2023年5月1日，GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》（以下簡稱《關基保護要求》）將正式實施。作為我國第一項關鍵信息基礎設施安全保護的國家標準，《關基保護要求》對于關鍵信息基礎設施運營者提升保護能力、構(gòu)建保障體系具有重要的基礎性作用，對進一步落實關鍵信息基礎設施安全保護工作具有重要意義。

《關基保護要求》共11個章節(jié)，重點闡述了關保的基本原則、主要內(nèi)容及活動。根據(jù)要求，關鍵信息基礎設施安全保護應在落實網(wǎng)絡安全等級保護制度基礎上，實行重點保護，并遵循以關鍵業(yè)務為核心的整體防控原則、以風險管理為導向的動態(tài)防護原則、以信息共享為基礎的協(xié)同聯(lián)防原則。

關基安全建設內(nèi)容需從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置六個方面展開，整體上采用動態(tài)風控理念，強化安全管理職責，強調(diào)數(shù)據(jù)安全及供應鏈安全，落實閉環(huán)安全防護體系。

重點內(nèi)容及天融信解決方案

作為國內(nèi)網(wǎng)絡安全企業(yè)，天融信多年來在各行業(yè)不斷深入，基于完善的產(chǎn)品服務體系、雄厚的技術積累以及豐富的實踐經(jīng)驗，面向重要行業(yè)和領域針對性地推出了行業(yè)化關保解決方案，全面覆蓋包括云計算、移動互聯(lián)、工業(yè)控制系統(tǒng)等在內(nèi)的各類關鍵業(yè)務應用場景。部分重要內(nèi)容如下：

1、安全保護計劃/安全體系規(guī)劃

標準要求：簡單來講，應制定適合本組織的網(wǎng)絡安全保護計劃，明確關鍵信息基礎設施安全保護工作的目標，從管理體系、技術體系、運營體系、保障體系等方面進行規(guī)劃，加強機構(gòu)、人員、經(jīng)費、裝備等資源保障，支撐關鍵信息基礎設施安全保護工作。

解決方案：幫助客戶梳理現(xiàn)狀，分析當前面臨的各類風險，形成安全建設需求，借助業(yè)界卓越的安全理念及最佳實踐，針對性規(guī)劃設計總體安全框架，并進行任務分解，以形成安全實落地指引，幫助客戶落實體系化、系統(tǒng)性的安全建設。憑借對多行業(yè)場景的深入理解和安全建設經(jīng)驗，結(jié)合安全專家豐富的理論知識和規(guī)劃實踐積累，天融信安全規(guī)劃咨詢服務方案能夠為保護關基提供切實可行的指引。

2、安全教育培訓

標準要求：應建立網(wǎng)絡安全教育培訓制度，定期開展網(wǎng)絡安全教育培訓和技能考核，關鍵信息基礎設施從業(yè)人員每人每年教育培訓時長不得少于30個學時。教育培訓內(nèi)容應包括網(wǎng)絡安全相關法律法規(guī)、政策標準，以及網(wǎng)絡安全保護技術、網(wǎng)絡安全管理等。

解決方案：天融信安全教育與培訓解決方案，圍繞產(chǎn)學共育、職業(yè)發(fā)展、競賽選拔和實戰(zhàn)檢驗，提供全方位的網(wǎng)絡安全教育與實踐培訓，為各關基運營者提供針對性的安全教育培訓，以幫助客戶提升相關人員的安全意識、安全技能和安全法規(guī)知識，更好地應對關保要求。天融信自2000年開始開展網(wǎng)絡安全培訓起，已有二十余年的網(wǎng)絡安全教育培訓和攻防實戰(zhàn)經(jīng)驗，獲得中國信息安全測評中心、CCRC、CNCERT、公安部信息安全等級保護評估中心等八大機構(gòu)授權(quán)認證，擁有20余項培訓資質(zhì)，累計培育數(shù)萬名網(wǎng)絡安全專業(yè)人才，奠定了天融信在網(wǎng)絡安全教育、培訓領域的專業(yè)性與全面性。

3、身份鑒別與授權(quán)

標準要求：應明確重要業(yè)務操作、重要用戶操作或異常用戶操作行為，并形成清單；應對設備、用戶、服務或應用、數(shù)據(jù)進行安全管控，對于重要業(yè)務操作、重要用戶操作或異常用戶操作行為，建立動態(tài)的身份鑒別方式，或者采用多因子身份鑒別等方式；針對重要業(yè)務數(shù)據(jù)資源的操作，應基于安全標記等技術實現(xiàn)訪問控制。

解決方案：天融信身份安全解決方案，基于自身成熟的安全大數(shù)據(jù)分析平臺，利用用戶和實體行為分析等技術，明晰正常或異常的操作行為，合理管控設備、用戶、服務、應用、數(shù)據(jù)；同時利用多因素及動態(tài)身份鑒別方式強化身份鑒別能力，針對操作行為進行安全管控，并通過完善訪問控制機制，最大限度保障身份安全。方案通過聯(lián)動遍布終端、網(wǎng)絡、應用、數(shù)據(jù)等層面的安全措施，確保整網(wǎng)用戶身份安全可信，針對特別重要的安全需求場景，還可進一步升級為零信任身份安全解決方案，落實零信任評估與動態(tài)授權(quán)，避免隱式授權(quán)帶來的安全風險。天融信零信任產(chǎn)品與解決方案也已在政府、金融、交通、能源等行業(yè)的移動辦公、分支機構(gòu)接入等多種場景中得到了廣泛的應用。

4、新型網(wǎng)絡攻擊防范

標準要求：應采取技術手段，提高對高級可持續(xù)威脅等網(wǎng)絡攻擊行為的入侵防范能力。

解決方案：天融信新型網(wǎng)絡攻擊安全防護方案，以海量安全數(shù)據(jù)及安全情報為支撐，在安全專家的輔助下，借助智能化安全分析平臺，實現(xiàn)以安全分析結(jié)果驅(qū)動的新型網(wǎng)絡攻擊安全防護，通過監(jiān)控威脅、阻斷威脅及追蹤溯源等，達成防范攻擊的目的。天融信在高級可持續(xù)性威脅追蹤、威脅狩獵等方向持續(xù)深入研究，牽頭或參與國家級、省部級多項重點網(wǎng)絡安全科研項目，為國家互聯(lián)網(wǎng)應急響應中心等機構(gòu)提供大量技術支撐與技術攻關。基于前述積累和沉淀，保證了天融信針對新型網(wǎng)絡攻擊的防范有理論依據(jù)，具備了廣泛的實踐支撐，從而確保了方案的有效性。

5、供應鏈安全保護

標準要求：《關基保護要求》針對供應鏈安全提出了共11條要求，總結(jié)來講，需在供應鏈安全方面，通過體系化的安全設計，實現(xiàn)從開發(fā)設計、生產(chǎn)交付到運行維護的全面供應鏈安全管理。

解決方案：天融信供應鏈安全解決方案，通過評估供應鏈安全狀況，協(xié)助客戶制定和完善供應鏈安全管理策略、管理制度，規(guī)范供應鏈安全管理；針對軟件供應鏈提供全生命周期安全防護，包括但不限于代碼審計、滲透測試、上線前安全檢測、應急響應等；提供專業(yè)的供應鏈安全教育培訓，提升安全意識和安全技能。此外，天融信憑借在國產(chǎn)化方面的多年積累，推出的天融信昆侖信創(chuàng)產(chǎn)品體系已涵蓋邊界安全、接入安全、安全檢測、終端安全、云安全、云計算等領域，可保障關鍵業(yè)務安全運轉(zhuǎn)所需的產(chǎn)品服務供應，滿足客戶網(wǎng)絡安全建設需要，并協(xié)助客戶開展安全審查等，全力保障供應鏈安全。

6、數(shù)據(jù)安全保護

標準要求：《關基保護要求》針對數(shù)據(jù)安全提出了共8條要求，總結(jié)來講，在數(shù)據(jù)安全方面，應構(gòu)建基于數(shù)據(jù)分類分級、覆蓋數(shù)據(jù)全生存周期的安全防護體系。

解決方案：天融信數(shù)據(jù)安全治理解決方案，通過開展數(shù)據(jù)安全治理咨詢服務，在幫助客戶評估數(shù)據(jù)安全狀況的基礎上，構(gòu)建完善的數(shù)據(jù)安全防護體系，致力于從組織建設、管理建設、技術建設、運營管控和監(jiān)督評價層面落實數(shù)據(jù)安全，保障數(shù)據(jù)的安全性。該方案基于“六步走” 數(shù)據(jù)安全保障體系建設思路，可實現(xiàn)覆蓋數(shù)據(jù)全生命周期處理活動的數(shù)據(jù)安全治理體系建設，支撐重要行業(yè)及領域的數(shù)據(jù)安全需求，目前已在政府、能源、運營商等多個大型行業(yè)頭部客戶應用落地。

7、常態(tài)化監(jiān)測預警

標準要求：概述來講，應建立相關制度及常態(tài)化的監(jiān)測預警、快速響應機制；應關注相關事件、漏洞等動態(tài)情況，構(gòu)建通報預警和協(xié)助處置機制等；應部署檢測設備，通過建模分析整體安全態(tài)勢，并強化分析能力，以分析結(jié)果驅(qū)動安全防護，基于綜合分析研判共享信息和報警信息，進行安全預警。

解決方案：天融信態(tài)勢感知監(jiān)測預警解決方案，采取主、被動方式廣泛收集各類安全數(shù)據(jù)，利用多種分析手段，尤其是AI建模分析，深度挖掘安全問題，全方位感知安全態(tài)勢。通過綜合分析研判，針對可能造成較大影響的情況，按要求進行通報預警。方案還持續(xù)引入新的技術應用，通過強化安全分析能力，能夠?qū)崿F(xiàn)精準的態(tài)勢感知，幫助客戶準確及時的發(fā)現(xiàn)問題，并進行安全預警。

8、安全檢測評估

標準要求：概述來講，應建立檢測評估制度，內(nèi)容包括流程、方式方法、人員組織、資金保障等。應每年至少進行一次檢測評估，利用攻防對抗等模擬網(wǎng)絡攻擊的方式進行檢測評估，并針對發(fā)現(xiàn)的安全問題進行及時整改，同時需在發(fā)生重大變化時進行檢測評估，并配合安全風險抽查檢測工作等。

解決方案：天融信專項安全檢查評估方案，遵循關保相關要求，在關鍵信息基礎設施全生存周期，根據(jù)安全保護工作需要進行安全檢測評估，旨在發(fā)現(xiàn)網(wǎng)絡安全隱患，以及時進行修復和整改，避免安全事件的發(fā)生。方案吸取多年的安全服務實踐經(jīng)驗，并緊密結(jié)合合規(guī)要求，幫助客戶有效發(fā)現(xiàn)問題和解決問題。

此外，天融信還可提供暴露面檢測、攻防演練、應急演練、應急處置等方案，全面滿足關保要求。

未來，天融信始終以捍衛(wèi)國家網(wǎng)絡空間安全為使命，不斷探索、積極創(chuàng)新，以深厚的經(jīng)驗積累及完善的合規(guī)知識體系，助力重要行業(yè)及領域構(gòu)筑數(shù)字安全防線，護航關鍵業(yè)務長足發(fā)展，進而保衛(wèi)國家安全。