工业企业:《网络安全审查办法》正式实施,启明星辰为你划重点
发布时间 2022-02-17为应对当前复杂多变的国际形势,维护国家安全,确保关键信息基础设施(以下简称:CII)供应链安全,保障网络安全和数据安全,由国家网信办、国家发展改革委等13部门修订的《网络安全审查办法》(以下简称《办法》),于2022年2月15日正式实施。
《办法》以CII的供应链安全为核心,重点加强对数据安全的关注和规范,聚焦网络产品、服务及数据处理活动,助推CII和网络平台高质量发展,对于进一步深化落实总体国家安全观、保障CII安全、强化对国家重要数据和个人信息等的安全保护、维护国家安全等具有重要意义。
促进工业企业 “高质量+高可靠”发展
工业网络安全与数据安全是国家安全重要关键节点,重要性不言而喻。尤其是目前我国工业设施关键技术和产品存在过度依赖工业技术发达国家的现象,这严重影响我国在当前复杂多变的国际形势下占据有利位置及阻碍我国经济快速发展。因此,此次《办法》正式实施,将进一步打破这一现象,促进我国工业企业在数字化转型下实现“高质量+高可靠”发展。
1、统筹发展安全两件大事
《办法》以促进网络安全产品和服务高质量发展,充分发挥网络安全审查基础保障作用,以保障网络安全和数据安全为出发点和落脚点,有效推进网络安全治理体系和治理能力现代化建设,推动安全和发展双轮并进,树立底线思维,切实为国家安全和社会稳定运行筑牢网络安全防线。
2、提升工业企业安全风险防范能力
《办法》的实施,为工业企业建立了采购及使用网络产品和服务引入安全风险的预判及审查机制,有利于工业企业进一步强化网络安全和数据安全意识,推动实现工业企业采购网络安全产品和服务、供应渠道的可靠性,防范网络产品及服务供应链中引入安全漏洞、恶意后门,从源头解决安全风险,为防范供应链安全、网络安全和数据安全提供保障。
对工业企业的网络安全审查提出更高要求
伴随工业企业“数字化、网络化、智能化”发展,工业企业网络安全风险分布于各工业场景中,急剧增加了工业数据安全风险,一旦出现安全问题,后果将不堪设想。因此,工业企业在进行网络安全建设时,加强对网络安全与数据安全防护能力建设的投入非常重要。
《办法》针对工业企业网络安全审查,在重点评估国家安全风险因素新增两方面内容:
1、重点评估工业企业的“核心数据、重要数据一般数据”等被窃取、泄露、毁损以及非法利用、非法出境的风险;
2、重点评估工业企业、平台企业等上市存在关键信息基础设施、核心数据、重要数据或者个人信息被外国政府影响、控制、恶意利用的风险,以及网络与信息安全风险。
工业企业应对网络安全审查的两大重点
1、重点考虑→供应链安全
工业企业安全不限于生产安全、业务安全、网络安全与数据安全等范畴,且相互之间存在关联与制约。尤其随着供应链入侵范围正在变得更加广泛,涉及电力、石油、制造等国计民生领域,其频率和复杂程度也在不断增加,这对社会稳定发展造成严重影响。
此外,由于我国工业现代化发展的特殊性,导致工业企业误认为原始设备供应商比第三方安全服务公司更加“可靠”,更加“了解”系统的缺陷和安全性,一旦系统真正出现安全问题时,原始设备供应商所能提供的解决办法非常有限。且一些非法组织还会利用原始设备商的第三方产品或服务在升级过程中,通过某种“信任机制”恶意利用安全漏洞及脆弱性,致使设备损坏、系统失效、重要数据泄露等安全问题。
而《办法》的施行,则进一步强化了工业企业网络安全、数据安全和供应链安全的意识,将安全保障工作关口前移,防范第三方网络产品及服务供应链中引入安全漏洞、恶意代码,木马后门等,并可从源头消解数据和网络安全风险,为CII的网络安全提供可靠保障。
2、重点审核→核心数据的出境、重要数据的安全管控
复杂多样的业务场景导致工业数据存在时序、非时序、结构化、非结构化等多种形式,承载信息、应用领域、重要程度等各不相同,实时性、连续性、稳定性需求差异较大。
工业数据在企业内部研发、生产、运维、管理等环节之间互通,在上下游企业间、平台间流转,涉及设备厂商、工业企业、平台企业、服务商等相关方,加大了流向跟踪、风险定位、责任追溯等数据管理的难度,其中DCS系统的运行和核心工艺参数、“二次数据”等蕴藏着大量危及企业经营和国家安全的敏感信息,更具“用户价值、数据产权、生产要素”特征。
尤其在工业企业数字化升级转型过程中,需要对采集到的大规模“一次数据”进行分析和处理,形成“二次数据”。“二次数据”更能够清晰地表达出工业企业数据的核心内容,比“一次数据”更有价值和市场要素化,更易被入侵者所利用。因此,工业企业在保护“一次数据”的同时,更加要注重“二次数据”的保护,在数据分类分级过程中将“二次数据”设定为更高的级别,对“二次数据”的生成对象实施更高级别的防护。
同时,需要根据《工业与信息化领域数据管理办法》,建立行业重要数据和核心数据全生命周期备案管理制度,要求工业和电信数据处理者在境内收集和产生的重要数据应当在境内存储;确需向境外提供的,应当依法进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握,保证核心数据不得出境。
满足 《办法》要求 启明星辰有“办法”
“十四五”是国家关键信息基础设施重要载体国有企业数字化转型的关键时期,建立健全规范有序的数字化发展治理体系更要加强网络安全、数据安全保障体系和能力建设,需从“管理、技术、运营”三个维度开展,建立相应的管理体系、技术保障及常态化的数据安全运营,实现利用数据安全技术更好地开展业务。
1、保障工业企业符合《办法》的网络安全审查服务
启明星辰凭借实战化的数据安全保障服务能力,可根据工业企业实际情况,针对《办法》的实施提供针对性的服务能力,确保工业企业符合《办法》审查管控的要求。
①数据安全方案:包含工业数据在内的分类分级管理、敏感数据识别、数据安全风险评估、个人信息安全影响评估、数据安全审计、核心数据出境安全评估;
②数据安全服务:包含工业数据安全在内的应急处置、重要、核心数据灾备与恢复、数据溯源取证、人才队伍建设;
③常规安全服务:物联网和工控安全测试服务、渗透测试服务、代码审计服务、SDL安全开发生命周期服务、应急响应服务等
2、提供基于“三化六防”网络安全与数据安全一体化防护策略
兵无常势,水无常形,工业企业网络安全建设是一个持续的、动态的、变化的过程。面对“十四五”时期网络安全的新形势、新技术、新要求,当前一些工业企业普遍存在过度依赖设备原厂的技术服务、远程技术服务过程无任何安全措施、供应链安全几乎没有考虑等现象,这需要从通用安全防护、分类安全防护、分级安全防护三个层面构建的工业企业数据安全防护框架。
启明星辰集团通过采用一体化安全建设的新思路,构建基于“三化六防”网络安全与数据安全一体化防护策略,持续加强工业企业信息化建设的顶层设计,规划各类信息系统建设,筑牢工业企业网络安全和数据安全的防线。
工业企业网络安全一体化防护体系
该方案通过构建以数据为中心的安全防护体系,利用主动监测、流量分析、多维数据关联融合等技术,对工业企业重要数据及核心数据流转实施重点监测、违规泄漏发现、追踪核查,实现数据安全态势分析以及可视化分析,满足工业企业对重要、核心数据(包含用户数据、企业运营数据、网络技术数据等)的识别审计与泄露事件的实时监测,协助企业对泄露事件进行防范,规避相关法律风险,为工业企业开展工业互联网数据安全防护提供定制化服务,也为国家监管部门开展工业企业数据安全监测工作提供技术手段。
对工业企业而言,经营、生产等数据贯穿于整个企业的经营活动中,一旦被要素化,数据安全就成为影响企业安全运转的关键要素。
作为业界最早进入数据安全领域的安全企业,启明星辰集团始终将数据安全作为重要战略之一,形成了针对性强、可操作、可落地的工业企业数据安全防护框架,细化和部署于工业企业数据全生命周期各环节的安全防护要点,帮助企业开展工业互联网数据分级防护工作,有效应对数据泄露、窃取、篡改、滥用等安全风险。
京公网安备11010802024551号