A. 《数据安全管理办法(征求意见稿)》发布 为个人数据安全加把锁
随便注册一个应用就要身份证号,推送来的广告好像会“读心”,大数据“杀熟”防不胜防,注销账号“难于上青天”……这些在个人数据保护中频频出现的难题有望迎刃而解。
国家互联网信息办公室日前发布《数据安全管理办法(征求意见稿)》(以下简称《办法》),对网络运营者在数据收集、处理使用、安全监督管理等方面提出了要求,为个人数据安全加上了一把锁。
为啥出台《办法》?这与当前日趋严峻的个人信息滥用和泄露的状况显然息息相关。根据官方对百款常用手机应用统计数据显示,其中相当一部分手机应用存在强制超范围索要权限情况,平均每个应用申请收集个人信息相关权限数有10项,但实际上用户不同意开启则APP无法安装或运行的权限数平均仅为3项。
来自“电子商务消费纠纷调解平台”的大数据同样显示,近年来包括天猫、淘宝、京东、苏宁易购、唯品会等电商平台,以及大众点评、网络糯米、携程等生活服务平台,均曾出现过用户信息泄露事件。仅在2018年,就多次出现用户个人信息泄露事件,比如圆通、顺丰十几亿条个人信息在暗网被出售,12306数百万条旅客信息在网上被出售等。
数据保护“有章可循”
在《办法》中,数据活动被界定为“利用网络开展数据收集、存储、传输、处理、使用等活动”。“与已经发布的《信息安全技术个人信息安全规范》和《互联网个人信息安全保护指南》相比,未来有可能作为部门规章发布的《办法》效力层级更高,既是大数据时代数据安全的刚需体现,也在为5G市场铺平国内数据处理合规化道路。”上海汉盛律师事务所高级合伙人李旻说。
北京观韬中茂(上海)律师事务所合伙人王渝伟也认为,与《网络安全法》相比,此次征求意见稿更为详尽,也有望为未来个人信息保护方面的法律提供参考。
此次《办法》中的“亮点”提法,也让个人数据保护有章可循。一方面,《办法》强调了用户的选择权,如其中明确要求“制定并公开个人信息收集使用规则”,且强调“如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读”,突出信息使用规则的重要性,以便个人信息主体享有充分选择权。此外还特别规定,对“网络产品核心业务功能运行的个人信息”以外的信息,网络运营者不得因个人信息主体未同意收集而拒绝提供核心业务功能服务。也就是说,网络运营者不能在数据索取上“漫天要价”。
“这实际上就是为了避免网络服务提供者为了收集数据采取胁迫或者误导行为。”中国 社会 科学院信息化研究中心秘书长姜奇平表示,信息采集的主导权和选择权必须交给消费者,这是信息服务的原则性问题。
另一方面,《办法》也进一步强调了对用户隐私的保护,《办法》要求“网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案”。根据《信息安全技术个人信息安全规范》,包括身份证信息、电话号码、邮箱地址、浏览记录、定位信息乃至个人指纹、声纹,这些都属于个人敏感信息。“通过国家强制力对隐私信息的收集使用予以限制,在隐私信息泄漏时亦有迹可循,以实现个人隐私信息的数据安全。”李旻说。
中国信息安全研究院副院长左晓栋表示,只有能对隐私信息的收集者追根溯源,才能从源头保护个人数据安全。
解决方法直面“痛点”
“《办法》对于近年来层出不穷的网络数据安全问题予以细化,针对新型数据安全管理的规定能及时填补因 社会 发展导致的法律漏洞,具有前瞻性。”李旻说。
从《办法》的具体规定来看,不少一直困扰用户的“痛点”被明确点名,比如刚订了一张机票,马上各个应用就开始推荐目的地相关信息,这种利用用户浏览 历史 ,通过定向推送获得广告收入的“精准广告”,让不少用户觉得毫无隐私。对此,《办法》明确规定,要求利用用户数据和算法推送新闻信息、商业广告需显着标明“定推”字样, 并为用户拒绝接受定向推送信息提供选择权,“用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息”。
“广告主采集用户的信息难度会增加,但这也是全球范围内的大趋势,各个主要国家的相关法规,也都在强调保护消费者的个人数据隐私。”网络广告平台Marteker创始人冯祺表示。
再比如,针对账号注销难,账号注销后个人信息消除难,《办法》也特别提出,要保护用户的“被遗忘权”。《办法》强调,“收集使用规则应突出个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法”。“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。”
“突出‘被遗忘权’保护也是办法的一个亮点。‘被遗忘’是消费者的合理诉求。”左晓栋说。
在北京亿达(上海)律师事务所律师董毅智看来,“被遗忘权”仍需进一步细化,“比如,在用户注销账户后,网络经营者对于已经散发出去的信息如何处理?用户是否有权要求网络经营者对已经散发出去的信息予以删除或者负责?”
此外,包括“网络爬虫”访问收集流量不得超过网站日均流量的三分之一,限制“大数据杀熟”等歧视性推送行为,明确数据安全责任人的任职要求,要求提供数据安全责任人的姓名及联系方式等,《办法》中的相关规定,为个人数据保护中的一系列热点问题提供了解决方案。
“互联网行业头部企业的天然主导性,导致行业内部缺乏竞争,基于用户对平台服务的信任而建立起的黏性,不能成为某些平台实行差别定价、数据反复买卖的底气。从这个角度来讲,《办法》对同行业、跨行业之间企业联手利用用户信息的合规性提出了新要求。”董毅智表示。
B. 工业互联网时代的风险管理:工业4.0与网络安全
2009年,恶意软件曾操控某核浓缩工厂的离心机,导致所有离心机失控。该恶意软件又称“震网”,通过闪存驱动器入侵独立网络系统,并在各生产网络中自动扩散。通过“震网”事件,我们看到将网络攻击作为武器破坏联网实体工厂的可能。这场战争显然是失衡的:企业必须保护众多的技术,而攻击者只需找到一个最薄弱的环节。
但非常重要的一点是,企业不仅需要关注外部威胁,还需关注真实存在却常被忽略的网络风险,而这些风险正是由企业在创新、转型和现代化过程中越来越多地应用智能互联技术所引致的。否则,企业制定的战略商业决策将可能导致该等风险,企业应管控并降低该等新兴风险。
工业4.0时代,智能机器之间的互联性不断增强,风险因素也随之增多。工业4.0开启了一个互联互通、智能制造、响应式供应网络和定制产品与服务的时代。借助智能、自动化技术,工业4.0旨在结合数字世界与物理操作,推动智能工厂和先进制造业的发展 。但在意图提升整个制造与供应链流程的数字化能力并推动联网设备革命性变革过程中,新产生的网络风险让所有企业都感到措手不及。针对网络风险制定综合战略方案对制造业价值链至关重要,因为这些方案融合了工业4.0的重要驱动力:运营技术与信息技术。
随着工业4.0时代的到来,威胁急剧增加,企业应当考虑并解决新产生的风险。简而言之,在工业4.0时代制定具备安全性、警惕性和韧性的网络风险战略将面临不同的挑战。当供应链、工厂、消费者以及企业运营实现联网,网络威胁带来的风险将达到前所未有的广度和深度。
在战略流程临近结束时才考虑如何解决网络风险可能为时已晚。开始制定联网的工业4.0计划时,就应将网络安全视为与战略、设计和运营不可分割的一部分。
本文将从现代联网数字供应网络、智能工厂及联网设备三大方面研究各自所面临的网络风险。3在工业4.0时代,我们将探讨在整个生产生命周期中(图1)——从数字供应网络到智能工厂再到联网物品——运营及信息安全主管可行的对策,以预测并有效应对网络风险,同时主动将网络安全纳入企业战略。
数字化制造企业与工业4.0
工业4.0技术让数字化制造企业和数字供应网络整合不同来源和出处的数字化信息,推动制造与分销行为。
信息技术与运营技术整合的标志是向实体-数字-实体的联网转变。工业4.0结合了物联网以及相关的实体和数字技术,包括数据分析、增材制造、机器人技术、高性能计算机、人工智能、认知技术、先进材料以及增强现实,以完善生产生命周期,实现数字化运营。
工业4.0的概念在物理世界的背景下融合并延伸了物联网的范畴,一定程度上讲,只有制造与供应链/供应网络流程会经历实体-数字和数字-实体的跨越(图2)。从数字回到实体的跨越——从互联的数字技术到创造实体物品的过程——这是工业4.0的精髓所在,它支撑着数字化制造企业和数字供应网络。
即使在我们 探索 信息创造价值的方式时,从制造价值链的角度去理解价值创造也很重要。在整个制造与分销价值网络中,通过工业4.0应用程序集成信息和运营技术可能会达到一定的商业成果。
不断演变的供应链和网络风险
有关材料进入生产过程和半成品/成品对外分销的供应链对于任何一家制造企业都非常重要。此外,供应链还与消费者需求联系紧密。很多全球性企业根据需求预测确定所需原料的数量、生产线要求以及分销渠道负荷。由于分析工具也变得更加先进,如今企业已经能够利用数据和分析工具了解并预测消费者的购买模式。
通过向整个生态圈引入智能互联的平台和设备,工业4.0技术有望推动传统线性供应链结构的进一步发展,并形成能从价值链上获得有用数据的数字供应网络,最终改进管理,加快原料和商品流通,提高资源利用率,并使供应品更合理地满足消费者需求。
尽管工业4.0能带来这些好处,但数字供应网络的互联性增强将形成网络弱点。为了防止发生重大风险,应从设计到运营的每个阶段,合理规划并详细说明网络弱点。
在数字化供应网络中共享数据的网络风险
随着数字供应网络的发展,未来将出现根据购买者对可用供应品的需求,对原材料或商品进行实时动态定价的新型供应网络。5由于只有供应网络各参与方开放数据共享才可能形成一个响应迅速且灵活的网络,且很难在保证部分数据透明度的同时确保其他信息安全,因此形成新型供应网络并非易事。
因此,企业可能会设法避免信息被未授权网络用户访问。 此外,他们可能还需对所有支撑性流程实施统一的安全措施,如供应商验收、信息共享和系统访问。企业不仅对这些流程拥有专属权利,它们也可以作为获取其他内部信息的接入点。这也许会给第三方风险管理带来更多压力。在分析互联数字供应网络的网络风险时,我们发现不断提升的供应链互联性对数据共享与供应商处理的影响最大(图3)。
为了应对不断增长的网络风险,我们将对上述两大领域和应对战略逐一展开讨论。
数据共享:更多利益相关方将更多渠道获得数据
企业将需要考虑什么数据可以共享,如何保护私人所有或含有隐私风险的系统和基础数据。比 如,数字供应网络中的某些供应商可能在其他领域互为竞争对手,因此不愿意公开某些类型的数据,如定价或专利品信息。此外,供应商可能还须遵守某些限制共享信息类型的法律法规。因此,仅公开部分数据就可能让不良企图的人趁机获得其他信息。
企业应当利用合适的技术,如网络分段和中介系统等,收集、保护和提供信息。此外,企业还应在未来生产的设备中应用可信的平台模块或硬件安全模块等技术,以提供强大的密码逻辑支持、硬件授权和认证(即识别设备的未授权更改)。
将这种方法与强大的访问控制措施结合,关键任务操作技术在应用点和端点的数据和流程安全将能得到保障。
在必须公开部分数据或数据非常敏感时,金融服务等其他行业能为信息保护提供范例。目前,企业纷纷开始对静态和传输中的数据应用加密和标记等工具,以确保数据被截获或系统受损情况下的通信安全。但随着互联性的逐步提升,金融服务企业意识到,不能仅从安全的角度解决数据隐私和保密性风险,而应结合数据管治等其他技术。事实上,企业应该对其所处环境实施风险评估,包括企业、数字供应网络、行业控制系统以及联网产品等,并根据评估结果制定或更新网络风险战略。总而言之,随着互联性的不断增强,上述所有的方法都能找到应实施更高级预防措施的领域。
供应商处理:更广阔市场中供应商验收与付款
由于新伙伴的加入将使供应商体系变得更加复杂,核心供应商群体的扩张将可能扰乱当前的供应商验收流程。因此,追踪第三方验收和风险的管治、风险与合规软件需要更快、更自主地反应。此外,使用这些应用软件的信息安全与风险管理团队还需制定新的方针政策,确保不受虚假供应商、国际制裁的供应商以及不达标产品分销商的影响。消费者市场有不少类似的经历,易贝和亚马逊就曾发生过假冒伪劣商品和虚假店面等事件。
区块链技术已被认为能帮助解决上述担忧并应对可能发生的付款流程变化。尽管比特币是建立货币 历史 记录的经典案例,但其他企业仍在 探索 如何利用这个新工具来决定商品从生产线到各级购买者的流动。7创建团体共享 历史 账簿能建立信任和透明度,通过验证商品真实性保护买方和卖方,追踪商品物流状态,并在处理退换货时用详细的产品分类替代批量分拣。如不能保证产品真实性,制造商可能会在引进产品前,进行产品测试和鉴定,以确保足够的安全性。
信任是数据共享与供应商处理之间的关联因素。企业从事信息或商品交易时,需要不断更新其风险管理措施,确保真实性和安全性;加强监测能力和网络安全运营,保持警惕性;并在无法实施信任验证时保护该等流程。
在这个过程中,数字供应网络成员可参考其他行业的网络风险管理方法。某些金融和能源企业所采用的自动交易模型与响应迅速且灵活的数字供应网络就有诸多相似之处。它包含具有竞争力的知识产权和企业赖以生存的重要资源,所有这些与数字供应网络一样,一旦部署到云端或与第三方建立联系就容易遭到攻击。金融服务行业已经意识到无论在内部或外部算法都面临着这样的风险。因此,为了应对内部风险,包括显性风险(企业间谍活动、蓄意破坏等)和意外风险(自满、无知等),软件编码和内部威胁程序必须具备更高的安全性和警惕性。
事实上,警惕性对监测非常重要:由于制造商逐渐在数字供应网络以外的生产过程应用工业4.0技术,网络风险只会成倍增长。
智能生产时代的新型网络风险
随着互联性的不断提高,数字供应网络将面临新的风险,智能制造同样也无法避免。不仅风险的数量和种类将增加,甚至还可能呈指数增长。不久前,美国国土安全部出版了《物联网安全战略原则》与《生命攸关的嵌入式系统安全原则》,强调应关注当下的问题,检查制造商是否在生产过程中直接或间接地引入与生命攸关的嵌入式系统相关的风险。
“生命攸关的嵌入式系统”广义上指几乎所有的联网设备,无论是车间自动化系统中的设备或是在第三方合约制造商远程控制的设备,都应被视为风险——尽管有些设备几乎与生产过程无关。
考虑到风险不断增长,威胁面急剧扩张,工业4.0时代中的制造业必须彻底改变对安全的看法。
联网生产带来新型网络挑战
随着生产系统的互联性越来越高,数字供应网络面临的网络威胁不断增长扩大。不难想象,不当或任意使用临时生产线可能造成经济损失、产品质量低下,甚至危及工人安全。此外,联网工厂将难以承受倒闭或其他攻击的后果。有证据表明,制造商仍未准备好应对其联网智能系统可能引发的网络风险: 2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究发现,三分之一的制造商未对工厂车间使用的工业控制系统做过任何网络风险评估。
可以确定的是,自进入机械化生产时代,风险就一直伴随着制造商,而且随着技术的进步,网络风险不断增强,物理威胁也越来越多。但工业4.0使网络风险实现了迄今为止最大的跨越。各阶段的具体情况请参见图4。
从运营的角度看,在保持高效率和实施资源控制时,工程师可在现代化的工业控制系统环境中部署无人站点。为此,他们使用了一系列联网系统,如企业资源规划、制造执行、监控和数据采集系统等。这些联网系统能够经常优化流程,使业务更加简单高效。并且,随着系统的不断升级,系统的自动化程度和自主性也将不断提高(图5)。
从安全的角度看,鉴于工业控制系统中商业现货产品的互联性和使用率不断提升,大量暴露点将可能遭到威胁。与一般的IT行业关注信息本身不同,工业控制系统安全更多关注工业流程。因此,与传统网络风险一样,智能工厂的主要目标是保证物理流程的可用性和完整性,而非信息的保密性。
但值得注意的是,尽管网络攻击的基本要素未发生改变,但实施攻击方式变得越来越先进(图5)。事实上,由于工业4.0时代互联性越来越高,并逐渐从数字化领域扩展到物理世界,网络攻击将可能对生产、消费者、制造商以及产品本身产生更广泛、更深远的影响(图6)。
结合信息技术与运营技术:
当数字化遇上实体制造商实施工业4.0 技术时必须考虑数字化流程和将受影响的机器和物品,我们通常称之为信息技术与运营技术的结合。对于工业或制造流程中包含了信息技术与运营技术的公司,当我们探讨推动重点运营和开发工作的因素时,可以确定多种战略规划、运营价值以及相应的网络安全措施(图7)。
首先,制造商常受以下三项战略规划的影响:
健康 与安全: 员工和环境安全对任何站点都非常重要。随着技术的发展,未来智能安全设备将实现升级。
生产与流程的韧性和效率: 任何时候保证连续生产都很重要。在实际工作中,一旦工厂停工就会损失金钱,但考虑到重建和重新开工所花费的时间,恢复关键流程可能将导致更大的损失。
检测并主动解决问题: 企业品牌与声誉在全球商业市场中扮演着越来越重要的角色。在实际工作中,工厂的故障或生产问题对企业声誉影响很大,因此,应采取措施改善环境,保护企业的品牌与声誉。
第二,企业需要在日常的商业活动中秉持不同的运营价值理念:
系统的可操作性、可靠性与完整性: 为了降低拥有权成本,减缓零部件更换速度,站点应当采购支持多个供应商和软件版本的、可互操作的系统。
效率与成本规避: 站点始终承受着减少运营成本的压力。未来,企业可能增加现货设备投入,加强远程站点诊断和工程建设的灵活性。
监管与合规: 不同的监管机构对工业控制系统环境的安全与网络安全要求不同。未来企业可能需要投入更多,以改变环境,确保流程的可靠性。
工业4.0时代,网络风险已不仅仅存在于供应网络和制造业,同样也存在于产品本身。 由于产品的互联程度越来越高——包括产品之间,甚至产品与制造商和供应网络之间,因此企业应该明白一旦售出产品,网络风险就不会终止。
风险触及实体物品
预计到2020年,全球将部署超过200亿台物联网设备。15其中很多设备可能会被安装在制造设备和生产线上,而其他的很多设备将有望进入B2B或B2C市场,供消费者购买使用。
2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究结果显示,近一半的制造商在联网产品中采用移动应用软件,四分之三的制造商使用Wi-Fi网络在联网产品间传输数据。16基于上述网络途径的物联通常会形成很多漏洞。物联网设备制造商应思考如何将更强大、更安全的软件开发方法应用到当前的物联网开发中,以应对设备常常遇到的重大网络风险。
尽管这很有挑战性,但事实证明,企业不能期望消费者自己会更新安全设置,采取有效的安全应对措施,更新设备端固件或更改默认设备密码。
比如,2016年10月,一次由Mirai恶意软件引发的物联网分布式拒绝服务攻击,表明攻击者可以利用这些弱点成功实施攻击。在这次攻击中,病毒通过感染消费者端物联网设备如联网的相机和电视,将其变成僵尸网络,并不断冲击服务器直至服务器崩溃,最终导致美国最受欢迎的几家网站瘫痪大半天。17研究者发现,受分布式拒绝服务攻击损害的设备大多使用供应商提供的默认密码,且未获得所需的安全补丁或升级程序。18需要注意的是,部分供应商所提供的密码被硬编码进了设备固件中,且供应商未告知用户如何更改密码。
当前的工业生产设备常缺乏先进的安全技术和基础设施,一旦外围保护被突破,便难以检测和应对此类攻击。
风险与生产相伴而行
由于生产设施越来越多地与物联网设备结合,因此,考虑这些设备对制造、生产以及企业网络所带来的安全风险变得越来越重要。受损物联网设备所产生的安全影响包括:生产停工、设备或设施受损如灾难性的设备故障,以及极端情况下的人员伤亡。此外,潜在的金钱损失并不仅限于生产停工和事故整改,还可能包括罚款、诉讼费用以及品牌受损所导致的收入减少(可能持续数月甚至数年,远远超过事件实际持续的时间)。下文列出了目前确保联网物品安全的一些方法,但随着物品和相应风险的激增,这些方法可能还不够。
传统漏洞管理
漏洞管理程序可通过扫描和补丁修复有效减少漏洞,但通常仍有多个攻击面。攻击面可以是一个开放式的TCP/IP或UDP端口或一项无保护的技术,虽然目前未发现漏洞,但攻击者以后也许能发现新的漏洞。
减少攻击面
简单来说,减少攻击面即指减少或消除攻击,可以从物联网设备制造商设计、建造并部署只含基础服务的固化设备时便开始着手。安全所有权不应只由物联网设备制造商或用户单独所有;而应与二者同样共享。
更新悖论
生产设施所面临的另一个挑战被称为“更新悖论”。很多工业生产网络很少更新升级,因为对制造商来说,停工升级花费巨大。对于某些连续加工设施来说,关闭和停工都将导致昂贵的生产原材料发生损失。
很多联网设备可能还将使用十年到二十年,这使得更新悖论愈加严重。认为设备无须应用任何软件补丁就能在整个生命周期安全运转的想法完全不切实际。20 对于生产和制造设施,在缩短停工时间的同时,使生产资产利用率达到最高至关重要。物联网设备制造商有责任生产更加安全的固化物联网设备,这些设备只能存在最小的攻击表面,并应利用默认的“开放”或不安全的安全配置规划最安全的设置。
制造设施中联网设备所面临的挑战通常也适用基于物联网的消费产品。智能系统更新换代很快,而且可能使消费型物品更容易遭受网络威胁。对于一件物品来说,威胁可能微不足道,但如果涉及大量的联网设备,影响将不可小觑——Mirai病毒攻击就是一个例子。在应对威胁的过程中,资产管理和技术战略将比以往任何时候都更重要。
人才缺口
2016年德勤与美国生产力和创新制造商联盟(MAPI)的研究表明,75%的受访高管认为他们缺少能够有效实施并维持安全联网生产生态圈的技能型人才资源。21随着攻击的复杂性和先进程度不断提升,将越来越难找到高技能的网络安全人才,来设计和实施具备安全性、警觉性和韧性的网络安全解决方案。
网络威胁不断变化,技术复杂性越来越高。搭载零日攻击的先进恶意软件能够自动找到易受攻击的设备,并在几乎无人为参与的情况下进行扩散,并可能击败已遭受攻击的信息技术/运营技术安全人员。这一趋势令人感到不安,物联网设备制造商需要生产更加安全的固化设备。
多管齐下,保护设备
在工业应用中,承担一些非常重要和敏感任务——包括控制发电与电力配送,水净化、化学品生产和提纯、制造以及自动装配生产线——的物联网设备通常最容易遭受网络攻击。由于生产设施不断减少人为干预,因此仅在网关或网络边界采取保护措施的做法已经没有用(图8)。
从设计流程开始考虑网络安全
制造商也许会觉得越来越有责任部署固化的、接近军用级别的联网设备。很多物联网设备制造商已经表示他们需要采用包含了规划和设计的安全编码方法,并在整个硬件和软件开发生命周期内采用领先的网络安全措施。22这个安全软件开发生命周期在整个开发过程中添加了安全网关(用于评估安全控制措施是否有效),采用领先的安全措施,并用安全的软件代码和软件库生产具备一定功能的安全设备。通过利用安全软件开发生命周期的安全措施,很多物联网产品安全评估所发现的漏洞能够在设计过程中得到解决。但如果可能的话,在传统开发生命周期结束时应用安全修补程序通常会更加费力费钱。
从联网设备端保护数据
物联网设备所产生的大量信息对工业4.0制造商非常重要。基于工业4.0的技术如高级分析和机器学习能够处理和分析这些信息,并根据计算分析结果实时或近乎实时地做出关键决策。这些敏感信息并不仅限于传感器与流程信息,还包括制造商的知识产权或者与隐私条例相关的数据。事实上,德勤与美国生产力和创新制造商联盟(MAPI)的调研发现,近70%的制造商使用联网产品传输个人信息,但近55%的制造商会对传输的信息加密。
生产固化设备需要采取可靠的安全措施,在整个数据生命周期间,敏感数据的安全同样也需要得到保护。因此,物联网设备制造商需要制定保护方案:不仅要安全地存放所有设备、本地以及云端存储的数据,还需要快速识别并报告任何可能危害这些数据安全的情况或活动。
保护云端数据存储和动态数据通常需要采用增强式加密、人工智能和机器学习解决方案,以形成强大的、响应迅速的威胁情报、入侵检测以及入侵防护解决方案。
随着越来越多的物联网设备实现联网,潜在威胁面以及受损设备所面临的风险都将增多。现在这些攻击面可能还不足以形成严重的漏洞,但仅数月或数年后就能轻易形成漏洞。因此,设备联网时必须使用补丁。确保设备安全的责任不应仅由消费者或联网设备部署方承担,而应由最适合实施最有效安全措施的设备制造商共同分担。
应用人工智能检测威胁
2016年8月,美国国防高级研究计划局举办了一场网络超级挑战赛,最终排名靠前的七支队伍在这场“全机器”的黑客竞赛中提交了各自的人工智能平台。网络超级挑战赛发起于2013年,旨在找到一种能够扫描网络、识别软件漏洞并在无人为干预的情况下应用补丁的、人工智能网络安全平台或技术。美国国防高级研究计划局希望借助人工智能平台大大缩短人类以实时或接近实时的方式识别漏洞、开发软件安全补丁所用的时间,从而减少网络攻击风险。
真正意义上警觉的威胁检测能力可能需要运用人工智能的力量进行大海捞针。在物联网设备产生海量数据的过程中,当前基于特征的威胁检测技术可能会因为重新收集数据流和实施状态封包检查而被迫达到极限。尽管这些基于特征的检测技术能够应对流量不断攀升,但其检测特征数据库活动的能力仍旧有限。
在工业4.0时代,结合减少攻击面、安全软件开发生命周期、数据保护、安全和固化设备的硬件与固件以及机器学习,并借助人工智能实时响应威胁,对以具备安全性、警惕性和韧性的方式开发设备至关重要。如果不能应对安全风险,如“震网”和Mirai恶意程序的漏洞攻击,也不能生产固化、安全的物联网设备,则可能导致一种不好的状况:关键基础设施和制造业将经常遭受严重攻击。
攻击不可避免时,保持韧性
恰当利用固化程度很高的目标设备的安全性和警惕性,能够有效震慑绝大部分攻击者。然而,值得注意的是,虽然企业可以减少网络攻击风险,但没有一家企业能够完全避免网络攻击。保持韧性的前提是,接受某一天企业将遭受网络攻击这一事实,而后谨慎行事。
韧性的培养过程包含三个阶段:准备、响应、恢复。
准备。企业应当准备好有效应对各方面事故,明确定义角色、职责与行为。审慎的准备如危机模拟、事故演练和战争演习,能够帮助企业了解差异,并在真实事故发生时采取有效的补救措施。
响应。应仔细规划并对全公司有效告知管理层的响应措施。实施效果不佳的响应方案将扩大事件的影响、延长停产时间、减少收入并损害企业声誉。这些影响所持续的时间将远远长于事故实际持续的时间。
恢复。企业应当认真规划并实施恢复正常运营和限制企业遭受影响所需的措施。应将从事后分析中汲取到的教训用于制定之后的事件响应计划。具备韧性的企业应在迅速恢复运营和安全的同时将事故影响降至最低。在准备应对攻击,了解遭受攻击时的应对之策并快速消除攻击的影响时,企业应全力应对、仔细规划、充分执行。
推动网络公司发展至今日的比特(0和1)让制造业的整个价值链经历了从供应网络到智能工厂再到联网物品的巨大转变。随着联网技术应用的不断普及,网络风险可能增加并发生改变,也有可能在价值链的不同阶段和每一家企业有不同的表现。每家企业应以最能满足其需求的方式适应工业生态圈。
企业不能只用一种简单的解决方法或产品或补丁解决工业4.0所带来的网络风险和威胁。如今,联网技术为关键商业流程提供支持,但随着这些流程的关联性提高,可能会更容易出现漏洞。因此,企业需要重新思考其业务连续性、灾难恢复力和响应计划,以适应愈加复杂和普遍的网络环境。
法规和行业标准常常是被动的,“合规”通常表示最低安全要求。企业面临着一个特别的挑战——当前所采用的技术并不能完全保证安全,因为干扰者只需找出一个最薄弱的点便能成功入侵企业系统。这项挑战可能还会升级:不断提高的互联性和收集处理实时分析将引入大量需要保护的联网设备和数据。
企业需要采用具备安全性、警惕性和韧性的方法,了解风险,消除威胁:
安全性。采取审慎的、基于风险的方法,明确什么是安全的信息以及如何确保信息安全。贵公司的知识产权是否安全?贵公司的供应链或工业控制系统环境是否容易遭到攻击?
警惕性。持续监控系统、网络、设备、人员和环境,发现可能存在的威胁。需要利用实时威胁情报和人工智能,了解危险行为,并快速识别引进的大量联网设备所带来的威胁。
韧性。随时都可能发生事故。贵公司将会如何应对?多久能恢复正常运营?贵公司将如何快速消除事故影响?
由于企业越来越重视工业4.0所带来的商业价值,企业将比以往任何时候更需要提出具备安全性、警惕性和韧性的网络风险解决方案。
报告出品方:德勤中国
获取本报告pdf版请登录【远瞻智库官网】或点击链接:“链接”
C. 通信网络安全防护管理办法
第一条为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。第二条中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第四条中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。第六条通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。第七条通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
电信管理机构应当组织专家对通信网络单元的分级情况进行评审。
通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并按照前款规定进行评审。第八条通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案:
(一)基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案;基础电信业务经营者各省(自治区、直辖市)子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案;
(二)增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案;
(三)互联网域名服务提供者向工业和信息化部备案。第九条通信网络运行单位办理通信网络单元备案,应当提交以下信息:
(一)通信网络单元的名称、级别和主要功能;
(二)通信网络单元责任单位的名称和联系方式;
(三)通信网络单元主要负责人的姓名和联系方式;
(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置;
(五)电信管理机构要求提交的涉及通信网络安全的其他信息。
前款规定的备案信息发生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。
通信网络运行单位报备的信息应当真实、完整。第十条电信管理机构应当对备案信息的真实性、完整性进行核查,发现备案信息不真实、不完整的,通知备案单位予以补正。第十一条通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并按照以下规定进行符合性评测:
(一)三级及三级以上通信网络单元应当每年进行一次符合性评测;
(二)二级通信网络单元应当每两年进行一次符合性评测。
通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测。
通信网络运行单位应当在评测结束后三十日内,将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。第十二条通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患:
(一)三级及三级以上通信网络单元应当每年进行一次安全风险评估;
(二)二级通信网络单元应当每两年进行一次安全风险评估。
国家重大活动举办前,通信网络单元应当按照电信管理机构的要求进行安全风险评估。
通信网络运行单位应当在安全风险评估结束后三十日内,将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。
D. 工业互联网数据安全及应对策略
数据是国家基础性战略资源,是数字经济的基石,对生产、流通、分配和消费产生深远影响。2020年,《数据安全法(征求意见稿)》[也正式发布,将数据安全纳入国家安全观,更体现了数据安全日趋重要的发展趋势。数据是工业互联网的“血液”,加强工业互联网数据安全防护对于工业互联网的健康发展至关重要。
2 国内外对于数据安全防护的工作进展
面对日益严峻的数据安全威胁,世界主要国家持续加强数据安全立法和监管。据统计,全球已有120多个国家和地区制定了专门的数据安全和个人信息保护相关法律法规及标准。从国际标准组织和欧美国家在数据安全所做的工作来看,国际电信联盟电信标准局(ITU-T)制定了《大数据服务安全指南》、《移动互联网服务中大数据分析的安全需求与框架》、《大数据基础设施及平台的安全指南》、《电信大数据生命周期管理安全指南》等多项标准。
从国内已制定的数据安全相关标准来看,主要有《信息安全技术 大数据安全管理指南》、《信息安全技术 健康医疗数据安全指南》、《信息安全技术 大数据服务安全能力要求》、《信息安全技术 数据安全能力成熟度模型》等。《信息安全技术 大数据安全管理指南》为大数据安全管理提供指导,提出了大数据安全管理基本原则、基本概念和大数据安全风险管理过程,明确了大数据安全管理角色与责任。《信息安全技术 数据安全能力成熟度模型》提出了对组织机构的数据安全能力成熟度的分级评估方法,用来衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。《信息安全技术 健康医疗数据安全指南》提出了健康医疗领域的信息安全框架,并给出健康医疗信息控制者在保护健康医疗信息时可采取的管理和技术措施。《信息安全技术 大数据服务安全能力要求》、《信息安全技术 数据交易服务安全要求》分别针对大数据服务、数据交易的情景提出了安全要求。2020年,由国家工业信息安全发展研究中心牵头申报的《工业互联网数据安全防护指南》被列为全国信息安全标准化技术委员会(TC260)标准重点研究项目。
3 工业互联网数据安全防护难点
随着云计算、物联网、移动通信等新一代信息技术的广泛应用,泛在互联、平台汇聚、智能发展等制造业新特征日益凸显。工业互联网数据常态化呈现规模化产生、海量集中、频繁流动交互等特点,工业互联网数据已成为提升企业生产力、竞争力、创新力的关键要素,保障工业互联网数据安全的重要性愈发突出。工业互联网数据具有很高的商业价值,关系企业的生产经营,一旦遭到泄露或篡改,将可能影响生产经营安全、国计民生甚至国家安全。然而,工业企业类型多样,工业互联网数据更是海量多态,给数据安全防护带来了困难和挑战。
(1)传输阶段监测溯源难。工业互联网场景涉及云计算、大数据、人工智能等多种技术的应用,且工业互联网数据在工厂外流动更加复杂多元。大流量、虚拟化等环境下难以有效捕捉追溯敏感数据和安全威胁;
(2)存储阶段分类分级难。存储阶段极易形成数据的汇聚,需要根据数据的类别和等级采用划分区域、设置访问权限、加密存储等多种手段。然而工业互联网数据形态多样、格式复杂,使得数据分类分级管理与防护难度大;
(3)使用阶段可信共享难。对工业互联网数据进行分析利用是发展工业互联网数据作为生产要素的重要途径,然而数据权责难定、安全可信赋能难等阻碍数据有序安全共享。
4 工业互联网数据安全防护的解决方法
根据工业互联网数据安全防护需求,天锐绿盾数据安全一体化,能够给出相应的解决方案,在工业数据传输阶段和使用阶段可以使用天锐绿盾DLP数据泄露防护系统,通过智能内容识别的的技术如关键字和关键字对的检测,ocr图像的识别、文件属性的检测、向量机分类检测等方式来捕捉传输阶段的敏感数据从而保证工业互联的传输安全,在数据使用阶段可以使用天锐绿盘为解决企业文档管理分散的问题,系统采用集中存储的模式,将分散存储在各部门、各分公司用户计算机上的重要数据集中存储到统一平台上,实现对工业数据文档的统一管理,同时降低文档管理成本。系统建立了完善的权限控制机制,保证不同用户基于不同权限访问和使用文档,有效保障了文档加密的安全性。多种检索模式,支持全文关键词检索、高级检索、扩展属性搜索等高效毫秒级检索方式,有效帮助用户精确的从海量文档中快速定位所需文档。文档在协作完成过程中,会产生不同的版本。系统支持自动保存文档的历史版本,当用户需要恢复旧版本时,可一键下载。为了实现海量数据的集中存储,系统采用分布式存储服务,以便企业未来可按需进行存储性能扩展。
在数字经济时代,企业纷纷加快数字化转型,工业互联网快速发展,给后疫情时代带来新的经济增长活力。数据是工业互联网的“血液”,数据安全对于工业互联网发展至关重要。在设备安全、系统安全之上加强工业互联网数据安全防护,是我们天锐绿盾应尽的责任和义务。
E. 如何加强网络安全管理技术
一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求,制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任,规范计算机信息网络系统内部控制及管理制度,切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组,负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制,明确主管领导,落实责任部门,各尽其职,常抓不懈,并按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识,严禁涉密计算机连接互联网及其他公共信息网络,严禁在非涉密计算机上存储、处理涉密信息,严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施,有效监控违规操作,严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站、微信公众平台信息发布审查监管
各单位通过门户网站、微信公众平台在互联网上公开发布信息,要遵循涉密不公开、公开不涉密的原则,按照信息公开条例和有关规定,建立严格的审查制度。要对网站上发布的信息进行审核把关,审核内容包括:上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息,严禁交流传播涉密信息。坚持先审查、后公开,一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。
严肃突发、敏感事(案)件的新闻报道纪律,对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害,涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道,如确需宣传报道的,经县领导同意,上报地区层层审核,经自治区党委宣传部审核同意后,方可按照宣传内容做到统一口径、统一发布,确保信息发布的时效性和严肃性。
五、组织开展网络和信息安全清理检查
各单位要在近期集中开展一次网络安全清理自查工作。对办公网络、门户网站和微信公众平台的安全威胁和风险进行认真分析,制定并组织实施本单位各种网络与信息安全工作计划、工作方案,及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度,及时发现问题、堵塞漏洞、消除隐患;要全面清查,严格把关,对自查中发现的问题要立即纠正,存在严重问题的单位要认真整改。
如何加强网络安全管理
1 制定网络安全管理方面的法律法规和政策
法律法规是一种重要的行为准则,是实现有序管理和社会公平正义的有效途径。网络与我们的生活日益密不可分,网络环境的治理必须通过法治的方式来加以规范。世界很多国家都先后制定了网络安全管理法律法规,以期规范网络秩序和行为。国家工业和信息化部,针对我国网络通信安全问题,制订了《通信网络安全防护管理办法》。明确规定:网络通信机构和单位有责任对网络通信科学有效划分,根据有可能会对网络单元遭受到的破坏程度,损害到经济发展和社会制度建设、国家的安危和大众利益的,有必要针对级别进行分级。电信管理部门可以针对级别划分情况,组织相关人员进行审核评议。而执行机构,即网络通信单位要根据实际存在的问题对网络单元进行实质有效性分级。针对以上条款我们可以认识到,网络安全的保证前提必须有科学合理的管理制度和办法。网络机系统相当于一棵大树,树的枝干如果出现问题势必影响到大树的生长。下图是网络域名管理分析系统示意图。
可以看到,一级域名下面分为若干个支域名,这些支域名通过上一级域名与下一级紧密连接,并且将更低级的域名授予下级域名部门相关的权利。预防一级管理机构因为系统过于宽泛而造成管理的无的放矢。通过逐级管理下放权限。维护网络安全的有限运转,保证各个层类都可以在科学规范的网络系统下全面健康发展。
一些发达国家针对网络安全和运转情况,实施了一系列管理规定,并通过法律来加强网络安全性能,这也说明了各个国家对于网络安全问题的重视。比方说加拿大出台了《消费者权利在电子商务中的规定》以及《网络保密安全法》等。亚洲某些国家也颁布过《电子邮件法》以及其他保护网络安全的法律。日本总务省还重点立法,在无线局域网方面做出了明确规定,严禁用户自行接受破解网络数据和加密信息。还针对违反规定的人员制定了处罚条例措施。用法律武器保护加密信息的安全。十几年前,日本就颁布了《个人情报法》,严禁网络暴力色情情况出现。在网络环境和网络网络安全问题上布防严谨,减小青少年犯罪问题的发生。
可以说网络安全的防护网首先就是保护网络信息安全的法律法规,网络安全问题已经成为迫在眉睫的紧要问题,每一个网络使用者都应该与计算机网络和睦相处,不利用网络做违法违规的事情,能够做到做到自省、自警。
2 采用最先进的网络管理技术
工欲善其事,必先利其器。如果我们要保障安全稳定的网络环境,采用先进的技术的管理工具是必要的。在2011年中国最大软件开发联盟网站600万用户账号密码被盗,全国有名网友交流互动平台人人网500万用户账号密码被盗等多家网站出现这种网络安全惨案。最主要一个原因就是用户数据库依然采用老旧的明文管理方式没有及时应用新的更加安全的管理用户账号方式,这点从CSDN网站用户账号被泄露的声明:“CSDN网站早期使用过明文密码,使用明文是因为和一个第三方chat程序整合验证带来的,后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式,改成了加密密码。 但部分老的明文密码未被清理,2010年8月底,对账号数据库全部明文密码进行了清理。2011年元旦我们升级改造了CSDN账号管理功能,使用了强加密算法,账号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库,解决了CSDN账号的各种安全性问题。”通过上面的案例,我们知道保障安全的网络应用避免灾难性的损失,采用先进的网络管理与开发技术与平台是及其重要的。同时我们也要研究开发避免网络安全新方法新技术。必须达到人外有人,天外有天的境界,才能在网络安全这场保卫战中获得圆满胜利。保证网络优化环境的正常运转。
3 选择优秀的网络管理工具
优良的网络管理工具是网络管理安全有效的根本。先进的网络管理工具能够推动法律法规在网络管理上的真正实施,保障网络使用者的完全,并有效保证信息监管执行。
一个家庭里面,父母和孩子离不开沟通,这就如同一个管道一样,正面的负面都可以通过这个管道进行传输。网络系统也是这样,孩子沉迷与网络的世界,在无良网站上观看色情表演,以及玩游戏,这些都是需要借助于网络技术和网络工具屏蔽掉的。还有些钓鱼网站以及垃圾邮件和广告,都需要借助有效的网络信息系统的安全系统来进行处理。保障网络速度的流畅和安全。网络管理工具和软件可以担负起这样的作用,现在就来看看几款管理系统模型:
网络需求存在的差异,就对网络软件系统提出了不同模式和版本的需求,网络使用的过程要求我们必须有一个稳定安全的网络信息系统。
网络环境的变化也给网络安全工具提出了不同的要求,要求通过有效划分网络安全级别,网络接口必须能够满足不同人群的需要,尤其是网络客户群和单一的网络客户。在一个单位中,一般小的网络接口就能满足公司内各个部门的需要,保障内部之间网络的流畅运行即是他们的需求,因此,如何选用一款优质的网络管理软件和工具非常的有必要。
4 选拔合格的网络管理人员
网络管理如同一辆性能不错的机车,但是只有技术操作精良的人才能承担起让它发挥良好作用的重任。先进的网络管理工具和技术,有些操作者不会用或者不擅长用,思维模式陈旧,这样只会给网络安全带来更多的负面效应,不能保证网络安全的稳定性,为安全运转埋下隐患。
4.1 必须了解网络基础知识。
总的来说,网络技术是一个计算机网络系统有效运转的基础。必须熟知网络计算机基础知识,网络系统构架,网络维护和管理,内部局域网络、有效防控网络病毒等基础操作知识。另外,网络管理者要具备扎实的理论基础知识和操作技能,在网络的设备、安全、管理以及实地开发应用中,要做到熟练掌握而没有空白区域。计算机网络的维护运行,还需要网络管理人员有相应的职业资格证书,这也能够说明管理者达到的水平。在网络需求和网络性能发挥等目标上实施有效管理。
4.2 熟悉网络安全管理条例
网络管理人员必须熟悉国家制定的相关的安全管理办法,通过法律法规的武器来保护网络安全,作为他们工作的依据和标准,有必要也有能力为维护网络安全尽职尽责。
4.3 工作责任感要强
与普通管理岗位不同的是,网络安全问题可能随时发生。这就给网络管理人员提出了更高更切实的要求。要具有敏锐的观察力和快速做出决策的能力,能够提出有效的应对办法,把网络安全问题降到最低程度,所以网络管理人员的责任心必须要强。对于出现的问题,能在8小时以内解决,尽量不影响以后时间段的网络运转。
F. 数据安全管理办法是由哪个部委牵头起草的
在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作.
为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。
国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。
G. 求公司的网络安全管理制度
公司网络安全管理制度
为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。
一、网络系统的安全运行,是我公司安全生产的一个重要内容,公司安排专人负责全公司网络系统的安全运行工作。
二、网络系统的安全运行包括三个方面的内容:一是网络系统数据资源的安全保护,二是网络硬件设备及机房环境的安全运行,三是网络病毒的防治管理,四是上网信息安全及电子邮件。
(一) 数据资源的安全保护。网络系统中存贮的各种数据信息,是供用电生产和管理所必须的重要数据,数据资源的破坏将严重影响生产与管理工作的正常运行。数据资源安全保护的主要手段是数据备份,规定如下:
1、网络应用重要部门或单位的数据必须做到每日一备份。
2、网络系统的重要数据及时备份。
3、一般用机部门或单位作到每周一备份。
4、系统软件和各种应用软件采用磁盘或光盘及时备份。
5、数据备份时必须登记以备检查,数据备份必须正确、可靠。
6、严格网络用户权限及入网用户名及口令管理。
(二)硬件设备及机房环境的安全运行
1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。
2、安装有保护接地线的,必须保证接地电阻符合技术要求(接地电阻≤2Ω,零地电压≤2V),避免因接地安装不良损坏设备。
3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、各类网络房必须有防盗及防火措施。
5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。
(三) 网络病毒的防治
1、各单位服务器必须安装防病毒软件,上网网络保证每台网络有防病毒软件。
2、定期对网络系统进行病毒检查及清理。
3、所有软磁盘须检查确认无病毒后,方能上机使用。
4、严格控制磁盘交换和外来软磁盘的使用,各单位各部门使用外来磁盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。
5、加强上网人员的职业道德教育,严禁使用游戏盘,在网络上玩游戏者一经发现将严肃处理。
(四) 上网信息安全及电子邮件
1、 各单位网络管理员必须定期对网上论坛及上网信息检查,发现有关泄漏企业机密及反动言论与不健康信息要及时删除,并记录,随时上报科技科。
2、所有上网人员如收到反动邮件有责任及时上报公司科技科,如不上报,一经发现,公司将视情节轻重,做相应处罚,情节严重者,公司可提请刑事处罚。
三、要严格执行国家相关法律法规,防止发生窃密、泄密事件。外来人员未经单位主管领导批准同意,任何人不得私自让外来人员使用我公司的网络系统作任何用途。
四、各部门要加强对各网络安全的管理、检查、监督,一旦发现问题及时上报公司负责人。公司计算机安全负责人分析并指导有关部门作好善后处理,对造成事故的责任人要依据情节给予必要的经济及行政处理。
五、未经公司负责人批准,联结在公司网络上的所有用户,严禁在同过其它入口上因太网或公司外单位网络.
********有限公司
H. 网络安全管理的管理制度
1、所有接入网络的用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用连网计算机从事危害城域网及校园网防火墙、路由器、交换机、服务器等网络设备的活动。
2、在网站上发现大量有害信息,以及遭到黑客攻击后,必须在12小时内向三门县教育局现代教育中心及公安机关报告,并协助查处。在保留有关上网信息和日志记录的前题下,及时删除有关信息。问题严重、情况紧急时,应关闭交换机或相关服务器。
3、任何单位和个人不得在校园网及其连网的计算机上收阅下载传递有政治问题和淫秽色情内容的信息。
4、所有接入网络的用户必须对提供的信息负责,网络上信息、资源、软件等的使用应遵守知识产权的有关法律法规。对于运行无合法版权的网络软件而引起的版权纠纷由使用部门(个人)承担全部责任。
5、严禁在网络上使用来历不明、引发病毒传染的软件,对于来历不明的可能引发计算机病毒的软件应使用公安部门推荐的杀毒软件检查、杀毒。
6、认真执行各项管理制度和技术规范,监控、封堵、清除网上有害信息。为有效地防范网上非法活动、各子网站要加强出口管理和用户管理。重要网络设备必须保持日志记录,时间不少于180天。
I. 国家数据安全法规定
第一章总则
第一条为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
第二条在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第三条本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
第四条维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
第七条国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
第八条开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
第九条国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
第十条相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
第十二条任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
第二章数据安全与发展
第十三条国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
第十四条国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
第十五条国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
第十六条国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
第十八条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
第十九条国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
第二十条国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
第三章数据安全制度
第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
第二十五条国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
第二十六条任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第四章数据安全保护义务
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十八条开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第三十二条任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
第三十三条从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第三十四条法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
第三十五条公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
第三十六条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第五章政务数据安全与开放
第三十七条国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
第三十八条国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第三十九条国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第四十条国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
第四十一条国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第四十二条国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
第四十三条法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
第六章法律责任
第四十四条有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
第四十五条开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
第四十六条违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第四十七条从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十八条违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
第四十九条国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第五十条履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
第五十一条窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
第五十二条违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七章附则
第五十三条开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
第五十四条军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
第五十五条本法自2021年9月1日起施行。
J. 数据安全制度的内容
法律分析:1、确立数据分级分类管理以及风险评估,检测预警和应急处置等数据安全管理各项基本制度;
2、明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;
3、坚持安全与发展并重,锁定支持促进数据安全与发展的措施;
4、建立保障政务数据安全和推动政务数据开放的制度措施。
法律依据:《数据安全管理办法》 第一条 为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规而制定部门规章。