什么是《关键基础设施安全法》？

2024年11月25日，《2024年关键基础设施安全及其他立法修正案（增强响应和预防）法案》（SOCI法案）获得通过，成为法律。该法案纳入了网络安全立法方案。SOCI法案赋予政府更广泛的权力，以落实《2023-2030年网络安全战略》中的第四盾（保护关键基础设施），并解决不断变化的网络威胁形势中存在的差距和问题。

SOCI法案的主要特点

1. 根据修正案，保存关键业务数据的数据存储系统将作为关键基础设施资产进行监管。

2. 新的政府后果管理权力，根据该权力，政府可以指示某个实体采取行动，应对比网络事件更广泛的事件。

3. “受保护信息”的新定义包括基于危害的评估和相关信息的非详尽列表，以及有关何时可以共享或用于其他目的的受保护信息的说明。

4. 监管机构拥有新的权力，可以向负责实体发出指示，以解决关键基础设施风险管理计划中发现的任何严重缺陷。

SOCI法案（修正案） —— 附表1

保存关键业务数据的数据存储系统

1. #16：“……加强对数据存储系统和关键业务数据的保护。”

2. #19：“计划并非要捕获所有包含关键业务数据的非运营系统，而要捕获那些存在漏洞可能对关键基础设施造成相关影响的系统。可以捕获的系统类型示例包括：信息系统和运营技术系统之间网络隔离不足且包含关键业务数据的数据存储系统，或包含网络蓝图、加密密钥、算法、运营系统代码以及策略、技术和程序等运营数据的数据存储系统。”

3. #20：“...如果负责实体外包给第三方，则第三方将负责数据存储系统。”

4. #31：拟议的各项标准明确指出，并非所有存储关键业务数据的非运营系统都应被捕获，只有那些存在漏洞可能对关键基础设施造成相关影响的系统才应被捕获。这些标准还明确规定，主要关键基础设施资产的责任实体应对其拥有或运营的数据存储系统负责。

Thales 如何协助遵守《SOCI法案》（修正案）

Thales 的解决方案可以通过简化合规性和自动化安全性来减轻安全和合规团队的负担，从而帮助组织遵守 SOCI 法案。

我们在网络安全的三个关键领域提供全面的网络安全解决方案：应用程序安全、数据安全以及身份和访问管理。

• 应用程序安全

  在云端、本地或混合模式下大规模保护应用程序和 API。我们市场领先的产品套件包括 Web 应用程序防火墙 (WAF)、针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的保护、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。

  
  

• 数据安全

  发现并分类混合 IT 中的敏感数据，并使用加密标记化和密钥管理，随时随地自动保护这些数据，无论其处于静态、动态还是使用中。Thales 的解决方案还能识别、评估潜在风险并确定其优先级，从而实现准确的风险评估，识别异常行为，并监控活动以验证合规性，从而使组织能够确定工作重点。

  
  

• 身份和访问管理

  为客户、员工和合作伙伴提供无缝、安全且值得信赖的应用程序和数字服务访问。我们的解决方案根据内部和外部用户的角色和环境限制其访问权限，并采用精细的访问策略和多重身份验证，帮助确保在正确的时间向正确的用户授予对正确资源的访问权限。

  
  

满足 SOCI 法案（修正案）的要求 - 附表 1

发现业务关键数据（数据存储和应用程序数据）

• Thales 如何提供帮助：

• 发现并分类所有公共、私有和影子 API 的潜在风险。

• 识别本地和云中存在风险的结构化和非结构化敏感数据。

• 确定当前的合规状态，记录差距，并提供完全合规的途径。

• 解决方案：

• 应用程序安全

• API 安全

• 数据安全

• 数据发现与分类

• 数据风险分析

• 漏洞管理

监控用户活动

• Thales 如何提供帮助：

• 跨云和本地系统的结构化和非结构化数据的数据活动监控。

• 生成所有系统的所有访问事件的审计跟踪和报告，并将日志流式传输到外部 SIEM 系统。

• 解决方案：

• 数据安全

• 数据活动监控

• 身份和访问管理

• 员工访问管理

保护关键业务数据

• Thales 如何提供帮助：

• 对本地、跨云以及大数据或容器环境中的静态数据进行加密。

• 使用高速加密保护移动中的数据。

• 全面了解敏感数据活动，跟踪谁有访问权限，审计他们在做什么，并记录下来。

• 解决方案：

• 数据安全

• 数据活动监控

• 数据治理

• 高速加密

• 密钥和机密管理

• 标记化

• 透明加密

访问控制

• Thales 如何提供帮助：

• 根据角色和上下文通过策略限制内部和外部用户对系统和数据的访问。

• 根据风险评分应用上下文安全措施。

• 利用智能卡实现对关键基础设施敏感设施的物理访问。

• 解决方案：

• 数据安全

• 数据风险分析

• 透明加密

• 身份和访问管理

• 员工访问管理

强大的身份验证机制

• Thales 如何提供帮助：

• 根据数据/应用程序的敏感度构建和部署自适应身份验证策略。

• 防范网络钓鱼和中间人攻击。

• 解决方案：

• 身份和访问管理

• 多重身份验证

• 基于风险的身份验证

• PKI 和 FIDO 身份验证器

保护秘密和加密密钥

• Thales 如何提供帮助：

• 在 FIPS 140-2 Level 3 / FIPS 140-3 Level 3 环境中保护加密密钥。

• 简化云和本地环境中的密钥管理。

• 管理和保护所有秘密和敏感凭证。

• 解决方案：

• 数据安全

• 硬件安全模块（HSM）

• 密钥管理

• 机密管理

作为Thales的合作伙伴，揽阁信息与您一同解决合规性要求的各类问题，欢迎联系揽阁信息获取更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 2026年密钥安全的新挑战和应对
• 泰国：在金融服务业合规方面应对前所未有的数字化增长
• 哪些国家和地区的合规性可以使用Luna HSM进行满足？
• 2025年的全球合规趋势
• Thales Luna HSM v7.8.5 获得 eIDAS合规通用标准 EAL4+ 认证
• 从合规到信心：我们助您顺利满足 ISO/IEC 27001:2022 标准