《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）将于5月1日起正式实施。作为我国《网络安全法》的重要配套法规，这套标准要求于2022年的11月发布，是我国首个关键信息基础设施安全保护标准，对关键信息基础设施的安全保护提出了更多落地且详细的要求，对于我国关键信息基础设施安全保护有着极为重要的指导意义。

Part 01

(资料图)

关基保护要求：三大原则、六大方面、111条安全要求

《关基保护要求》明确了保护的对象，即公共通信和信息服务、能源、交通、水利金融、公共服务、电子政务、国防科技工业以及其他涉及国家安全、国计民生、公共利益的重要网络设施、信息系统等。

（图片来源：中国电子技术标准化研究院）

同时，《关基保护要求》确定了关键信息基础设施安全保护三个基本原则：（1）以关键业务为核心的整体防控；（2）以风险管理为导向的动态防护；（3）以信息共享为基础的协同联防。并指出关基安全保护共包含六个方面的工作内容：分析识别、安全防护、检测评估、监测预警、主动防御、事件处置。

Part 02

以密码为核心、以数据为抓手为关键信息基础设施提供全面主动安全防护

对比“等保”要求与《关基保护要求》会发现，关保在等保的合规性要求之上，更增加了“以业务为核心”和“主动安全防御”两项要求，这就使得在关键信息基础设施的安全防护上，体系化的防御手段与数据安全防护体系成为了关基保护体系中的核心元素。

1

以密码技术为核心，夯实关键信息基础设施安全底座。针对关键信息基础设施可能面临的各种安全问题和安全风险，建立以密码为核心的安全保障体系，为关键信息基础设施提供合规、安全、便捷的密码服务，保证关键信息基础设施的安全。

吉大正元（003029）密码安全系列产品方案可以为关键信息基础设施提供从端侧、网络侧、云数据中心的纵深防御体系，为关键信息基础设施提供网络和通信安全、设备和计算安全、应用和数据安全等多个安全层面的密码服务支撑。

2

以业务为核心就要求提升整体数据安全防护能力。当下数据要素的重要性不言而喻，针对数据元素的安全管控就成为了关保的重要环节，特别是“对核心业务数据的安全防护”以及“协同联防体系的数据安全流转”。

《关基保护要求》指出数据安全防护要从数据安全管理入手，开展数据安全安全风险评估、根据数据分类分级的结果制定响应的安全防护策略，并需要通过技术手段实现严格控制数据的使用、加工、传输和公开、销毁、业务连续性等数据处理活动的全流程实现安全管理和防护能力。

吉大正元数据安全防护治理解决方案以密码基础作为底座，信任体系作为支撑，通过对核心资产进行梳理、盘点和分类分级，首先识别关键、核心业务及相应数据，并进一步制定有效的安全治理和管控策略，针对性采用相应的数据安全防护产品，对数据资产、数据分类分级、数据脱敏与防泄漏、数据库安全、API安全、电子文档安全等提供全场景覆盖的数据安全产品，体系化保护关键信息基础设施及业务数据的全生命周期安全。

3

主动安全防御要求一体化的基础网络安全建设。需结合“一个中心、三重防护”要求，围绕“分区分域规划、纵深立体防护”核心思想，打造关键信息基础设施的体系化网络安全架构，才能更好实现主动安全防御。

吉大正元特色关保建设方案经过多年的网络安全建设经验沉淀，形成了行之有效的一套基础网络安全建设的框架，包含从安全防御检测、网络安全、边界安全、数据安全、终端安全等在内的基础网络安全“全家桶”，更具备一体化可视的安全管理中心、安全运营中心等等，一体化解决关键信息基础设施网络中的多种安全风险。

4

同时，关保在互联安全方向对身份的统一提出了要求，在安全计算环境方向对动态鉴别与授权提出了要求，在主动防御方向对暴露面收缩提出了要求。满足《关基保护要求》应重视关键信息基础设施的单位需要做好安全的左移，在网络侧与业务侧加强动态访问控制能力。

吉大正元的零信任方案以身份作为基石，贯穿用户、终端、应用、连接、权限、行为、数据，构筑业务侧与网络侧的双管双控的信任体系。实现了IAM与SDP的完美结合。其中，IAM提供了身份的统一管理，SDP能力提供了动态鉴别与授权的能力和暴露面收缩的能力。实现正确的人，利用可信的终端，通过安全的通道，使用适当的权限，访问被保护的业务。

5

体系化安全建设不仅要求安全产品方案的技术实力出色，对关保服务方整体安全服务能力要求更高，无论是风险管理、协同联动还是分析、评估、检测、处置等各个环节流程都要求了宏观角度的视角能力以及具化的落地实操经验。

一直是业界代表的吉大正元，多年经验不仅打造完善了丰富的安全产品和方案，更积累了核心系统安全防护服务经验，能够从安全咨询、风险评估、安全检测、安全运维等多个层面提供专业安全服务能力，帮助用户快速落实保护要求，保障关键信息基础设施安全的稳定运行。

随着《关键信息基础设施安全保护要求》的正式实施，作为国内数字安全领舞者的吉大正元将积极响应政策要求，不断为关键信息基础设施用户提供更加全面也更具针对性的安全产品、方案和服务，持续守护关键信息基础设施安全，构建数字中国安全基石。