奇安信:企业须守住合规红线
奇安信集团副总裁、创新BG负责人孔德亮表示,随着《数据安全法》的落地,国家相关部门对掌握重要数据企业的网络安全审查力度将显著加大,此次知网被安全审查,带来了以下几方面的启示。
首先是本次审查,再次表明数据安全已上升到国家安全的高度。“没有网络安全,就没有国家安全”,网络空间的安全不仅包括网络本身的安全,还包括数据、信息系统、信息物理融合系统等多个方面的广义安全。数据安全是网络空间安全的基础,是国家安全的重要组成部分。对于具有承载着大量科研科技数据的知网而言,科技安全是国家安全的重要组成部分,很多反映科技成果的数据也会直接影响国家安全。可见,“防范国家数据安全风险”和“维护国家安全”已经成为不可分离的整体。
其次,近年来高校、科研院所等拥有我国前沿学术研究成果的机构,其核心数据已经成为重点攻击目标。6月22日,西北工业大学发布公告称,有来自境外的黑客组织和不法分子向我校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息;无独有偶,在奇安盘古披露的针对我国长达十年的“电幕行动”(Bvp47)攻击事件中,如果按照受影响行业来看,教育、科研行业是受到攻击最多的行业。由于知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我重大项目、重要科技成果及关键技术动态等敏感信息,非常容易成为境外黑客组织的攻击对象。
第三,对于掌握重要敏感数据的企业机构,尤其需要将数据安全作为生命线,确保安全合规、不踩红线。《数据安全法》首次提出了国家核心数据的概念,即关系国家安全、国民经济命脉、重要民生、重大公共利益等数据,并要求对此类数据实行更加严格的管理制度,对于重要数据的某些跨境传输、特别保护,也提出了具体要求。因此,企业需从合规角度,建立数据分类分级管理制度,对数据进行分类分级,识别出涉及国家和行业领域安全的重要数据、核心数据、个人信息数据,并基于分类分级结果、对敏感数据和重要数据的流转及使用情况,结合企业场景化的数据安全风险分析及数据安全能力需求分析,制定企业的数据安全策略和技术防护保障措施。尤其对掌握了与国家安全、重点科研、国计民生紧密相关重要和敏感数据的企业平台而言,更需要具备“红线意识”,严格遵守相关法律,承担保护数据安全的责任。
数字经济时代,数据安全直接关乎着国家主权和国家安全,重要性不言而喻。然而数据安全是一项非常复杂的系统工程,充分说明,企业需要兼顾安全合规、重要数据保护和业务发展等多方面的使命。