2023年5月1日，GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》（以下簡稱《關(guān)基保護要求》）將正式實施。作為我國第一項關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的國家標準，《關(guān)基保護要求》對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者提升保護能力、構(gòu)建保障體系具有重要的基礎(chǔ)性作用，對進一步落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作具有重要意義。

《關(guān)基保護要求》共11個章節(jié)，重點闡述了關(guān)保的基本原則、主要內(nèi)容及活動。根據(jù)要求，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護應(yīng)在落實網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上，實行重點保護，并遵循以關(guān)鍵業(yè)務(wù)為核心的整體防控原則、以風(fēng)險管理為導(dǎo)向的動態(tài)防護原則、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防原則。

關(guān)基安全建設(shè)內(nèi)容需從分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置六個方面展開，整體上采用動態(tài)風(fēng)控理念，強化安全管理職責(zé)，強調(diào)數(shù)據(jù)安全及供應(yīng)鏈安全，落實閉環(huán)安全防護體系。

作為國內(nèi)首家網(wǎng)絡(luò)安全企業(yè)，天融信多年來在各行業(yè)不斷深入，基于完善的產(chǎn)品服務(wù)體系、雄厚的技術(shù)積累以及豐富的實踐經(jīng)驗，面向重要行業(yè)和領(lǐng)域針對性地推出了行業(yè)化關(guān)保解決方案，全面覆蓋包括云計算、移動互聯(lián)、工業(yè)控制系統(tǒng)等在內(nèi)的各類關(guān)鍵業(yè)務(wù)應(yīng)用場景。部分重要內(nèi)容如下：

1、 安全保護計劃/安全體系規(guī)劃

標準要求：簡單來講，應(yīng)制定適合本組織的網(wǎng)絡(luò)安全保護計劃，明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的目標，從管理體系、技術(shù)體系、運營體系、保障體系等方面進行規(guī)劃，加強機構(gòu)、人員、經(jīng)費、裝備等資源保障，支撐關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。

解決方案：幫助客戶梳理現(xiàn)狀，分析當(dāng)前面臨的各類風(fēng)險，形成安全建設(shè)需求，借助業(yè)界領(lǐng)先的安全理念及最佳實踐，針對性規(guī)劃設(shè)計總體安全框架，并進行任務(wù)分解，以形成安全實落地指引，幫助客戶落實體系化、系統(tǒng)性的安全建設(shè)。憑借對多行業(yè)場景的深入理解和安全建設(shè)經(jīng)驗，結(jié)合安全專家豐富的理論知識和規(guī)劃實踐積累，天融信安全規(guī)劃咨詢服務(wù)方案能夠為保護關(guān)基提供切實可行的指引。

2、 安全教育培訓(xùn)

標準要求：應(yīng)建立網(wǎng)絡(luò)安全教育培訓(xùn)制度，定期開展網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核，關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員每人每年教育培訓(xùn)時長不得少于30個學(xué)時。教育培訓(xùn)內(nèi)容應(yīng)包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標準，以及網(wǎng)絡(luò)安全保護技術(shù)、網(wǎng)絡(luò)安全管理等。

解決方案：天融信安全教育與培訓(xùn)解決方案，圍繞產(chǎn)學(xué)共育、職業(yè)發(fā)展、競賽選拔和實戰(zhàn)檢驗，提供全方位的網(wǎng)絡(luò)安全教育與實踐培訓(xùn)，為各關(guān)基運營者提供針對性的安全教育培訓(xùn)，以幫助客戶提升相關(guān)人員的安全意識、安全技能和安全法規(guī)知識，更好地應(yīng)對關(guān)保要求。天融信自2000年開始開展網(wǎng)絡(luò)安全培訓(xùn)起，已有二十余年的網(wǎng)絡(luò)安全教育培訓(xùn)和攻防實戰(zhàn)經(jīng)驗，獲得中國信息安全測評中心、CCRC、CNCERT、公安部信息安全等級保護評估中心等八大機構(gòu)授權(quán)認證，擁有20余項培訓(xùn)資質(zhì)，累計培育數(shù)萬名網(wǎng)絡(luò)安全專業(yè)人才，奠定了天融信在網(wǎng)絡(luò)安全教育、培訓(xùn)領(lǐng)域的專業(yè)性與全面性。

3、身份鑒別與授權(quán)

標準要求：應(yīng)明確重要業(yè)務(wù)操作、重要用戶操作或異常用戶操作行為，并形成清單；應(yīng)對設(shè)備、用戶、服務(wù)或應(yīng)用、數(shù)據(jù)進行安全管控，對于重要業(yè)務(wù)操作、重要用戶操作或異常用戶操作行為，建立動態(tài)的身份鑒別方式，或者采用多因子身份鑒別等方式；針對重要業(yè)務(wù)數(shù)據(jù)資源的操作，應(yīng)基于安全標記等技術(shù)實現(xiàn)訪問控制。

解決方案：天融信身份安全解決方案，基于自身成熟的安全大數(shù)據(jù)分析平臺，利用用戶和實體行為分析等技術(shù)，明晰正?；虍惓５牟僮餍袨?，合理管控設(shè)備、用戶、服務(wù)、應(yīng)用、數(shù)據(jù)；同時利用多因素及動態(tài)身份鑒別方式強化身份鑒別能力，針對操作行為進行安全管控，并通過完善訪問控制機制，最大限度保障身份安全。方案通過聯(lián)動遍布終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等層面的安全措施，確保整網(wǎng)用戶身份安全可信，針對特別重要的安全需求場景，還可進一步升級為零信任身份安全解決方案，落實零信任評估與動態(tài)授權(quán)，避免隱式授權(quán)帶來的安全風(fēng)險。天融信零信任產(chǎn)品與解決方案也已在政府、金融、交通、能源等行業(yè)的移動辦公、分支機構(gòu)接入等多種場景中得到了廣泛的應(yīng)用。

4、新型網(wǎng)絡(luò)攻擊防范

標準要求：應(yīng)采取技術(shù)手段，提高對高級可持續(xù)威脅等網(wǎng)絡(luò)攻擊行為的入侵防范能力。

解決方案：天融信新型網(wǎng)絡(luò)攻擊安全防護方案，以海量安全數(shù)據(jù)及安全情報為支撐，在安全專家的輔助下，借助智能化安全分析平臺，實現(xiàn)以安全分析結(jié)果驅(qū)動的新型網(wǎng)絡(luò)攻擊安全防護，通過監(jiān)控威脅、阻斷威脅及追蹤溯源等，達成防范攻擊的目的。天融信在高級可持續(xù)性威脅追蹤、威脅狩獵等方向持續(xù)深入研究，牽頭或參與國家級、省部級多項重點網(wǎng)絡(luò)安全科研項目，為國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心等機構(gòu)提供大量技術(shù)支撐與技術(shù)攻關(guān)?；谇笆龇e累和沉淀，保證了天融信針對新型網(wǎng)絡(luò)攻擊的防范有理論依據(jù)，具備了廣泛的實踐支撐，從而確保了方案的有效性。

5、供應(yīng)鏈安全保護

標準要求：《關(guān)基保護要求》針對供應(yīng)鏈安全提出了共11條要求，總結(jié)來講，需在供應(yīng)鏈安全方面，通過體系化的安全設(shè)計，實現(xiàn)從開發(fā)設(shè)計、生產(chǎn)交付到運行維護的全面供應(yīng)鏈安全管理。

解決方案：天融信供應(yīng)鏈安全解決方案，通過評估供應(yīng)鏈安全狀況，協(xié)助客戶制定和完善供應(yīng)鏈安全管理策略、管理制度，規(guī)范供應(yīng)鏈安全管理；針對軟件供應(yīng)鏈提供全生命周期安全防護，包括但不限于代碼審計、滲透測試、上線前安全檢測、應(yīng)急響應(yīng)等；提供專業(yè)的供應(yīng)鏈安全教育培訓(xùn)，提升安全意識和安全技能。此外，天融信憑借在國產(chǎn)化方面的多年積累，推出的天融信昆侖信創(chuàng)產(chǎn)品體系已涵蓋邊界安全、接入安全、安全檢測、終端安全、云安全、云計算等領(lǐng)域，可保障關(guān)鍵業(yè)務(wù)安全運轉(zhuǎn)所需的產(chǎn)品服務(wù)供應(yīng)，滿足客戶網(wǎng)絡(luò)安全建設(shè)需要，并協(xié)助客戶開展安全審查等，全力保障供應(yīng)鏈安全。

6、數(shù)據(jù)安全保護

標準要求：《關(guān)基保護要求》針對數(shù)據(jù)安全提出了共8條要求，總結(jié)來講，在數(shù)據(jù)安全方面，應(yīng)構(gòu)建基于數(shù)據(jù)分類分級、覆蓋數(shù)據(jù)全生存周期的安全防護體系。

解決方案：天融信數(shù)據(jù)安全治理解決方案，通過開展數(shù)據(jù)安全治理咨詢服務(wù)，在幫助客戶評估數(shù)據(jù)安全狀況的基礎(chǔ)上，構(gòu)建完善的數(shù)據(jù)安全防護體系，致力于從組織建設(shè)、管理建設(shè)、技術(shù)建設(shè)、運營管控和監(jiān)督評價層面落實數(shù)據(jù)安全，保障數(shù)據(jù)的安全性。該方案基于“六步走” 數(shù)據(jù)安全保障體系建設(shè)思路，可實現(xiàn)覆蓋數(shù)據(jù)全生命周期處理活動的數(shù)據(jù)安全治理體系建設(shè)，支撐重要行業(yè)及領(lǐng)域的數(shù)據(jù)安全需求，目前已在政府、能源、運營商等多個大型行業(yè)頭部客戶應(yīng)用落地。

7、常態(tài)化監(jiān)測預(yù)警

標準要求：概述來講，應(yīng)建立相關(guān)制度及常態(tài)化的監(jiān)測預(yù)警、快速響應(yīng)機制；應(yīng)關(guān)注相關(guān)事件、漏洞等動態(tài)情況，構(gòu)建通報預(yù)警和協(xié)助處置機制等；應(yīng)部署檢測設(shè)備，通過建模分析整體安全態(tài)勢，并強化分析能力，以分析結(jié)果驅(qū)動安全防護，基于綜合分析研判共享信息和報警信息，進行安全預(yù)警。

解決方案：天融信態(tài)勢感知監(jiān)測預(yù)警解決方案，采取主、被動方式廣泛收集各類安全數(shù)據(jù)，利用多種分析手段，尤其是AI建模分析，深度挖掘安全問題，全方位感知安全態(tài)勢。通過綜合分析研判，針對可能造成較大影響的情況，按要求進行通報預(yù)警。方案還持續(xù)引入新的技術(shù)應(yīng)用，通過強化安全分析能力，能夠?qū)崿F(xiàn)精準的態(tài)勢感知，幫助客戶準確及時的發(fā)現(xiàn)問題，并進行安全預(yù)警。

8、安全檢測評估

標準要求：概述來講，應(yīng)建立檢測評估制度，內(nèi)容包括流程、方式方法、人員組織、資金保障等。應(yīng)每年至少進行一次檢測評估，利用攻防對抗等模擬網(wǎng)絡(luò)攻擊的方式進行檢測評估，并針對發(fā)現(xiàn)的安全問題進行及時整改，同時需在發(fā)生重大變化時進行檢測評估，并配合安全風(fēng)險抽查檢測工作等。

解決方案：天融信專項安全檢查評估方案，遵循關(guān)保相關(guān)要求，在關(guān)鍵信息基礎(chǔ)設(shè)施全生存周期，根據(jù)安全保護工作需要進行安全檢測評估，旨在發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患，以及時進行修復(fù)和整改，避免安全事件的發(fā)生。方案吸取多年的安全服務(wù)實踐經(jīng)驗，并緊密結(jié)合合規(guī)要求，幫助客戶有效發(fā)現(xiàn)問題和解決問題。

此外，天融信還可提供暴露面檢測、攻防演練、應(yīng)急演練、應(yīng)急處置等方案，全面滿足關(guān)保要求。

免責(zé)聲明：市場有風(fēng)險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。