近日，全国信息安全标准化技术委员会官网发布《网络安全标准实践指南——网络数据安全风险评估实施指引》（下称《指南》）。《指南》重点内容一：网络数据安全风险评估思路、内容及流程1、风险评估思路《指南》中指出，网络数据安全风险评估思路要坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现数据安全隐患，提出数据安全管理和技术防护措施建议，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。2、风险评估内容网络数据安全风险评估主要围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展。评估内容框架如下图所示。3、风险评估流程《指南》还明确，网络数据安全风险评估具体的工作流程主要包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素，然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患，最后梳理问题清单，分析数据安全风险，并给出整改建议。《指南》重点内容二：网络数据安全风险评估的方式1、自评估数据处理者进行自评估时，可依据本指南进行风险自查，具体实施步骤如下图所示。2、检查评估有关部门进行检查评估时，可参考指南进行检查工作，具体实施步骤如下图所示。网络数据安全风险评估实施指引网络数据安全深度评估传统的数据安全评估主要有等保测评、风险评估、渗透测试这三种表现方式，这几种安全评估方式更多倾向于合规性审计和安全问题存在性的验证，对于网络安全本质的探究反而被有意识的弱化。如今《指南》给出了网络数据安全风险评估思路、工作流程和评估内容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险，本质上是更全面、更客观、更深入对网络数据安全进行深度评估、对网络安全风险源进行迭代验证。在攻击与窃取手段不断进化的今天，数据安全面临的风险日增、形势严峻。因此数据安全深度评估可广泛适用于包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等国家关键信息基础设施。|国城【网络数据安全深度评估】服务深度贴合《指南》要求，重点突出对数据防泄漏能力的评估与验证。通过开展敏感数据的互联网暴露面核查、漏洞扫描与分析、弱口令检查、暗网及深网分析一系列活动，对企业的数据安全进行综合性深度评估，可有效识别和防范潜在的数据泄露风险，提高数据的安全保障能力，帮助企业保护自身的数据和信息安全。|服务价值1、通过全面检测潜在的网络安全风险，可以及时发现数据泄漏风险，保护企业的敏感数据免于被盗取或泄露。2、帮助企业满足数据安全法、个人信息保护法等法律法规要求。3、增强企业的信誉和声誉，避免因数据泄漏而引发的安全风险和经济损失。

网络攻击对城市造成的危害有多大？我们先来看一些案例：●4月，黑客侵入美国县级的部门的系统导致政务瘫痪，严重影响了城市政务正常运行，美国警方迫于无奈向勒索软件团队支付赎金110万美元。●今年初，瑞典两个城市使用的IT系统遭到入侵，导致这两个城市提供的一系列公民服务无法使用，包括电子邮件和一些医疗保健服务，超过25000人受影响。●去年12月，比利时一城市遭受勒索软件袭击，导致该市IT、电子邮件和电话服务通信中断，城市里几乎所有服务都不可用或严重延误。●去年6月，意大利南部某市遭受网络攻击，导致全城断网，IT系统瘫痪，给当地旅游业和城市运营带来灾难性影响。除了近年城市遭受的网络攻击以外，相信大多数人还会记得WannaCry勒索软件攻击，有超过50,000个组织和150个国家/地区遭到攻击。在英国，针对国民医疗服务体系的攻击导致工作人员无法访问患者记录，一些电话中断，外科医生取消了手术。在德国，德国铁路火车站的数字显示板无法使用。在西班牙的攻击导致电信供应商Telefonica的内部电脑瘫痪。在数据化的趋势之下，以城市为目标的网络攻击事件不断上演，数字化的外部威胁也在不断升级。网络攻击如何影响一座数字化城市？1.对民众的生活造成难以估计的损失当城市遭到网络攻击，可能会面临大面积停电，饮水供应系统断开，通信受阻：手机支付宕机、共享单车无法开锁、外卖平台暂停下单，市内断水断电断网，使人们的日常生活瞬间失序。2.城市运行困难，赎金高，重建系统成本更高黑客入侵导致系统瘫痪，严重影响了城市政务正常运行，像美国警方迫于无奈向勒索软件团队支付赎金，但这并不能完全解决问题。即使付钱，受害者也不一定能追回所有的数据，重建系统的成本通常比赎金本身要高得多。近年，随着国内数字化高速发展和数字城市建设，越来越多基础设施也在数字化，特别是城市关键信息基础设施，涉及医疗、交通、电力、能源、工业等多个领域的数字化建设遍地开花，但这给网络安全带来了不小的挑战，作为市政机关、关基单位应该如何应对更为复杂的安全问题？城市数字安全建设，需要提前做好网络防御，才是自保的武器，所有的信息化建设都应该把网络安全放在基石的位置。国城以攻击驱动防御，加强数字政务网络安全综合防御能力建设网络安全治理方案，针对政务网络安全防护，国城从安全能力评估、安全能力量化、安全能力提升层面，逐一去落实网络安全能力，逐渐实现满足数字城市政务实际需求的网络安全能力体系。网络安全能力提升三大阶段■安全能力评估基于ATT&CK框架和黑客攻击链视角通过不断的迭代验证网络安全风险源的过程，相较于传统的网络安全评估方法，更全面、更客观、更深入地对目标系统进行网络安全风险源迭代验证，能够发现传统网络安全评估不容易发现的网络安全问题，全域驱动市政机关、关基单位进行网络安全能力建设。■安全能力量化精准发现网络安全能力缺失短板，基于攻击与业务的双维度计算，将五域十六项能力项分数归一为政务网络安全量化分数，实现对政务网络安全能力科学、严谨的量化。■安全能力提升基于网络安全业务的全生命周期，安全运营团队依据政务网络安全态势动态弹性开展规划、巡检、保障和培训等网络安全运营，保障政务数字化业务安全可靠的持续运行。

近日，三星电子核心技术信息发生泄露，据悉，是其员工A先生将包含核心技术的数据发送到了外部个人邮箱，并且其中一些数据被二次发送到了他自己的另一个外部邮箱账户并存储，从而导致泄露。据估计，三星电子因核心技术泄露造成的损失达3.69亿元。国外形势波橘云诡，国内窃密泄密的事件也高发、多发，刺探科研机密、偷窥商业数据、窃取军事情报等窃密行为也在不断上演，对我国家安全造成了严重威胁。下面我们来看看国内的一些典型案例。●据国家安全机关调查掌握，凯盛融英大量接受境外公司对我国敏感行业的咨询项目，其中一些企业与外国政府、军方、情报机关关系密切，向企业透露了大量敏感信息，对国家安全造成了严重危害。仅2017年到2020年，凯盛融英就接受上百家境外公司汇款2000多次，金额高达7000多万美元。目前，国家安全机关已对涉事企业依法依规处理。●2014年国家安全机关破获的网络间谍策反境内人员案件，境外间谍“飞哥”以高额报酬为诱饵，拉拢策反境内人员订购涉军书刊、拍摄军事基地照片，境内人员则通过网络将搜集到的国家秘密输送到境外，中国境内20多个省市40多名人员被“飞哥”策反运用。随着国内的互联网行业的迅速发展，境外间谍情报机构对我国开展间谍情报活动的力度也不断加大，网络窃密的手段更加隐秘。因此，我们要加强网络知识学习，增强网络安全意识，共同筑牢维护国家安全的网络防线。今年5月是我国第35个保密宣传月，保守国家秘密是我国宪法规定的公民的基本义务，保密工作在维护国家安全和利益中起着十分重要的作用。【保密宣传月】国城将与您携手一道扎实保密和国家安全常识！当下，网络窃密已成为间谍的主要目的之一，他们不仅可以持续、隐蔽地窃取国家核心机密，甚至还可以利用网络，直接攻击关键信息基础设施，引发社会恐慌和政治失控。作为企业和组织，除了加强保密意识培训以外，还要提升防窃密泄密能力。对此，国城推出【网络窃密威胁测评服务】，可以有效地帮助客户解决该类问题。国城网络窃密威胁测评服务该服务应用于存在商业、政府、军工等秘密保护需求的客户。网络窃密威胁测评主要对客户网络和系统的安全性进行评估，通过渗透测试、日志安全审计、安全意识培训一系列活动，保障应用程序没有潜在的安全隐患，帮助客户及时发现和应对网络窃密行为。■服务价值◆全面检测客户网络环境中存在的各种窃密威胁。◆依托丰富的经验和领先的技术能力，及时发现和应对安全窃密事件。◆快速响应、解决网络窃密的安全问题。

在网络攻击肆掠横行的今天，由各种网络安全原因造成的攻击事件不断发生，例如：中国人民银行大数据系统中的，在线代码审计系统缺少对API接口访问的鉴权控制，攻击者利用该漏洞，获取了平台上的程序源代码，构成项目源代码数据泄露。招商证券收到证监会警示函，对招商证券系统设计与升级变更未经充分论证和测试，上线升级不完备的问题进行了通报。某证券公司委托开发商升级其快速交易系统时出现缺陷，结果出现13名机构客户逆回购交易资金透支，透支金额超过11亿元！蔚来汽车在其官方社区发布的一则声明，声明中表示，确认2021年8月之前的部分用户基本信息和车辆销售信息被窃取。此外，还有很多类似的网络安全事故不胜枚举。基于此，国城科技安全测试服务，通过黑盒/白盒方式对各类信息系统进行全方位测评，精准定位内外部威胁，根据企业实际情况出具定制化安全解决提升方案。为企业和机构提供网络安全保障，保证其安全、稳定地运行。戳下方详细了解国城六大安全测评服务↓