十三部门修订发布《网络安全审查办法》,企业数据安全合规应尽早
近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。
国家互联网信息办公室有关负责人表示,网络安全审查是网络安全领域的重要法律制度,原《办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《办法》。
在2021年11月1日,《个人信息保护法》(简称“个保法”)正式施行之后,《办法》也即将落地,随之还有《国家安全法》、《网络安全法》、《数据安全法》等信息安全、数据安全领域法律法规的相继出台,这些针对数据处理规则与数据规范的法律法规正在构筑成一幅宏大而完整的版图,这彰显的是国家对根除信息安全、数据安全问题的决心。
就企业而言,数据安全防护工作不再可有可无,因为这直接关系到自身经营状况,对外需要防范来自网络的恶意攻击,对内也不可忽视因为管理不当造成的数据泄露事件,据有关统计70%的数据泄露事件由企业内部运维管理不善导致,杜绝数据安全事件的发生,源头在于如何管控好运维设备防护、强化运维人员监督管理工作。
美最大通信运营商-威瑞森近期发布了《2021年数据泄露调查报告》,此报告基于全球83家贡献者的5358起数据泄露事件分析:
1)85%的数据泄露涉及人的因素;
2)61%的数据泄露牵涉登录凭证;
3)在安全事件和数据泄露中,外部云资产被盗的情况比内部资产被盗更常见。
通过研究大量的数据泄露事件,不难看出其诱因大多是由内部滥用或恶意泄密造成,现阶段内部泄密逐渐超过黑客攻击、撞库等外部进攻手段成为数据泄露的主要途径,这反映出企业长期忽略了对于内部数据管控和权限追踪的工作。
持续不断的数据泄露事件也势必会引起国家的注意,并通过完善法律法规加强管控,而早在2019年12月1日,网络安全等级保护制度(等保2.0)便已实施,过等保不仅是企业“安全预防做得是否到位”的内在要求和衡量指标,还成为了企业在法律层面上的外部要求,是众多企业信息安全管理的“必过标杆”。
在技术层面上,如何合理合规的管理运维工作,作为服务器看门人的角色,堡垒机的作用始终举足轻重,它可以监管不同人员角色操作计算机/网络设备的路径和方式,确保正确的人用正确的身份访问正确且授权的设备,在保障安全的同时也提高了管理的效率,可有效解决IT运维过程中安全、可控与合规的问题,内控运维操作不当,有效规避数据泄露事件的发生。其中,堡垒机也是国家《信息安全等级保护测评2.0》法规中所要求的一部分,也还是企业通过等保测评的重要组成部分。
作为业界领先的多云管理平台,行云管家云管平台内置了云堡垒机功能模块,支持多云、混合云的IT异构网络环境,以SaaS形态为客户提供服务,一键安装,免硬件投入,并符合政府相关部门制定的等保法规中对于安全运维产品的相关资质要求,全面满足等保2.0评测合规性要求,还通过公安部严格测试获《计算机信息系统安全专用产品销售许可证》,为用户提供合规账号管理体系、身份认证机制、资源授权模型、安全运维审计等功能。
行云管家现已成功服务包括政府、金融、证券、电信、教育、医疗、交通、制造业、互联网等行业在内的10万家企业级用户。
随着相关数据安全监管法律法规的建立健全和完善,为防止因数据泄露造成的数据安全事件的再次发生,以及国家监管的要求,企业还需尽快加强自身数据防泄漏的保障能力,通过部署满足等保所要求的信息安全运维审计系统,是企业数据安全工作的重要一环。