首頁 > 關于我們 > 新聞動態 > 公司新聞

工業企業:《網絡安全審查辦法》正式實施,啟明星辰為你劃重點

發布時間 2022-02-17

為應對當前復雜多變的國際形勢,維護國家安全,確保關鍵信息基礎設施(以下簡稱:CII)供應鏈安全,保障網絡安全和數據安全,由國家網信辦、國家發展改革委等13部門修訂的《網絡安全審查辦法》(以下簡稱《辦法》),于2022年2月15日正式實施。


《辦法》以CII的供應鏈安全為核心,重點加強對數據安全的關注和規范,聚焦網絡產品、服務及數據處理活動,助推CII和網絡平臺高質量發展,對于進一步深化落實總體國家安全觀、保障CII安全、強化對國家重要數據和個人信息等的安全保護、維護國家安全等具有重要意義。


促進工業企業 “高質量+高可靠”發展


工業網絡安全與數據安全是國家安全重要關鍵節點,重要性不言而喻。尤其是目前我國工業設施關鍵技術和產品存在過度依賴工業技術發達國家的現象,這嚴重影響我國在當前復雜多變的國際形勢下占據有利位置及阻礙我國經濟快速發展。因此,此次《辦法》正式實施,將進一步打破這一現象,促進我國工業企業在數字化轉型下實現“高質量+高可靠”發展。


1、統籌發展安全兩件大事


《辦法》以促進網絡安全產品和服務高質量發展,充分發揮網絡安全審查基礎保障作用,以保障網絡安全和數據安全為出發點和落腳點,有效推進網絡安全治理體系和治理能力現代化建設,推動安全和發展雙輪并進,樹立底線思維,切實為國家安全和社會穩定運行筑牢網絡安全防線。


2、提升工業企業安全風險防范能力


《辦法》的實施,為工業企業建立了采購及使用網絡產品和服務引入安全風險的預判及審查機制,有利于工業企業進一步強化網絡安全和數據安全意識,推動實現工業企業采購網絡安全產品和服務、供應渠道的可靠性,防范網絡產品及服務供應鏈中引入安全漏洞、惡意后門,從源頭解決安全風險,為防范供應鏈安全、網絡安全和數據安全提供保障。


對工業企業的網絡安全審查提出更高要求


伴隨工業企業“數字化、網絡化、智能化”發展,工業企業網絡安全風險分布于各工業場景中,急劇增加了工業數據安全風險,一旦出現安全問題,后果將不堪設想。因此,工業企業在進行網絡安全建設時,加強對網絡安全與數據安全防護能力建設的投入非常重要。


《辦法》針對工業企業網絡安全審查,在重點評估國家安全風險因素新增兩方面內容:


1、重點評估工業企業的“核心數據、重要數據一般數據”等被竊取、泄露、毀損以及非法利用、非法出境的風險;


2、重點評估工業企業、平臺企業等上市存在關鍵信息基礎設施、核心數據、重要數據或者個人信息被外國政府影響、控制、惡意利用的風險,以及網絡與信息安全風險。


工業企業應對網絡安全審查的兩大重點


1、重點考慮→供應鏈安全


工業企業安全不限于生產安全、業務安全、網絡安全與數據安全等范疇,且相互之間存在關聯與制約。尤其隨著供應鏈入侵范圍正在變得更加廣泛,涉及電力、石油、制造等國計民生領域,其頻率和復雜程度也在不斷增加,這對社會穩定發展造成嚴重影響。


此外,由于我國工業現代化發展的特殊性,導致工業企業誤認為原始設備供應商比第三方安全服務公司更加“可靠”,更加“了解”系統的缺陷和安全性,一旦系統真正出現安全問題時,原始設備供應商所能提供的解決辦法非常有限。且一些非法組織還會利用原始設備商的第三方產品或服務在升級過程中,通過某種“信任機制”惡意利用安全漏洞及脆弱性,致使設備損壞、系統失效、重要數據泄露等安全問題。


而《辦法》的施行,則進一步強化了工業企業網絡安全、數據安全和供應鏈安全的意識,將安全保障工作關口前移,防范第三方網絡產品及服務供應鏈中引入安全漏洞、惡意代碼,木馬后門等,并可從源頭消解數據和網絡安全風險,為CII的網絡安全提供可靠保障。


2、重點審核→核心數據的出境、重要數據的安全管控


復雜多樣的業務場景導致工業數據存在時序、非時序、結構化、非結構化等多種形式,承載信息、應用領域、重要程度等各不相同,實時性、連續性、穩定性需求差異較大。


工業數據在企業內部研發、生產、運維、管理等環節之間互通,在上下游企業間、平臺間流轉,涉及設備廠商、工業企業、平臺企業、服務商等相關方,加大了流向跟蹤、風險定位、責任追溯等數據管理的難度,其中DCS系統的運行和核心工藝參數、“二次數據”等蘊藏著大量危及企業經營和國家安全的敏感信息,更具“用戶價值、數據產權、生產要素”特征。


尤其在工業企業數字化升級轉型過程中,需要對采集到的大規?!耙淮螖祿边M行分析和處理,形成“二次數據”?!岸螖祿备軌蚯逦乇磉_出工業企業數據的核心內容,比“一次數據”更有價值和市場要素化,更易被入侵者所利用。因此,工業企業在保護“一次數據”的同時,更加要注重“二次數據”的保護,在數據分類分級過程中將“二次數據”設定為更高的級別,對“二次數據”的生成對象實施更高級別的防護。


同時,需要根據《工業與信息化領域數據管理辦法》,建立行業重要數據和核心數據全生命周期備案管理制度,要求工業和電信數據處理者在境內收集和產生的重要數據應當在境內存儲;確需向境外提供的,應當依法進行數據出境安全評估,在確保安全的前提下進行數據出境,并加強對數據出境后的跟蹤掌握,保證核心數據不得出境。


滿足 《辦法》要求  啟明星辰有“辦法”


“十四五”是國家關鍵信息基礎設施重要載體國有企業數字化轉型的關鍵時期,建立健全規范有序的數字化發展治理體系更要加強網絡安全、數據安全保障體系和能力建設,需從“管理、技術、運營”三個維度開展,建立相應的管理體系、技術保障及常態化的數據安全運營,實現利用數據安全技術更好地開展業務。


1、保障工業企業符合《辦法》的網絡安全審查服務


啟明星辰憑借實戰化的數據安全保障服務能力,可根據工業企業實際情況,針對《辦法》的實施提供針對性的服務能力,確保工業企業符合《辦法》審查管控的要求。


①數據安全方案:包含工業數據在內的分類分級管理、敏感數據識別、數據安全風險評估、個人信息安全影響評估、數據安全審計、核心數據出境安全評估;


②數據安全服務:包含工業數據安全在內的應急處置、重要、核心數據災備與恢復、數據溯源取證、人才隊伍建設;


③常規安全服務:物聯網和工控安全測試服務、滲透測試服務、代碼審計服務、SDL安全開發生命周期服務、應急響應服務等


2、提供基于“三化六防”網絡安全與數據安全一體化防護策略


兵無常勢,水無常形,工業企業網絡安全建設是一個持續的、動態的、變化的過程。面對“十四五”時期網絡安全的新形勢、新技術、新要求,當前一些工業企業普遍存在過度依賴設備原廠的技術服務、遠程技術服務過程無任何安全措施、供應鏈安全幾乎沒有考慮等現象,這需要從通用安全防護、分類安全防護、分級安全防護三個層面構建的工業企業數據安全防護框架。


啟明星辰集團通過采用一體化安全建設的新思路,構建基于“三化六防”網絡安全與數據安全一體化防護策略,持續加強工業企業信息化建設的頂層設計,規劃各類信息系統建設,筑牢工業企業網絡安全和數據安全的防線。


工業企業網絡安全一體化防護體系.png


工業企業網絡安全一體化防護體系


該方案通過構建以數據為中心的安全防護體系,利用主動監測、流量分析、多維數據關聯融合等技術,對工業企業重要數據及核心數據流轉實施重點監測、違規泄漏發現、追蹤核查,實現數據安全態勢分析以及可視化分析,滿足工業企業對重要、核心數據(包含用戶數據、企業運營數據、網絡技術數據等)的識別審計與泄露事件的實時監測,協助企業對泄露事件進行防范,規避相關法律風險,為工業企業開展工業互聯網數據安全防護提供定制化服務,也為國家監管部門開展工業企業數據安全監測工作提供技術手段。


對工業企業而言,經營、生產等數據貫穿于整個企業的經營活動中,一旦被要素化,數據安全就成為影響企業安全運轉的關鍵要素。


作為業界最早進入數據安全領域的安全企業,啟明星辰集團始終將數據安全作為重要戰略之一,形成了針對性強、可操作、可落地的工業企業數據安全防護框架,細化和部署于工業企業數據全生命周期各環節的安全防護要點,幫助企業開展工業互聯網數據分級防護工作,有效應對數據泄露、竊取、篡改、濫用等安全風險。

上一篇 下一篇