网络安全审查趋紧 360专家：安全风险隐含在数据中

• 360

“从国家的角度来说，安全风险不再停留在过去的机密文件里，而是隐含在数据中，这也使得数据安全问题以全新的形态呈现出来。”针对近日国家网信办发布的《网络安全审查办法（修订草案征求意见稿）》， 三六零(601360.SH，下称“360”)安全专家指出。

该《办法》要求，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

360安全专家对记者表示，从修订的内容看，网络安全审查的重点是评估采购、数据处理以及国外上市可能带来的国家安全风险。该《办法》的出台，体现了国家对于关键信息基础设施数据安全管控的决心。

数据安全关乎国家安全

新发布的征求意见稿与现行《网络安全审查办法》的不同之处在于，其升级了对数据安全审查对象的范围，由之前版本中的关键信息基础设施外延到“数据处理者”。

360安全专家认为，这意味着，只要涉及到关键信息基础设施或100万以上个人信息的企业发生数据处理活动，都会触发该《办法》，并且保护数据安全不仅仅是数据采集方的职责，整个产业链的数据处理者都要按照《网络安全审查办法》、《数据安全法》的要求承担数据安全管理职责。

而互联网领域的数据安全之所以被如此重视，是因为其关乎国家安全。在多家互联网企业接受网络安全审查后，相关部门刊文《数据安全关乎国家安全》指出，“互联网企业的数据安全问题也可能从不同方面影响国家安全。类似地图数据、位置数据等重要数据，同样需要保护。”

360集团创始人、董事长周鸿祎则在2021世界人工智能大会上明确提出，数字化程度越高，安全的挑战就越大。当数据积攒到一定程度，量变产生质变，数据的安全会直接和国家安全建立直接的联系。

在360安全专家看来，从公民的基因、面容、声纹等个人生物信息，到互联网企业在运营过程中产生的巨量数据，再到国家关键基础设施数据，一旦被窃取、泄露，利用大数据关联分析可以轻易获取敏感情报，精准操控舆论，甚至，恶意攻击者能够通过毁损企业重要资产、国家关键基础设施的数据，达到破坏或瘫痪电力、交通、能源等关键基础设施、中断工业生产的目的，对总体国家安全构成重大威胁。

四点建议强化数据安全治理

当超大数字平台通过实时获取的海量用户数据赋能行业发展的同时，也引发了个人隐私泄漏、大数据杀熟、国家安全等担忧。对掌握巨量数据的互联网企业而言，安全合规已成为“利剑高悬”的底线。

360安全专家建议，互联网公司需根据相关法律法规、标准规范要求，采用相应的制度、技术手段和产品保护数据安全。

一是建立数据安全治理体系，委派高管牵头负责数据安全治理工作，根据《数据安全法》等法规的监管要求开展自身数据分类分级工作，对企业数据实施分类分级管理，分类分级结果与数据存储、权限、脱敏、开发等措施挂钩，实现体系管理。

二是建立以数据为中心、覆盖全生命周期的数据安全防护体系，在数据全生命周期的各个阶段，部署关键的安全保护措施，确保各个环节的数据可管可控。

三是定期开展风险评估和数据安全成熟度评估，并通过实网攻防以及安全应急响应演练，及时改进公司中存在的风险，一旦发生安全事件后能及时响应，做出最合适的反应措施，从而把损失降低到最小。

四是建立健全全流程数据安全管理制度，组织开展数据安全教育培训，增强员工数据安全意识，提高企业自身数据安全能力。

作为国内网络安全行业头部企业，保护数据安全是360追求的目标和使命。据悉，360牵头建设的大数据协同安全技术国家工程实验室，将针对我国大数据环境下数据安全和系统安全监测、预警和控制处置能力不足等问题，围绕提升大数据安全分析能力和保障大数据系统自身安全的需求，建设大数据协同安全技术应用研究平台。

目前，数据安全成熟度评估已经有了解决方案。大数据协同安全技术国家工程实验室通过数据安全能力成熟度模型（DSMM）测评，帮助客户准确找到数据安全管理和技术方面的差距，助力客户提升数据安全能力和数据安全防护水平。据了解，以 DSMM 为抓手，通过数据安全能力成熟度评估，贵州大数据安全工程研究中心先后在十余个领域、50 多家机构开展了落地试点。

未来，大数据协同安全技术国家工程实验室还将协同各联合单位构建数据安全治理生态，打造相应的数据安全解决方案，为未来大数据协同安全构建“解题思路”。