廣東
近期,網(wǎng)信辦等兩部門(mén)發(fā)布的《大型網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)規(guī)定(征求意見(jiàn)稿)》引發(fā)了廣泛關(guān)注。這份規(guī)定不僅明確了大型網(wǎng)絡(luò)平臺(tái)在個(gè)人信息保護(hù)中的責(zé)任,更重要的是提出了具體的落地要求——“采取身份驗(yàn)證、加密傳輸?shù)劝踩胧薄?/p>
(來(lái)源:網(wǎng)信辦)
這對(duì)于每天處理海量用戶數(shù)據(jù)的平臺(tái)來(lái)說(shuō),意味著什么?意味著HTTPS加密已從“可選項(xiàng)”變?yōu)椤氨剡x項(xiàng)”。
Part 01
SSL證書(shū)契合《規(guī)定》要求,為個(gè)人信息保護(hù)“保駕護(hù)航”
《規(guī)定》中明確要求“采取身份驗(yàn)證、加密傳輸?shù)劝踩胧保鳶SL證書(shū)恰好完美契合這兩項(xiàng)要求,成為助力大型網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)的直接技術(shù)工具。
01
身份可信驗(yàn)證:防釣魚(yú)防SSL證書(shū)由全球或國(guó)內(nèi)權(quán)威機(jī)構(gòu)(如GDCA)對(duì)服務(wù)器身份進(jìn)行嚴(yán)格驗(yàn)證后頒發(fā)。這意味著當(dāng)用戶訪問(wèn)你的平臺(tái)時(shí),能夠確認(rèn)“我就是我”,有效防止釣魚(yú)網(wǎng)站和中間人攻擊。
02
數(shù)據(jù)加密傳輸:防竊聽(tīng)防泄露
啟用HTTPS后,客戶端與服務(wù)器之間的所有通信都經(jīng)過(guò)加密。即便是個(gè)人信息在傳輸過(guò)程中被截獲,攻擊者看到的也只是一堆亂碼。RSA國(guó)際算法和SM2國(guó)密算法雙軌支持,兼顧國(guó)際兼容與國(guó)密合規(guī)。
03
數(shù)據(jù)完整性保護(hù):防篡改防偽造
通過(guò)消息認(rèn)證碼機(jī)制,SSL證書(shū)能確保數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改過(guò)。用戶提交的個(gè)人信息,到你服務(wù)器接收時(shí),保證原封不動(dòng)。
Part 02
大型網(wǎng)絡(luò)平臺(tái)部署SSL證書(shū)的實(shí)施建議
大型平臺(tái)往往面臨海量數(shù)據(jù)、高并發(fā)訪問(wèn)、復(fù)雜架構(gòu)的挑戰(zhàn),SSL證書(shū)管理絕非“一裝了之”因此,平臺(tái)在部署SSL證書(shū)時(shí),構(gòu)建完整的安全管理體系至關(guān)重要,結(jié)合新規(guī)要求,數(shù)安時(shí)代(GDCA)給出以下建議:
建議一
選擇權(quán)威可信的證書(shū)品牌
大型平臺(tái)應(yīng)選擇市場(chǎng)認(rèn)可度高、兼容性廣、服務(wù)可靠的證書(shū)品牌。作為國(guó)內(nèi)同時(shí)具備國(guó)際WebTrust認(rèn)證和國(guó)密商密資質(zhì)的CA機(jī)構(gòu),數(shù)安時(shí)代(GDCA)既能提供全球信任的SSL證書(shū),也能提供符合密評(píng)要求的國(guó)密證書(shū),滿足不同業(yè)務(wù)場(chǎng)景需求。
建議二
根據(jù)場(chǎng)景選擇證書(shū)類(lèi)型
對(duì)外公開(kāi)業(yè)務(wù):選擇OV(組織驗(yàn)證)或EV(擴(kuò)展驗(yàn)證)證書(shū),在瀏覽器地址欄顯示企業(yè)名稱,提升用戶信任度。
內(nèi)部系統(tǒng)/特定合規(guī)要求:考慮采用國(guó)密SSL證書(shū),滿足密評(píng)等合規(guī)要求。
建議三
實(shí)現(xiàn)全站HTTPS無(wú)死角覆蓋
不要只給主站上HTTPS!確保所有子域名、API接口、移動(dòng)端后臺(tái)、靜態(tài)資源等都啟用加密傳輸,避免形成安全短板。
建議四
建立自動(dòng)化證書(shū)管理體系
自動(dòng)化監(jiān)控預(yù)警:證書(shū)過(guò)期前自動(dòng)提醒。
集中化管理平臺(tái):統(tǒng)一查看、部署、更新所有證書(shū)。
Part 03
多管齊下,構(gòu)建全方位防護(hù)體系
隨著《大型網(wǎng)絡(luò)平臺(tái)個(gè)人信息保護(hù)規(guī)定(征求意見(jiàn)稿)》進(jìn)入意見(jiàn)征集收尾階段,相關(guān)要求的正式實(shí)施已日益臨近。建議各大型網(wǎng)絡(luò)平臺(tái)盡早規(guī)劃與部署,切實(shí)履行個(gè)人信息保護(hù)義務(wù),筑牢安全防線。當(dāng)然,個(gè)人信息保護(hù)是一個(gè)系統(tǒng)工程。SSL證書(shū)提供了傳輸層的安全保障,但平臺(tái)仍需結(jié)合多重技術(shù)和管理措施,構(gòu)建防御體系。
數(shù)安時(shí)代(GDCA)建議:各大型網(wǎng)絡(luò)平臺(tái)應(yīng)盡早啟動(dòng)評(píng)估與規(guī)劃,將HTTPS全站加密作為個(gè)人信息保護(hù)的第一道堅(jiān)實(shí)防線。合規(guī)不等人,安全無(wú)小事。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
