学习
实践
活动
专区
工具
TVP
写文章

网络安全视角下的《个人信息保护法》

本文拟从网络安全的视角出发,通过比较网络安全法、数据安全法草案,归纳及整理出个保法在安全保护义务方面的新变化和新要求,希望为信息安全及法律合规领域的从业人员提供一些借鉴和参考。 这意味着,如果两家企业同时违反某一项网络安全保护义务(如:未履行网络安全等级保护并导致信息泄露),则业务涉及个人信息处理的企业法律风险更高,巨额罚款之下,企业甚至可能陷入倒闭。 换句话说,尽管在《网络安全法》等法律中对网络安全责任已有相关规定,但是如果涉及与个人信息相关的安全保护责任问题,仍然会适用个保法的相关条款。 ,涉及信息安全保护的其他法律法规要求,如:网络安全等级保护(网安法第21条)、关键信息基础设施的运营者对重要系统和数据库的容灾备份(网安法第34条)、重要数据的处理者对数据活动的风险评估(数据安全法第28 这极有可能成为今后监管机构的重点检查事项之一,为核查企业是否落实个人信息保护埋下了伏笔。 启示 没有网络安全,就没有个人信息保护。安全是保护的基础和前提。

11910
  • 广告
    关闭

    中小企业基础安全福利免费领

    腾讯安全免费开放基础安全能力!3项安全福利0元领

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    iOS安全:敏感逻辑的保护方案(敏感信息的安全设计)

    前言 应用场景:签名函数,把函数名隐藏在结构体里,以函数指针成员的形式存储来进行敏感逻辑的保护。 为了提高代码的安全性,可以采用把把函数名隐藏在结构体里,以函数指针成员的形式存储。 去掉了名字和参数表,提高了逆向成本和攻击门槛. 3、文章:https://kunnan.blog.csdn.net/article/details/115857706 1.3 使用宏进行替换字符串,来保护关键类名 ,包括身份验证信息 不要在客户端上以明文形式保存密码或其他敏感信息 为所有敏感信息采用SSL加密传输 禁止将敏感信息(包含加密秘钥等)硬编码在程序中 不要在日志中保存敏感信息,包含但不限于系统详细信息、 ,防止产生参数遍历获取信息风险 iOS敏感逻辑的保护方案:【把函数名隐藏在结构体里,以函数指针成员的形式存储】 敏感信息需要展示在web页面上时,应在后台进行敏感字段脱敏处理 身份证、银行卡号 姓名 预留手机号 请求返回数据不应包含请求之外的业务数据,特别是敏感信息数据

    29310

    保护WiFi无线网络安全

    增强家中网络的安全性不但能够在您进行无线上网时保护您的信息安全,还有助于保护连接到网络的各类设备。 如果您希望提升家中WiFi网络的安全性,采取下列步骤可以有所帮助。 1. 即便他们需要输入密码,您也有多种不同的方式来保护自家网络,而这些方法之间也有优劣之分。您可以通过查看WiFi网络设置来了解自家的网络已有哪些保护措施。 您的网络可能是不安全的,也可能已经添加了有线等效加密(WEP),无线网络安全接入(WPA)或二代无线网络安全接入(WPA2)等保护措施。其中WEP是最早的无线安全协议,效果不佳。 将您的网络安全设置改为WPA2 WiFi信号是由家中的无线路由器产生的。如果您的网络没有WPA2保护,需要访问路由器设置页面进行更改。 5.如果您需要帮助,请查阅使用说明 如果您遗失了路由器手册,还可以在搜索引擎中查找家中使用的基站或路由器的型号,许多设备的信息都能在网上查到。

    66740

    网络安全等级保护工作流程

    网络安全等级保护基本概述 网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开 信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护,对网络中使用的安全技术和管理制度实行按等级管理 -2020) 信息安全技术 网络安全等级保护实施指南(GB/T25058-2019) 信息安全技术 网络安全等级保护基本要求(GB/T22239-2019) 信息安全技术 网络安全等级保护设计技术要求( 建设整改阶段: 安全建设整改工作分五步进行: 落实安全建设整改工作部门,建设整改工作规划,进行总体部署; 确定网络安全建设需求并论证; 确定安全防护策略,制定网络安全建设整改方案(安全建设方案经专家评审论证 ,三级以上报公安机关审核); 根据网络安全建设整改方案,实施安全建设工程; 开展安全自查和等级测评,及时发现安全风险及安全问题,进一步开展整改。 等级测评阶段: 网络安全等级保护测评过程分为4个基本活动:测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。 ? ?

    4.2K40

    网络安全行业点亮“航标灯”——《关键信息基础设施安全保护条例》解读

    近年来,世界各国纷纷出台网络安全战略并不断完善网络安全立法,加强关键信息基础设施保护。 在我国,作为首部专门针对关键信息技术设施安全保护工作的行政法规,《关键信息基础设施安全保护条例》施行在即。 其中,作为我国首部专门针对关键信息技术设施安全保护工作的行政法规,《关键信息基础设施安全保护条例》(以下简称《条例》)即将于9月1日正式施行,为网络安全行业的健康、有序发展点亮了一盏“航标灯”。 “完善关键信息基础设施保护法律体系,全面提升关键信息基础设施安全保护意识、保障能力和水平,已经成为网络安全博弈的制胜关键。”陈颢明表示。 然而现阶段,我国关键信息基础设施的安全防护仍存在不少问题。 因此,跨越多行业,多领域的云服务提供商作为主要对象,其中具有信创和自主知识产权特色的企业,和具有跨界整合优质网络安全方案能力的企业会更加受益。”郭晓表示。 另外,网络安全人才问题也将获得更多的关注。 另一方面,企业与安全从业者也是重要参与者,需提供更符合实际场景需求的安全解决方案。陈颢明谈到:“关键信息基础设施的保护体系不应再是类似等保的‘基线’式防护,而必须是有重点、有目标的针对性管控体系。

    33010

    信息安全之等级保护介绍

    1 、信息安全等级保护的概述 v什么是信息安全等级保护:v 根据信息系统在国家安全、经济建设、社会生活中的重要程度;遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度 ;将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。 2、信息安全等级保护的意义 v为什么要进行信息安全等级保护工作:v l信息安全形势严峻 Ø敌对势力的入侵攻击破坏 Ø针对基础信息网络和重要信息系统的违法犯罪持续上升 Ø基础信息网络和重要信息系统安全隐患严重 v基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分 5、信息安全等级保护的等级划分 v信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。v l受侵害的客体。

    85810

    初识《关键信息基础设施网络安全保护基本要求》:基于等保,高于等保

    写在前边 等保2.0刚刚实施不久,接踵而来的是《关键信息基础设施网络安全保护基本要求》。当前网络安全无论是技术还是国家战略,都需要我们持续关注并加强管理力度(请大家挺住,后边的标准还多呢)。 《网络安全法》、《国家网络空间安全战略》等提出建立关键信息基础设施安全保护制度;中央网信办发布《关键信息基础设施安全保护条例(征求意见稿)》,明确了关键信息基础设施的具体范围,并提出进一步的安全保护要求 该标准规定关键信息基础设施网络安全框架,说明构成框架的基本要素及其关系,定义基本、通用的术语。 2.《关键信息基础设施网络安全保护基本要求》。 该标准作为《信息安全技术关键信息基础设施网络安全保护基本要求》的配套标准,根据要求提出相应控制措施,运营者开展网络安全保护工作时可在该标准中选取适用的控制措施。 4. 重点保护是指关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及 GB/T 22239-2019等标准相关要求,在此基础上加强关键信息基础设施关键业务的安全保护

    2.1K20

    网络安全等级保护体系设计通用实践

    (2)规定不同级别定级对象的通信网络的安全保护技术措施 运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等 (3)规定不同级别定级对象的网络边界保护技术措施 运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等 (4)规定不同级别定级对象的内部安全保护技术措施 运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等 (5)规定定级对象之间互联的安全保护技术措施 运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等,提出跨局域网互联的定级对象之间的信息传输保护策略要求和具体的安全技术措施 (6)规定云计算、移动互联等新技术的安全保护技术措施 运营者根据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、行业基本要求(不同行业的网络安全等级保护规范性文件)、安全需求等

    35920

    网络安全:拿什么保护你,我的域名

    随着信息技术高速发展和网络应用迅速普及,越来越多的人开始享受到互联网带来的高效便捷。然而,信息的大量集中以及个人信息经济价值的日益提高使得个人信息遭受侵犯的可能性也在日渐增大。 域名被盗事件频发! 在域名起源之初, ICANN要求国际域名注册信息须提供给公众查询,包括注册人的联系电话、电子邮件和联系人姓名等,并且严格要求域名的信息真实准确,这为域名留下了不可预见的安全隐患。 与此同时,大多数用户的域名保护意识淡薄,在互联网上各种网站帐号资料密码一般都会做相同设置,对域名没有采取特别的安全保护措施,也是导致域名被盗的主要原因。 域名被盗如何取回? 大多数域名被盗的情况都是由于域名注册邮箱先被盗,继而导致域名被盗,因此保护邮箱安全是域名安全的最重要的措施。 例如:DNSPod推出的D令牌除了需要输入原有的账户密码外,还需要输入一个动态的密码,最大限度地提升自身账户的安全性,保护自己的域名安全。

    14030

    Layer 2 隐私保护方案:PriBank

    •现有解决方案缺点:没有为用户余额和链下交易数据提供隐私。 •贡献: 提出了PriBank隐私保护加密货币系统,可在这些Layer2方案之上实现余额和交易额隐私保护。 ③Layer2方案:Plasma [29]、NOCUST [21]、ZK-Rollup [19] 等通过运营商将大量数据和计算转移到链下,交易的简短摘要上链,扩展性高,手续费低,缺少隐私保护。 一些方案结合ZKP实现区块链和链下系统的完整性。然而交易数据公开的,缺少隐私保护。 相关工作:银行中介模型可审计的隐私保护分布式账本方案 1. 运营商等待多个交易、打包 建议改名“Validity-Rollup” 1.5 Layer2隐私保护 对Layer2方案增加隐私保护:隐藏用户余额、交易额 运营商承诺交易额和上链账户余额,通过SNARK

    47540

    数据中心如何保护信息安全

    伴随《中华人民共和国网络安全法》的表决通过,明年落地实施等消息地传出,网络安全这个字眼活跃在大众视野中。 其中有条文规定:网络运营者除了应当按照网络安全等级保护制度要求采取保护措施外,还需要“采取数据分类、重要数据备份和加密等措施”,防止网络数据泄露或者被窃取、篡改。 IDC数据中心从哪几个方面来保证数据中心的顶层——信息数据安全呢? 1.基础建设安全 首先是基础建设,这一层包含的内容最多:物理安全、网络安全、系统安全、云计算安全、虚拟化安全等等。 3.数据安全层 这一层已经接近信息安全,信息安全的对象就是数据,保障了数据的安全,整个数据中心的信息也就安全了。 这个部分IDC商应对数据丢失问题,有一些备份方案,最近兴起的CDP持续数据保护技术,持续数据保护(CDP)是一种在不影响主要数据运行的前提下,可以实现持续捕捉或跟踪目标数据所发生的任何改变,并且能够恢复到此前任意时间点的方法

    66090

    物联网隐私、数据保护信息安全

    总的来说,我们认为隐私和数据保护以及信息安全是物联网服务的补充要求。特别是,信息安全被视为维护信息的机密性、完整性和可用性。 尤其是,在患者身份识别和收集信息的可靠性方面存在风险。此外,基于物联网的现代电子健康解决方案正朝着收集和快速交换敏感数据的开放、互联环境发展,这使得问题变得更加困难。 根据这些原则,应考虑以下选择: 隐私、数据保护信息安全风险管理–只有在进行良好的隐私、数据保护信息安全风险管理的情况下,才能确定适当和相关的技术保障措施。 、数据保护信息安全问题。 ,还可以提供一个明确的信息保护的前提条件。

    68620

    网络安全等级保护2.0之定级指南问答!

    根据等级保护相关管理文件,等级保护对象的安全保护等级分为以下五级:a) 第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;b) 第二级,等级保护对象受到破坏后 ,或者对国家安全造成损害;d) 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;e) 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。 3,根据等级保护相关管理文件,等级保护对象的安全保护等级分为五级,可是技术规范里只讲四个级别? 对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的安全保护等级。 原则上,大数据安全保护等级不低于第三级。对于确定为关键信息基础设施的,原则上其安全保护等级不低于第三级。

    1.2K20

    网络安全等级保护合规一览

    等级保护条例: 转变从信息系统等级保护条例转变到信息安全等级保护条例然后转变到现在的网络安全等级保护条例. 企业网络合规检查大概分为三类(可能大多数以前两类较多) 网信办(加强国家关键信息基础设施防护) - 关键信息基础设施安全保护 公安机关(从法规层推进实施国家网络安全等级保护制度) - 网络安全等级保护 所谓“一个中心,三重防护”,就是针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计: 建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障 以安全管理中心为核心的信息安全整体保障体系 统筹规划:信息化建设和安全通用规则、网络安全规划方案、人财物保障 督促指导:组织领导检查、网络安全考核 明确责任:信息系统建设和应用、安全保护的边界和责任 规范和标准:国家要求和行业要求、内部安全管理规范 技术管网:技术手段建设和应用、与公安机关技术对接 应急处置:应急方案和演练、实战化应急处置 0x05 2.0 判定指引 等保2.0技术部分高危风险汇总 《网络安全等级保护测评高风险判定指引》(简称“判定指引

    70020

    数字经济时代如何保护网络安全

    随着互联网的高速发展,现在已经进入大数据信息时代,数字经济在不断发展的同时,也导致网络安全、数据安全等问题频繁出现。 数字经济时代如何保护网络安全问题成为了现在互联网发展的一个重大难题,也是墨者安全在不断创新研究的方向。 QQ截图20190318153105.jpg 大数据安全面临哪些风险? 其次,很多互联网企业对网络安全和数据信息保护不够重视,存在很大的安全隐患。很多企业都想着如何收集到更多的用户信息,然后通过大数据分析从这些用户身上榨取到最大的利益。 在互联网上要保护自己的隐私是比较困难的,但是要有一种防范意识,不要随便把自己的信息暴露在网上,降低隐私信息被泄露的危险。 同时可以通过专业的网络安全公司定制企业数据防护整体解决方案,对加密应用及敏感信息做好数据防护措施。 对于国家而言,因加快推进数据保护立法,做好数据确权等各项工作。

    52900

    关注

    腾讯云开发者公众号
    10元无门槛代金券
    洞察腾讯核心技术
    剖析业界实践案例
    腾讯云开发者公众号二维码

    相关产品

    • VPN 连接

      VPN 连接

      VPN 连接是一种基于网络隧道技术 ,实现本地数据中心与腾讯云上资源连通的传输服务 ,它能帮您在 Internet 上快速构建一条安全、可靠的加密通道。VPN 连接具有配置简单 ,云端配置实时生效、可靠性高等特点 ,其VPN网关可用性达到 99.95% ,保证稳定、持续的业务连接 ,帮您轻松实现异地容灾、混合云部署等复杂业务场景……

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注腾讯云开发者

      领取腾讯云代金券