近日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局等十三部門聯合修訂發布《網絡安全審查辦法》,自2022年2月15日起施行。
【重點解讀】01
第一條 為了確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全,維護國家安全,根據《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》,制定本辦法。
解讀:關鍵信息基礎設施包括電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等重要行業和領域。一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網絡和信息系統。此次修訂依據《網絡安全法》、《數據安全法》、《關鍵信息基礎設施保護條例》,旨在確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全,維護國家安全。
【重點解讀】02
第二條 關鍵信息基礎設施運營者采購網絡產品和服務,網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網絡安全審查。
解讀:意味著一般數據處理者(網絡平臺運營者)的數據處理活動也被納入網絡安全審查范圍,適用的范圍更加廣泛。依據《數據安全法》可以了解到數據處理活動包括數據的收集、存儲、使用、加工、傳輸、提供、公開等活動,關鍵信息基礎設施運營者、網絡平臺運營者對于數據的處理活動是《網絡安全審查辦法》重點關注的,這有可能涉及到國家安全。對于數據處理過程中的安全防護,昂楷提供了一套數據安全解決方案。
數據全生命周期安全防護
【重點解讀】03
第七條 掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
解讀:過去中國監管部門一度不允許電信、互聯網等關鍵行業公司直接在海外集資或上市。現在如果網絡平臺運營企業因為某些因素一定需要在海外上市,《網絡安全審查辦法》要求上市前需要申報網絡安全審查,在事前的監管上加大力度。境外上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險。對于數據安全昂楷的思路是先梳理,再防護,最后持續運營。先將數據資產進行梳理分級,然后制定數據安全策略,建設安全系統,持續運營。
數據安全治理實施模型
【重點解讀】04
第十條 網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:
(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
(六)上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;
(七)其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。
解讀:針對關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險。關鍵信息基礎設施的數據安全防護要通過識別認定、安全防護、監測預警這三個主流環節來進行,其中識別認定包括了資產識別和風險識別;安全防護包括鑒別與授權,入侵防范,數據安全防護以及自動化工具等。
1、數據安全分類分級系統、數據庫漏掃描系統
昂楷數據安全分類分級系統能夠識別出數據資產并進行分類分級,基于資產類別、資產重要性和支撐業務的重要性,對資產進行優先排序,確定資產防護的優先級。數據庫漏掃描系統能夠識別關鍵業務鏈各環節數據庫的威脅、脆弱性,確定風險處置的優先級,形成安全風險報告。
2、數據庫審計、數據庫防火墻
數據庫審計和數據庫防火墻進行聯動,能夠對用戶、服務或應用、數據等進行安全管控,對于重要業務操作或異常用戶操作行為進行監控,對數據庫的違規操作行為進行訪問控制。通過系統內置的安全規則,及時識別并阻斷入侵和病毒行為。
3、數據庫加密、數據脫敏和數據水印溯源技術
數據庫加密、數據脫敏和數據水印溯源技術能夠嚴格控制重要數據的公開、分析、交換、共享和導出等關鍵環節,保護敏感數據安全。
4、數據安全綜合治理平臺
通過數據安全綜合治理平臺整合昂楷或其他廠商提供的各數據安全產品作戰單元,整合終端安全、網絡安全等作戰單元,利用大數據關聯分析引擎,AI分析引擎統一分析各單元的威脅情報,對關鍵業務所涉及的數據庫的所有監測信息進行整合分析,及時關聯、分析關鍵信息基礎設施的安全態勢,并且可智能的通過全自動或半自動的模式指揮調度各數據安全作戰單元對威脅進行防控。
關鍵信息基礎設施安全防護解決方案
【處罰與法律責任】
第二十條 當事人違反本辦法規定的,依照《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》的規定處理。
解讀:《網絡安全法》第六十五條規定,對于應當申報網絡安全審查而沒有申報的,或者使用網絡安全審查未通過的產品和服務,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
《數據安全法》對數據安全違法行為賦予了多項處罰說明,對違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。
根據國家互聯網信息辦公室通知,目前,部分企業已經被進行了網絡安全審查,比如滴滴出行、運滿滿、貨車幫、BOSS直聘等。數據安全成為國家安全的重點。未來,網絡安全、數據安全審查態勢將更加嚴格化。
