由國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局等十三部門聯合修訂發布的《網絡安全審查辦法》(以下簡稱《辦法》)將于2022年2月15日起施行。確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全,維護國家安全。
明朝萬達安全專家從數據安全角度為大家進行解讀:
修訂原因
隨著基礎設施中系統的大規模集成、互聯使得基礎設施的脆弱性提升、安全威脅加劇,電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等重要行業和領域基礎設施等關鍵行業一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網絡和信息系統。
審查對象和范圍
境外個人信息使用
明朝萬達安全專家認為,《個人信息保護法》第四十條要求關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,確需向境外提供個人信息的,應當通過國家網信部門組織的安全評估。《辦法》第七條是對《個保法》第40條的補充和明確,強調網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形,超過100萬用戶個人信息的網絡平臺運營者赴國外上市按照《數安法》的相關規定進行安全評估和個人信息保護認證,網絡平臺運營者需要做好網絡、數據等方面的合規,赴國外上市也需要關注2019年美國《澄清域外合法使用數據法案》(“Cloud法案”)、2018年歐盟GDPR等相關要求。
重點評估對象
(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
(六)上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;
(七)其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。
明朝萬達安全專家表示,主要對關鍵信息基礎設施提供安全保護,對核心及重要的數據提供全方位的數據安全體系建設、采用成熟云網端邊的技術的數據安全模型框架,構建相應的數據安全管理體系和數據安全防護技術體系。
知:
對關鍵信息基礎設施運營者、網絡平臺運營者對于數據的收集、存儲、使用、加工、傳輸、提供、公開等活動進行資產采集;通過Chinasec(安元)數據安全管理系統收集終端敏感數據資產、Chinasec(安元)數據防泄漏系統收集企業外網出口處理的敏感數據資產,云訪問安全代理系統收集數據交換的敏感數據資產、通過云端發現工具互聯網數據泄漏監測系統收集云端敏感數據資產;形成云端、網絡、邊界、終端的綜合敏感數據統一收集。
通過內容識別、自然語言技術對關鍵信息基礎設施數據敏感數據識別、通過智能數據治理平臺敏感數據分類分級、風險評估,對關鍵信息基礎設施數據形成數字畫像便于數據在收集、存儲、使用、加工、傳輸、提供、公開等活動行為的風險識別。
對于核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險制定數據防護策略,對所識別的敏感數據設定數據資產細粒度的安全訪問控制策略,避免信息泄漏風險。
采集終端、主機、業務應用等多種類型數據利用AI、UEBA分析引擎進行用戶異常行為關聯分析與檢測,對用戶異常行為事件進行事前防范 、監控關鍵信息基礎設施的數據安全態勢,敏感數據全生命周期的集中展示,能夠對重點風險用戶進行風險畫像,防范未知風險,對事件產生的各個環節進行審計追溯,策略聯動處理形成閉環。
對終端認證、加密、監控和追蹤等手段,在傳統PC終端提供數據保護、文檔加密、應用保護、系統管理、桌面管理和安全通訊等方面的安全防護,敏感數據提供全生命周期的安全管理和審計,安全防護貫穿于數據產生、訪問、傳輸、使用和銷毀的過程中,實現事前安全管理、事后行為審計;對部署在企業外網出口,能對捕獲的企業網絡數據進行內容檢測,以防止企業敏感數據傳輸到企業外部。以“內容識別”指對企業網絡出口的數據包進行會話重組與文件恢復后獲取內容,對敏感內容進行識別,實現外發數據的審計和敏感數據的阻斷;對用戶數據上云加密,下載本地自動解密主要功能,防止核心數據直接暴露或者傳輸過程中被竊取,確保企業重要業務云的數據安全保護及云業務系統的攻擊防護;對互聯網傳播泄露的監測和溯源,提供監測規則(如關鍵字、正則表達式、文檔指紋、文檔特征等),發現敏感數據或文檔泄露將及時通過短信或者郵件的方式發出預警,同時自助查詢特定網站是否存在數據泄露;對關鍵信息基礎敏感數據通過數據安全一體化管控平臺對終端、網絡、邊界、云端側建立縱向防控安全體系。
