為應(yīng)對當(dāng)前復(fù)雜多變的國際形勢，維護國家安全，確保關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱：CII）供應(yīng)鏈安全，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，由國家網(wǎng)信辦、國家發(fā)展改革委等13部門修訂的《網(wǎng)絡(luò)安全審查辦法》（以下簡稱《辦法》），于2022年2月15日正式實施。

　　《辦法》以CII的供應(yīng)鏈安全為核心，重點加強對數(shù)據(jù)安全的關(guān)注和規(guī)范，聚焦網(wǎng)絡(luò)產(chǎn)品、服務(wù)及數(shù)據(jù)處理活動，助推CII和網(wǎng)絡(luò)平臺高質(zhì)量發(fā)展，對于進一步深化落實總體國家安全觀、保障CII安全、強化對國家重要數(shù)據(jù)和個人信息等的安全保護、維護國家安全等具有重要意義。

　　促進工業(yè)企業(yè) “高質(zhì)量+高可靠”發(fā)展

　　工業(yè)網(wǎng)絡(luò)安全與數(shù)據(jù)安全是國家安全重要關(guān)鍵節(jié)點，重要性不言而喻。尤其是目前我國工業(yè)設(shè)施關(guān)鍵技術(shù)和產(chǎn)品存在過度依賴工業(yè)技術(shù)發(fā)達國家的現(xiàn)象，這嚴(yán)重影響我國在當(dāng)前復(fù)雜多變的國際形勢下占據(jù)有利位置及阻礙我國經(jīng)濟快速發(fā)展。因此，此次《辦法》正式實施，將進一步打破這一現(xiàn)象，促進我國工業(yè)企業(yè)在數(shù)字化轉(zhuǎn)型下實現(xiàn)“高質(zhì)量+高可靠”發(fā)展。

　　1、統(tǒng)籌發(fā)展安全兩件大事

　　《辦法》以促進網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)高質(zhì)量發(fā)展，充分發(fā)揮網(wǎng)絡(luò)安全審查基礎(chǔ)保障作用，以保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全為出發(fā)點和落腳點，有效推進網(wǎng)絡(luò)安全治理體系和治理能力現(xiàn)代化建設(shè)，推動安全和發(fā)展雙輪并進，樹立底線思維，切實為國家安全和社會穩(wěn)定運行筑牢網(wǎng)絡(luò)安全防線。

　　2、提升工業(yè)企業(yè)安全風(fēng)險防范能力

　　《辦法》的實施，為工業(yè)企業(yè)建立了采購及使用網(wǎng)絡(luò)產(chǎn)品和服務(wù)引入安全風(fēng)險的預(yù)判及審查機制，有利于工業(yè)企業(yè)進一步強化網(wǎng)絡(luò)安全和數(shù)據(jù)安全意識，推動實現(xiàn)工業(yè)企業(yè)采購網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)、供應(yīng)渠道的可靠性，防范網(wǎng)絡(luò)產(chǎn)品及服務(wù)供應(yīng)鏈中引入安全漏洞、惡意后門，從源頭解決安全風(fēng)險，為防范供應(yīng)鏈安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全提供保障。

　　對工業(yè)企業(yè)的網(wǎng)絡(luò)安全審查提出更高要求

　　伴隨工業(yè)企業(yè)“數(shù)字化、網(wǎng)絡(luò)化、智能化”發(fā)展，工業(yè)企業(yè)網(wǎng)絡(luò)安全風(fēng)險分布于各工業(yè)場景中，急劇增加了工業(yè)數(shù)據(jù)安全風(fēng)險，一旦出現(xiàn)安全問題，后果將不堪設(shè)想。因此，工業(yè)企業(yè)在進行網(wǎng)絡(luò)安全建設(shè)時，加強對網(wǎng)絡(luò)安全與數(shù)據(jù)安全防護能力建設(shè)的投入非常重要。

　　《辦法》針對工業(yè)企業(yè)網(wǎng)絡(luò)安全審查，在重點評估國家安全風(fēng)險因素新增兩方面內(nèi)容：

　　1、重點評估工業(yè)企業(yè)的“核心數(shù)據(jù)、重要數(shù)據(jù)一般數(shù)據(jù)”等被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險；

　　2、重點評估工業(yè)企業(yè)、平臺企業(yè)等上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者個人信息被外國政府影響、控制、惡意利用的風(fēng)險，以及網(wǎng)絡(luò)與信息安全風(fēng)險。

　　工業(yè)企業(yè)應(yīng)對網(wǎng)絡(luò)安全審查的兩大重點

　　1、重點考慮→供應(yīng)鏈安全

　　工業(yè)企業(yè)安全不限于生產(chǎn)安全、業(yè)務(wù)安全、網(wǎng)絡(luò)安全與數(shù)據(jù)安全等范疇，且相互之間存在關(guān)聯(lián)與制約。尤其隨著供應(yīng)鏈入侵范圍正在變得更加廣泛，涉及電力、石油、制造等國計民生領(lǐng)域，其頻率和復(fù)雜程度也在不斷增加，這對社會穩(wěn)定發(fā)展造成嚴(yán)重影響。

　　此外，由于我國工業(yè)現(xiàn)代化發(fā)展的特殊性，導(dǎo)致工業(yè)企業(yè)誤認(rèn)為原始設(shè)備供應(yīng)商比第三方安全服務(wù)公司更加“可靠”，更加“了解”系統(tǒng)的缺陷和安全性，一旦系統(tǒng)真正出現(xiàn)安全問題時，原始設(shè)備供應(yīng)商所能提供的解決辦法非常有限。且一些非法組織還會利用原始設(shè)備商的第三方產(chǎn)品或服務(wù)在升級過程中，通過某種“信任機制”惡意利用安全漏洞及脆弱性，致使設(shè)備損壞、系統(tǒng)失效、重要數(shù)據(jù)泄露等安全問題。

　　而《辦法》的施行，則進一步強化了工業(yè)企業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全和供應(yīng)鏈安全的意識，將安全保障工作關(guān)口前移，防范第三方網(wǎng)絡(luò)產(chǎn)品及服務(wù)供應(yīng)鏈中引入安全漏洞、惡意代碼，木馬后門等，并可從源頭消解數(shù)據(jù)和網(wǎng)絡(luò)安全風(fēng)險，為CII的網(wǎng)絡(luò)安全提供可靠保障。

　　2、重點審核→核心數(shù)據(jù)的出境、重要數(shù)據(jù)的安全管控

　　復(fù)雜多樣的業(yè)務(wù)場景導(dǎo)致工業(yè)數(shù)據(jù)存在時序、非時序、結(jié)構(gòu)化、非結(jié)構(gòu)化等多種形式，承載信息、應(yīng)用領(lǐng)域、重要程度等各不相同，實時性、連續(xù)性、穩(wěn)定性需求差異較大。

　　工業(yè)數(shù)據(jù)在企業(yè)內(nèi)部研發(fā)、生產(chǎn)、運維、管理等環(huán)節(jié)之間互通，在上下游企業(yè)間、平臺間流轉(zhuǎn)，涉及設(shè)備廠商、工業(yè)企業(yè)、平臺企業(yè)、服務(wù)商等相關(guān)方，加大了流向跟蹤、風(fēng)險定位、責(zé)任追溯等數(shù)據(jù)管理的難度，其中DCS系統(tǒng)的運行和核心工藝參數(shù)、“二次數(shù)據(jù)”等蘊藏著大量危及企業(yè)經(jīng)營和國家安全的敏感信息，更具“用戶價值、數(shù)據(jù)產(chǎn)權(quán)、生產(chǎn)要素”特征。

　　尤其在工業(yè)企業(yè)數(shù)字化升級轉(zhuǎn)型過程中，需要對采集到的大規(guī)模“一次數(shù)據(jù)”進行分析和處理，形成“二次數(shù)據(jù)”?！岸螖?shù)據(jù)”更能夠清晰地表達出工業(yè)企業(yè)數(shù)據(jù)的核心內(nèi)容，比“一次數(shù)據(jù)”更有價值和市場要素化，更易被入侵者所利用。因此，工業(yè)企業(yè)在保護“一次數(shù)據(jù)”的同時，更加要注重“二次數(shù)據(jù)”的保護，在數(shù)據(jù)分類分級過程中將“二次數(shù)據(jù)”設(shè)定為更高的級別，對“二次數(shù)據(jù)”的生成對象實施更高級別的防護。

　　同時，需要根據(jù)《工業(yè)與信息化領(lǐng)域數(shù)據(jù)管理辦法》，建立行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù)全生命周期備案管理制度，要求工業(yè)和電信數(shù)據(jù)處理者在境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲；確需向境外提供的，應(yīng)當(dāng)依法進行數(shù)據(jù)出境安全評估，在確保安全的前提下進行數(shù)據(jù)出境，并加強對數(shù)據(jù)出境后的跟蹤掌握，保證核心數(shù)據(jù)不得出境。

　　滿足 《辦法》要求 啟明星辰有“辦法”

　　“十四五”是國家關(guān)鍵信息基礎(chǔ)設(shè)施重要載體國有企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵時期，建立健全規(guī)范有序的數(shù)字化發(fā)展治理體系更要加強網(wǎng)絡(luò)安全、數(shù)據(jù)安全保障體系和能力建設(shè)，需從“管理、技術(shù)、運營”三個維度開展，建立相應(yīng)的管理體系、技術(shù)保障及常態(tài)化的數(shù)據(jù)安全運營，實現(xiàn)利用數(shù)據(jù)安全技術(shù)更好地開展業(yè)務(wù)。

　　1、保障工業(yè)企業(yè)符合《辦法》的網(wǎng)絡(luò)安全審查服務(wù)

　　啟明星辰（002439）憑借實戰(zhàn)化的數(shù)據(jù)安全保障服務(wù)能力，可根據(jù)工業(yè)企業(yè)實際情況，針對《辦法》的實施提供針對性的服務(wù)能力，確保工業(yè)企業(yè)符合《辦法》審查管控的要求。

　?、贁?shù)據(jù)安全方案：包含工業(yè)數(shù)據(jù)在內(nèi)的分類分級管理、敏感數(shù)據(jù)識別、數(shù)據(jù)安全風(fēng)險評估、個人信息安全影響評估、數(shù)據(jù)安全審計、核心數(shù)據(jù)出境安全評估；

　　②數(shù)據(jù)安全服務(wù)：包含工業(yè)數(shù)據(jù)安全在內(nèi)的應(yīng)急處置、重要、核心數(shù)據(jù)災(zāi)備與恢復(fù)、數(shù)據(jù)溯源取證、人才隊伍建設(shè)；

　　③常規(guī)安全服務(wù)：物聯(lián)網(wǎng)和工控安全測試服務(wù)、滲透測試服務(wù)、代碼審計服務(wù)、SDL安全開發(fā)生命周期服務(wù)、應(yīng)急響應(yīng)服務(wù)等

　　2、提供基于“三化六防”網(wǎng)絡(luò)安全與數(shù)據(jù)安全一體化防護策略

　　兵無常勢，水無常形，工業(yè)企業(yè)網(wǎng)絡(luò)安全建設(shè)是一個持續(xù)的、動態(tài)的、變化的過程。面對“十四五”時期網(wǎng)絡(luò)安全的新形勢、新技術(shù)、新要求，當(dāng)前一些工業(yè)企業(yè)普遍存在過度依賴設(shè)備原廠的技術(shù)服務(wù)、遠程技術(shù)服務(wù)過程無任何安全措施、供應(yīng)鏈安全幾乎沒有考慮等現(xiàn)象，這需要從通用安全防護、分類安全防護、分級安全防護三個層面構(gòu)建的工業(yè)企業(yè)數(shù)據(jù)安全防護框架。

　　啟明星辰集團通過采用一體化安全建設(shè)的新思路，構(gòu)建基于“三化六防”網(wǎng)絡(luò)安全與數(shù)據(jù)安全一體化防護策略，持續(xù)加強工業(yè)企業(yè)信息化建設(shè)的頂層設(shè)計，規(guī)劃各類信息系統(tǒng)建設(shè)，筑牢工業(yè)企業(yè)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的防線。

　　工業(yè)企業(yè)網(wǎng)絡(luò)安全一體化防護體系

　　該方案通過構(gòu)建以數(shù)據(jù)為中心的安全防護體系，利用主動監(jiān)測、流量分析、多維數(shù)據(jù)關(guān)聯(lián)融合等技術(shù)，對工業(yè)企業(yè)重要數(shù)據(jù)及核心數(shù)據(jù)流轉(zhuǎn)實施重點監(jiān)測、違規(guī)泄漏發(fā)現(xiàn)、追蹤核查，實現(xiàn)數(shù)據(jù)安全態(tài)勢分析以及可視化分析，滿足工業(yè)企業(yè)對重要、核心數(shù)據(jù)（包含用戶數(shù)據(jù)、企業(yè)運營數(shù)據(jù)、網(wǎng)絡(luò)技術(shù)數(shù)據(jù)等）的識別審計與泄露事件的實時監(jiān)測，協(xié)助企業(yè)對泄露事件進行防范，規(guī)避相關(guān)法律風(fēng)險，為工業(yè)企業(yè)開展工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護提供定制化服務(wù)，也為國家監(jiān)管部門開展工業(yè)企業(yè)數(shù)據(jù)安全監(jiān)測工作提供技術(shù)手段。

　　對工業(yè)企業(yè)而言，經(jīng)營、生產(chǎn)等數(shù)據(jù)貫穿于整個企業(yè)的經(jīng)營活動中，一旦被要素化，數(shù)據(jù)安全就成為影響企業(yè)安全運轉(zhuǎn)的關(guān)鍵要素。

　　作為業(yè)界最早進入數(shù)據(jù)安全領(lǐng)域的安全企業(yè)，啟明星辰集團始終將數(shù)據(jù)安全作為重要戰(zhàn)略之一，形成了針對性強、可操作、可落地的工業(yè)企業(yè)數(shù)據(jù)安全防護框架，細化和部署于工業(yè)企業(yè)數(shù)據(jù)全生命周期各環(huán)節(jié)的安全防護要點，幫助企業(yè)開展工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分級防護工作，有效應(yīng)對數(shù)據(jù)泄露、竊取、篡改、濫用等安全風(fēng)險。

　　上一篇