我國首個(gè)關(guān)基保護(hù)標(biāo)準(zhǔn)正式實(shí)施，企業(yè)安全運(yùn)營有了新思路

2023年5月1日，GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（以下簡稱《關(guān)保要求》）開始正式實(shí)施。

這是繼《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》后，我國首個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的國家標(biāo)準(zhǔn)，對(duì)于我國關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提升保護(hù)能力、構(gòu)建安全保障體系具有重要的基礎(chǔ)性作用與指導(dǎo)作用，也給企業(yè)安全運(yùn)營帶來了新思路與新啟發(fā)！

在介紹《關(guān)保要求》之前，我們先來了解下什么是關(guān)鍵信息基礎(chǔ)設(shè)施！

關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

而對(duì)于企業(yè)而言，關(guān)鍵信息基礎(chǔ)設(shè)施是企業(yè)內(nèi)部對(duì)核心業(yè)務(wù)與資源進(jìn)行管理的關(guān)鍵系統(tǒng)。如 ERP、CRM、BPR、OMS、WMS 以及相關(guān)控制系統(tǒng)等。保護(hù)這些核心關(guān)鍵系統(tǒng)的安全穩(wěn)定運(yùn)行就是保護(hù)整個(gè)企業(yè)賴以生存的“大動(dòng)脈”。

了解了關(guān)鍵信息基礎(chǔ)設(shè)施是什么，其重要性也就不言而喻了。顯然，從國家層面來看，關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是國家網(wǎng)絡(luò)安全的重中之重；而從企業(yè)來看，關(guān)鍵信息基礎(chǔ)設(shè)施是企業(yè)賴以生存的“大動(dòng)脈”，亦是企業(yè)安全防護(hù)的核心。

那么，《關(guān)保要求》具體有什么內(nèi)容呢？概括起來就是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全給出了三項(xiàng)保護(hù)原則，并從“分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置”6個(gè)方面提出了111條安全要求。

從整體內(nèi)容來看，《關(guān)保要求》細(xì)化了相關(guān)運(yùn)營者的責(zé)任義務(wù)，并對(duì)網(wǎng)絡(luò)產(chǎn)品與服務(wù)提供商提出了更高要求。企業(yè)需要在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)，形成“以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防”三位一體的協(xié)同、動(dòng)態(tài)、常態(tài)化、自動(dòng)化的整體安全防護(hù)體系。

隨著5月1日，《關(guān)保要求》的正式施行，意味著各企事業(yè)等組織開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作有了強(qiáng)有力的標(biāo)準(zhǔn)保障與指引依據(jù)。與此同時(shí)，關(guān)鍵信息基礎(chǔ)設(shè)施安全面臨著更加嚴(yán)格監(jiān)管，相關(guān)企業(yè)在關(guān)基領(lǐng)域的安全運(yùn)營能力亟需提升。尤其是在當(dāng)前，關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全形勢(shì)嚴(yán)峻，網(wǎng)絡(luò)攻擊威脅事件頻發(fā)。

既然《關(guān)保要求》給了企業(yè)組織開展安全防護(hù)工作一定的指引依據(jù)，那我們不妨從《關(guān)保要求》重點(diǎn)給出的6個(gè)方面，看看它能給企業(yè)組織的安全運(yùn)營提供什么樣的新思路與新啟發(fā)？

整體來看，《關(guān)保要求》中提出的6個(gè)方面，即分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置，總結(jié)起來其實(shí)就是企業(yè)安全防護(hù)的一個(gè)閉環(huán)流程。

從最初的整體分析識(shí)別，梳理出企業(yè)關(guān)鍵業(yè)務(wù)、資產(chǎn)、風(fēng)險(xiǎn)以及過程中隨時(shí)可能出現(xiàn)的重大變更。

隨后根據(jù)分析識(shí)別出的重要內(nèi)容進(jìn)行一系列安全防護(hù)操作，如網(wǎng)絡(luò)安全等級(jí)保護(hù)、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理、數(shù)據(jù)安全防護(hù)等。

建立了有效的安全防護(hù)手段后，并不是一勞永逸，還需要利用檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警等手段，甚至過程中需要企業(yè)組織主動(dòng)防御，采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施來有效加強(qiáng)企業(yè)安全防護(hù)網(wǎng)。

最后，安全防護(hù)永遠(yuǎn)沒有百分百的完美。所以，需要建立事件處理能力。當(dāng)出現(xiàn)安全事件時(shí)，企業(yè)組織能夠快速及時(shí)地有效實(shí)行事件報(bào)告與處理，采取適當(dāng)?shù)膽?yīng)對(duì)措施，恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

這6個(gè)方面，就好比是給企業(yè)組織的安全運(yùn)營管理提供了一套完整的“六位一體”建設(shè)方法論。

有了這套方法論，企業(yè)組織要如何有效利用并合理運(yùn)用到自身的安全防護(hù)體系中，從而滿足《關(guān)保要求》，并進(jìn)一步加強(qiáng)自身安全運(yùn)營能力？

派拉軟件認(rèn)為，以“身份優(yōu)先”的一體化零信任網(wǎng)絡(luò)安全架構(gòu)可以幫助企業(yè)有效地實(shí)施這套方法論。通過給企業(yè)內(nèi)外部用戶、應(yīng)用（API）、IoT設(shè)備等建立數(shù)字身份，通過數(shù)字身份關(guān)聯(lián)網(wǎng)絡(luò)風(fēng)險(xiǎn)，在企業(yè)關(guān)鍵業(yè)務(wù)和資產(chǎn)變更操作過程中，派拉軟件利用“身份”為處置網(wǎng)絡(luò)風(fēng)險(xiǎn)事件提供快速響應(yīng)能力。

在關(guān)基保護(hù)過程中，通過建立統(tǒng)一的身份訪問認(rèn)證與授權(quán)管理平臺(tái)，可以避免在企業(yè)關(guān)鍵業(yè)務(wù)和資產(chǎn)訪問時(shí)出現(xiàn)越權(quán)訪問、控制繞行等情況；并針對(duì)高權(quán)限用戶操作或用戶非法操作建立AI智能算法模型，覆蓋用戶全鏈路的敏感操作或異常操作；結(jié)合用戶上下文和算法模型并使用動(dòng)態(tài)的身份鑒別方式或多因子鑒別方式等有效保障全鏈路身份安全。

此外，通過API網(wǎng)關(guān)進(jìn)行統(tǒng)一的API全生命周期安全管理，為企業(yè)數(shù)據(jù)安全提供全方位的安全防護(hù)；而在數(shù)據(jù)庫運(yùn)維場(chǎng)景下，派拉軟件提供了數(shù)據(jù)庫安全管控產(chǎn)品進(jìn)行數(shù)據(jù)庫統(tǒng)一管理，防止企業(yè)內(nèi)部數(shù)據(jù)泄露、誤操作等帶來的數(shù)據(jù)危害。通過多節(jié)點(diǎn)、多維度的安全技術(shù)防護(hù)，實(shí)現(xiàn)企業(yè)內(nèi)部重要數(shù)據(jù)、資產(chǎn)的安全保護(hù)。

整個(gè)關(guān)基保護(hù)過程中，派拉軟件一體化零信任網(wǎng)絡(luò)安全方案會(huì)實(shí)時(shí)檢測(cè)、監(jiān)測(cè)安全事件，并及時(shí)發(fā)現(xiàn)并推送風(fēng)險(xiǎn)預(yù)警等。監(jiān)測(cè)過程還可以實(shí)時(shí)可視化的界面呈現(xiàn)，讓企業(yè)安全管理員能快速便捷的觀看整個(gè)網(wǎng)絡(luò)信息安全情況。

在主動(dòng)防御層面，零信任安全架構(gòu)秉承“持續(xù)驗(yàn)證，永不信任”理念，在終端訪問接入內(nèi)部網(wǎng)絡(luò)前先經(jīng)由SDP構(gòu)建的安全邊界，始終保持先驗(yàn)證后連接，并基于會(huì)話的持續(xù)驗(yàn)證，讓企業(yè)網(wǎng)絡(luò)安全的暴露面極致收斂。過程中一旦出現(xiàn)訪問異常還能快速及時(shí)的阻斷。

最后，在安全事件響應(yīng)和處理層面，派拉軟件一體化零信任安全管理系統(tǒng)通過提供審計(jì)功能，全面審計(jì)網(wǎng)絡(luò)訪問全鏈路的行為和數(shù)據(jù)，結(jié)合UEBA能力快速識(shí)別網(wǎng)絡(luò)安全事件的整體情況，為事件報(bào)告與處理提供事后溯源的依據(jù)，并快速定位問題所在，讓企業(yè)能快速恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

在整個(gè)以“身份優(yōu)先”的一體化零信任網(wǎng)絡(luò)安全架構(gòu)體系建設(shè)過程中，派拉軟件通過近2000+客戶項(xiàng)目落地，提煉出了一套成熟的實(shí)施方法論，并提供身份咨詢方案，根據(jù)企業(yè)實(shí)際情況進(jìn)行管理規(guī)則、流程、制度的標(biāo)準(zhǔn)化梳理與制定，并結(jié)合技術(shù)平臺(tái)與管理策略，不斷完善企業(yè)安全的有效管控，為企業(yè)打造完整、標(biāo)準(zhǔn)化、可持續(xù)的安全運(yùn)營管理規(guī)范體系。

當(dāng)然，要想完全滿足《關(guān)保要求》，企業(yè)還需要在上述基礎(chǔ)上，不斷融入更多的安全防護(hù)手段與措施。派拉軟件也將持續(xù)積極響應(yīng)國家號(hào)召，不斷加強(qiáng)關(guān)基設(shè)施安全技術(shù)的自主研發(fā)創(chuàng)新、加快完善自身安全產(chǎn)品和方案體系建設(shè)，為企業(yè)安全防護(hù)和運(yùn)營能力持續(xù)創(chuàng)新賦能，為構(gòu)建我國安全、高效、極致體驗(yàn)的數(shù)字世界加速、加力。