2023年5月1日，GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关基保护要求》)将正式实施。作为我国第一项关键信息基础设施安全保护的国家标准，《关基保护要求》对于关键信息基础设施运营者提升保护能力、构建保障体系具有重要的基础性作用，对进一步落实关键信息基础设施安全保护工作具有重要意义。

《关基保护要求》共11个章节，重点阐述了关保的基本原则、主要内容及活动。根据要求，关键信息基础设施安全保护应在落实网络安全等级保护制度基础上，实行重点保护，并遵循以关键业务为核心的整体防控原则、以风险管理为导向的动态防护原则、以信息共享为基础的协同联防原则。

关基安全建设内容需从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面展开，整体上采用动态风控理念，强化安全管理职责，强调数据安全及供应链安全，落实闭环安全防护体系。

TOPSEC

重点内容及天融信解决方案

作为国内首家网络安全企业，天融信多年来在各行业不断深入，基于完善的产品服务体系、雄厚的技术积累以及丰富的实践经验，面向重要行业和领域针对性地推出了行业化关保解决方案，全面覆盖包括云计算、移动互联、工业控制系统等在内的各类关键业务应用场景。部分重要内容如下：

1、安全保护计划/安全体系规划

标准要求：简单来讲，应制定适合本组织的网络安全保护计划，明确关键信息基础设施安全保护工作的目标，从管理体系、技术体系、运营体系、保障体系等方面进行规划，加强机构、人员、经费、装备等资源保障，支撑关键信息基础设施安全保护工作。

解决方案：帮助客户梳理现状，分析当前面临的各类风险，形成安全建设需求，借助业界领先的安全理念及最佳实践，针对性规划设计总体安全框架，并进行任务分解，以形成安全实落地指引，帮助客户落实体系化、系统性的安全建设。凭借对多行业场景的深入理解和安全建设经验，结合安全专家丰富的理论知识和规划实践积累，天融信安全规划咨询服务方案能够为保护关基提供切实可行的指引。

2、安全教育培训

标准要求：应建立网络安全教育培训制度，定期开展网络安全教育培训和技能考核，关键信息基础设施从业人员每人每年教育培训时长不得少于30个学时。教育培训内容应包括网络安全相关法律法规、政策标准，以及网络安全保护技术、网络安全管理等。

解决方案：天融信安全教育与培训解决方案，围绕产学共育、职业发展、竞赛选拔和实战检验，提供全方位的网络安全教育与实践培训，为各关基运营者提供针对性的安全教育培训，以帮助客户提升相关人员的安全意识、安全技能和安全法规知识，更好地应对关保要求。天融信自2000年开始开展网络安全培训起，已有二十余年的网络安全教育培训和攻防实战经验，获得中国信息安全测评中心、CCRC、CNCERT、公安部信息安全等级保护评估中心等八大机构授权认证，拥有20余项培训资质，累计培育数万名网络安全专业人才，奠定了天融信在网络安全教育、培训领域的专业性与全面性。

3、身份鉴别与授权

标准要求：应明确重要业务操作、重要用户操作或异常用户操作行为，并形成清单;应对设备、用户、服务或应用、数据进行安全管控，对于重要业务操作、重要用户操作或异常用户操作行为，建立动态的身份鉴别方式，或者采用多因子身份鉴别等方式;针对重要业务数据资源的操作，应基于安全标记等技术实现访问控制。

解决方案：天融信身份安全解决方案，基于自身成熟的安全大数据分析平台，利用用户和实体行为分析等技术，明晰正常或异常的操作行为，合理管控设备、用户、服务、应用、数据;同时利用多因素及动态身份鉴别方式强化身份鉴别能力，针对操作行为进行安全管控，并通过完善访问控制机制，最大限度保障身份安全。方案通过联动遍布终端、网络、应用、数据等层面的安全措施，确保整网用户身份安全可信，针对特别重要的安全需求场景，还可进一步升级为零信任身份安全解决方案，落实零信任评估与动态授权，避免隐式授权带来的安全风险。天融信零信任产品与解决方案也已在政府、金融、交通、能源等行业的移动办公、分支机构接入等多种场景中得到了广泛的应用。

4、新型网络攻击防范

标准要求：应采取技术手段，提高对高级可持续威胁等网络攻击行为的入侵防范能力。

解决方案：天融信新型网络攻击安全防护方案，以海量安全数据及安全情报为支撑，在安全专家的辅助下，借助智能化安全分析平台，实现以安全分析结果驱动的新型网络攻击安全防护，通过监控威胁、阻断威胁及追踪溯源等，达成防范攻击的目的。天融信在高级可持续性威胁追踪、威胁狩猎等方向持续深入研究，牵头或参与国家级、省部级多项重点网络安全科研项目，为国家互联网应急响应中心等机构提供大量技术支撑与技术攻关。基于前述积累和沉淀，保证了天融信针对新型网络攻击的防范有理论依据，具备了广泛的实践支撑，从而确保了方案的有效性。

5、供应链安全保护

标准要求：《关基保护要求》针对供应链安全提出了共11条要求，总结来讲，需在供应链安全方面，通过体系化的安全设计，实现从开发设计、生产交付到运行维护的全面供应链安全管理。

解决方案：天融信供应链安全解决方案，通过评估供应链安全状况，协助客户制定和完善供应链安全管理策略、管理制度，规范供应链安全管理;针对软件供应链提供全生命周期安全防护，包括但不限于代码审计、渗透测试、上线前安全检测、应急响应等;提供专业的供应链安全教育培训，提升安全意识和安全技能。此外，天融信凭借在国产化方面的多年积累，推出的天融信昆仑信创产品体系已涵盖边界安全、接入安全、安全检测、终端安全、云安全、云计算等领域，可保障关键业务安全运转所需的产品服务供应，满足客户网络安全建设需要，并协助客户开展安全审查等，全力保障供应链安全。

6、数据安全保护

标准要求：《关基保护要求》针对数据安全提出了共8条要求，总结来讲，在数据安全方面，应构建基于数据分类分级、覆盖数据全生存周期的安全防护体系。

解决方案：天融信数据安全治理解决方案，通过开展数据安全治理咨询服务，在帮助客户评估数据安全状况的基础上，构建完善的数据安全防护体系，致力于从组织建设、管理建设、技术建设、运营管控和监督评价层面落实数据安全，保障数据的安全性。该方案基于“六步走” 数据安全保障体系建设思路，可实现覆盖数据全生命周期处理活动的数据安全治理体系建设，支撑重要行业及领域的数据安全需求，目前已在政府、能源、运营商等多个大型行业头部客户应用落地。

7、常态化监测预警

标准要求：概述来讲，应建立相关制度及常态化的监测预警、快速响应机制;应关注相关事件、漏洞等动态情况，构建通报预警和协助处置机制等;应部署检测设备，通过建模分析整体安全态势，并强化分析能力，以分析结果驱动安全防护，基于综合分析研判共享信息和报警信息，进行安全预警。

解决方案：天融信态势感知监测预警解决方案，采取主、被动方式广泛收集各类安全数据，利用多种分析手段，尤其是AI建模分析，深度挖掘安全问题，全方位感知安全态势。通过综合分析研判，针对可能造成较大影响的情况，按要求进行通报预警。方案还持续引入新的技术应用，通过强化安全分析能力，能够实现精准的态势感知，帮助客户准确及时的发现问题，并进行安全预警。

8、安全检测评估

标准要求：概述来讲，应建立检测评估制度，内容包括流程、方式方法、人员组织、资金保障等。应每年至少进行一次检测评估，利用攻防对抗等模拟网络攻击的方式进行检测评估，并针对发现的安全问题进行及时整改，同时需在发生重大变化时进行检测评估，并配合安全风险抽查检测工作等。

解决方案：天融信专项安全检查评估方案，遵循关保相关要求，在关键信息基础设施全生存周期，根据安全保护工作需要进行安全检测评估，旨在发现网络安全隐患，以及时进行修复和整改，避免安全事件的发生。方案吸取多年的安全服务实践经验，并紧密结合合规要求，帮助客户有效发现问题和解决问题。

此外，天融信还可提供暴露面检测、攻防演练、应急演练、应急处置等方案，全面满足关保要求。

未来，天融信始终以捍卫国家网络空间安全为使命，不断探索、积极创新，以深厚的经验积累及完善的合规知识体系，助力重要行业及领域构筑数字安全防线，护航关键业务长足发展，进而保卫国家安全。