国家标准《信息安全技术关键信息基础设施安全保护要求》（以下简称《关基保护要求》）（GB/T 39204-2022 ) 于2023年5月1日正式施行，该标准作为《关键信息基础设施安全保护条例》（以下简称《关基保护条例》）发布后首个正式发布的关键信息基础设施安全保护标准，为开展关键信息基础设施安全保护工作提供了具体的工作指引。标准的出台适应网络安全形势变化发展的必然要求，为我国关键信息技术设施保护工作的深入开展奠定了坚实的基础。

《关键信息基础设施安全保护要求》解读

《关基保护条例》中明确提出：“关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”同时，条例第三十二条也明确提到“国家采取措施，优先保障能源、电信等关键信息基础设施安全运行”。

关键信息基础设施安全保护要求要点归纳如下：

l 在等级保护制度的基础上，实行重点保护

《网络安全法》及《关基保护条例》中明确提出，对关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。

l 加强六大方面安全能力

网络运营者一般根据网络安全等级保护制度的定级、设计、实施及基本要求等标准，对信息系统执行等级保护建设与测评工作，并报公安机关备案。在此基础上，关键信息基础设施应基于《关基保护要求》的要求，着重部署和加强在分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面的安全能力。

l “三同步”建设原则

关键信息基础设施安全保护应是以关键业务为核心的整体防控。一方面，网络安全技术措施与关键信息基础设施主体工程应遵循“同步规划、同步建设、同步使用”，即“三同步”建设原则；另一方面，应充分考虑关键信息基础设施已有的等保建设成果、组织业务现状及网络安全规划。

《关基保护要求》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护三项基本原则。这些基本原则相较于其他类似的标准（如《等保基本要求》），其亮点具体表现在以下几个方面：

第一条原则是以关键业务为核心的整体防控，它强调业务风险与网络安全风险融合理念，并首次提出关键业务链的概念，把安全防控的范畴延伸到以业务流、数据流为核心的业务边界，从而打破传统认知的物理边界或网络边界，真正地保证关键信息基础设施的安全。

第二条原则是以风险管理为导向的动态防护，它强调关基保护要采用风险导向、要实现动态防护。网络安全是持续的对抗、是人与人的较量，静态的防御措施无法抵挡中、高强度的攻击，《关基保护要求》是以等级保护为基础，对关键信息基础设施提出的强化保障要求，重点就是落实风险导向和动态防护。

第三条原则是以信息共享为基础的协同联防的关键信息基础设施安全保护。一方面，落实《关基保护条例》，对相关监管机构和关键信息基础设施运营单位的职责明确分工，需要共同构建起关基保护监测指挥保护体系；另一方面，一个关键业务可能由多个运营者的多个关键信息基础设施承载，这些运营者间也要形成信息共享、协同联动的共同防护机制。

《关基保护要求》要求关键信息基础设施运营者应履行主体责任，贯彻落实标准要求，确保关键信息基础设施安全稳定运行。要求中也对关键信息基础设施运营者的相关法律责任做出了明确规定，梳理如下：

默安科技关键信息基础设施安全保护解决方案

01 资产及风险识别

分析识别是《关基保护要求》中六大活动的第一项，包含采用资产探测技术开展资产识别、对关键业务链开展安全风险识别等要求。默安科技的巡哨智能资产风险监控系统利用自动化技术识别资产及风险情况，形成资产清单与风险详情，并根据实际情况动态更新。

02 软件供应链安全保护

相较于等保2.0，《关基保护要求》对关基提出了更高的软件供应链安全保护要求。作为国内首批开展开发安全业务的厂商之一，默安科技将开发安全建设延展到供应链安全治理，研发软件供应链风险评估平台，并且依托阶段性的标准化建设成果，在关基单位进行落地实践，在不同业务场景下形成了一些可落地的解决方案，例如关基单位软件供应链安全检测及应急联动方案、自研及外采数字化转型软件供应链风险一站式摸排解决方案、政府行业软件供应链安全检查方案等。

03 预检测评估服务

《关基保护要求》中要求关键信息基础设施运营者建立健全的安全检测评估制度，对检测评估方式、内容和时间也提出了明确要求。默安科技依据《关基保护要求》及其它相关标准要求，提供针对关键信息基础设施的预检测评估服务。检测评估过程由合规检查、技术检查、分析评估三个阶段组成，并提供整体安全状况报告。

04 主动防御

主动防御是《关基保护要求》中的重要内容，其中包含对关键信息基础设施的暴露面收敛、攻击发现和阻断、攻防演练以及威胁情报，以对抗APT等高级攻击威胁。默安科技以欺骗防御为核心，为关键信息基础设施运营者建立主动防御体系，提供攻击的主动发现、实网攻防演练能力。一方面减少对外攻击暴露面，并采取捕获、干扰、阻断、溯源等措施应对网络攻击；另一方面配合运营者展开攻防演练，提升攻防对抗能力。

图 默安科技主动防御体系

作为一家创新型的新兴网络安全公司，默安科技将按照《关基保护要求》为关基安全保护工作提供的工作指引，从资产及风险识别、软件供应链安全保护、预监测评估服务、主动防御等多个方面着手，与广大关基单位一起，为推动我国网络强国战略实施、数字经济稳健发展贡献创新力量。