时间:2022-05-31 作者:奇安信集团
2022年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施迎来5周年。
作为国家实施网络空间管辖的第一部法律,《网络安全法》标志着我国网络安全工作有了基础性的法律框架,意味着建设网络强国的制度保障迈出了坚实一步,彰显了党和国家对网络安全问题的高度重视,在中国网络安全史上,具有里程碑式的意义。
《网络安全法》实施的五年,是中国网络安全产业黄金发展的五年。赛迪顾问数据显示,2016年我国网络安全市场规模为336.2亿元,而2021年市场规模达到900多亿元。五年近三倍的高速增长,在为中国数字经济保驾护航的同时,更诞生了奇安信等一批市值数百亿的网络安全上市企业,整个网络安全产业生态欣欣向荣。
《网络安全法》实施的五年,也是网络安全相关法律法规、条例办法及规章制度等密集发布的五年。2019年12月1日,《信息安全技术网络安全等级保护基本要求》2.0版本,即等保2.0正式实施。2020年1月1日,《中华人民共和国密码法》正式实施。到了2021年,《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》、《网络产品安全漏洞管理规定》等法律法规更是纷纷出台,2021年可以说是名副其实的“政策大年”。
《网络安全法》实施的五年,更是网络安全行业新产品新技术千帆竞渡、百舸争流的五年。等保合规、隐私保护、数据跨境交易、密码保护、漏洞管理等等,各类产品和服务层出不穷,大大丰富了网络安全行业的产品图谱。
从无法可依到有法可依,从合规性驱动到合规性和强制性驱动并重,以《网络安全法》为代表的网络空间安全法治建设,为维护国家总体安全、抵御网络空间各种不确定性因素和未知风险发挥了重要作用。
作为网络安全行业的领军企业,奇安信近年来领先推出了助力广大政企单位合规保障的创新产品和服务,主要包括等保合规、数据安全合规、密码合规、漏洞管理合规、个人信息保护合规等五大类别,帮助企业满足信息化建设、数字化转型中面临的合规和合法监管需求,确保业务平稳发展的同时,提供全方位的专业保障。
等保合规:
合规一体机全程护航客户等保2.0建设
《网络安全法》内容明确指出“国家实行网络安全等级保护制度”,这标志着网络安全等级保护上升到国家法律,以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。2019年5月10日,等保2.0正式发布,并于2019年12月1日正式实施。
随着十四五期间客户上云的加速,对云等保的需求在快速增长,奇安信推出了合规一体机、云安全管理平台(CSMP)等产品,在电子政务、运营商、能源等行业市场上获得广泛认可。以合规一体机为例,通过提供针对性的一体化安全能力,统一的安全监测、策略管理和下发,为客户提供最具性价比的等保测评全过程护航。帮助客户快速满足等保合规要求之余,为客户提供按需赋能、可弹性拓展的云安全解决方案,实现安全事件的处置闭环。
合规一体机能广泛兼容多种客户环境,为客户搭建安全服务能力供给平台,实现安全服务的可运营、可持续产出。平台提供的整体安全能力覆盖了通用项和云计算扩展要求,包括云内南北向安全、东西向安全、云主机安全、漏洞管理、日志审计、密码服务等完整的安全防护能力。基于合规一体机灵活的组件授权和快速交付能力,可以实现为客户等保测评量身定制并保证持续稳定通过。结合云安全运营中心(CSC)和云安全托管运营服务(CMSS),能够助力客户实现对租户或二级单位的自检自查,快速定位、响应租户级安全事件,为公有云、行业云、私有云构建一套真正属于云时代的安全防护框架。
数据安全合规:
五大法宝“补短板、防裸奔”
2021年6月10日,《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起施行。
《数据安全法》第二十一条明确提出“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”
因此,构建具备行业属性的数据安全体系,盘点清楚自身数据资产,梳理清楚特权账号,使用数据安全治理工具做好做扎实数据分类分级工作,才能更好地进行数据安全建设,实现数据全生命周期的数据安全风险监测、评估和防护。
奇安信集团董事长齐向东不久前在2022中国国际大数据产业博览会上表示,很多企业机构的数据处在“裸奔”状态,这是数据安全的首要问题,防裸奔、补短板迫在眉睫。奇安信总结了保障数据安全的“五件套”:特权账号管理、堡垒机、数据库审计、API安全卫士和数据安全态势感知。
在特权账号管理方面,奇安信特权账号管理系统能够主动发现各类基础设施资源的账号分布、识别账号风险(包括弱口令、僵尸账号、幽灵账号、长期未改密账号,账号违规提权等)、管理账号使用,实现对各类基础设施资源账号的全生命周期管理;
在堡垒机方面,奇安信网神运维审计系统能够实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计,为客户提供集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,满足全行业运维审计规范要求;
在数据库审计方面,奇安信数据库审计与防护系统通过大数据分区搜索技术提供高效检索审计记录能力,快速定位事件原因,帮助用户事后生成合规报告、提供有效电子取证信息;
在API安全方面,奇安信API卫士具有基于自动化发现并可视化展示及管理API能力,在检测传统Web攻击同时,还可检测与预警API传输中的敏感数据,建立基于用户访问行为的用户画像或行为模型,发现API未认证访问、弱口令登录、未授权访问、异常访问行为等;
在数据安全态势感知方面,数据安全态势感知运营中心能够主动扫描数据资产,识别敏感数据,建立数据目录并分类分级,检查敏感数据驻留风险,建立敏感数据分布态势,通过全流量深度解析,自动梳理涉敏资产,建立敏感数据流动态势,及时发现可疑行为。
密码安全合规:
奇安信密码应用解决方案助力密评改造
《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过,自2020年1月1日起施行。其中,《密码法》第二十七条明确规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”
随着《密码法》的实施,满足“密码应用安全性评估”检测成为重要信息系统建设的必要一环,以密评合规驱动的信息系统密码应用改造势在必行。为推进商用密码改造工作,2021年3月,国家市场监督管理总局、国家标准化管理委员会发布了国标GB/T397862021《信息安全技术信息系统密码应用基本要求》,并于同年10月1日正式实施。该国标是指导商用密码应用与安全性评估工作的一项基础性标准,对于规范和引导信息系统合规、正确、有效应用密码具有重要意义。
奇安信密码应用解决方案以国标GB/T39786为基础,通过核心的密码技术、密码模块、密码服务和密码产品联动,帮助客户满足商用密码应用安全性评估要求。该方案包括对网络基础资源、信息设施、计算分析、应用服务、网络通道、接入终端、设备控制等提供规划/改造方案,为客户系统提供身份鉴别、访问控制、数据机密性保护完整性保护、及抗抵赖的密码应用服务。
冬奥期间,作为首个建设完成的转向,密码专项遵循“冬奥网络安全总体规划”、等保三级和密评安全三级的设计要求,方案先后通过多轮专家评审和安全评测,能容纳50+以上信息系统的密钥管理,实现了密钥集中统一管理,完成了数据的可靠性、安全性、容灾备份等设计。
漏洞合规:
代码安全、漏洞管理多管齐下
2021年7月12日,工业和信息化部、国家互联网信息办公室、公安部共同发布了《网络安全法》的重要配套规范——《网络产品安全漏洞管理规定》(简称:《规定》),并于2021年9月1日实施。
《规定》明确了产品安全漏洞的发现、修补、管理流程,发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
奇安信集团董事长齐向东在《漏洞2》一书中提到,“缺陷是天生的,漏洞是不可避免的。”
根据奇安信发布的《2021中国软件供应链安全分析报告》数据显示,“国内企业软件项目100%使用了开源软件;超8成软件项目存在已知高危开源软件漏洞;平均每个软件项目存在66个已知开源软件漏洞。”无所不在的漏洞,成为软件供应链安全的核心威胁。
图:奇安信2021年6月发布《2021中国软件供应链安全分析报告》
对此,奇安信代码安全实验室建议:
在国家和行业监管层面,应制定软件供应链安全相关的政策要求、标准规范和实施指南,建立起国家级/行业级软件供应链安全风险分析平台,并且将软件供应链安全的相关工作纳入产品测评、系统测评等工作中。
在供应链安全方面,奇安信代码卫士可实现源代码安全缺陷及后门分析,开源卫士能实现基于源代码/二进制成分的风险分析,帮助客户尽早发现和规避软件供应链安全风险。软件空间测绘能力由奇安信天问供应链安全分析系统实现,可实现多维度的可持续数据与全面测绘,以及软件深度剖析与元素特征提取。
同时,针对每天曝出的大量漏洞,奇安信正式发布漏洞情报服务,从漏洞监测、漏洞挖掘、漏洞分析、漏洞评价、漏洞通知以及漏洞处置进行全生命周期的闭环管理,对漏洞实际可产生的危害重新定级(更加符合国内安全环境的定级标准),旨在为各企事业单位提供高精准、高可用漏洞情报,有效提升对漏洞预警、分析、处置和响应的能力。
隐私合规:
奇安信隐私卫士保障企业合规经营
近日,据媒体报道,推特(Twitter)将支付1.5亿美元隐私罚金,以和解一桩联邦隐私诉讼。以个人信息安全为代表的数据安全问题再次成为大众关注热点。
近年来,我国越来越重视数据安全的重要性,密集出台了《数据安全法》、《个人信息保护法》、《App违法违规收集使用个人信息行为认定方法》、《常见类型移动互联网应用程序必要个人信息范围规定》、《信息安全技术个人信息安全规范GB/T35273—2020》、《App违法违规收集使用个人信息自评估指南》、《个人信息和重要数据出境安全评估办法》、《移动互联网应用程序(App)收集个人信息基本要求》GB/T41391-2022等与个人隐私信息相关的法律法规及标准要求。可以说,隐私合规已经成为企业经营的必选项。
奇安信推出的隐私卫士系统,针对安卓App、iOSApp、小程序、IoT设备进行隐私合规检测与分析,为企业的法务、研发、产品、安全等角色提供一个共同协作的平台,通过技术手段辅助发现隐私安全风险,避免由此带来的数据泄漏、资产损失、监管处罚等风险,保障企业合规经营、健康发展。
结束语
细分化、垂直化成合规趋势
助力2500亿市场腾飞
近年来,在数字化转型深入、数据跨境流动、商密改造提速等新场景不断涌现的情况下,安全合规也呈现细分化、垂直化的特点,带动了相关产品的创新和发展。根据工信部发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。
专家认为,随着各种利好政策的加持,网络空间法制体系建设的完善,网络安全的合规需求将持续井喷,并成为支撑产业高速发展的核心引擎之一。
95015服务热线
微信公众号