您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

专家解读:《网络安全审查办法》实施 企业安全工作如何有的放矢?

时间:2022-02-15 09:51:42  来源:  作者:安全419

2月15日,由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行。

专家解读:《网络安全审查办法》实施 企业安全工作如何有的放矢?

 

随着国家对网络安全问题愈发重视,从2017年起已陆续出台《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等法规,把网络安全提高到立法层面,而作为建设关键信息基础设施所涉及的产品、服务以及数据处理活动并没有设立明确的审核办法。

基于上述原因,由国家互联网信息办公室制定《网络安全审查办法》,为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全。该办法可以说是对网络安全相关法律法规、条例的具体落实。

以关键信息基础设施的供应链安全为核心

此次修订并实施的《网络安全审查办法》,仍以关键信息基础设施的供应链安全为核心。工控安全厂商威努特的安全专家在接受安全419采访时指出,《办法》第二条“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”,清晰表达了网络安全的决定因素就是国家关键信息基础设施安全,只有关键信息基础设施安全得到保证,才能实现国家网络安全。

近年来,全球关键信息基础设施网络安全事件层出不穷,涉及电力、石油、制造等国计民生领域,其中2021年SolarWinds 黑客入侵事件就属于典型的供应链攻击。安全风险通过供应链进行渗透的渠道越来越多样化,并成为安全威胁的主要来源,严重影响了关键信息基础设施的稳定运行。

威努特安全专家同时向我们阐释了工业体系中目前普遍面临的安全症结点,即工业用户通常认为供应商对其系统的缺陷和安全性了如指掌,实际上大部分供应商仅限于其所能够提供的功能,当系统真正出现安全问题时,其所能提供的解决办法有限,他们更关注的是工控系统功能的实现,其外围终端设备所做的防护十分有限。

利用系统中第三方产品或服务升级过程中,通过合法的途径恶意利用安全漏洞及脆弱性是破坏关键信息基础设施的重要手段,可能造成设备损坏、系统失效、重要数据泄露等后果。”威努特安全专家解释道。

《办法》第五条明确,“关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”因此,此次《办法》的施行有利于工业企业用户进一步强化网络安全、数据安全和供应链安全的意识,将安全保障工作关口前移,防范第三方网络产品及服务供应链中引入安全漏洞、恶意代码,木马后门等,这样可以从源头消解网络安全风险,为关键信息基础设施网络安全提供可靠保障。

需重点关注数据处理活动中的安全风险

《数据安全法》中明确规定国家建立数据安全审查制度,此次修订的《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,如此更广泛、更严格的审查制度引发了行业大面积关注。

对此,数据安全厂商昂楷科技的安全专家向安全419解释,网络平台含有大量个人隐私信息及相关的影响国家安全的敏感信息,比如个人使用打车平台,会记录个人相关的路线轨迹,人物、地点、时间、频率等多要素可以很轻易把个人信息、家庭地址、工作地址等相关联,这些信息如果被敌对势力利用,会对个人、企业及国家造成风险。其他社交、招聘、互联网金融平台等也会涉及到这些问题,所以网络平台运营者的数据处理活动纳入监管是合理合法且十分必要的。

另一方面,将网络平台运营者的数据处理活动纳入监管,实际上也在一定层面上帮助网络平台更早地对数据安全问题采取措施,避免在出海后受国外的法律制裁(或者说只需要经过微调即可符合国外法律法规的要求),比如Facebook在欧洲被罚款就是数据安全方面触犯了欧盟的隐私法。

因此,数据处理活动中可能面临的安全隐患及其防范举措就成为企业用户需要重点注意和加强的。昂楷科技数据安全专家认为,数据处理活动主要指收集、存储、分析画像、数据杀熟、数据出境、数据交易、流转等方面的活动。网络平台运营者数据处理过程中的安全防护重点在数据安全建设和数据安全运营两方面。数据安全建设方面,要从组织、制度、流程及安全能力方面进行建设;数据安全运营是一项持续的工作,数据安全是一个过程,需要不断优化,以业务为主体进行持续的运营,这也是安全工作的重中之重。

“目前行业中数据安全工作普遍面临的难点在于数据如何分类分级,亟待行业和企业一起将标准定义出来,以标准为基础不断优化。另一方面,各企业员工的安全意识如何提高也是比较棘手的,需要通过培训、制度及流程等持续影响。”昂楷科技数据安全专家说道。

企业用户该如何应对网络安全审查?

毋庸置疑,《网络安全审查办法》重点加强了对数据安全的关注和规范。威努特安全专家指出,工业企业已逐步进入到了数字安全时代,网络安全风险遍布工业场景中,数据安全风险也急剧增加,一旦出现安全问题,影响后果将会比过去更加深远。所以建议工业企业在进行网络安全建设时,应提高对数据安全防护能力建设的投入。其次,安全取决于最薄弱的环节,而供应链攻击正在变得更加广泛,其频率和复杂程度也在不断增加,因此要强调供应链安全的核心思想。

昂楷科技数据安全专家建议行业用户以数据安全建设能力和数据安全运营能力为两大抓手来完善数据安全治理体系建设,在选择服务商时,应充分评估供应商的数据安全治理的技术和服务能力,以及公司价值观及愿景,是否可以成为本组织长期的合作伙伴。

另外,昂楷科技也呼吁国家和行业制定更多更明确的标准指南,帮助行业用户加速数据安全治理体系的建设。在政策层面,建议国家和行业监管部门继续完善和制定行业数据分类分级相关的政策、标准和实施指南,建立长效工作机制;数据处理组织层面,建议数据处理组织参照国家监管要求、行业标准及成功案例,明确本组织数据分类分级及数据安全管理的目标、工作流程、检查内容、责任部门等。



Tags:《网络安全审查办法》   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
《网络安全审查办法》修订后正式施行 织密信息安全“防护网”
由13个部门联合修订发布的《网络安全审查办法》(以下简称《办法》)日前开始施行,受到广泛关注。国家网信办有关负责人表示,对《办法》进行修订,主要目的是进一步保障网络安全和数...【详细内容】
2022-03-25  Search: 《网络安全审查办法》  点击:(413)  评论:(0)  加入收藏
用全面发展辩证的眼光看待《网络安全审查办法》
文 | 中国信息安全测评中心助理研究员 桂畅旎近日,国家网信办等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),针对2017年开始试行、2020年正式实施的网络安全审...【详细内容】
2022-02-18  Search: 《网络安全审查办法》  点击:(279)  评论:(0)  加入收藏
专家解读:《网络安全审查办法》实施 企业安全工作如何有的放矢?
2月15日,由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式施行。 随着国家对网络安全问题愈发重视,从2017年起已陆续出台《网络安全法》、《数据安全...【详细内容】
2022-02-15  Search: 《网络安全审查办法》  点击:(280)  评论:(0)  加入收藏
掌握超百万用户信息赴国外上市须审查!《网络安全审查办法》发布(附全文)
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国...【详细内容】
2022-01-04  Search: 《网络安全审查办法》  点击:(192)  评论:(0)  加入收藏
《网络安全审查办法》今天起正式生效 (附全面解读)
编者按:本文介绍了《办法》的全文与答记者问,文章最后还有《办法》专题的解读,你想了解的都在这里。《网络安全审查办法》全文第一条为了确保关键信息基础设施供应链安全,维护国...【详细内容】
2020-06-02  Search: 《网络安全审查办法》  点击:(725)  评论:(0)  加入收藏
《网络安全审查办法》有何重大意义?解读来了
关键信息基础设施安全保障是关乎国家安全的战略优先事项,也是我国网络安全工作的重中之重。近日,国家互联网信息办公室会同国家发展改革委等十二个部门联合发布《网络安全审查...【详细内容】
2020-04-30  Search: 《网络安全审查办法》  点击:(745)  评论:(0)  加入收藏
▌简易百科推荐
网络安全行业的春天何时来?
2023年下半年开始,网络安全从业人员都感受到了网安行业的寒冬,但是其实前奏并不是此刻,只是涉及到大量裁员关乎自身而人人感同身受。从近五年各个网络安全上市公司财报可以发现...【详细内容】
2024-04-11  兰花豆说网络安全    Tags:网络安全   点击:(6)  评论:(0)  加入收藏
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  小嵩鼠    Tags:数据可视化   点击:(22)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27    51CTO  Tags:网络安全   点击:(17)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27    51CTO  Tags:渗透测试   点击:(32)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  佳慧慧    Tags:黑客攻击   点击:(52)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03    51CTO  Tags:网络安全威胁   点击:(111)  评论:(0)  加入收藏
终端设备通信网络安全防护方案
终端设备的网络安全是一个综合性问题,需要用户、组织和厂商共同努力,采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面:1. 强化用户身份...【详细内容】
2024-01-01  若水叁仟    Tags:网络安全   点击:(56)  评论:(0)  加入收藏
深入解析802.1X认证:网络安全的守护者
802.1X认证,对于很多人来说,可能只是一个陌生的技术名词。然而,在网络安全的领域中,它却扮演着守护者的角色。今天,我们就来深入解析802.1X认证,看看它是如何保护我们的网络安全的...【详细内容】
2023-12-31  韦希喜    Tags:网络安全   点击:(70)  评论:(0)  加入收藏
提升网络安全:ADSelfService Plus多重身份验证的关键
在当今数字化的时代,网络安全问题愈发突出,企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁,越来越多的组织开始采用多层次的安全措施,其中多重身份验证成为了关键...【详细内容】
2023-12-27  运维有小邓    Tags:网络安全   点击:(88)  评论:(0)  加入收藏
企业如何应对网络钓鱼攻击的激增?
随着我们进入数字时代,网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中,网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】
2023-12-19    千家网  Tags:钓鱼攻击   点击:(88)  评论:(0)  加入收藏
站内最新
站内热门
站内头条