2022年10月31日,市场监管总局(标准委)发布公告,批准2项国家标准,其中一项为gb/t 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《保护要求》)。《保护要求》自2018年立项以来,在历经4年时间的打磨之后,终于迎来正式发布。
关保国标的发布和实施意义重大
习近平总书记在党的二十大报告中指出,必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定。关键信息基础设施作为国家重要的战略资源,是经济社会运行的神经中枢,其安全稳定运行关系国计民生、公共利益和国家安全,日益发挥着基础性、全局性、支撑性作用。因此,保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。
关键信息基础设施安全保护离不开国家制度保障及标准指导,《关保条例》的施行和《保护要求》的发布,为我国的关保工作提供明确指引。关键信息基础设施运营者应当建立完善可有效应对大规模网络攻击的动态综合防御体系,切实保障关键业务的安全稳定运行,进而构筑国家网络空间安全屏障,捍卫国家安全。
《保护要求》标准内容简要解读
1.安全保护基本原则
关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,遵循以下基本原则:
2.主要活动简析
关键信息基础设施安全保护包括了分析识别、安全防护、检测评估、监测预警、主动防御和事件处置六个方面。分析识别方面,应通过分析识别关键业务,梳理业务链,明确关基分步和运营情况;应采用自动探测技术识别资产,建立资产清单,确定防护优先级,并动态更新资产清单;应开展风险评估,确定风险处置优先级,形成风险评估报告,为后续活动提供支撑。此外,需要发生改建、扩建、所有人变更等较大变化时,重新开展前述工作。
安全防护方面,应落实等级保护,开展定级、备案、建设整改、等级测评、监督检查五个标准动作。在等级保护的基础上,从管理及技术层面增强安全能力。本活动需强化架构安全、互联安全、边界安全和安全审计,做好身份鉴别和授权,防范网络攻击,采取主动防护机制识别和阻断攻击,并应用自动化工具等增强安全防护能力。另外,在供应链安全方面,应通过体系化的安全设计,实现从开发设计、生产交付到运行维护的全面供应链安全管理;在数据安全方面,应构建基于数据分类分级的、覆盖数据全生存周期的安全防护体系。
检测评估方面,应建立检测评估制度,内容包括流程、方式方法、人员组织、资金保障等;应每年至少进行一次检测评估,利用攻防对抗等模拟网络攻击的方式进行检测评估,并针对发现的安全问题进行及时整改,同时需在发生重大变化时进行检测评估,并配合安全风险抽查检测工作等。
监测预警方面,应建立相关制度及常态化的监测预警、快速响应机制;应关注相关事件、漏洞等动态情况,构建通报预警和协助处置机制等。另外,需要部署检测设备,通过建模分析整体安全态势,并强化分析能力,以分析结果驱动安全防护,基于综合分析研判共享信息和报警信息,进行安全预警。
主动防御方面,应识别和收敛暴露面,在事前分析攻击方法、手段,建立针对性应对措施;事中分析攻击路线、目标,采取措施快速处理;事后及时溯源和还原,以改进保护策略。另外,开展攻防演练及建立威胁情报共享机制以增强主动防御能力。
事件处置方面,应建立安全事件分类分级、资源保障、配合相关部门工作等制度;应制定预案,开展应急演练,并持续改进应急预案;应按照处置流程、应急预案等进行事件处理和恢复,并报告事件、总结经验教训等,将事件通报给相关方。必要时,应重新开展识别工作并更新安全策略。
天融信以深厚积累助力关保工作有效落地
天融信密切关注网空安全对抗形势变化及国家网络安全制度和标准体系发展进程,基于多年以来的技术积累和经验沉淀,从安全规划设计到安全建设落地为客户提供一站式关保凯发官网入口首页的解决方案。
在规划方面,天融信汇聚了一批业内优秀的安全咨询顾问、安全方案专家,持续跟踪并研究先进理念和最佳实践,为各行业、领域关基运营者设计制订安全顶层规划、安全凯发官网入口首页的解决方案、落地实施计划等。在建设方面,天融信具备完善的产品技术体系,持续应用于多行业、多领域,能够覆盖不同类型的应用场景,包括传统业务场景和新型数字基础设施场景,例如:基础信息网络、数据中心、云计算平台、大数据平台、工业互联网、物联网等。基于天融信优秀的安全方案能力及成熟的项目交付经验,充分保障关基客户的安全能力有效落地、持续提升。
topsec
关键信息基础设施安全是国家安全的重要组成部分,作为护航国家网络空间安全的主力军,天融信将始终以捍卫国家网络空间安全为己任,不断为落实重要行业和领域的关键信息基础设施安全保护工作全力以赴,为国家网络空间构筑坚实的安全防线,共赴更美好的数字中国新未来!
- 关键词标签:
- 天融信 网络安全制度和标准 一站式关保凯发官网入口首页的解决方案