2023年5月1日，GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（以下簡稱《關(guān)基保護(hù)要求》）將正式實(shí)施。作為我國第一項(xiàng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的國家標(biāo)準(zhǔn)，《關(guān)基保護(hù)要求》對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提升保護(hù)能力、構(gòu)建保障體系具有重要的基礎(chǔ)性作用，對(duì)進(jìn)一步落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作具有重要意義。

《關(guān)基保護(hù)要求》共11個(gè)章節(jié)，重點(diǎn)闡述了關(guān)保的基本原則、主要內(nèi)容及活動(dòng)。根據(jù)要求，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)應(yīng)在落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)，并遵循以關(guān)鍵業(yè)務(wù)為核心的整體防控原則、以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)原則、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防原則。

關(guān)基安全建設(shè)內(nèi)容需從分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置六個(gè)方面展開，整體上采用動(dòng)態(tài)風(fēng)控理念，強(qiáng)化安全管理職責(zé)，強(qiáng)調(diào)數(shù)據(jù)安全及供應(yīng)鏈安全，落實(shí)閉環(huán)安全防護(hù)體系。

重點(diǎn)內(nèi)容及天融信解決方案

作為國內(nèi)網(wǎng)絡(luò)安全企業(yè)，天融信多年來在各行業(yè)不斷深入，基于完善的產(chǎn)品服務(wù)體系、雄厚的技術(shù)積累以及豐富的實(shí)踐經(jīng)驗(yàn)，面向重要行業(yè)和領(lǐng)域針對(duì)性地推出了行業(yè)化關(guān)保解決方案，全面覆蓋包括云計(jì)算、移動(dòng)互聯(lián)、工業(yè)控制系統(tǒng)等在內(nèi)的各類關(guān)鍵業(yè)務(wù)應(yīng)用場(chǎng)景。部分重要內(nèi)容如下：

1、安全保護(hù)計(jì)劃/安全體系規(guī)劃

標(biāo)準(zhǔn)要求：簡單來講，應(yīng)制定適合本組織的網(wǎng)絡(luò)安全保護(hù)計(jì)劃，明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的目標(biāo)，從管理體系、技術(shù)體系、運(yùn)營體系、保障體系等方面進(jìn)行規(guī)劃，加強(qiáng)機(jī)構(gòu)、人員、經(jīng)費(fèi)、裝備等資源保障，支撐關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

解決方案：幫助客戶梳理現(xiàn)狀，分析當(dāng)前面臨的各類風(fēng)險(xiǎn)，形成安全建設(shè)需求，借助業(yè)界卓越的安全理念及最佳實(shí)踐，針對(duì)性規(guī)劃設(shè)計(jì)總體安全框架，并進(jìn)行任務(wù)分解，以形成安全實(shí)落地指引，幫助客戶落實(shí)體系化、系統(tǒng)性的安全建設(shè)。憑借對(duì)多行業(yè)場(chǎng)景的深入理解和安全建設(shè)經(jīng)驗(yàn)，結(jié)合安全專家豐富的理論知識(shí)和規(guī)劃實(shí)踐積累，天融信安全規(guī)劃咨詢服務(wù)方案能夠?yàn)楸Ｗo(hù)關(guān)基提供切實(shí)可行的指引。

2、安全教育培訓(xùn)

標(biāo)準(zhǔn)要求：應(yīng)建立網(wǎng)絡(luò)安全教育培訓(xùn)制度，定期開展網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核，關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員每人每年教育培訓(xùn)時(shí)長不得少于30個(gè)學(xué)時(shí)。教育培訓(xùn)內(nèi)容應(yīng)包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)，以及網(wǎng)絡(luò)安全保護(hù)技術(shù)、網(wǎng)絡(luò)安全管理等。

解決方案：天融信安全教育與培訓(xùn)解決方案，圍繞產(chǎn)學(xué)共育、職業(yè)發(fā)展、競賽選拔和實(shí)戰(zhàn)檢驗(yàn)，提供全方位的網(wǎng)絡(luò)安全教育與實(shí)踐培訓(xùn)，為各關(guān)基運(yùn)營者提供針對(duì)性的安全教育培訓(xùn)，以幫助客戶提升相關(guān)人員的安全意識(shí)、安全技能和安全法規(guī)知識(shí)，更好地應(yīng)對(duì)關(guān)保要求。天融信自2000年開始開展網(wǎng)絡(luò)安全培訓(xùn)起，已有二十余年的網(wǎng)絡(luò)安全教育培訓(xùn)和攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，獲得中國信息安全測(cè)評(píng)中心、CCRC、CNCERT、公安部信息安全等級(jí)保護(hù)評(píng)估中心等八大機(jī)構(gòu)授權(quán)認(rèn)證，擁有20余項(xiàng)培訓(xùn)資質(zhì)，累計(jì)培育數(shù)萬名網(wǎng)絡(luò)安全專業(yè)人才，奠定了天融信在網(wǎng)絡(luò)安全教育、培訓(xùn)領(lǐng)域的專業(yè)性與全面性。

3、身份鑒別與授權(quán)

標(biāo)準(zhǔn)要求：應(yīng)明確重要業(yè)務(wù)操作、重要用戶操作或異常用戶操作行為，并形成清單；應(yīng)對(duì)設(shè)備、用戶、服務(wù)或應(yīng)用、數(shù)據(jù)進(jìn)行安全管控，對(duì)于重要業(yè)務(wù)操作、重要用戶操作或異常用戶操作行為，建立動(dòng)態(tài)的身份鑒別方式，或者采用多因子身份鑒別等方式；針對(duì)重要業(yè)務(wù)數(shù)據(jù)資源的操作，應(yīng)基于安全標(biāo)記等技術(shù)實(shí)現(xiàn)訪問控制。

解決方案：天融信身份安全解決方案，基于自身成熟的安全大數(shù)據(jù)分析平臺(tái)，利用用戶和實(shí)體行為分析等技術(shù)，明晰正?；虍惓５牟僮餍袨椋侠砉芸卦O(shè)備、用戶、服務(wù)、應(yīng)用、數(shù)據(jù)；同時(shí)利用多因素及動(dòng)態(tài)身份鑒別方式強(qiáng)化身份鑒別能力，針對(duì)操作行為進(jìn)行安全管控，并通過完善訪問控制機(jī)制，最大限度保障身份安全。方案通過聯(lián)動(dòng)遍布終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等層面的安全措施，確保整網(wǎng)用戶身份安全可信，針對(duì)特別重要的安全需求場(chǎng)景，還可進(jìn)一步升級(jí)為零信任身份安全解決方案，落實(shí)零信任評(píng)估與動(dòng)態(tài)授權(quán)，避免隱式授權(quán)帶來的安全風(fēng)險(xiǎn)。天融信零信任產(chǎn)品與解決方案也已在政府、金融、交通、能源等行業(yè)的移動(dòng)辦公、分支機(jī)構(gòu)接入等多種場(chǎng)景中得到了廣泛的應(yīng)用。

4、新型網(wǎng)絡(luò)攻擊防范

標(biāo)準(zhǔn)要求：應(yīng)采取技術(shù)手段，提高對(duì)高級(jí)可持續(xù)威脅等網(wǎng)絡(luò)攻擊行為的入侵防范能力。

解決方案：天融信新型網(wǎng)絡(luò)攻擊安全防護(hù)方案，以海量安全數(shù)據(jù)及安全情報(bào)為支撐，在安全專家的輔助下，借助智能化安全分析平臺(tái)，實(shí)現(xiàn)以安全分析結(jié)果驅(qū)動(dòng)的新型網(wǎng)絡(luò)攻擊安全防護(hù)，通過監(jiān)控威脅、阻斷威脅及追蹤溯源等，達(dá)成防范攻擊的目的。天融信在高級(jí)可持續(xù)性威脅追蹤、威脅狩獵等方向持續(xù)深入研究，牽頭或參與國家級(jí)、省部級(jí)多項(xiàng)重點(diǎn)網(wǎng)絡(luò)安全科研項(xiàng)目，為國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心等機(jī)構(gòu)提供大量技術(shù)支撐與技術(shù)攻關(guān)?；谇笆龇e累和沉淀，保證了天融信針對(duì)新型網(wǎng)絡(luò)攻擊的防范有理論依據(jù)，具備了廣泛的實(shí)踐支撐，從而確保了方案的有效性。

5、供應(yīng)鏈安全保護(hù)

標(biāo)準(zhǔn)要求：《關(guān)基保護(hù)要求》針對(duì)供應(yīng)鏈安全提出了共11條要求，總結(jié)來講，需在供應(yīng)鏈安全方面，通過體系化的安全設(shè)計(jì)，實(shí)現(xiàn)從開發(fā)設(shè)計(jì)、生產(chǎn)交付到運(yùn)行維護(hù)的全面供應(yīng)鏈安全管理。

解決方案：天融信供應(yīng)鏈安全解決方案，通過評(píng)估供應(yīng)鏈安全狀況，協(xié)助客戶制定和完善供應(yīng)鏈安全管理策略、管理制度，規(guī)范供應(yīng)鏈安全管理；針對(duì)軟件供應(yīng)鏈提供全生命周期安全防護(hù)，包括但不限于代碼審計(jì)、滲透測(cè)試、上線前安全檢測(cè)、應(yīng)急響應(yīng)等；提供專業(yè)的供應(yīng)鏈安全教育培訓(xùn)，提升安全意識(shí)和安全技能。此外，天融信憑借在國產(chǎn)化方面的多年積累，推出的天融信昆侖信創(chuàng)產(chǎn)品體系已涵蓋邊界安全、接入安全、安全檢測(cè)、終端安全、云安全、云計(jì)算等領(lǐng)域，可保障關(guān)鍵業(yè)務(wù)安全運(yùn)轉(zhuǎn)所需的產(chǎn)品服務(wù)供應(yīng)，滿足客戶網(wǎng)絡(luò)安全建設(shè)需要，并協(xié)助客戶開展安全審查等，全力保障供應(yīng)鏈安全。

6、數(shù)據(jù)安全保護(hù)

標(biāo)準(zhǔn)要求：《關(guān)基保護(hù)要求》針對(duì)數(shù)據(jù)安全提出了共8條要求，總結(jié)來講，在數(shù)據(jù)安全方面，應(yīng)構(gòu)建基于數(shù)據(jù)分類分級(jí)、覆蓋數(shù)據(jù)全生存周期的安全防護(hù)體系。

解決方案：天融信數(shù)據(jù)安全治理解決方案，通過開展數(shù)據(jù)安全治理咨詢服務(wù)，在幫助客戶評(píng)估數(shù)據(jù)安全狀況的基礎(chǔ)上，構(gòu)建完善的數(shù)據(jù)安全防護(hù)體系，致力于從組織建設(shè)、管理建設(shè)、技術(shù)建設(shè)、運(yùn)營管控和監(jiān)督評(píng)價(jià)層面落實(shí)數(shù)據(jù)安全，保障數(shù)據(jù)的安全性。該方案基于“六步走” 數(shù)據(jù)安全保障體系建設(shè)思路，可實(shí)現(xiàn)覆蓋數(shù)據(jù)全生命周期處理活動(dòng)的數(shù)據(jù)安全治理體系建設(shè)，支撐重要行業(yè)及領(lǐng)域的數(shù)據(jù)安全需求，目前已在政府、能源、運(yùn)營商等多個(gè)大型行業(yè)頭部客戶應(yīng)用落地。

7、常態(tài)化監(jiān)測(cè)預(yù)警

標(biāo)準(zhǔn)要求：概述來講，應(yīng)建立相關(guān)制度及常態(tài)化的監(jiān)測(cè)預(yù)警、快速響應(yīng)機(jī)制；應(yīng)關(guān)注相關(guān)事件、漏洞等動(dòng)態(tài)情況，構(gòu)建通報(bào)預(yù)警和協(xié)助處置機(jī)制等；應(yīng)部署檢測(cè)設(shè)備，通過建模分析整體安全態(tài)勢(shì)，并強(qiáng)化分析能力，以分析結(jié)果驅(qū)動(dòng)安全防護(hù)，基于綜合分析研判共享信息和報(bào)警信息，進(jìn)行安全預(yù)警。

解決方案：天融信態(tài)勢(shì)感知監(jiān)測(cè)預(yù)警解決方案，采取主、被動(dòng)方式廣泛收集各類安全數(shù)據(jù)，利用多種分析手段，尤其是AI建模分析，深度挖掘安全問題，全方位感知安全態(tài)勢(shì)。通過綜合分析研判，針對(duì)可能造成較大影響的情況，按要求進(jìn)行通報(bào)預(yù)警。方案還持續(xù)引入新的技術(shù)應(yīng)用，通過強(qiáng)化安全分析能力，能夠?qū)崿F(xiàn)精準(zhǔn)的態(tài)勢(shì)感知，幫助客戶準(zhǔn)確及時(shí)的發(fā)現(xiàn)問題，并進(jìn)行安全預(yù)警。

8、安全檢測(cè)評(píng)估

標(biāo)準(zhǔn)要求：概述來講，應(yīng)建立檢測(cè)評(píng)估制度，內(nèi)容包括流程、方式方法、人員組織、資金保障等。應(yīng)每年至少進(jìn)行一次檢測(cè)評(píng)估，利用攻防對(duì)抗等模擬網(wǎng)絡(luò)攻擊的方式進(jìn)行檢測(cè)評(píng)估，并針對(duì)發(fā)現(xiàn)的安全問題進(jìn)行及時(shí)整改，同時(shí)需在發(fā)生重大變化時(shí)進(jìn)行檢測(cè)評(píng)估，并配合安全風(fēng)險(xiǎn)抽查檢測(cè)工作等。

解決方案：天融信專項(xiàng)安全檢查評(píng)估方案，遵循關(guān)保相關(guān)要求，在關(guān)鍵信息基礎(chǔ)設(shè)施全生存周期，根據(jù)安全保護(hù)工作需要進(jìn)行安全檢測(cè)評(píng)估，旨在發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患，以及時(shí)進(jìn)行修復(fù)和整改，避免安全事件的發(fā)生。方案吸取多年的安全服務(wù)實(shí)踐經(jīng)驗(yàn)，并緊密結(jié)合合規(guī)要求，幫助客戶有效發(fā)現(xiàn)問題和解決問題。

此外，天融信還可提供暴露面檢測(cè)、攻防演練、應(yīng)急演練、應(yīng)急處置等方案，全面滿足關(guān)保要求。

未來，天融信始終以捍衛(wèi)國家網(wǎng)絡(luò)空間安全為使命，不斷探索、積極創(chuàng)新，以深厚的經(jīng)驗(yàn)積累及完善的合規(guī)知識(shí)體系，助力重要行業(yè)及領(lǐng)域構(gòu)筑數(shù)字安全防線，護(hù)航關(guān)鍵業(yè)務(wù)長足發(fā)展，進(jìn)而保衛(wèi)國家安全。