2月15日，由國家互聯網信息辦公室等十三部門聯合修訂發布的《網絡安全審查辦法》正式施行。

隨著國家對網絡安全問題愈發重視，從2017年起已陸續出臺《網絡安全法》、《數據安全法》、《關鍵信息基礎設施安全保護條例》等法規，把網絡安全提高到立法層面，而作為建設關鍵信息基礎設施所涉及的產品、服務以及數據處理活動并沒有設立明確的審核辦法。

基于上述原因，由國家互聯網信息辦公室制定《網絡安全審查辦法》，為了確保關鍵信息基礎設施供應鏈安全，保障網絡安全和數據安全，維護國家安全。該辦法可以說是對網絡安全相關法律法規、條例的具體落實。

以關鍵信息基礎設施的供應鏈安全為核心

此次修訂并實施的《網絡安全審查辦法》，仍以關鍵信息基礎設施的供應鏈安全為核心。工控安全廠商威努特的安全專家在接受安全419采訪時指出，《辦法》第二條“關鍵信息基礎設施運營者采購網絡產品和服務，網絡平臺運營者開展數據處理活動，影響或者可能影響國家安全的，應當按照本辦法進行網絡安全審查”，清晰表達了網絡安全的決定因素就是國家關鍵信息基礎設施安全，只有關鍵信息基礎設施安全得到保證，才能實現國家網絡安全。

近年來，全球關鍵信息基礎設施網絡安全事件層出不窮，涉及電力、石油、制造等國計民生領域，其中2021年SolarWinds 黑客入侵事件就屬于典型的供應鏈攻擊。安全風險通過供應鏈進行滲透的渠道越來越多樣化，并成為安全威脅的主要來源，嚴重影響了關鍵信息基礎設施的穩定運行。

威努特安全專家同時向我們闡釋了工業體系中目前普遍面臨的安全癥結點，即工業用戶通常認為供應商對其系統的缺陷和安全性了如指掌，實際上大部分供應商僅限于其所能夠提供的功能，當系統真正出現安全問題時，其所能提供的解決辦法有限，他們更關注的是工控系統功能的實現，其外圍終端設備所做的防護十分有限。

“利用系統中第三方產品或服務升級過程中，通過合法的途徑惡意利用安全漏洞及脆弱性是破壞關鍵信息基礎設施的重要手段，可能造成設備損壞、系統失效、重要數據泄露等后果。”威努特安全專家解釋道。

《辦法》第五條明確，“關鍵信息基礎設施運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。”因此，此次《辦法》的施行有利于工業企業用戶進一步強化網絡安全、數據安全和供應鏈安全的意識，將安全保障工作關口前移，防范第三方網絡產品及服務供應鏈中引入安全漏洞、惡意代碼，木馬后門等，這樣可以從源頭消解網絡安全風險，為關鍵信息基礎設施網絡安全提供可靠保障。

需重點關注數據處理活動中的安全風險

《數據安全法》中明確規定國家建立數據安全審查制度，此次修訂的《網絡安全審查辦法》將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍，如此更廣泛、更嚴格的審查制度引發了行業大面積關注。

對此，數據安全廠商昂楷科技的安全專家向安全419解釋，網絡平臺含有大量個人隱私信息及相關的影響國家安全的敏感信息，比如個人使用打車平臺，會記錄個人相關的路線軌跡，人物、地點、時間、頻率等多要素可以很輕易把個人信息、家庭地址、工作地址等相關聯，這些信息如果被敵對勢力利用，會對個人、企業及國家造成風險。其他社交、招聘、互聯網金融平臺等也會涉及到這些問題，所以網絡平臺運營者的數據處理活動納入監管是合理合法且十分必要的。

另一方面，將網絡平臺運營者的數據處理活動納入監管，實際上也在一定層面上幫助網絡平臺更早地對數據安全問題采取措施，避免在出海后受國外的法律制裁（或者說只需要經過微調即可符合國外法律法規的要求），比如Facebook在歐洲被罰款就是數據安全方面觸犯了歐盟的隱私法。

因此，數據處理活動中可能面臨的安全隱患及其防范舉措就成為企業用戶需要重點注意和加強的。昂楷科技數據安全專家認為，數據處理活動主要指收集、存儲、分析畫像、數據殺熟、數據出境、數據交易、流轉等方面的活動。網絡平臺運營者數據處理過程中的安全防護重點在數據安全建設和數據安全運營兩方面。數據安全建設方面，要從組織、制度、流程及安全能力方面進行建設；數據安全運營是一項持續的工作，數據安全是一個過程，需要不斷優化，以業務為主體進行持續的運營，這也是安全工作的重中之重。

“目前行業中數據安全工作普遍面臨的難點在于數據如何分類分級，亟待行業和企業一起將標準定義出來，以標準為基礎不斷優化。另一方面，各企業員工的安全意識如何提高也是比較棘手的，需要通過培訓、制度及流程等持續影響。”昂楷科技數據安全專家說道。

企業用戶該如何應對網絡安全審查？

毋庸置疑，《網絡安全審查辦法》重點加強了對數據安全的關注和規范。威努特安全專家指出，工業企業已逐步進入到了數字安全時代，網絡安全風險遍布工業場景中，數據安全風險也急劇增加，一旦出現安全問題，影響后果將會比過去更加深遠。所以建議工業企業在進行網絡安全建設時，應提高對數據安全防護能力建設的投入。其次，安全取決于最薄弱的環節，而供應鏈攻擊正在變得更加廣泛，其頻率和復雜程度也在不斷增加，因此要強調供應鏈安全的核心思想。

昂楷科技數據安全專家建議行業用戶以數據安全建設能力和數據安全運營能力為兩大抓手來完善數據安全治理體系建設，在選擇服務商時，應充分評估供應商的數據安全治理的技術和服務能力，以及公司價值觀及愿景，是否可以成為本組織長期的合作伙伴。

另外，昂楷科技也呼吁國家和行業制定更多更明確的標準指南，幫助行業用戶加速數據安全治理體系的建設。在政策層面，建議國家和行業監管部門繼續完善和制定行業數據分類分級相關的政策、標準和實施指南，建立長效工作機制；數據處理組織層面，建議數據處理組織參照國家監管要求、行業標準及成功案例，明確本組織數據分類分級及數據安全管理的目標、工作流程、檢查內容、責任部門等。