2023年5月1日，GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》（以下簡稱《關基保護要求》）將正式實施。作為我國第一項關鍵信息基礎設施安全保護的國家標準，《關基保護要求》對于關鍵信息基礎設施運營者提升保護能力、構建保障體系具有重要的基礎性作用，對進一步落實關鍵信息基礎設施安全保護工作具有重要意義。

《關基保護要求》共11個章節(jié)，重點闡述了關保的基本原則、主要內容及活動。根據要求，關鍵信息基礎設施安全保護應在落實網絡安全等級保護制度基礎上，實行重點保護，并遵循以關鍵業(yè)務為核心的整體防控原則、以風險管理為導向的動態(tài)防護原則、以信息共享為基礎的協同聯防原則。

關基安全建設內容需從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置六個方面展開，整體上采用動態(tài)風控理念，強化安全管理職責，強調數據安全及供應鏈安全，落實閉環(huán)安全防護體系。

重點內容及天融信解決方案

作為國內網絡安全企業(yè)，天融信多年來在各行業(yè)不斷深入，基于完善的產品服務體系、雄厚的技術積累以及豐富的實踐經驗，面向重要行業(yè)和領域針對性地推出了行業(yè)化關保解決方案，全面覆蓋包括云計算、移動互聯、工業(yè)控制系統等在內的各類關鍵業(yè)務應用場景。部分重要內容如下：

1、安全保護計劃/安全體系規(guī)劃

標準要求：簡單來講，應制定適合本組織的網絡安全保護計劃，明確關鍵信息基礎設施安全保護工作的目標，從管理體系、技術體系、運營體系、保障體系等方面進行規(guī)劃，加強機構、人員、經費、裝備等資源保障，支撐關鍵信息基礎設施安全保護工作。

解決方案：幫助客戶梳理現狀，分析當前面臨的各類風險，形成安全建設需求，借助業(yè)界卓越的安全理念及最佳實踐，針對性規(guī)劃設計總體安全框架，并進行任務分解，以形成安全實落地指引，幫助客戶落實體系化、系統性的安全建設。憑借對多行業(yè)場景的深入理解和安全建設經驗，結合安全專家豐富的理論知識和規(guī)劃實踐積累，天融信安全規(guī)劃咨詢服務方案能夠為保護關基提供切實可行的指引。

2、安全教育培訓

標準要求：應建立網絡安全教育培訓制度，定期開展網絡安全教育培訓和技能考核，關鍵信息基礎設施從業(yè)人員每人每年教育培訓時長不得少于30個學時。教育培訓內容應包括網絡安全相關法律法規(guī)、政策標準，以及網絡安全保護技術、網絡安全管理等。

解決方案：天融信安全教育與培訓解決方案，圍繞產學共育、職業(yè)發(fā)展、競賽選拔和實戰(zhàn)檢驗，提供全方位的網絡安全教育與實踐培訓，為各關基運營者提供針對性的安全教育培訓，以幫助客戶提升相關人員的安全意識、安全技能和安全法規(guī)知識，更好地應對關保要求。天融信自2000年開始開展網絡安全培訓起，已有二十余年的網絡安全教育培訓和攻防實戰(zhàn)經驗，獲得中國信息安全測評中心、CCRC、CNCERT、公安部信息安全等級保護評估中心等八大機構授權認證，擁有20余項培訓資質，累計培育數萬名網絡安全專業(yè)人才，奠定了天融信在網絡安全教育、培訓領域的專業(yè)性與全面性。

3、身份鑒別與授權

標準要求：應明確重要業(yè)務操作、重要用戶操作或異常用戶操作行為，并形成清單；應對設備、用戶、服務或應用、數據進行安全管控，對于重要業(yè)務操作、重要用戶操作或異常用戶操作行為，建立動態(tài)的身份鑒別方式，或者采用多因子身份鑒別等方式；針對重要業(yè)務數據資源的操作，應基于安全標記等技術實現訪問控制。

解決方案：天融信身份安全解決方案，基于自身成熟的安全大數據分析平臺，利用用戶和實體行為分析等技術，明晰正常或異常的操作行為，合理管控設備、用戶、服務、應用、數據；同時利用多因素及動態(tài)身份鑒別方式強化身份鑒別能力，針對操作行為進行安全管控，并通過完善訪問控制機制，最大限度保障身份安全。方案通過聯動遍布終端、網絡、應用、數據等層面的安全措施，確保整網用戶身份安全可信，針對特別重要的安全需求場景，還可進一步升級為零信任身份安全解決方案，落實零信任評估與動態(tài)授權，避免隱式授權帶來的安全風險。天融信零信任產品與解決方案也已在政府、金融、交通、能源等行業(yè)的移動辦公、分支機構接入等多種場景中得到了廣泛的應用。

4、新型網絡攻擊防范

標準要求：應采取技術手段，提高對高級可持續(xù)威脅等網絡攻擊行為的入侵防范能力。

解決方案：天融信新型網絡攻擊安全防護方案，以海量安全數據及安全情報為支撐，在安全專家的輔助下，借助智能化安全分析平臺，實現以安全分析結果驅動的新型網絡攻擊安全防護，通過監(jiān)控威脅、阻斷威脅及追蹤溯源等，達成防范攻擊的目的。天融信在高級可持續(xù)性威脅追蹤、威脅狩獵等方向持續(xù)深入研究，牽頭或參與國家級、省部級多項重點網絡安全科研項目，為國家互聯網應急響應中心等機構提供大量技術支撐與技術攻關。基于前述積累和沉淀，保證了天融信針對新型網絡攻擊的防范有理論依據，具備了廣泛的實踐支撐，從而確保了方案的有效性。

5、供應鏈安全保護

標準要求：《關基保護要求》針對供應鏈安全提出了共11條要求，總結來講，需在供應鏈安全方面，通過體系化的安全設計，實現從開發(fā)設計、生產交付到運行維護的全面供應鏈安全管理。

解決方案：天融信供應鏈安全解決方案，通過評估供應鏈安全狀況，協助客戶制定和完善供應鏈安全管理策略、管理制度，規(guī)范供應鏈安全管理；針對軟件供應鏈提供全生命周期安全防護，包括但不限于代碼審計、滲透測試、上線前安全檢測、應急響應等；提供專業(yè)的供應鏈安全教育培訓，提升安全意識和安全技能。此外，天融信憑借在國產化方面的多年積累，推出的天融信昆侖信創(chuàng)產品體系已涵蓋邊界安全、接入安全、安全檢測、終端安全、云安全、云計算等領域，可保障關鍵業(yè)務安全運轉所需的產品服務供應，滿足客戶網絡安全建設需要，并協助客戶開展安全審查等，全力保障供應鏈安全。

6、數據安全保護

標準要求：《關基保護要求》針對數據安全提出了共8條要求，總結來講，在數據安全方面，應構建基于數據分類分級、覆蓋數據全生存周期的安全防護體系。

解決方案：天融信數據安全治理解決方案，通過開展數據安全治理咨詢服務，在幫助客戶評估數據安全狀況的基礎上，構建完善的數據安全防護體系，致力于從組織建設、管理建設、技術建設、運營管控和監(jiān)督評價層面落實數據安全，保障數據的安全性。該方案基于“六步走” 數據安全保障體系建設思路，可實現覆蓋數據全生命周期處理活動的數據安全治理體系建設，支撐重要行業(yè)及領域的數據安全需求，目前已在政府、能源、運營商等多個大型行業(yè)頭部客戶應用落地。

7、常態(tài)化監(jiān)測預警

標準要求：概述來講，應建立相關制度及常態(tài)化的監(jiān)測預警、快速響應機制；應關注相關事件、漏洞等動態(tài)情況，構建通報預警和協助處置機制等；應部署檢測設備，通過建模分析整體安全態(tài)勢，并強化分析能力，以分析結果驅動安全防護，基于綜合分析研判共享信息和報警信息，進行安全預警。

解決方案：天融信態(tài)勢感知監(jiān)測預警解決方案，采取主、被動方式廣泛收集各類安全數據，利用多種分析手段，尤其是AI建模分析，深度挖掘安全問題，全方位感知安全態(tài)勢。通過綜合分析研判，針對可能造成較大影響的情況，按要求進行通報預警。方案還持續(xù)引入新的技術應用，通過強化安全分析能力，能夠實現精準的態(tài)勢感知，幫助客戶準確及時的發(fā)現問題，并進行安全預警。

8、安全檢測評估

標準要求：概述來講，應建立檢測評估制度，內容包括流程、方式方法、人員組織、資金保障等。應每年至少進行一次檢測評估，利用攻防對抗等模擬網絡攻擊的方式進行檢測評估，并針對發(fā)現的安全問題進行及時整改，同時需在發(fā)生重大變化時進行檢測評估，并配合安全風險抽查檢測工作等。

解決方案：天融信專項安全檢查評估方案，遵循關保相關要求，在關鍵信息基礎設施全生存周期，根據安全保護工作需要進行安全檢測評估，旨在發(fā)現網絡安全隱患，以及時進行修復和整改，避免安全事件的發(fā)生。方案吸取多年的安全服務實踐經驗，并緊密結合合規(guī)要求，幫助客戶有效發(fā)現問題和解決問題。

此外，天融信還可提供暴露面檢測、攻防演練、應急演練、應急處置等方案，全面滿足關保要求。

未來，天融信始終以捍衛(wèi)國家網絡空間安全為使命，不斷探索、積極創(chuàng)新，以深厚的經驗積累及完善的合規(guī)知識體系，助力重要行業(yè)及領域構筑數字安全防線，護航關鍵業(yè)務長足發(fā)展，進而保衛(wèi)國家安全。