炼石入选国家互联网应急中心CNCERT首批数据安全支撑单位
2024年2月22日,国家计算机网络应急技术处理协调中心(以下简称CNCERT)公示发布了第十届CNCERT网络安全应急服务支撑单位遴选结果,炼石成功入选首批“数据与软件安全评测领域”应急服务支撑单位!本次遴选根据申报单位综合能力及支撑CNCERT网络安全工作情况,经自主申报、形式审核、专家评审、研究确认等层层筛选,5家数据与软件安全评测领域企业入选。
网络安全应急服务支撑单位是我国网络安全应急体系的重要组成。CNCERT作为国家级应急中心,是中国计算机网络应急处理体系中的牵头单位,在中国大陆31个省、自治区、直辖市设有分支机构,协调骨干网络运营单位、域名服务机构和其他应急组织等,构建中国互联网安全应急体系,共同处理各类互联网重大网络安全事件。
同时,CNCERT积极开展网络安全国际合作,致力于构建跨境网络安全事件的快速响应和协调处置机制。截至2023年,已与83个国家和地区的289个组织建立了“CNCERT国际合作伙伴”关系。CNCERT通过网络安全应急服务支撑单位遴选,旨在凝聚全国网络安全领域优秀技术力量,支撑网络安全应急技术协作体系建设,提升重大突发网络安全事件应对和保障能力。
数据安全领域是CNCERT应急服务支撑单位首次征集的新领域。当下,数据已成为数字经济深化发展的核心引擎,而网络攻击、数据泄露窃取等安全风险却伴生频发、日趋严峻,直接威胁国家安全和社会稳定。面对新形势新挑战,迫切需要从国家层面建立数据安全保障体系。CNCERT贯彻落实国家数据安全重要战略部署,首次在数据安全领域征集应急服务支撑单位,有助于充分发挥数据安全在保障国家关键信息基础设施和重要信息系统中的作用,释放数据安全技术和产品在应急服务体系的应用潜力,提升各领域各行业的数据安全保障水平,筑牢数字经济发展、数字社会运行的安全屏障。本次遴选中,众多数据安全领域企业参与申报,经过专家多轮评审,炼石成功入选“数据与软件安全评测领域”应急服务支撑单位,这是对炼石免改造数据安全产品能力、数据安全服务能力以及数据安全应急支撑能力等方面的认可与肯定。
防风险保安全,筑牢应急服务安全屏障。党的二十大报告指出“坚持安全第一、预防为主,建立大安全大应急框架”。网络安全应急服务体系作为国家“大安全大应急框架”的重要组成,承担防范化解重大安全风险、及时应对处置各类安全事故的重要使命。炼石作为“免改造”为创新特色的数据安全产品厂商,是国家网络安全应急服务体系的积极参与者,肩负网络强国建设使命任务,贯彻落实《网络安全法》《数据安全法》《国家网络安全事件应急预案》《公共互联网网络安全突发事件应急预案》等法律法规要求,在
CNCERT的统一指导下,基于自主创新的免改造数据安全和高性能密码技术,在数据安全领域充分发挥技术研发、服务支撑、产业分析、法规解读等优势和能力,开展规范化的网络安全应急服务工作,保护公众利益、维护国家安全。
免改造安全夯实应急服务技术基础。炼石专注自研免改造的全面数据保护,支撑国家数据安全应急体系建设。目前,炼石已形成包含“一平台:数据安全主平台,多模块:识别、防护、检测响应、审计追溯以及安全合规等安全能力模块”的数据安全产品矩阵,具有应用架构兼容多、免改造应用交付快、密码安全一体化防护好、安全建设成本省、适应业务数据流向管控准等优势,覆盖事前事中事后的安全防控,为应急服务工作提供技术支撑,防范化解重大安全风险,增强应急服务安全保障能力。炼石基于PCT国际专利保护的高性能国密技术,实现在单颗Intel
CPU上SM4加解密速度突破140Gbps;并在龙芯、兆芯、飞腾、中标麒麟、银河麒麟等信创平台持续优化,在单颗信创CPU上,SM4加解密速度突破110Gbps,可支撑各领域国产化创新、高效消除风险隐患、快速降低网络安全事件造成的损失和危害,增强对重大、突发网络安全事件的应对能力。目前,炼石技术和产品已深度应用于众多行业重要网络和信息系统中,为政府、金融、运营商、交通、教医旅、工业等用户提供个人信息保护、商业数据保护、数据安全合规改造、国密合规改造,累计生产级交付近千套应用系统,实时保护千亿条数据、十多亿人口个人信息,在保障国家安全、国计民生、公共利益等方面发挥积极作用。
炼石服务能力助力数据安全体系建设。炼石持续组建专业高效的应急技术和服务队伍,为做好应急服务支撑工作奠定基础。炼石打造4项通用服务和2项专项咨询服务,让数据安全防护成效实现“1+1>2”,以便更好地支撑应急服务体系建设。通用服务包括:数据安全规划、数据安全建设、数据安全运营和数据安全培训;专项咨询包括:DSM数据安全管理认证、PIP个人信息保护认证等,从管理和技术角度深入分析客户存在的安全风险及问题,支撑各领域落实合规、提升实战防护水平。基于炼石服务体系,可支撑开展分类分级、合规检查、风险评估、安全审计、个人信息安全影响评估、商用密码应用咨询等专项工作,满足数据安全领域技术咨询、合规建设及决策建议等诉求,提高国家基础信息网络和重要信息系统的数据安全保障能力。
分类分级服务:通过调研和梳理业务系统主要数据流转和核心业务应用功能,逐步建立数据流向清单和数据应用清单,配合炼石自研数据资产扫描工具,为政企客户数据资产管理提供全景化、动态化数据分类分级服务。
合规检查服务:围绕数据全生命周期管理,根据业务系统数据资产重要程度、安全需求以及法律法规、监管要求,细化规则、落地支撑评估检查,对数据安全管理现状、技术管控能力进行全面评估和提升。评估内容包括机构人员建设情况、基本制度完善情况、技术能力保障情况、数据全生命周期管控情况等方面。
风险评估服务:对标行业主管、上级单位数据安全保护要求,通过收集数据、过程文档等材料,分析数据活动存在的安全风险,并结合数据安全管理制度、数据保护技术和产品、数据常态运营等方面存在的脆弱性、威胁、资产重要性等,开展定性/定量风险评估,确定风险优先级,形成数据安全风险评估报告。
安全审计服务:针对敏感数据安全,建立审计实施体系,完善审计流程,开展定期审计工作。针对操作审计,通过对关键数据操作审计,重点检查数据操作过程的合规情况,并借助分级审计机制提高审计效率;针对合规审计,由专业审计团队执行,重点检查数据安全流程和工作的执行情况。
个人信息安全影响评估服务:主要参考国家标准《信息安全技术 个人信息安全规范》中的相关要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁和丢失。
商用密码应用咨询服务:包含密码技术咨询、密码合规整改和密码测评协同等服务,适用于政府、金融、运营商、交通、教医旅、工业等多行业客户开展商用密码合规性评估工作,支持企事业单位信息系统“三同步”管理。
未来,炼石将一如既往肩负保护国家数据安全重任,不断打磨产品、精研技术,提升各行业各领域数据安全保障能力,助推数据安全产业高质量发展,为国家全面筑牢数字安全屏障做出贡献。
京公网安备 11010802038255号 