉，遠程連接，病毒的感染，對數據訪問控制的策略均是常見的安全隱患；在數據傳輸過程中被黑客攻擊，傳輸的信息未加密也是數據丟失及輕易被截獲的因素。

4. 敏感數據

有些政府機構的數據非常敏感、機密性高，此類重要信息不能出國，以防被竊取造成巨大損失，對此類敏感且重要的數據的傳輸和保存是網絡安全中十分重要的一環。

信息傳輸過程中的安全解決方案：SSL證書

目前，互聯網站及基于互聯網的應用系統面臨著各種各樣的安全威脅，其中有兩個基本問題亟待解決：

1. 網站身份的真實性

用戶訪問網站時需要確認網站的真實性。由于互聯網的開放和共享，互聯網上存在很多虛假的網站。如何讓用戶信任自己訪問的網站是真實的？

2. 信息傳輸的機密性

大量的網上應用需要用戶向網站應用系統提交一些隱私或者機密的信息，同時網站應用系統也可能向用戶返回一些隱私或者機密信息。如何確保信息傳輸的機密性？

SSL證書就能解決上述問題。SSL證書由權威可信的第三方數字證書認證機構（CA）簽發，是一種用于標記網站身份的數字證書。因其通常部署在網站服務器上，也稱為網站證書或者服務器證書。

SSL證書在客戶端瀏覽器和網站服務器之間通過https協議建立一條安全通道，對傳輸的數據進行加密，確保數據在傳輸過程中不被竊聽、篡改及偽造，有效解決了網站身份的真實性和信息傳輸的保密性問題。

目前，英美等國也都已出臺相關法律規定，要求政府部門網站必須使用SSL證書保護。

如何甄選適合你的SSL證書？

市面上的SSL證書琳瑯滿目，建議用戶糾結的時候不妨多關注廠商的各項資質。

挑選攻略：

既然HTTPS必須有 你該安裝何種SSL證書？（上）

http://mp.weixin.qq.com/s/2RIn-vBjjTcebRL7-9f4fA

既然HTTPS必須有，你該安裝何種SSL證書？（下）

http://mp.weixin.qq.com/s/IN86JjG3k1oErgPiAMdH_g

比如，由中國金融認證中心（CFCA）自主研發的SSL證書，是目前唯一可在性能上與國外證書相媲美的國產證書，實現了對微軟、谷歌、蘋果、火狐等所有瀏覽器和操作系統的支持。

CFCA全球信任SSL證書的主要優勢表現在：

由國家級權威安全認證機構，國家重要的金融信息安全基礎設施之一CFCA簽發；

CFCA是國際CA瀏覽器聯盟組織（CA/Browser Forum）成員，是國際證書標準的參與者；

CFCA通過國際WebTrust認證，遵循全球統一認證標準；

根系統、吊銷列表、證書管理、認證資料、服務支持本地化；

金融級的安全保障服務；

完善的風險承保計劃，確保理賠的可行性和便捷性；

中文版CPS（全球信任體系電子認證業務規則）便于用戶理解雙方權利和義務。

CFCA全球信任SSL證書如何契合網絡安全法？

雖然CFCA全球信任SSL證書具有很多突出的優勢，但是，真正在部署使用時，你可能會仍然有困惑，它是否滿足網絡安全法中相關條款的要求？

而這些，你完全不用擔心。

CFCA 全球信任SSL證書是純國產證書，國際國內雙認證，完全自主可控，證書國內生成，資料國內審核，審計國內完成，除可在互聯網公開的數據外，收集和產生的個人信息和重要數據確保在境內存儲，資料不出國，符合《中華人民共和國網絡安全法》第三章三十七條的要求。

CFCA 全球信任SSL證書每年經過WebTrust審計，該審計是對于CA系統強度最嚴格的審計，使用國際WebTrust2.0,WebTrust BR, WebTrust EV等規范。同時，系統的自檢、自查內部評審以及對國內規范的符合程度上，符合《中華人民共和國網絡安全法》第三章三十八條的要求。

CFCA在其全球信任體系電子認證業務規則（CPS）9.4中有著詳細的規定：個人信息私密性，通過明確什么信息可以公布，什么信息屬于隱私，明確了信息的公開和保護程度，符合《中華人民共和國符合網絡安全法》第四章四十一到四十四條的要求。

因此，網站選擇配置CFCA SSL證書，是能同時滿足安全認證與合法合規的理想方案。

延伸閱讀：《中華人民共和國網絡安全法》第三章、第四章相關條款

第三章 網絡運行安全

第二節 關鍵信息基礎設施的運行安全

第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

第三十八條 關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

第四章 網絡信息安全

第四十一條 網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。

網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

第四十三條 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。

第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

如果您希望了解更多與HTTPS、SSL證書相關的信息，請撥打010-59798680或登錄ssl.cfca.com.cn查詢。