我國首個關(guān)基保護標準正式實施，企業(yè)安全運營有了新思路

2023年5月1日，GB/T 39204-2022《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》（以下簡稱《關(guān)保要求》）開始正式實施。

這是繼《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》后，我國首個關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的國家標準，對于我國關(guān)鍵信息基礎(chǔ)設(shè)施運營者提升保護能力、構(gòu)建安全保障體系具有重要的基礎(chǔ)性作用與指導(dǎo)作用，也給企業(yè)安全運營帶來了新思路與新啟發(fā)！

在介紹《關(guān)保要求》之前，我們先來了解下什么是關(guān)鍵信息基礎(chǔ)設(shè)施！

關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

而對于企業(yè)而言，關(guān)鍵信息基礎(chǔ)設(shè)施是企業(yè)內(nèi)部對核心業(yè)務(wù)與資源進行管理的關(guān)鍵系統(tǒng)。如 ERP、CRM、BPR、OMS、WMS 以及相關(guān)控制系統(tǒng)等。保護這些核心關(guān)鍵系統(tǒng)的安全穩(wěn)定運行就是保護整個企業(yè)賴以生存的“大動脈”。

了解了關(guān)鍵信息基礎(chǔ)設(shè)施是什么，其重要性也就不言而喻了。顯然，從國家層面來看，關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是國家網(wǎng)絡(luò)安全的重中之重；而從企業(yè)來看，關(guān)鍵信息基礎(chǔ)設(shè)施是企業(yè)賴以生存的“大動脈”，亦是企業(yè)安全防護的核心。

那么，《關(guān)保要求》具體有什么內(nèi)容呢？概括起來就是針對關(guān)鍵信息基礎(chǔ)設(shè)施安全給出了三項保護原則，并從“分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置”6個方面提出了111條安全要求。

從整體內(nèi)容來看，《關(guān)保要求》細化了相關(guān)運營者的責(zé)任義務(wù)，并對網(wǎng)絡(luò)產(chǎn)品與服務(wù)提供商提出了更高要求。企業(yè)需要在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護，形成“以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險管理為導(dǎo)向的動態(tài)防護、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防”三位一體的協(xié)同、動態(tài)、常態(tài)化、自動化的整體安全防護體系。

隨著5月1日，《關(guān)保要求》的正式施行，意味著各企事業(yè)等組織開展關(guān)鍵信息基礎(chǔ)設(shè)施保護工作有了強有力的標準保障與指引依據(jù)。與此同時，關(guān)鍵信息基礎(chǔ)設(shè)施安全面臨著更加嚴格監(jiān)管，相關(guān)企業(yè)在關(guān)基領(lǐng)域的安全運營能力亟需提升。尤其是在當前，關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全形勢嚴峻，網(wǎng)絡(luò)攻擊威脅事件頻發(fā)。

既然《關(guān)保要求》給了企業(yè)組織開展安全防護工作一定的指引依據(jù)，那我們不妨從《關(guān)保要求》重點給出的6個方面，看看它能給企業(yè)組織的安全運營提供什么樣的新思路與新啟發(fā)？

整體來看，《關(guān)保要求》中提出的6個方面，即分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置，總結(jié)起來其實就是企業(yè)安全防護的一個閉環(huán)流程。

從最初的整體分析識別，梳理出企業(yè)關(guān)鍵業(yè)務(wù)、資產(chǎn)、風(fēng)險以及過程中隨時可能出現(xiàn)的重大變更。

隨后根據(jù)分析識別出的重要內(nèi)容進行一系列安全防護操作，如網(wǎng)絡(luò)安全等級保護、安全管理制度、安全管理機構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計算環(huán)境、安全建設(shè)管理、安全運維管理、數(shù)據(jù)安全防護等。

建立了有效的安全防護手段后，并不是一勞永逸，還需要利用檢測評估、監(jiān)測預(yù)警等手段，甚至過程中需要企業(yè)組織主動防御，采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施來有效加強企業(yè)安全防護網(wǎng)。

最后，安全防護永遠沒有百分百的完美。所以，需要建立事件處理能力。當出現(xiàn)安全事件時，企業(yè)組織能夠快速及時地有效實行事件報告與處理，采取適當?shù)膽?yīng)對措施，恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

這6個方面，就好比是給企業(yè)組織的安全運營管理提供了一套完整的“六位一體”建設(shè)方法論。

有了這套方法論，企業(yè)組織要如何有效利用并合理運用到自身的安全防護體系中，從而滿足《關(guān)保要求》，并進一步加強自身安全運營能力？

派拉軟件認為，以“身份優(yōu)先”的一體化零信任網(wǎng)絡(luò)安全架構(gòu)可以幫助企業(yè)有效地實施這套方法論。通過給企業(yè)內(nèi)外部用戶、應(yīng)用（API）、IoT設(shè)備等建立數(shù)字身份，通過數(shù)字身份關(guān)聯(lián)網(wǎng)絡(luò)風(fēng)險，在企業(yè)關(guān)鍵業(yè)務(wù)和資產(chǎn)變更操作過程中，派拉軟件利用“身份”為處置網(wǎng)絡(luò)風(fēng)險事件提供快速響應(yīng)能力。

在關(guān)基保護過程中，通過建立統(tǒng)一的身份訪問認證與授權(quán)管理平臺，可以避免在企業(yè)關(guān)鍵業(yè)務(wù)和資產(chǎn)訪問時出現(xiàn)越權(quán)訪問、控制繞行等情況；并針對高權(quán)限用戶操作或用戶非法操作建立AI智能算法模型，覆蓋用戶全鏈路的敏感操作或異常操作；結(jié)合用戶上下文和算法模型并使用動態(tài)的身份鑒別方式或多因子鑒別方式等有效保障全鏈路身份安全。

此外，通過API網(wǎng)關(guān)進行統(tǒng)一的API全生命周期安全管理，為企業(yè)數(shù)據(jù)安全提供全方位的安全防護；而在數(shù)據(jù)庫運維場景下，派拉軟件提供了數(shù)據(jù)庫安全管控產(chǎn)品進行數(shù)據(jù)庫統(tǒng)一管理，防止企業(yè)內(nèi)部數(shù)據(jù)泄露、誤操作等帶來的數(shù)據(jù)危害。通過多節(jié)點、多維度的安全技術(shù)防護，實現(xiàn)企業(yè)內(nèi)部重要數(shù)據(jù)、資產(chǎn)的安全保護。

整個關(guān)基保護過程中，派拉軟件一體化零信任網(wǎng)絡(luò)安全方案會實時檢測、監(jiān)測安全事件，并及時發(fā)現(xiàn)并推送風(fēng)險預(yù)警等。監(jiān)測過程還可以實時可視化的界面呈現(xiàn)，讓企業(yè)安全管理員能快速便捷的觀看整個網(wǎng)絡(luò)信息安全情況。

在主動防御層面，零信任安全架構(gòu)秉承“持續(xù)驗證，永不信任”理念，在終端訪問接入內(nèi)部網(wǎng)絡(luò)前先經(jīng)由SDP構(gòu)建的安全邊界，始終保持先驗證后連接，并基于會話的持續(xù)驗證，讓企業(yè)網(wǎng)絡(luò)安全的暴露面極致收斂。過程中一旦出現(xiàn)訪問異常還能快速及時的阻斷。

最后，在安全事件響應(yīng)和處理層面，派拉軟件一體化零信任安全管理系統(tǒng)通過提供審計功能，全面審計網(wǎng)絡(luò)訪問全鏈路的行為和數(shù)據(jù)，結(jié)合UEBA能力快速識別網(wǎng)絡(luò)安全事件的整體情況，為事件報告與處理提供事后溯源的依據(jù)，并快速定位問題所在，讓企業(yè)能快速恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

在整個以“身份優(yōu)先”的一體化零信任網(wǎng)絡(luò)安全架構(gòu)體系建設(shè)過程中，派拉軟件通過近2000+客戶項目落地，提煉出了一套成熟的實施方法論，并提供身份咨詢方案，根據(jù)企業(yè)實際情況進行管理規(guī)則、流程、制度的標準化梳理與制定，并結(jié)合技術(shù)平臺與管理策略，不斷完善企業(yè)安全的有效管控，為企業(yè)打造完整、標準化、可持續(xù)的安全運營管理規(guī)范體系。

當然，要想完全滿足《關(guān)保要求》，企業(yè)還需要在上述基礎(chǔ)上，不斷融入更多的安全防護手段與措施。派拉軟件也將持續(xù)積極響應(yīng)國家號召，不斷加強關(guān)基設(shè)施安全技術(shù)的自主研發(fā)創(chuàng)新、加快完善自身安全產(chǎn)品和方案體系建設(shè)，為企業(yè)安全防護和運營能力持續(xù)創(chuàng)新賦能，為構(gòu)建我國安全、高效、極致體驗的數(shù)字世界加速、加力。