国产精品亲子伦对白_亚洲日韩国产精品无码Av_pao国产超碰在线播放_大陆一级黄片_一级大学生高清毛片_日韩精品人涩人_羞羞视频免费网站欧美_老湿机影x免费体验区

2023年5月1日，《信息安全技術關鍵信息基礎設施安全保護要求》(以下簡稱《關基保護要求》) 開始正式實施。這是《關鍵信息基礎設施安全保護條例》(以下簡稱《關保條例》) 發布后，首個正式發布的關鍵信息基礎設施安全保護標準。該標準提供了更好的、更具體的操作指引，以幫助關鍵信息基礎設施管理者更好地開展安全保護工作，進而推動和指導關鍵信息基礎設施的關基保護落地。

安全保護標準提出了關鍵信息基礎設施分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等方面的安全控制措施，適用于指導運營者對關鍵信息基礎設施進行全生存周期安全保護，也可供關鍵信息基礎設施安全保護的其他相關方參考使用。

            一、監管的延續與變化

“三同步” 原則的延續

《網絡安全法》第三十三條規定：“建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能，并保證安全技術措施同步規劃、同步建設、同步使用。”《關基安全保護條例》第十二條延續了《網絡安全法》確定的“三同步”原則，進一步強調“安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用”。在《關基安全保護要求》7.2安全管理制度及7.7安全建設管理章節中，再一次強調了“三同步”原則。

在具體落實“三同步”原則時，運營者可以從以下幾個方面理解安全保護措施應與關鍵信息基礎設施“三同步”:首先，“同步規劃”,是指在網絡設施和信息系統的規劃階段，就應該同步引入安全保護措施;其次，“同步建設”,要求在項目建設階段，通過落實系統集成商、網絡服務提供商等，確保相關安全技術措施能夠順利準時實施，并在項目上線時，對安全保護措施進行驗收，確保只有符合安全要求的系統才能上線;最后，“同步使用”,是指在網絡設施和信息系統安全驗收后的日常運行和維護中，應該保持網絡設施和信息系統處于持續安全防護的水平，并符合國家的相關安全技術標準。

《關基安全保護要求》是基于《網絡安全法》、《關基安全保護條例》和網絡安全等級保護制度的基礎上提出的可落地的安全保護要求。除此之外，《關基安全保護要求》在監管方面還提出了一些新要求。

新的要求

安全管理方面：新增了成立網絡安全工作委員會或領導小組，并明確提出了將領導班子成員作為首席網絡安全官的要求。

應急演練方面：進一步明確了每年至少組織開展1次本組織的應急演練。

產品服務采購方面：建立和維護合格供應方目錄；強化采購渠道管理，保持采購的網絡產品和服務來源的穩定或多樣性；獲得提供者對網絡產品和服務的10年以上知識產權授權；自行或委托第三方對定制開發的軟件進行源代碼安全檢測。

安全計算環境方面：明確提出應使用自動化工具來支持系統賬戶、配置、漏洞、補丁、病毒庫等的管理。

             二、《關基安全保護要求》主要內容

關鍵信息基礎設施安全保護三項基本原則

安全保護標準提出，關鍵信息基礎設施的安全保護應該在網絡安全等級保護制度的基礎上進行重點保護。保護工作應遵循三個基本原則：以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以信息共享為基礎的協同聯防。

（一）以關鍵業務為核心的整體防控

關鍵信息基礎設施安全保護以保護關鍵業務為目標，對業務所涉及的一個或多個網絡和信息系統進行體系化安全設計，構建整體安全防控體系。

（二）以風險管理為導向的動態防護

根據關鍵信息基礎設施所面臨的安全威脅態勢，進行持續監測和安全控制措施的動態調整，形成動態的安全防護機制，及時有效地防范應對安全風險。

（三）以信息共享為基礎的協同聯防

積極構建相關方廣泛參與的信息共享、協同聯動的共同防護機制，提升關鍵信息基礎設施應對大規模網絡攻擊能力。

關鍵信息基礎設施安全保護六個重點環節

在等級保護的基礎上，《關基安全保護要求》重點從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置六個方面，對關鍵信息基礎設施安全保護提出了更高、更具體的要求。

（一）分析識別

提升分析識別能力，強化提升安全風險管控能力。關鍵信息基礎設施的運營者應當配合保護工作部門，按照規定開展關鍵信息基礎設施的識別和認定工作，并圍繞關鍵信息基礎設施承載的關鍵業務，開展資產識別、風險識別等活動。本活動是開展安全防護、檢測評估、監測預警、主動防御、事件處置等活動的基礎。

其中對風險的分析識別是重中之重，而源代碼是信息基礎設施的重要組成部分，因此對于源代碼中的風險識別尤為重要。這一部分可以借助對應的源代碼掃描工具如SAST、SCA等工具對源代碼中的安全漏洞及許可證風險進行檢測、識別和分析，從而提升代碼質量，保障關鍵信息基礎設施的安全性。

（二）安全防護

根據已識別的關鍵業務、資產、安全風險，在安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面實施安全管理和技術保護措施，確保關鍵信息基礎設施的運行安全。

《保護要求》除了在等級保護要求的基礎上進一步細化，還重點突出了數據安全和供應鏈安全的要求，進一步規范化了數字化發展和可信可控背景下的安全能力保障。其中軟件供應鏈安全越來越受到國家及各行業的重視，尤其是在各種軟件供應鏈安全攻擊事件頻發的背景下，《網絡安全審查辦法》、《信息安全技術軟件供應鏈安全要求》、《關基安全保護條例》等法規中都強調了要保障軟件供應鏈安全。

（三）檢測評估

為檢驗安全防護措施的有效性，發現網絡安全風險隱患，運營者制定相應的檢測評估制度、確定檢測評估的流程及內容等要素，并分析潛在安全風險可能引起的安全事件。

為了更好地提高關鍵信息基礎設施的安全保護水平，針對檢測評估工作，明確了其范圍、內容、周期等要求，特別是在檢測評估內容方面，將等級保護和密評等強合規要求滿足情況作為重要的評估依據。

（四）監測預警

運營者制定并實施網絡安全監測預警和通報制度，針對即將發生或正在發生的網絡安全事件或威脅，提前或及時發出安全警示。建立威脅情報和信息共享機制，落實相關措施，提高關鍵信息基礎設施主動防御的能力。

管理方面，明確開展監測預警工作的管理和要求，制定監測策略，明確監測對象、監測流程、監測內容，主動掌握威脅態勢；技術措施方面，提升監測預警技術措施，實現相關技術措施的有效聚合和一體化管理。

（五）主動防御

以應對攻擊行為的監測發現為基礎，主動采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開展攻防演習和威脅情報工作，提升對網絡威脅與攻擊行為的識別、分析和主動防御能力。

（六）事件處置

對網絡安全事件進行報告和處置，并根據檢測評估、監測預警環節發現的問題、運營者制定并實施適當的應對措施，恢復由于網絡安全事件而受損的功能或服務。

         三、安全建設方向

標準是企業安全建設的遵循依據，從“關保條例”到“關保要求”，無論是對關基單位，還是支撐一側的安全企業都提出了更高的要求。

對于關鍵信息基礎設施運營者，應該從以下幾個方向入手：

(一)加強供應鏈管理

關鍵信息基礎設施的運營者需要對供應鏈進行全面管理和風險評估，以確保供應鏈的安全性和可靠性。同時，他們需要建立供應商管理制度，以確定供應商產品和服務的安全性和可靠性。此外，還需要建立供應鏈安全監測和預警機制，以及時發現和處理供應鏈安全事件。

(二)加強數據安全管理

為了確保數據的安全性和可靠性，關基運營者需要制定完善的數據安全管理制度。這包括對數據進行分類和分級，進行數據備份，使用數據加密技術，以及定期進行數據清除等措施。此外，關基運營者還需要建立數據安全監測和預警機制，以便及時發現和處理數據安全事件。在進行數據安全治理工作時，關基運營者應該注重數據的完整性、可用性和保密性，并確保數據的合法合規性。

(三)完善安全管理制度

為了確保關基運營的安全性，需要制定完善的安全管理制度和流程。這些制度和流程應該包括安全意識教育、培訓，數據安全控制措施、安全監測和預警機制等。同時，需要建立安全事件處理機制，以便及時應對安全事件，并最大程度地減少損失。

(四)加強安全技術建設

為了確保關基運營的安全性和可靠性，需要加強安全技術建設。安全技術建設包括安全防護、安全檢測、安全監測等方面。在選擇安全技術和產品時，關基運營者需要根據自身運營情況做出判斷和決策，建立適合自身運營的安全技術體系。這些技術體系可以包括安全漏洞掃描、入侵檢測、數據加密、防火墻等技術手段，以確保系統的安全性和可靠性。

(五)加強合規管理

運營者需要遵守相關法規和標準，建立合規管理制度，并定期進行合規自查和審核，以確保自身的運營符合法規和標準的要求。