由國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財(cái)政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局等十三部門聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》(以下簡稱《辦法》)將于2022年2月15日起施行。確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國家安全。
明朝萬達(dá)安全專家從數(shù)據(jù)安全角度為大家進(jìn)行解讀:
修訂原因
隨著基礎(chǔ)設(shè)施中系統(tǒng)的大規(guī)模集成、互聯(lián)使得基礎(chǔ)設(shè)施的脆弱性提升、安全威脅加劇,電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等重要行業(yè)和領(lǐng)域基礎(chǔ)設(shè)施等關(guān)鍵行業(yè)一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的網(wǎng)絡(luò)和信息系統(tǒng)。
審查對象和范圍
境外個人信息使用
明朝萬達(dá)安全專家認(rèn)為,《個人信息保護(hù)法》第四十條要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者,確需向境外提供個人信息的,應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。《辦法》第七條是對《個保法》第40條的補(bǔ)充和明確,強(qiáng)調(diào)網(wǎng)絡(luò)平臺運(yùn)營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形,超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運(yùn)營者赴國外上市按照《數(shù)安法》的相關(guān)規(guī)定進(jìn)行安全評估和個人信息保護(hù)認(rèn)證,網(wǎng)絡(luò)平臺運(yùn)營者需要做好網(wǎng)絡(luò)、數(shù)據(jù)等方面的合規(guī),赴國外上市也需要關(guān)注2019年美國《澄清域外合法使用數(shù)據(jù)法案》(“Cloud法案”)、2018年歐盟GDPR等相關(guān)要求。
重點(diǎn)評估對象
(一)產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或者破壞的風(fēng)險(xiǎn);
(二)產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;
(三)產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性,供應(yīng)渠道的可靠性以及因?yàn)檎巍⑼饨弧①Q(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn);
(四)產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況;
(五)核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn);
(六)上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風(fēng)險(xiǎn),以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn);
(七)其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。
明朝萬達(dá)安全專家表示,主要對關(guān)鍵信息基礎(chǔ)設(shè)施提供安全保護(hù),對核心及重要的數(shù)據(jù)提供全方位的數(shù)據(jù)安全體系建設(shè)、采用成熟云網(wǎng)端邊的技術(shù)的數(shù)據(jù)安全模型框架,構(gòu)建相應(yīng)的數(shù)據(jù)安全管理體系和數(shù)據(jù)安全防護(hù)技術(shù)體系。
知:
對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、網(wǎng)絡(luò)平臺運(yùn)營者對于數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等活動進(jìn)行資產(chǎn)采集;通過Chinasec(安元)數(shù)據(jù)安全管理系統(tǒng)收集終端敏感數(shù)據(jù)資產(chǎn)、Chinasec(安元)數(shù)據(jù)防泄漏系統(tǒng)收集企業(yè)外網(wǎng)出口處理的敏感數(shù)據(jù)資產(chǎn),云訪問安全代理系統(tǒng)收集數(shù)據(jù)交換的敏感數(shù)據(jù)資產(chǎn)、通過云端發(fā)現(xiàn)工具互聯(lián)網(wǎng)數(shù)據(jù)泄漏監(jiān)測系統(tǒng)收集云端敏感數(shù)據(jù)資產(chǎn);形成云端、網(wǎng)絡(luò)、邊界、終端的綜合敏感數(shù)據(jù)統(tǒng)一收集。
通過內(nèi)容識別、自然語言技術(shù)對關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)敏感數(shù)據(jù)識別、通過智能數(shù)據(jù)治理平臺敏感數(shù)據(jù)分類分級、風(fēng)險(xiǎn)評估,對關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)形成數(shù)字畫像便于數(shù)據(jù)在收集、存儲、使用、加工、傳輸、提供、公開等活動行為的風(fēng)險(xiǎn)識別。
對于核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)制定數(shù)據(jù)防護(hù)策略,對所識別的敏感數(shù)據(jù)設(shè)定數(shù)據(jù)資產(chǎn)細(xì)粒度的安全訪問控制策略,避免信息泄漏風(fēng)險(xiǎn)。
采集終端、主機(jī)、業(yè)務(wù)應(yīng)用等多種類型數(shù)據(jù)利用AI、UEBA分析引擎進(jìn)行用戶異常行為關(guān)聯(lián)分析與檢測,對用戶異常行為事件進(jìn)行事前防范 、監(jiān)控關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全態(tài)勢,敏感數(shù)據(jù)全生命周期的集中展示,能夠?qū)χ攸c(diǎn)風(fēng)險(xiǎn)用戶進(jìn)行風(fēng)險(xiǎn)畫像,防范未知風(fēng)險(xiǎn),對事件產(chǎn)生的各個環(huán)節(jié)進(jìn)行審計(jì)追溯,策略聯(lián)動處理形成閉環(huán)。
對終端認(rèn)證、加密、監(jiān)控和追蹤等手段,在傳統(tǒng)PC終端提供數(shù)據(jù)保護(hù)、文檔加密、應(yīng)用保護(hù)、系統(tǒng)管理、桌面管理和安全通訊等方面的安全防護(hù),敏感數(shù)據(jù)提供全生命周期的安全管理和審計(jì),安全防護(hù)貫穿于數(shù)據(jù)產(chǎn)生、訪問、傳輸、使用和銷毀的過程中,實(shí)現(xiàn)事前安全管理、事后行為審計(jì);對部署在企業(yè)外網(wǎng)出口,能對捕獲的企業(yè)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行內(nèi)容檢測,以防止企業(yè)敏感數(shù)據(jù)傳輸?shù)狡髽I(yè)外部。以“內(nèi)容識別”指對企業(yè)網(wǎng)絡(luò)出口的數(shù)據(jù)包進(jìn)行會話重組與文件恢復(fù)后獲取內(nèi)容,對敏感內(nèi)容進(jìn)行識別,實(shí)現(xiàn)外發(fā)數(shù)據(jù)的審計(jì)和敏感數(shù)據(jù)的阻斷;對用戶數(shù)據(jù)上云加密,下載本地自動解密主要功能,防止核心數(shù)據(jù)直接暴露或者傳輸過程中被竊取,確保企業(yè)重要業(yè)務(wù)云的數(shù)據(jù)安全保護(hù)及云業(yè)務(wù)系統(tǒng)的攻擊防護(hù);對互聯(lián)網(wǎng)傳播泄露的監(jiān)測和溯源,提供監(jiān)測規(guī)則(如關(guān)鍵字、正則表達(dá)式、文檔指紋、文檔特征等),發(fā)現(xiàn)敏感數(shù)據(jù)或文檔泄露將及時通過短信或者郵件的方式發(fā)出預(yù)警,同時自助查詢特定網(wǎng)站是否存在數(shù)據(jù)泄露;對關(guān)鍵信息基礎(chǔ)敏感數(shù)據(jù)通過數(shù)據(jù)安全一體化管控平臺對終端、網(wǎng)絡(luò)、邊界、云端側(cè)建立縱向防控安全體系。
