网络安全法解读之网络数据安全与SSL证书

    网络数据及其安全问题解读

    网络数据是指什么？

    今年6月1日正式生效实施的《中华人民共和国网络安全法》第七十六条规定：“网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。”

    对于普通用户，浏览的网页、输入的数据等线上操作，均会涉及较大数据量。对于企业，企业信息、用户信息等，也都是需要保护的重要数据。而一旦数据无法得到保护，造成信息隐私泄露，损失将难以估量。

    《中华人民共和国网络安全法》第三章三十七条至三十八条，第四章四十一条至四十四条，就分别对关键信息基础设施的运营者、网络运营者在网络数据收集、存储、传输、处理等行为中作出明确要求。（详见文末延伸阅读）

    随着网络数据价值不断提升，网络数据受到的安全威胁也开始增多。那么，网络数据安全需从哪些方面进行把控呢？

    1. 物理安全

    物理安全威胁主要表现在企业软件资产（操作系统、数据库等）和硬件资产（计算机及外设、网络设备等）因自然灾害、环境事故等引起的威胁。此类问题的解决速度较慢，若物理安全事件发生，企业将面临巨大的损失。

    2. 系统性安全

    数据库受到的攻击，操作系统的漏洞都是主要风险。缓冲区溢出漏洞会造成内存溢出，被恶意攻击，会对系统安全造成严重的危害。

    3. 数据传输的安全

    端口对端口如果不及时关闭，远程连接，病毒的感染，对数据访问控制的策略均是常见的安全隐患；在数据传输过程中被黑客攻击，传输的信息未加密也是数据丢失及轻易被截获的因素。

    4. 敏感数据

    有些政府机构的数据非常敏感、机密性高，此类重要信息不能出国，以防被窃取造成巨大损失，对此类敏感且重要的数据的传输和保存是网络安全中十分重要的一环。

    信息传输过程中的安全解决方案：SSL证书

    目前，互联网站及基于互联网的应用系统面临着各种各样的安全威胁，其中有两个基本问题亟待解决：

    1. 网站身份的真实性

    用户访问网站时需要确认网站的真实性。由于互联网的开放和共享，互联网上存在很多虚假的网站。如何让用户信任自己访问的网站是真实的？

    2. 信息传输的机密性

    大量的网上应用需要用户向网站应用系统提交一些隐私或者机密的信息，同时网站应用系统也可能向用户返回一些隐私或者机密信息。如何确保信息传输的机密性？

    SSL证书就能解决上述问题。SSL证书由权威可信的第三方数字证书认证机构（CA）签发，是一种用于标记网站身份的数字证书。因其通常部署在网站服务器上，也称为网站证书或者服务器证书。

    SSL证书在客户端浏览器和网站服务器之间通过https协议建立一条安全通道，对传输的数据进行加密，确保数据在传输过程中不被窃听、篡改及伪造，有效解决了网站身份的真实性和信息传输的保密性问题。