《信息安全技术 关键信息基础设施安全保护要求》发布,信长城以密码技术助力关基安全
2022年10月12日,国家市场监督管理总局(国家标准化管理委员会)批准GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称“安全保护标准”)推荐性国家标准,于2022年11月正式对外发布,并将于2023年5月1日正式实施。
安全保护标准是我国关键信息基础设施安全保护的总纲性标准,也是我国首个发布的关键信息基础设施安全保护标准,对指导我国关键信息基础设施安全保护工作,具有重大价值和深远意义。
要求规定了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。
适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则:
以关键业务为核心的整体防控。关键信息基础设施安全保护应以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系;
以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险;
以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
关键信息基础设施安全保护包括分析识别、安全防护、检测评估、监测预警、主动防御 、事件处置六个方面:
围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。
根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。
为检验安全防护措施的有效性,发现网络安全风险隐患,应制定相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。
制定并实施网络安全监测预警和信息通报制度,针对发生的网络安全事件或发现的网络安全威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高主动发现攻击能力。
以对攻击行为的监测发现为基础,主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。
运营者对网络安全事件进行报告和处置,并采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
密码是保障信息安全、构筑网络信息系统免疫体系和网络信任体系的基石,作为保护网络与信息安全的重要手段,在身份识别、安全隔离、信息加密、完整性保护和抗抵赖等方面发挥着不可替代的重要作用。商用密码安全性评估已成为政务信息系统、等保三级系统、关键信息基础设施的标配和刚需。
作为全国领先的商用密码创新应用企业,信长城一直以万物安全互联为目标,致力于用密码技术为各行业赋能。自主研发的商用密码合规解决方案,已广泛应用于电子政务、金融、军工、能源、电信等关键基础设施领域。
未来,信长城将持续聚焦商用密码产品研发工作,加速商密产品布局,助力密码技术在政务、金融、教育、电力、交通等领域的合规应用,以密码技术创新,助力关键信息基础设施安全保护,推动数字安全未来。
![微信客服 扫码咨询](javascript:Site.hoverQrCode("//15536158.s21i.faiusr.com/2/ABUIABACGAAgh76hggYo-IfukQUw3AY43AY.jpg",this,{"tips":"请使用微信扫一扫"});){kind=link}