十三部門修訂釋出《網路安全審查辦法》,企業資料安全合規應儘早

近日，國家網際網路資訊辦公室、國家發展和改革委員會、工業和資訊化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局等十三部門聯合修訂釋出《網路安全審查辦法》（以下簡稱《辦法》），自2022年2月15日起施行。

國家網際網路資訊辦公室有關負責人表示，網路安全審查是網路安全領域的重要法律制度，原《辦法》自2020年6月1日施行以來，對於保障關鍵資訊基礎設施供應鏈安全，維護國家安全發揮了重要作用。為落實《資料安全法》等法律法規要求，國家網際網路資訊辦公室聯合相關部門修訂了《辦法》。

在2021年11月1日，《個人資訊保護法》（簡稱“個保法”）正式施行之後，《辦法》也即將落地，隨之還有《國家安全法》、《網路安全法》、《資料安全法》等資訊保安、資料安全領域法律法規的相繼頒佈 ，這些針對資料處理規則與資料規範的法律法規正在構築成一幅宏大而完整的版圖，這彰顯的是國家對根除資訊保安、資料安全問題的決心。

就企業而言，資料安全防護工作不再可有可無，因為這直接關係到自身經營狀況，對外需要防範來自網路的惡意攻擊，對內也不可忽視因為管理不當造成的資料洩露事件，據有關統計70%的資料洩露事件由企業內部運維管理不善導致，杜絕資料安全事件的發生，源頭在於如何管控好運維裝置防護、強化運維人員監督管理工作。

美最大通訊運營商-威瑞森近期釋出了《2021年資料洩露調查報告》，此報告基於全球83家貢獻者的5358起資料洩露事件分析：

1）85%的資料洩露涉及人的因素；

2）61%的資料洩露牽涉登入憑證；

3）在安全事件和資料洩露中，外部雲資產被盜的情況比內部資產被盜更常見。

透過研究大量的資料洩露事件，不難看出其誘因大多是由內部濫用或惡意洩密造成，現階段內部洩密逐漸超過駭客攻擊、撞庫等外部進攻手段成為資料洩露的主要途徑，這反映出企業長期忽略了對於內部資料管控和許可權追蹤的工作。

持續不斷的資料洩露事件也勢必會引起國家的注意，並透過完善法律法規加強管控，而早在2019年12月1日，網路安全等級保護制度（等保2.0）便已實施，過等保不僅是企業“安全預防做得是否到位”的內在要求和衡量指標，還成為了企業在法律層面上的外部要求，是眾多企業資訊保安管理的“必過標杆”。

在技術層面上，如何合理合規的管理運維工作，作為伺服器看門人的角色，堡壘機的作用始終舉足輕重，它可以監管不同人員角色操作計算機/網路裝置的路徑和方式，確保正確的人用正確的身份訪問正確且授權的裝置，在保障安全的同時也提高了管理的效率，可有效解決IT運維過程中安全、可控與合規的問題，內控運維操作不當，有效規避資料洩露事件的發生。其中，堡壘機也是國家《資訊保安等級保護測評2.0》法規中所要求的一部分，也還是企業透過等保測評的重要組成部分。

作為業界領先的多雲管理平臺，行雲管家雲管平臺內建了雲堡壘機功能模組，支援多雲、混合雲的IT異構網路環境，以SaaS形態為客戶提供服務，一鍵安裝，免硬體投入，並符合政府相關部門制定的等保法規中對於安全運維產品的相關資質要求，全面滿足等保2.0評測合規性要求，還透過公安部嚴格測試獲《計算機資訊系統安全專用產品銷售許可證》，為使用者提供合規賬號管理體系、身份認證機制、資源授權模型、安全運維審計等功能。

隨著相關資料安全監管法律法規的建立健全和完善，為防止因資料洩露造成的資料安全事件的再次發生，以及國家監管的要求，企業還需儘快加強自身資料防洩漏的保障能力，透過部署滿足等保所要求的資訊保安運維審計系統 ，是企業資料安全工作的重要一環。