2月15日，由國家互聯(lián)網(wǎng)信息辦公室等十三部門聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》正式施行。

專家解讀：《網(wǎng)絡(luò)安全審查辦法》實施企業(yè)安全工作如何有的放矢？

隨著國家對網(wǎng)絡(luò)安全問題愈發(fā)重視，從2017年起已陸續(xù)出臺《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法規(guī)，把網(wǎng)絡(luò)安全提高到立法層面，而作為建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施所涉及的產(chǎn)品、服務(wù)以及數(shù)據(jù)處理活動并沒有設(shè)立明確的審核辦法。

基于上述原因，由國家互聯(lián)網(wǎng)信息辦公室制定《網(wǎng)絡(luò)安全審查辦法》，為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，維護(hù)國家安全。該辦法可以說是對網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、條例的具體落實。

以關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全為核心

此次修訂并實施的《網(wǎng)絡(luò)安全審查辦法》，仍以關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全為核心。工控安全廠商威努特的安全專家在接受安全419采訪時指出，《辦法》第二條“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，網(wǎng)絡(luò)平臺運(yùn)營者開展數(shù)據(jù)處理活動，影響或者可能影響國家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查”，清晰表達(dá)了網(wǎng)絡(luò)安全的決定因素就是國家關(guān)鍵信息基礎(chǔ)設(shè)施安全，只有關(guān)鍵信息基礎(chǔ)設(shè)施安全得到保證，才能實現(xiàn)國家網(wǎng)絡(luò)安全。

近年來，全球關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件層出不窮，涉及電力、石油、制造等國計民生領(lǐng)域，其中2021年SolarWinds 黑客入侵事件就屬于典型的供應(yīng)鏈攻擊。安全風(fēng)險通過供應(yīng)鏈進(jìn)行滲透的渠道越來越多樣化，并成為安全威脅的主要來源，嚴(yán)重影響了關(guān)鍵信息基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行。

威努特安全專家同時向我們闡釋了工業(yè)體系中目前普遍面臨的安全癥結(jié)點(diǎn)，即工業(yè)用戶通常認(rèn)為供應(yīng)商對其系統(tǒng)的缺陷和安全性了如指掌，實際上大部分供應(yīng)商僅限于其所能夠提供的功能，當(dāng)系統(tǒng)真正出現(xiàn)安全問題時，其所能提供的解決辦法有限，他們更關(guān)注的是工控系統(tǒng)功能的實現(xiàn)，其外圍終端設(shè)備所做的防護(hù)十分有限。

“利用系統(tǒng)中第三方產(chǎn)品或服務(wù)升級過程中，通過合法的途徑惡意利用安全漏洞及脆弱性是破壞關(guān)鍵信息基礎(chǔ)設(shè)施的重要手段，可能造成設(shè)備損壞、系統(tǒng)失效、重要數(shù)據(jù)泄露等后果。”威努特安全專家解釋道。

《辦法》第五條明確，“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的，應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險。影響或者可能影響國家安全的，應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。”因此，此次《辦法》的施行有利于工業(yè)企業(yè)用戶進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全、數(shù)據(jù)安全和供應(yīng)鏈安全的意識，將安全保障工作關(guān)口前移，防范第三方網(wǎng)絡(luò)產(chǎn)品及服務(wù)供應(yīng)鏈中引入安全漏洞、惡意代碼，木馬后門等，這樣可以從源頭消解網(wǎng)絡(luò)安全風(fēng)險，為關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全提供可靠保障。

需重點(diǎn)關(guān)注數(shù)據(jù)處理活動中的安全風(fēng)險

《數(shù)據(jù)安全法》中明確規(guī)定國家建立數(shù)據(jù)安全審查制度，此次修訂的《網(wǎng)絡(luò)安全審查辦法》將網(wǎng)絡(luò)平臺運(yùn)營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形納入網(wǎng)絡(luò)安全審查范圍，如此更廣泛、更嚴(yán)格的審查制度引發(fā)了行業(yè)大面積關(guān)注。

對此，數(shù)據(jù)安全廠商昂楷科技的安全專家向安全419解釋，網(wǎng)絡(luò)平臺含有大量個人隱私信息及相關(guān)的影響國家安全的敏感信息，比如個人使用打車平臺，會記錄個人相關(guān)的路線軌跡，人物、地點(diǎn)、時間、頻率等多要素可以很輕易把個人信息、家庭地址、工作地址等相關(guān)聯(lián)，這些信息如果被敵對勢力利用，會對個人、企業(yè)及國家造成風(fēng)險。其他社交、招聘、互聯(lián)網(wǎng)金融平臺等也會涉及到這些問題，所以網(wǎng)絡(luò)平臺運(yùn)營者的數(shù)據(jù)處理活動納入監(jiān)管是合理合法且十分必要的。

另一方面，將網(wǎng)絡(luò)平臺運(yùn)營者的數(shù)據(jù)處理活動納入監(jiān)管，實際上也在一定層面上幫助網(wǎng)絡(luò)平臺更早地對數(shù)據(jù)安全問題采取措施，避免在出海后受國外的法律制裁（或者說只需要經(jīng)過微調(diào)即可符合國外法律法規(guī)的要求），比如Facebook在歐洲被罰款就是數(shù)據(jù)安全方面觸犯了歐盟的隱私法。

因此，數(shù)據(jù)處理活動中可能面臨的安全隱患及其防范舉措就成為企業(yè)用戶需要重點(diǎn)注意和加強(qiáng)的。昂楷科技數(shù)據(jù)安全專家認(rèn)為，數(shù)據(jù)處理活動主要指收集、存儲、分析畫像、數(shù)據(jù)殺熟、數(shù)據(jù)出境、數(shù)據(jù)交易、流轉(zhuǎn)等方面的活動。網(wǎng)絡(luò)平臺運(yùn)營者數(shù)據(jù)處理過程中的安全防護(hù)重點(diǎn)在數(shù)據(jù)安全建設(shè)和數(shù)據(jù)安全運(yùn)營兩方面。數(shù)據(jù)安全建設(shè)方面，要從組織、制度、流程及安全能力方面進(jìn)行建設(shè)；數(shù)據(jù)安全運(yùn)營是一項持續(xù)的工作，數(shù)據(jù)安全是一個過程，需要不斷優(yōu)化，以業(yè)務(wù)為主體進(jìn)行持續(xù)的運(yùn)營，這也是安全工作的重中之重。

“目前行業(yè)中數(shù)據(jù)安全工作普遍面臨的難點(diǎn)在于數(shù)據(jù)如何分類分級，亟待行業(yè)和企業(yè)一起將標(biāo)準(zhǔn)定義出來，以標(biāo)準(zhǔn)為基礎(chǔ)不斷優(yōu)化。另一方面，各企業(yè)員工的安全意識如何提高也是比較棘手的，需要通過培訓(xùn)、制度及流程等持續(xù)影響。”昂楷科技數(shù)據(jù)安全專家說道。

企業(yè)用戶該如何應(yīng)對網(wǎng)絡(luò)安全審查？

毋庸置疑，《網(wǎng)絡(luò)安全審查辦法》重點(diǎn)加強(qiáng)了對數(shù)據(jù)安全的關(guān)注和規(guī)范。威努特安全專家指出，工業(yè)企業(yè)已逐步進(jìn)入到了數(shù)字安全時代，網(wǎng)絡(luò)安全風(fēng)險遍布工業(yè)場景中，數(shù)據(jù)安全風(fēng)險也急劇增加，一旦出現(xiàn)安全問題，影響后果將會比過去更加深遠(yuǎn)。所以建議工業(yè)企業(yè)在進(jìn)行網(wǎng)絡(luò)安全建設(shè)時，應(yīng)提高對數(shù)據(jù)安全防護(hù)能力建設(shè)的投入。其次，安全取決于最薄弱的環(huán)節(jié)，而供應(yīng)鏈攻擊正在變得更加廣泛，其頻率和復(fù)雜程度也在不斷增加，因此要強(qiáng)調(diào)供應(yīng)鏈安全的核心思想。

昂楷科技數(shù)據(jù)安全專家建議行業(yè)用戶以數(shù)據(jù)安全建設(shè)能力和數(shù)據(jù)安全運(yùn)營能力為兩大抓手來完善數(shù)據(jù)安全治理體系建設(shè)，在選擇服務(wù)商時，應(yīng)充分評估供應(yīng)商的數(shù)據(jù)安全治理的技術(shù)和服務(wù)能力，以及公司價值觀及愿景，是否可以成為本組織長期的合作伙伴。

另外，昂楷科技也呼吁國家和行業(yè)制定更多更明確的標(biāo)準(zhǔn)指南，幫助行業(yè)用戶加速數(shù)據(jù)安全治理體系的建設(shè)。在政策層面，建議國家和行業(yè)監(jiān)管部門繼續(xù)完善和制定行業(yè)數(shù)據(jù)分類分級相關(guān)的政策、標(biāo)準(zhǔn)和實施指南，建立長效工作機(jī)制；數(shù)據(jù)處理組織層面，建議數(shù)據(jù)處理組織參照國家監(jiān)管要求、行業(yè)標(biāo)準(zhǔn)及成功案例，明確本組織數(shù)據(jù)分類分級及數(shù)據(jù)安全管理的目標(biāo)、工作流程、檢查內(nèi)容、責(zé)任部門等。