等保资讯

近期，为做好国家标准的落地实施和应用指导工作，不断提升关键信息基础设施安全保护能力，由公安部网络安全保卫局主办，公安部关键信息基础设施保护中心、公安部网络安全等级保护评估中心联合承办的《关键信息基础设施安全保护要求》（标准号：GB/T39204-2022，以下简称《关基保护要求》）国家标准宣贯会在北京完美落幕。

关键信息基础设施是国家网络安全保护的重中之重。《关基保护要求》是继《关保条例》后，我国发布的首部关键信息基础设施安全保护标准，对于我国关键信息基础设施安全保护有着极为重要的指导意义。是在国家网络安全等级保护制度基础上，借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验，吸纳国内外在关键信息基础设施安全保护方面的举措，结合我国现有网络安全保障体系等成果，提出的关键信息基础设施安全保护要求，堪称当前形势下的集大成之作。

纵观网络安全发展历程，在很长一段时间里众多安全专家和企业将以数据安全为核心的原则奉为圭臬、大行其道，业务的安全运行似乎变为了数据安全的附庸。在现行业务系统安全保障体系建设中，不同厂商的安全设备无法有效共享信息，面对高级可持续攻击，无法形成有效的上下文信息，交互协同联防信息，风险的识别和防护能力大大降低。

《关基保护要求》的实施，将以关键业务为核心的整体防控最为基本原则之一，充分体现了在现实的业务开展过程中关键业务的运行安全是更具备现实意义的工作，将数据安全作为关键业务安全的组成部分进行同等防护。同时重点强调了要以信息共享为基础的协同联防，积极构建相关方广泛参与的信息共享、协同联动的共同防护机制，提升关键信息基础设施应对大规模网络攻击能力。

在业务系统安全保障体系建设时，往往因其效益的非显性特质，让很多的业务型领导形成“只见投入、没有产出、纯粹浪费”的观念。同规划、同设计、同建设、同验收的要求往往被束之高阁，信息安全人员的声音得不到重视，使得业务系统运行在风险之上。因此，应将安全管理机构人员纳入本组织信息化决策体系，建立并实施网络安全考核及监督问责机制，有效减少网络安全事故的发生。

安全闭环管理是安全工作的重要方法论，也是安全工作的重难点。实际安全运营工作中，漏洞、账户弱口令等脆弱性的发现手段众多，而验证修复手段却严重依赖人工操作。面对少量、集中的业务系统，人工基本能够应对；但对于终端设备数量多、分布广的业务系统，自动化验证修复方式成为高效完成安全闭环管理的首选。此次《关基保护要求》中也明确指出了应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。

《关基保护要求》将于今年5月1日正式实施，作为我国第一项关键信息基础设施安全保护的国家标准，是落实关键信息基础设施安全相关法律法规的重要抓手，也为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。金盾软件将持续提升视频网安全防护领域技术、服务优势，表率性完成国家级专精特新重点“小巨人”企业、国家规划布局内的重点软件企业等荣誉赋予的社会责任，充分挖掘客户需求，打造多元化产品矩阵，为提升我国关键信息基础设施重点防护水平赓续奋斗。