毛片大全在线免费观看网站_男人舔女人天堂网站_色综合老色鬼狼天天_美女大秀一区二区三区_欧美精品免费黑人影院午夜_在线亚洲系列欧美日韩_含苞欲肉(禁忌1v1高H)_日本亚洲不卡视频_少妇一级淫片免费看_国产91白浆在线

2023年5月1日，《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡稱《關(guān)基保護(hù)要求》) 開始正式實(shí)施。這是《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱《關(guān)保條例》) 發(fā)布后，首個(gè)正式發(fā)布的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)提供了更好的、更具體的操作指引，以幫助關(guān)鍵信息基礎(chǔ)設(shè)施管理者更好地開展安全保護(hù)工作，進(jìn)而推動(dòng)和指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)基保護(hù)落地。

安全保護(hù)標(biāo)準(zhǔn)提出了關(guān)鍵信息基礎(chǔ)設(shè)施分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動(dòng)防御、事件處置等方面的安全控制措施，適用于指導(dǎo)運(yùn)營者對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全生存周期安全保護(hù)，也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方參考使用。

            一、監(jiān)管的延續(xù)與變化

“三同步” 原則的延續(xù)

《網(wǎng)絡(luò)安全法》第三十三條規(guī)定：“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用?！薄蛾P(guān)基安全保護(hù)條例》第十二條延續(xù)了《網(wǎng)絡(luò)安全法》確定的“三同步”原則，進(jìn)一步強(qiáng)調(diào)“安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用”。在《關(guān)基安全保護(hù)要求》7.2安全管理制度及7.7安全建設(shè)管理章節(jié)中，再一次強(qiáng)調(diào)了“三同步”原則。

在具體落實(shí)“三同步”原則時(shí)，運(yùn)營者可以從以下幾個(gè)方面理解安全保護(hù)措施應(yīng)與關(guān)鍵信息基礎(chǔ)設(shè)施“三同步”:首先，“同步規(guī)劃”,是指在網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的規(guī)劃階段，就應(yīng)該同步引入安全保護(hù)措施;其次，“同步建設(shè)”,要求在項(xiàng)目建設(shè)階段，通過落實(shí)系統(tǒng)集成商、網(wǎng)絡(luò)服務(wù)提供商等，確保相關(guān)安全技術(shù)措施能夠順利準(zhǔn)時(shí)實(shí)施，并在項(xiàng)目上線時(shí)，對安全保護(hù)措施進(jìn)行驗(yàn)收，確保只有符合安全要求的系統(tǒng)才能上線;最后，“同步使用”,是指在網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)安全驗(yàn)收后的日常運(yùn)行和維護(hù)中，應(yīng)該保持網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)處于持續(xù)安全防護(hù)的水平，并符合國家的相關(guān)安全技術(shù)標(biāo)準(zhǔn)。

《關(guān)基安全保護(hù)要求》是基于《網(wǎng)絡(luò)安全法》、《關(guān)基安全保護(hù)條例》和網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上提出的可落地的安全保護(hù)要求。除此之外，《關(guān)基安全保護(hù)要求》在監(jiān)管方面還提出了一些新要求。

新的要求

安全管理方面：新增了成立網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組，并明確提出了將領(lǐng)導(dǎo)班子成員作為首席網(wǎng)絡(luò)安全官的要求。

應(yīng)急演練方面：進(jìn)一步明確了每年至少組織開展1次本組織的應(yīng)急演練。

產(chǎn)品服務(wù)采購方面：建立和維護(hù)合格供應(yīng)方目錄；強(qiáng)化采購渠道管理，保持采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)來源的穩(wěn)定或多樣性；獲得提供者對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的10年以上知識產(chǎn)權(quán)授權(quán)；自行或委托第三方對定制開發(fā)的軟件進(jìn)行源代碼安全檢測。

安全計(jì)算環(huán)境方面：明確提出應(yīng)使用自動(dòng)化工具來支持系統(tǒng)賬戶、配置、漏洞、補(bǔ)丁、病毒庫等的管理。

             二、《關(guān)基安全保護(hù)要求》主要內(nèi)容

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)三項(xiàng)基本原則

安全保護(hù)標(biāo)準(zhǔn)提出，關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)應(yīng)該在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上進(jìn)行重點(diǎn)保護(hù)。保護(hù)工作應(yīng)遵循三個(gè)基本原則：以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防。

（一）以關(guān)鍵業(yè)務(wù)為核心的整體防控

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)以保護(hù)關(guān)鍵業(yè)務(wù)為目標(biāo)，對業(yè)務(wù)所涉及的一個(gè)或多個(gè)網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行體系化安全設(shè)計(jì)，構(gòu)建整體安全防控體系。

（二）以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù)

根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全威脅態(tài)勢，進(jìn)行持續(xù)監(jiān)測和安全控制措施的動(dòng)態(tài)調(diào)整，形成動(dòng)態(tài)的安全防護(hù)機(jī)制，及時(shí)有效地防范應(yīng)對安全風(fēng)險(xiǎn)。

（三）以信息共享為基礎(chǔ)的協(xié)同聯(lián)防

積極構(gòu)建相關(guān)方廣泛參與的信息共享、協(xié)同聯(lián)動(dòng)的共同防護(hù)機(jī)制，提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊能力。

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)六個(gè)重點(diǎn)環(huán)節(jié)

在等級保護(hù)的基礎(chǔ)上，《關(guān)基安全保護(hù)要求》重點(diǎn)從分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動(dòng)防御、事件處置六個(gè)方面，對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)提出了更高、更具體的要求。

（一）分析識別

提升分析識別能力，強(qiáng)化提升安全風(fēng)險(xiǎn)管控能力。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)配合保護(hù)工作部門，按照規(guī)定開展關(guān)鍵信息基礎(chǔ)設(shè)施的識別和認(rèn)定工作，并圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù)，開展資產(chǎn)識別、風(fēng)險(xiǎn)識別等活動(dòng)。本活動(dòng)是開展安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動(dòng)防御、事件處置等活動(dòng)的基礎(chǔ)。

其中對風(fēng)險(xiǎn)的分析識別是重中之重，而源代碼是信息基礎(chǔ)設(shè)施的重要組成部分，因此對于源代碼中的風(fēng)險(xiǎn)識別尤為重要。這一部分可以借助對應(yīng)的源代碼掃描工具如SAST、SCA等工具對源代碼中的安全漏洞及許可證風(fēng)險(xiǎn)進(jìn)行檢測、識別和分析，從而提升代碼質(zhì)量，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全性。

（二）安全防護(hù)

根據(jù)已識別的關(guān)鍵業(yè)務(wù)、資產(chǎn)、安全風(fēng)險(xiǎn)，在安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理等方面實(shí)施安全管理和技術(shù)保護(hù)措施，確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。

《保護(hù)要求》除了在等級保護(hù)要求的基礎(chǔ)上進(jìn)一步細(xì)化，還重點(diǎn)突出了數(shù)據(jù)安全和供應(yīng)鏈安全的要求，進(jìn)一步規(guī)范化了數(shù)字化發(fā)展和可信可控背景下的安全能力保障。其中軟件供應(yīng)鏈安全越來越受到國家及各行業(yè)的重視，尤其是在各種軟件供應(yīng)鏈安全攻擊事件頻發(fā)的背景下，《網(wǎng)絡(luò)安全審查辦法》、《信息安全技術(shù)軟件供應(yīng)鏈安全要求》、《關(guān)基安全保護(hù)條例》等法規(guī)中都強(qiáng)調(diào)了要保障軟件供應(yīng)鏈安全。

（三）檢測評估

為檢驗(yàn)安全防護(hù)措施的有效性，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，運(yùn)營者制定相應(yīng)的檢測評估制度、確定檢測評估的流程及內(nèi)容等要素，并分析潛在安全風(fēng)險(xiǎn)可能引起的安全事件。

為了更好地提高關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)水平，針對檢測評估工作，明確了其范圍、內(nèi)容、周期等要求，特別是在檢測評估內(nèi)容方面，將等級保護(hù)和密評等強(qiáng)合規(guī)要求滿足情況作為重要的評估依據(jù)。

（四）監(jiān)測預(yù)警

運(yùn)營者制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和通報(bào)制度，針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時(shí)發(fā)出安全警示。建立威脅情報(bào)和信息共享機(jī)制，落實(shí)相關(guān)措施，提高關(guān)鍵信息基礎(chǔ)設(shè)施主動(dòng)防御的能力。

管理方面，明確開展監(jiān)測預(yù)警工作的管理和要求，制定監(jiān)測策略，明確監(jiān)測對象、監(jiān)測流程、監(jiān)測內(nèi)容，主動(dòng)掌握威脅態(tài)勢；技術(shù)措施方面，提升監(jiān)測預(yù)警技術(shù)措施，實(shí)現(xiàn)相關(guān)技術(shù)措施的有效聚合和一體化管理。

（五）主動(dòng)防御

以應(yīng)對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎(chǔ)，主動(dòng)采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開展攻防演習(xí)和威脅情報(bào)工作，提升對網(wǎng)絡(luò)威脅與攻擊行為的識別、分析和主動(dòng)防御能力。

（六）事件處置

對網(wǎng)絡(luò)安全事件進(jìn)行報(bào)告和處置，并根據(jù)檢測評估、監(jiān)測預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問題、運(yùn)營者制定并實(shí)施適當(dāng)?shù)膽?yīng)對措施，恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

         三、安全建設(shè)方向

標(biāo)準(zhǔn)是企業(yè)安全建設(shè)的遵循依據(jù)，從“關(guān)保條例”到“關(guān)保要求”，無論是對關(guān)基單位，還是支撐一側(cè)的安全企業(yè)都提出了更高的要求。

對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，應(yīng)該從以下幾個(gè)方向入手：

(一)加強(qiáng)供應(yīng)鏈管理

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者需要對供應(yīng)鏈進(jìn)行全面管理和風(fēng)險(xiǎn)評估，以確保供應(yīng)鏈的安全性和可靠性。同時(shí)，他們需要建立供應(yīng)商管理制度，以確定供應(yīng)商產(chǎn)品和服務(wù)的安全性和可靠性。此外，還需要建立供應(yīng)鏈安全監(jiān)測和預(yù)警機(jī)制，以及時(shí)發(fā)現(xiàn)和處理供應(yīng)鏈安全事件。

(二)加強(qiáng)數(shù)據(jù)安全管理

為了確保數(shù)據(jù)的安全性和可靠性，關(guān)基運(yùn)營者需要制定完善的數(shù)據(jù)安全管理制度。這包括對數(shù)據(jù)進(jìn)行分類和分級，進(jìn)行數(shù)據(jù)備份，使用數(shù)據(jù)加密技術(shù)，以及定期進(jìn)行數(shù)據(jù)清除等措施。此外，關(guān)基運(yùn)營者還需要建立數(shù)據(jù)安全監(jiān)測和預(yù)警機(jī)制，以便及時(shí)發(fā)現(xiàn)和處理數(shù)據(jù)安全事件。在進(jìn)行數(shù)據(jù)安全治理工作時(shí)，關(guān)基運(yùn)營者應(yīng)該注重?cái)?shù)據(jù)的完整性、可用性和保密性，并確保數(shù)據(jù)的合法合規(guī)性。

(三)完善安全管理制度

為了確保關(guān)基運(yùn)營的安全性，需要制定完善的安全管理制度和流程。這些制度和流程應(yīng)該包括安全意識教育、培訓(xùn)，數(shù)據(jù)安全控制措施、安全監(jiān)測和預(yù)警機(jī)制等。同時(shí)，需要建立安全事件處理機(jī)制，以便及時(shí)應(yīng)對安全事件，并最大程度地減少損失。

(四)加強(qiáng)安全技術(shù)建設(shè)

為了確保關(guān)基運(yùn)營的安全性和可靠性，需要加強(qiáng)安全技術(shù)建設(shè)。安全技術(shù)建設(shè)包括安全防護(hù)、安全檢測、安全監(jiān)測等方面。在選擇安全技術(shù)和產(chǎn)品時(shí)，關(guān)基運(yùn)營者需要根據(jù)自身運(yùn)營情況做出判斷和決策，建立適合自身運(yùn)營的安全技術(shù)體系。這些技術(shù)體系可以包括安全漏洞掃描、入侵檢測、數(shù)據(jù)加密、防火墻等技術(shù)手段，以確保系統(tǒng)的安全性和可靠性。

(五)加強(qiáng)合規(guī)管理

運(yùn)營者需要遵守相關(guān)法規(guī)和標(biāo)準(zhǔn)，建立合規(guī)管理制度，并定期進(jìn)行合規(guī)自查和審核，以確保自身的運(yùn)營符合法規(guī)和標(biāo)準(zhǔn)的要求。