由國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局等十三部門聯(lián)合修訂發(fā)布的《網(wǎng)絡安全審查辦法》(以下簡稱《辦法》)將于2022年2月15日起施行。確保關鍵信息基礎設施供應鏈安全,保障網(wǎng)絡安全和數(shù)據(jù)安全,維護國家安全。
明朝萬達安全專家從數(shù)據(jù)安全角度為大家進行解讀:
修訂原因
隨著基礎設施中系統(tǒng)的大規(guī)模集成、互聯(lián)使得基礎設施的脆弱性提升、安全威脅加劇,電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等重要行業(yè)和領域基礎設施等關鍵行業(yè)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的網(wǎng)絡和信息系統(tǒng)。
審查對象和范圍
境外個人信息使用
明朝萬達安全專家認為,《個人信息保護法》第四十條要求關鍵信息基礎設施運營者和處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,確需向境外提供個人信息的,應當通過國家網(wǎng)信部門組織的安全評估。《辦法》第七條是對《個保法》第40條的補充和明確,強調網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形,超過100萬用戶個人信息的網(wǎng)絡平臺運營者赴國外上市按照《數(shù)安法》的相關規(guī)定進行安全評估和個人信息保護認證,網(wǎng)絡平臺運營者需要做好網(wǎng)絡、數(shù)據(jù)等方面的合規(guī),赴國外上市也需要關注2019年美國《澄清域外合法使用數(shù)據(jù)法案》(“Cloud法案”)、2018年歐盟GDPR等相關要求。
重點評估對象
(一)產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險;
(二)產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害;
(三)產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;
(五)核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
(六)上市存在關鍵信息基礎設施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網(wǎng)絡信息安全風險;
(七)其他可能危害關鍵信息基礎設施安全、網(wǎng)絡安全和數(shù)據(jù)安全的因素。
明朝萬達安全專家表示,主要對關鍵信息基礎設施提供安全保護,對核心及重要的數(shù)據(jù)提供全方位的數(shù)據(jù)安全體系建設、采用成熟云網(wǎng)端邊的技術的數(shù)據(jù)安全模型框架,構建相應的數(shù)據(jù)安全管理體系和數(shù)據(jù)安全防護技術體系。
知:
對關鍵信息基礎設施運營者、網(wǎng)絡平臺運營者對于數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等活動進行資產(chǎn)采集;通過Chinasec(安元)數(shù)據(jù)安全管理系統(tǒng)收集終端敏感數(shù)據(jù)資產(chǎn)、Chinasec(安元)數(shù)據(jù)防泄漏系統(tǒng)收集企業(yè)外網(wǎng)出口處理的敏感數(shù)據(jù)資產(chǎn),云訪問安全代理系統(tǒng)收集數(shù)據(jù)交換的敏感數(shù)據(jù)資產(chǎn)、通過云端發(fā)現(xiàn)工具互聯(lián)網(wǎng)數(shù)據(jù)泄漏監(jiān)測系統(tǒng)收集云端敏感數(shù)據(jù)資產(chǎn);形成云端、網(wǎng)絡、邊界、終端的綜合敏感數(shù)據(jù)統(tǒng)一收集。
通過內容識別、自然語言技術對關鍵信息基礎設施數(shù)據(jù)敏感數(shù)據(jù)識別、通過智能數(shù)據(jù)治理平臺敏感數(shù)據(jù)分類分級、風險評估,對關鍵信息基礎設施數(shù)據(jù)形成數(shù)字畫像便于數(shù)據(jù)在收集、存儲、使用、加工、傳輸、提供、公開等活動行為的風險識別。
對于核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險制定數(shù)據(jù)防護策略,對所識別的敏感數(shù)據(jù)設定數(shù)據(jù)資產(chǎn)細粒度的安全訪問控制策略,避免信息泄漏風險。
采集終端、主機、業(yè)務應用等多種類型數(shù)據(jù)利用AI、UEBA分析引擎進行用戶異常行為關聯(lián)分析與檢測,對用戶異常行為事件進行事前防范 、監(jiān)控關鍵信息基礎設施的數(shù)據(jù)安全態(tài)勢,敏感數(shù)據(jù)全生命周期的集中展示,能夠對重點風險用戶進行風險畫像,防范未知風險,對事件產(chǎn)生的各個環(huán)節(jié)進行審計追溯,策略聯(lián)動處理形成閉環(huán)。
對終端認證、加密、監(jiān)控和追蹤等手段,在傳統(tǒng)PC終端提供數(shù)據(jù)保護、文檔加密、應用保護、系統(tǒng)管理、桌面管理和安全通訊等方面的安全防護,敏感數(shù)據(jù)提供全生命周期的安全管理和審計,安全防護貫穿于數(shù)據(jù)產(chǎn)生、訪問、傳輸、使用和銷毀的過程中,實現(xiàn)事前安全管理、事后行為審計;對部署在企業(yè)外網(wǎng)出口,能對捕獲的企業(yè)網(wǎng)絡數(shù)據(jù)進行內容檢測,以防止企業(yè)敏感數(shù)據(jù)傳輸?shù)狡髽I(yè)外部。以“內容識別”指對企業(yè)網(wǎng)絡出口的數(shù)據(jù)包進行會話重組與文件恢復后獲取內容,對敏感內容進行識別,實現(xiàn)外發(fā)數(shù)據(jù)的審計和敏感數(shù)據(jù)的阻斷;對用戶數(shù)據(jù)上云加密,下載本地自動解密主要功能,防止核心數(shù)據(jù)直接暴露或者傳輸過程中被竊取,確保企業(yè)重要業(yè)務云的數(shù)據(jù)安全保護及云業(yè)務系統(tǒng)的攻擊防護;對互聯(lián)網(wǎng)傳播泄露的監(jiān)測和溯源,提供監(jiān)測規(guī)則(如關鍵字、正則表達式、文檔指紋、文檔特征等),發(fā)現(xiàn)敏感數(shù)據(jù)或文檔泄露將及時通過短信或者郵件的方式發(fā)出預警,同時自助查詢特定網(wǎng)站是否存在數(shù)據(jù)泄露;對關鍵信息基礎敏感數(shù)據(jù)通過數(shù)據(jù)安全一體化管控平臺對終端、網(wǎng)絡、邊界、云端側建立縱向防控安全體系。
