首个关基国家标准发布，助力关基落实工作再上新台阶

日前，国家市场监督管理总局（标准委）发布公告，批准2项国家标准，其中，《信息安全技术 关键信息基础设施安全保护要求》是自2021年9月1日起施行的《关键信息基础设施安全保护条例》之后发布的第一个关基国家标准，将于2023年5月1日正式实施。

关键信息基础设施安全防护的核心目的在于防止核心功能遭到损害、损失和数据泄露等风险事件的发生保证了风险事件不会危及国家安全，国计民生和公共利益。为此，必须采取更有力的保护措施，提高关键信息基础设施应对各类风险和安全威胁的能力，确保关键信息基础设施能够抵御风险、经受住了打击，能从打击中快速复原，维持了运行的稳定性和业务的连续性，对建设网络强国，数字中国，智慧社会具有强大的支持作用。

《信息安全技术关键信息基础设施安全保护要求》规定了关键信息基础设施运营者在分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求：

围绕关键信息基础设施承载的关键业务，开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础；

根据已识别的关键业务、资产、安全风险，在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施，确保关键信息基础设施的运行安全；

为检验安全防护措施的有效性，发现网络安全风险隐患，应制定相应的检测评估制度，确定检测评估的流程及内容等，开展安全检测与风险隐患评估，分析潜在安全风险可能引发的安全事件；

制定并实施网络安全监测预警和信息通报制度，针对发生的网络安全事件或发现的网络安全威胁，提前或及时发出安全警示。建立威胁情报和信息共享机制，落实相关措施，提高主动发现攻击能力；

以对攻击行为的监测发现为基础，主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施，开展攻防演习和威胁情报工作，提升对网络威胁与攻击行为的识别、分析和主动防御能力；

运营者对网络安全事件进行报告和处置，并采取适当的应对措施，恢复由于网络安全事件而受损的功能或服务。

值得一提的是，《保护要求》中供应链安全保护部分提到，“运营者应当优先采购安全可信的网络产品和服务并签订安全保密协议”，再次说明了关键基础设施中关键部件及重要设备要自主可控。

同时，在数据安全防护部分提到，“采取加密、脱敏、去标识化等技术手段保护敏感数据安全；建立业务连续性管理及容灾备份机制，重要系统和数据库实现异地备份；”《数据安全法》、《网络安全法》也同样对此提出相关要求，数据安全已成为数字化时代关基保护的核心和关键。

作为长期专注深耕在数据库、数据安全领域的高新技术企业，优炫软件在保障国家关键信息基础设施中扮演重要角色，公司坚持核心关键技术自主创新，志在解决核心领域“卡脖子”难题，产品通过自主原创测评、EAL4+最高等级安全等一系列权威资质认证，可持续为关键信息基础设施运营者提供安全可信的数据库、数据安全产品与服务，以自主创新技术为我国关键信息基础设施的安全保驾护航。