国家涉及身份安全新规解读 | 《关键信息基础设施安全保护要求》

2022 年11 月 7 日，《信息安全技术关键信息基础设施安全保护要求》（GB/T39204-2022）国家标准发布。作为关键信息基础设施安全保护标准体系的构建基础，该标准将于 2023 年 5 月 1 日正式实施。

该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护 3 项基本原则。重点对于身份安全鉴别与授权提出明确的要求：

• 应明确重要业务操作、重要用户操作或异常用户操作行为，并形成清单；

• 应对设备用户、服务或应用、数据进行安全管控，对于重要业务操作、重要用户操作或异常用户操作行为，建立动态的身份鉴别方式，或者采用多因子身份鉴别等方式；

• 针对重要业务数据资源的操作，应基于安全标记等技术实现访问控制。

关键信息基础设施网络安全保护要求框架

01 关键信息基础设施，为何如此重要？

关键信息基础设施建设，是网络安全防护的核心。

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

对于企业来说，企业内部核心关键系统是企业内部对核心过程执行所需的资源进行管理的主要系统。如 ERP、SCM、CRM、BPR、OMS、WMS 以及相关的控制系统等，保护这些核心关键系统安全稳定运行至关重要。在疫情防控常态化、远程办公常态化以及企业上云趋势明显的大背景下，保护核心关键系统正变得越来越以风险为基础和以身份为中心。

根据近年来对网络安全的高度关注，Authing 发现，IAM 身份与访问管理技术，是数字化转型的必经之路，主要用于管理数字身份和用户对组织内数据、系统和资源的访问。通过打通身份系统之间的隔离，连接割裂的业务系统孤岛，极大提升工作效率、降低身份相关的访问风险。多云环境下的身份认证和基础设施，主要的落地方式就是基于云原生架构的 IDaaS 产品。

02 如何建立安全的计算环境？

安全防护是根据已识别的关键业务、资产、安全风险，