2023年5月1日，《信息安全技术关键信息基础设施安全保护要求》(以下简称《关基保护要求》) 开始正式实施。这是《关键信息基础设施安全保护条例》(以下简称《关保条例》) 发布后，首个正式发布的关键信息基础设施安全保护标准。该标准提供了更好的、更具体的操作指引，以帮助关键信息基础设施管理者更好地开展安全保护工作，进而推动和指导关键信息基础设施的关基保护落地。

安全保护标准提出了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全控制措施，适用于指导运营者对关键信息基础设施进行全生存周期安全保护，也可供关键信息基础设施安全保护的其他相关方参考使用。

一、监管的延续与变化

“三同步” 原则的延续

《网络安全法》第三十三条规定：“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。”《关基安全保护条例》第十二条延续了《网络安全法》确定的“三同步”原则，进一步强调“安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用”。在《关基安全保护要求》7.2安全管理制度及7.7安全建设管理章节中，再一次强调了“三同步”原则。

在具体落实“三同步”原则时，运营者可以从以下几个方面理解安全保护措施应与关键信息基础设施“三同步”:首先，“同步规划”,是指在网络设施和信息系统的规划阶段，就应该同步引入安全保护措施;其次，“同步建设”,要求在项目建设阶段，通过落实系统集成商、网络服务提供商等，确保相关安全技术措施能够顺利准时实施，并在项目上线时，对安全保护措施进行验收，确保只有符合安全要求的系统才能上线;最后，“同步使用”,是指在网络设施和信息系统安全验收后的日常运行和维护中，应该保持网络设施和信息系统处于持续安全防护的水平，并符合国家的相关安全技术标准。

《关基安全保护要求》是基于《网络安全法》、《关基安全保护条例》和网络安全等级保护制度的基础上提出的可落地的安全保护要求。除此之外，《关基安全保护要求》在监管方面还提出了一些新要求。

新的要求

安全管理方面：新增了成立网络安全工作委员会或领导小组，并明确提出了将领导班子成员作为首席网络安全官的要求。

应急演练方面：进一步明确了每年至少组织开展1次本组织的应急演练。

产品服务采购方面：建立和维护合格供应方目录；强化采购渠道管理，保持采购的网络产品和服务来源的稳定或多样性；获得提供者对网络产品和服务的10年以上知识产权授权；自行或委托第三方对定制开发的软件进行源代码安全检测。

安全计算环境方面：明确提出应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。

二、《关基安全保护要求》主要内容

关键信息基础设施安全保护三项基本原则

安全保护标准提出，关键信息基础设施的安全保护应该在网络安全等级保护制度的基础上进行重点保护。保护工作应遵循三个基本原则：以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防。

（一）以关键业务为核心的整体防控

关键信息基础设施安全保护以保护关键业务为目标，对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建整体安全防控体系。

（二）以风险管理为导向的动态防护

根据关键信息基础设施所面临的安全威胁态势，进行持续监测和安全控制措施的动态调整，形成动态的安全防护机制，及时有效地防范应对安全风险。

（三）以信息共享为基础的协同联防

积极构建相关方广泛参与的信息共享、协同联动的共同防护机制，提升关键信息基础设施应对大规模网络攻击能力。

关键信息基础设施安全保护六个重点环节

在等级保护的基础上，《关基安全保护要求》重点从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面，对关键信息基础设施安全保护提出了更高、更具体的要求。

（一）分析识别

提升分析识别能力，强化提升安全风险管控能力。关键信息基础设施的运营者应当配合保护工作部门，按照规定开展关键信息基础设施的识别和认定工作，并围绕关键信息基础设施承载的关键业务，开展资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。

其中对风险的分析识别是重中之重，而源代码是信息基础设施的重要组成部分，因此对于源代码中的风险识别尤为重要。这一部分可以借助对应的源代码扫描工具如SAST、SCA等工具对源代码中的安全漏洞及许可证风险进行检测、识别和分析，从而提升代码质量，保障关键信息基础设施的安全性。

（二）安全防护

根据已识别的关键业务、资产、安全风险，在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施，确保关键信息基础设施的运行安全。

《保护要求》除了在等级保护要求的基础上进一步细化，还重点突出了数据安全和供应链安全的要求，进一步规范化了数字化发展和可信可控背景下的安全能力保障。其中软件供应链安全越来越受到国家及各行业的重视，尤其是在各种软件供应链安全攻击事件频发的背景下，《网络安全审查办法》、《信息安全技术软件供应链安全要求》、《关基安全保护条例》等法规中都强调了要保障软件供应链安全。

（三）检测评估

为检验安全防护措施的有效性，发现网络安全风险隐患，运营者制定相应的检测评估制度、确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件。

为了更好地提高关键信息基础设施的安全保护水平，针对检测评估工作，明确了其范围、内容、周期等要求，特别是在检测评估内容方面，将等级保护和密评等强合规要求满足情况作为重要的评估依据。

（四）监测预警

运营者制定并实施网络安全监测预警和通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示。建立威胁情报和信息共享机制，落实相关措施，提高关键信息基础设施主动防御的能力。

管理方面，明确开展监测预警工作的管理和要求，制定监测策略，明确监测对象、监测流程、监测内容，主动掌握威胁态势；技术措施方面，提升监测预警技术措施，实现相关技术措施的有效聚合和一体化管理。

（五）主动防御

以应对攻击行为的监测发现为基础，主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施，开展攻防演习和威胁情报工作，提升对网络威胁与攻击行为的识别、分析和主动防御能力。

（六）事件处置

对网络安全事件进行报告和处置，并根据检测评估、监测预警环节发现的问题、运营者制定并实施适当的应对措施，恢复由于网络安全事件而受损的功能或服务。

三、安全建设方向

标准是企业安全建设的遵循依据，从“关保条例”到“关保要求”，无论是对关基单位，还是支撑一侧的安全企业都提出了更高的要求。

对于关键信息基础设施运营者，应该从以下几个方向入手：

(一)加强供应链管理

关键信息基础设施的运营者需要对供应链进行全面管理和风险评估，以确保供应链的安全性和可靠性。同时，他们需要建立供应商管理制度，以确定供应商产品和服务的安全性和可靠性。此外，还需要建立供应链安全监测和预警机制，以及时发现和处理供应链安全事件。

(二)加强数据安全管理

为了确保数据的安全性和可靠性，关基运营者需要制定完善的数据安全管理制度。这包括对数据进行分类和分级，进行数据备份，使用数据加密技术，以及定期进行数据清除等措施。此外，关基运营者还需要建立数据安全监测和预警机制，以便及时发现和处理数据安全事件。在进行数据安全治理工作时，关基运营者应该注重数据的完整性、可用性和保密性，并确保数据的合法合规性。

(三)完善安全管理制度

为了确保关基运营的安全性，需要制定完善的安全管理制度和流程。这些制度和流程应该包括安全意识教育、培训，数据安全控制措施、安全监测和预警机制等。同时，需要建立安全事件处理机制，以便及时应对安全事件，并最大程度地减少损失。

(四)加强安全技术建设

为了确保关基运营的安全性和可靠性，需要加强安全技术建设。安全技术建设包括安全防护、安全检测、安全监测等方面。在选择安全技术和产品时，关基运营者需要根据自身运营情况做出判断和决策，建立适合自身运营的安全技术体系。这些技术体系可以包括安全漏洞扫描、入侵检测、数据加密、防火墙等技术手段，以确保系统的安全性和可靠性。

(五)加强合规管理

运营者需要遵守相关法规和标准，建立合规管理制度，并定期进行合规自查和审核，以确保自身的运营符合法规和标准的要求。

海云安积极响应关保要求

助力关基安全建设落地

《关键信息基础设施安全保护要求》的提出意味着我国在关键信息基础设施的网络安全防护水平将更进一步，由堆叠式的“小安全”，正式迈进体系化的“大安全”。这对关基运营者也提出了更高的要求，海云安结合多年的网络安全实战经验，为各关基单位的网络安全建设与运营提供全方位的规划设计、解决方案、产品体系与运营服务，实现网络安全“三同步”。

针对加强供应链安全管理方面，在同步规划阶段，海云安能为关基单位量身定制既满足国家法律法规、技术标准要求，又符合企业自身业务发展方向的安全规划蓝图；在同步建设阶段，海云安提供开发安全和软件供应链安全整体解决方案，推进安全左移，识别基础源代码中的安全风险，保障软件供应链安全，同时提供移动应用安全合规、数据合规、渗透测试、网络重保服务等一列安全服务，保障关基单位隐私和数据安全；在同步使用阶段，海云安在监测预警、安全运营、应急响应和攻防演习等方面提供专业、全面的安保服务。

针对数据安全防护方面，海云安提出一系列的服务产品解决方案；数据安全合规评估服务可以为企业进行全面的合规性评估，发现潜在的合规风险，量身定制合规策略，确保企业符合法规要求。分类分级服务通过对数据进行分类分级，为数据的分级管控保护策略落地实施提供基础，聚焦重要数据的保护，降低数据泄露风险。数据安全风险评估服务对企业的数据流和业务流以及现有安全保障措施进行综合评估，发现存在的薄弱项，为后续针对性安全风险改进及整体数据安全规划建设提供基础。数据安全管理体系服务主要基于为企业搭建一个完善的安全管理框架，提升企业整体安全管理水平。数据安全体系建设规划服务主要基于企业在数据安全体系现状协助制定长期的安全建设规划战略，确保关键信息基础设施安全持续改进，保障企业关键信息基础设施的安全稳定运行。

另外，随着《关键信息基础设施安全保护要求》的发布，数据隐私合规的要求近年来越发受到重视，通过对APP内用户数据的全面检测和风险识别支持App安全漏洞、违法违规、个人信息安全、SDK安全、合规项目的自动化检测和定期监测，全自动化快速识别App潜在的安全风险、隐藏违法违规行为，包括个人信息窃取、个人信息出境、恶意扣费等行为等。同时，通过全面的隐私合规检测和风险评估服务，帮助企业及时发现并解决潜在的隐私风险，防止数据泄露和滥用，为企业提供全面的隐私保护服务，帮助企业满足相关法规和标准的要求，提升企业的竞争力和信誉度。

海云安

深圳海云安网络安全技术有限公司成立于2015年，是深圳国资参股投资的专注于应用安全领域的创新型国家高新技术企业。公司以“安全每一行代码”为己任，致力于“可信应用，主动防御”系列应用安全产品研发推广，长期为金融、政府、企事业单位提供安全开发、APP安全、数据安全等全面解决方案。