江苏龙网

  1. 主页 > 生活百科 > >

专家解读:《网络安全审查办法》实施 企业安全工作如何有的放矢?

2月15日,由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行 。

专家解读:《网络安全审查办法》实施 企业安全工作如何有的放矢?

文章插图
 
随着国家对网络安全问题愈发重视,从2017年起已陆续出台《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法规,把网络安全提高到立法层面,而作为建设关键信息基础设施所涉及的产品、服务以及数据处理活动并没有设立明确的审核办法 。
基于上述原因,由国家互联网信息办公室制定《网络安全审查办法》,为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全 。该办法可以说是对网络安全相关法律法规、条例的具体落实 。
以关键信息基础设施的供应链安全为核心此次修订并实施的《网络安全审查办法》,仍以关键信息基础设施的供应链安全为核心 。工控安全厂商威努特的安全专家在接受安全419采访时指出,《办法》第二条“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”,清晰表达了网络安全的决定因素就是国家关键信息基础设施安全,只有关键信息基础设施安全得到保证,才能实现国家网络安全 。
近年来,全球关键信息基础设施网络安全事件层出不穷,涉及电力、石油、制造等国计民生领域,其中2021年SolarWinds 黑客入侵事件就属于典型的供应链攻击 。安全风险通过供应链进行渗透的渠道越来越多样化,并成为安全威胁的主要来源,严重影响了关键信息基础设施的稳定运行 。
威努特安全专家同时向我们阐释了工业体系中目前普遍面临的安全症结点,即工业用户通常认为供应商对其系统的缺陷和安全性了如指掌,实际上大部分供应商仅限于其所能够提供的功能,当系统真正出现安全问题时,其所能提供的解决办法有限,他们更关注的是工控系统功能的实现,其外围终端设备所做的防护十分有限 。
“利用系统中第三方产品或服务升级过程中,通过合法的途径恶意利用安全漏洞及脆弱性是破坏关键信息基础设施的重要手段,可能造成设备损坏、系统失效、重要数据泄露等后果 。”威努特安全专家解释道 。
《办法》第五条明确,“关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险 。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查 。”因此,此次《办法》的施行有利于工业企业用户进一步强化网络安全、数据安全和供应链安全的意识,将安全保障工作关口前移,防范第三方网络产品及服务供应链中引入安全漏洞、恶意代码,木马后门等,这样可以从源头消解网络安全风险,为关键信息基础设施网络安全提供可靠保障 。
需重点关注数据处理活动中的安全风险《数据安全法》中明确规定国家建立数据安全审查制度,此次修订的《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,如此更广泛、更严格的审查制度引发了行业大面积关注 。
对此,数据安全厂商昂楷科技的安全专家向安全419解释,网络平台含有大量个人隐私信息及相关的影响国家安全的敏感信息,比如个人使用打车平台,会记录个人相关的路线轨迹,人物、地点、时间、频率等多要素可以很轻易把个人信息、家庭地址、工作地址等相关联,这些信息如果被敌对势力利用,会对个人、企业及国家造成风险 。其他社交、招聘、互联网金融平台等也会涉及到这些问题,所以网络平台运营者的数据处理活动纳入监管是合理合法且十分必要的 。
另一方面,将网络平台运营者的数据处理活动纳入监管,实际上也在一定层面上帮助网络平台更早地对数据安全问题采取措施,避免在出海后受国外的法律制裁(或者说只需要经过微调即可符合国外法律法规的要求),比如Facebook在欧洲被罚款就是数据安全方面触犯了欧盟的隐私法 。
因此,数据处理活动中可能面临的安全隐患及其防范举措就成为企业用户需要重点注意和加强的 。昂楷科技数据安全专家认为,数据处理活动主要指收集、存储、分析画像、数据杀熟、数据出境、数据交易、流转等方面的活动 。网络平台运营者数据处理过程中的安全防护重点在数据安全建设和数据安全运营两方面 。数据安全建设方面,要从组织、制度、流程及安全能力方面进行建设;数据安全运营是一项持续的工作,数据安全是一个过程,需要不断优化,以业务为主体进行持续的运营,这也是安全工作的重中之重 。


推荐阅读


上一篇:超级好用的生产力写作工具Notion介绍

下一篇:Linux内核中断之中断初始化