重要的信息化系统需要操作留痕、数据加密,否则将会面临严重的损失
更新时间:2020-08-11 14:30:15
《网络安全法》第二十一条规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;作规程,确定网络安全负责人,落实网络安全保护责任;
《网络安全法》第六章第五十九条规定:
网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
解读:网络运营者应当对重要的操作留痕、数据加密,若未履行保护义务,使得网络受到干扰、破坏或者未经授权的访问导致数据泄漏或被窃取、篡改。将会面临一定金额的罚款。
如何让让操作留痕、数据加密
一、操作留痕的方法
1、制定内部安全管理制度,所有操作人员必须按制度严格规范操作
2、采用运维审计系统(如:堡垒机、数据库审计等)进行日常工作,对操作流程全程记录并保存相关日志便于事后取证。
二、数据加密的技术
1、 私用密钥加密技术:对称式加密(Symmetric Key Encryption):对称式加密方式对加密和解密使用相同的密钥。
2、公开密钥加密技术:非对称密钥加密(Asymmetric Key Encryption):非对称密钥加密使用一组公共/私人密钥系统,加密时使用一种密钥,解密时使用另一种密钥。公共密钥可以广泛的共享和透露。当需要用加密方式向服务器外部传送数据时,这种加密方式更方便。如: RSA
3、数字证书。(Certificate):数字证书是一种非对称密钥加密,但是,一个组织可以使用证书并通过数字签名将一组公钥和私钥与其拥有者相关联
