网络安全数据富化 网络数据安全处理规范
本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全 技术与管理要求。
本文件适用于网络运营者规范网络数据处理,以及监管部门、第三方评估机构对网络数据处理进行 监督管理和评估。
部分术语和定义
数据(data):任何以电子或者其他方式
对信息的记录
网络数据(networkdata):通过网络收集、存储、使用、加工、传输、提供、公开的各种数据。
示例:个人信息、重要数据等。
数据处理(dataprocessing):数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全(datasecurity):通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据接收方(datareceiver):数据处理中接收数据的组织或者个人。
第三方应用(thirdpartyapplication):由第三方提供的产品
或者服务,以及被接入或者嵌入网络运营者产品或者服务中的自动化工具。
注:本文件中的第三方应用包括但不限于软件开发工具
包、第三方代码、组件、脚本、接口、算法模型、小程序等。
数据处理安全总体要求
数据识别
网络运营者应识别数据处理中涉及的数据,包括个人信息、重要数据和其他数据,形成数据保护目录,并及时更新。
分类分级
网络运营者应按照相关国家标准,根据合同规定和业务运营需要,对所识别的数据进行分类分级管理。
风险防控
网络运营者开展数据处理时,应按照合同约定履行数据安全保护义务,开展数据处理活动应加强风险监测,发现数据安全缺陷、漏洞等风险时,应采取加密、脱敏、备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取、篡改、损毁、不正当使用等。
审计追溯
网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计、可追溯。
数据处理安全技术要求
网络运营者在开展数据处理时应进行影响分析和风险评估,采取必要的措施对识别的风险进行控制,以保障数据安全。
在发生突发公共卫生事件时,数据处理还应遵守附录 A(突发公共卫生事件个人信息保护要求) 的要求。影响或者可能影响国家安全的数据处理活动应接受国家安全审查。
个人信息收集
遵循合法、正当、必要的原则,不应收集与其提供 的服务无直接或无合理关联,或超出个人信息主体明示同意期限的个人信息
数据存储
网络运营者应对数据存储活动采取安全措施,如:加密、安全存储、访问控制、安全审计等安全措施
数据传输
网络运营者在应对数据传输活动采取安全措施,包括:
• 传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;
• 向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定。
提供
网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全、公共安全、经 济安全和社会稳定的,不应向他人提供
数据出境
网络运营者向境外提供个人信息或者重要数据的,应遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的,其流量不应路由至境外。
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
