如何开展关键信息基础设施安全检查
如何开展关键信息基础设施安全检查
摘 要
关键信息基础设施安全保护制度是《⽹络安全法》确定的基本制度。在当前严峻的⽹络安全形势下,全⾯摸清关键信息基础设施底数,准确了解关键信息基础设施安全现状,确定其信息资产的价值、敏感性和严重性,分析发⽣威胁时潜在的损失或破坏,为全⾯掌握关键信息基础设施⽹络安全风险提供依据。近年来,各单位、各部门按照相关法律法规规定,开展了关键信息基础设施的安全检查和整改⼯作,全⾯加强了⽹络安全⼯作,切实保障国家关键信息基础设施的安全。主要介绍关键信息基础设施安全检查的⽅法原则、重点内容、风险分析、质量管控等⼏个⽅⾯。
内容⽬录:
0 引 ⾔
文件夹打不开1 关键信息基础设施安全检查的基本原则
2 关键信息基础设施安全检查的⽅法
2.1 现场检查
2.2 远程检查
2.3 检查技术⽅法
3 关键信息基础设施安全检查的主要内容
3.1 ⽹络安全管理情况检查内容
3.2 安全技术防护情况检查内容
3.3 安全检查⼯作重点
4 关键信息基础设施安全风险分析
5 关键信息基础设施安全检查⼯作质量和风险管控
5.1 质量管控
5.2 风险管控
6 关键信息基础设施安全检查的创新建议
7 结 语
Vol.0
引 ⾔
随着新技术、新应⽤的发展,在给⼈们⽇常⽣活带来便利的同时,公共通信和信息服务、教育、交通、⾦融、公共服务、电⼦政务等重要⾏业和领域的关键信息基础设施⾯临的⽹络安全威胁也不断升级,⼀旦遭到破坏或数据泄露等,可能严重危害国家安全、国计民⽣和公共利益,故⽹络安全法明确对关键信息基础设施实⾏重点保护。因此,关键信息基础设施的运营者要贯彻落实关于“加快构建关键信息基础设施安全保障体系”“全⾯加强⽹络安全检查,摸清家底,认清风险,出漏洞,通报结果,督促整改”的重要指⽰精神,认真落实检查要求、全⾯摸清关键信息基础设施底数,确保各项要求落实落细;通过检查评估,准确了解重点⽹站、企业的⽹络和系统安全现状,确定其信息资产的价值、敏感性和严重性,分析发⽣威胁时潜在的损失或破坏,明晰被检查对象及其管理单位的安全需求,安全检查不仅指导被检查单位
严重性,分析发⽣威胁时潜在的损失或破坏,明晰被检查对象及其管理单位的安全需求,安全检查不仅指导被检查单位制定⽹络和系统安全策略以及安全解决⽅案,建⽴信息安全保障体系,也推动了被检查单位未来的安全建设和投⼊。
Vol.1
关键信息基础设施安全检查的基本原则
关键信息基础设施安全检查以安全风险为出发点,对被检查对象的安全性和可能存在的风险进⾏检测评估。关键信息基础设施的运营者开展检查⼯作有两种形式,⾃⾏或者委托⽹络安全服务机构。⼯作基本原则包括标准性原则、可控性原则、完整性原则、最⼩影响原则和保密原则。开展检查⼯作遵循国家、⾏业和组织相关标准开展检查评估⼯作,在检查实施过程中,应保证参与实施的⼈员、使⽤的技术、⼯具和过程都是可控的。检查评估⽅案要充分考虑整个实施过程中的所有环节,做到统筹兼顾,细节清楚。检查评估的所有阶段,要保证实施⼯作对系统正常运⾏的可能影响降低到最低限度,不会对⽬前的业务系统运⾏造成明显的影响。委托第三⽅机构的,特别要注意保密的原则,检查评估的所有阶段,均要求严格遵循保密原则,检查过程中涉及的任何⽤户信息均属保密信息,不得泄露给其他单位或个⼈,不得利⽤这些信息损害被检查单位利益。须与被检单位签订保密协议,承诺未经允许不向其他任何⽅泄露有关信息系统的信息。
Vol.2
关键信息基础设施安全检查的⽅法
检查⽅法的选择主要依据安全检查的相关标准和规范,主要分为现场检查和远程检查两种⽅式,现场检查主要是对⽹络安全管理情况的检查和⽹络安全技术防护情况的检查,检查关键信息基础设施登记表和⽹络安全⾃查表,开展⽂档审查、⼈员访谈、核查验证、现场察看、安全检测等⼯作。远程检查主要对接⼊互联⽹的被检关键信息基础设施进⾏外部检测,重点检查安全漏洞和安全隐患,检验安全防护措施的有效性。
2.1 现场检查
现场检查各项⼯作集中⽅式同步开展,获取检查结果。⽂档审查主要包括⾃查⼯作开展、安全问题整改、被检关键信息基础设施运⾏安全防护措施及策略信息等相关资料。⼈员访谈是通过与运维⼈员和安全管理⼈员进⾏交谈和问询,了解被检关键信息基础设施技术和管理⽅⾯的基本信息、近⼀个⽉的运⾏状况,并对⼀些抽测内容进⾏确认。核查验证主要对需要上机确认的信息进⾏核实,对⼈员访谈和⽂档审核中获得的信息进⾏验证。现场察看是对被检关键信息基础设施运⾏环境、运维⼯作环境等进⾏现场查看。安全检测是根据实际情况,检查⼈员按照相关要求对被检关键信息基础设施进⾏检测,包括漏洞扫描、配置检查、⽇志与记录分析等。
2.2 远程检查
远程检查的⽅法包括对选定的⽹段和主机、服务器进⾏安全扫描、使⽤协议分析仪分析⽹络数据、使
⽤安全⼯具检测Web应⽤程序漏洞、组织专业技术⼒量进⾏渗透测试等。
2.3 检查技术⽅法
被检查对象⼀般包含信息系统和⼯业控制系统,检查⼯作主要涉及的技术⽅法如表 1 所⽰:
Vol.3
关键信息基础设施安全检查的主要内容
关键信息基础设施安全检查需求主要包括两个⽅⾯:⽹络安全管理情况检查和安全技术防护情况检查。检查主要内容包括⽹络安全管理情况、技术防护情况、应急处理情况、宣传教育培训情况、等级保护⼯作落实有效性情况、商⽤密码使如何制作光盘
括⽹络安全管理情况、技术防护情况、应急处理情况、宣传教育培训情况、等级保护⼯作落实有效性情况、商⽤密码使⽤情况、安全问题整改情况、风险分析量化(定性、定量)和风险管理等,所以检查范围涉及关键信息基础设施的各个⽅⾯,包括物理环境、⽹络结构、应⽤系统、数据库、服务器及⽹络安全设备的安全性、安全产品和技术的应⽤状况以及管理体系是否完善等,同时对管理风险、综合安全风险以及应⽤系统安全性进⾏评估。检查原则上应全⾯覆盖服务器、⽹络设备、安全设备和安全系统、系统软件、应⽤系统,实际也可依据被检系统的影响度等级、数量和分布情况采取抽样⽅式进⾏,抽样⽅式及检查覆盖⾯须同被检单位沟通后共同确认。
3.1 ⽹络安全管理情况检查内容
重点分析被检单位⽹络与信息系统⽹络安全管理与组织情况。检查内容可参考如下。
(1)安全组织:检查⽹络安全组织机构、⽹络安全岗位建⽴情况和主管领导、⼯作⼈员职责落实情况。
(2)规章制度:检查下发的⽹络安全相关制度及本单位⾃⾏制定的安全规章制度的落实情况。
(3)资产分类与控制:检查信息资产的登记情况和分类情况。
(4)⼈员安全:包括⼯作职责和⼈员考察。检查在⼯作⼈员录⽤、在职和调离的全过程中,相关的
⽹络安全和保密规章制度的建⽴和落实情况;检查⼯作⼈员⽹络安全教育与培训开展情况,包括⽹络安全意识教育、⽹络安全技能培训和⽹络安全管理培训等;第三⽅访问安全检查针对第三⽅访问的风险评估情况,检查相关管理规定的制定和落实情况。检查对违反⽹络安全规定的⾏为和⽹络安全事故的查处情况。
(5)应急响应与安全事件:检查应急响应机构和制度建⽴情况以及⽹络安全应急演练开展情况;检查重要设备的⽊马、病毒查杀和系统漏洞修复情况;检查本单位发⽣的⽹络安全事件情况。
(6)⽹络安全经费保障情况:检查⽹络安全经费的预算与落实情况以及在信息化建设预算中所占的⽐例。
(7)整改⼯作落实情况:回看上次检查⼯作发现的问题整改跟进情况,检查掌握隐患和整改后的核查机制、检查通报机制。
3.2 安全技术防护情况检查内容
怎样网上订购火车票重点分析单位⽹络架构的合理性、边界防护的强健性、安全策略配置的有效性、重要数据存储传输的安全性、云计算等信息技术外包服务的可控性。检查内容可参考如下。
(1)⽹络结构防护情况:检测被检单位⽹络区域划分、⽹络形态以及⽹络安全防护策略等情况;被
检单位⽹络拓扑、区域划分情况;被检单位⽹络边界划分与防护情况;被检单位⽆线⽹络应⽤与安全情况。
(2)⽹络设备检查:被检对象⽹络设备安全策略配置情况及有效性检验。对核⼼交换机的安全配置、⼝令策略、开放服务、VALN划分、访问控制列表、端⼝过滤、⽇志记录、冗余备份等内容进⾏安全检查;对路由器的安全配置、⼝令策略、设置管理⼝令、⼝令更换、开放的服务、不明路由、⾼位端⼝屏蔽、⽇志功能、对安全事件的记录、热/冷备份等内容进⾏安全检查。
(3)安全设备检查:安全设备安全策略配置情况及有效性检验。检查防⽕墙和IDS 的⽤户管理、系统配置、安全策略、⽇志审计、规范和操作流程、变更管理、远程控制、操作记录等;检查防病毒系统分发管理、事件响应、升级管理、事件记录等情况;检查漏洞扫描⼯具、执⾏、制度、记录、范围、漏洞修复情况;检查审计系统和数据库、主要服务器、⽹络设备等⽇志功能,审查记录制度的执⾏情况。
(4)设备安全配置检查:检查服务器及终端安全策略与安全配置有效性情况。检查各类型服务器操作系统安全防护级别、操作系统安全漏洞、补丁程序安全服务、系统配置关闭开启情况、⽤户管理、安全策略、⽇志审计、操作记录、病毒、⽊马程序等情况;检查数据库系统漏洞、补丁程序安装情况;数据库⼝令设置的复杂度与数据的机密性和完整性情况。
(5)应⽤安全配置情况:检查系统应⽤软件安全策略与配置有效性情况、应⽤的安全性、安全配置、补丁程序、⽇志审计及辅助安全措施等情况;检查应⽤⾝份认证、访问控制、代码安全等情况。
(6)数据传输存储情况:检测被检系统重要数据传输、存储保护情况。重要数据类型、传输⽅式与采取的保护措施情
况;重要数据容灾备份措施;重要数据存储介质、存储⽅式、形式等保护措施;重要数据加密类型、加密内容及有效性措施。
(7)云计算安全管理检查:检测被检单位云计算等信息技术的使⽤和安全管理情况,信息技术外包服务与安全管理情况,分析其可控性。检查对云计算中⼼物理资源和虚拟资源运⾏状态和性能的监控能⼒;从资源可⽤性⾓度对基础设施资源、云服务、虚拟资源进⾏检查;检查安全预警信息发布能⼒;检查依据准⼊策略控制设备接⼊的能⼒,保证接⼊设备的合法性和安全性;检查具备对虚拟机的安全状况进⾏检查的能⼒等。
(8)⼯业控制终端基本情况和系统⽹络安全保护情况:检查⼯业控制终端的配置、使⽤协议、固件版本等情况;对⼯程师站、操作员站、服务器及数据库等进⾏漏洞扫描及病毒检查。
(9)商⽤密码应⽤情况检查:检查系统中密码算法使⽤,符合法律法规规定和密码相关国家标准、
⾏业标准的有关要求情况;检查系统中密码技术使⽤,遵循密码相关国家标准和⾏业标准情况;检查密码设备的⽤途以及使⽤、管理符合国家相关法律法规的情况,核查密码设备是否正常运⾏、密码设备是否取得由市场监管总局牵头,会同国家密码管理局制定发布国推商⽤密码认证的产品⽬录。信息系统中使⽤的密码服务是否通过国家密码管理部门许可。
3.3 安全检查⼯作重点
安全检查⼯作重点主要包括信息收集、安全检查要素设别、安全技术检测及渗透测试和风险分析四个⽅⾯。
(1)信息收集:通过⽂档审核、⼈员访谈、核查验证、现场查看等⽅式全⾯获取被检查系统运⾏期间相关信息,特别是近⼀个⽉内信息系统运⾏中出现的各类安全事件信息,为风险识别与分析做准备。
(2)安全检查要素设别:安全检查要素识别主要以检查依据为标准,以国家⽹络安全检查操作指南等为依据,完成系统的资产识别、威胁识别、脆弱性识别。
(3)安全技术检测及渗透测试:发现信息系统存在的脆弱点,进⼀步验证每个脆弱点风险⼤⼩的重要检测⼿段。安全检查过程中,渗透测试将作为其中⼀个重要检测过程。
(4)风险分析:主要根据所收集到的各种系统信息,对系统⾯临的风险进⾏综合性定性定量分析,得出系统⽹络安全风险评估结果。
Vol.4
关键信息基础设施安全风险分析
关键信息基础设施安全检查的风险分析主要依据国家风险评估标准,参考风险评估的过程执⾏,通过风险评估,掌握被检设施及单位的整体安全现状;通过资产评估,掌握被检单位的⽹络信息安全资产状况,并录⼊资产库,进⾏资产梳理;通过威胁评估,掌握被检单位存在的安全威胁情况;通过脆弱性评估,掌握被检单位当前业务系统存在的脆弱性;对各个业务系统进⾏综合风险分析,掌握风险情况,提出分系统的安全解决⽅案;提出各个系统的风险处置解决⽅案。
采⽤专业的⼈⼯和技术⼯具评估,分析关键信息基础设施存在哪些威胁,根据所存在的威胁,来确定需要达到哪些系统安全⽬标才能保证关键信息基础设施⽹络能够抵挡预期的安全威胁。
关键信息基础设施安全检查当前重点注意的安全风险是:防护体系缺乏规划,堆叠安全设备,缺乏⼀体化、系统化建设规划;⽹络设备策略配置,未结合实际需要细化策略,导致内部服务设施遭受攻击。制度落实仍需加强,普遍存在弱⼝令等不执⾏制度的情况;普遍缺乏对可移动存储介质的管控。
⼯控系统防护薄弱,存在⼤量使⽤明⽂传输账号⼝令;国产化情况形势严峻,操作系统、CPU、数据库国产化率均不⾜。
Vol.5
关键信息基础设施安全检查
⼯作质量和风险管控
质量为安全检查的核⼼,风险管控是检查管理的重要组成部分,质量和风险管控贯穿整个检查⼯作⽣命周期。
快手健康
5.1 质量管控
在整个检查⼯作的实施过程中,可采⽤项⽬负责⼈质量控制和质量管理质量控制的⽅法全⾯保证整个检查⼯作的质量。
(1)项⽬负责⼈质量控制:项⽬负责⼈不但要负责技术⽅案的制订、技术⽅向的把握和技术问题的解决,同时也是质量控制的第⼀层把关者。要按照验收标准每周对检查⼯作实施⼯程师提交的⼯作⽇志进⾏批阅,并将之与实际检查⼯作执⾏情况进⾏⽐对。如果出现质量不符合要求的情况,技术负责⼈有责任指出并督促实施⼯程师予以修正。
(2)质量管理质量控制:质量管理是独⽴的质量控制⼩组。在检查⼯作实施的过程中,成⽴质量控制⼩组,到被检单位实施现场进⾏质量检验,并将检验结果同⼯程师的⼯作业绩考评联系起来。
5.2 风险管控
检查⼯作的风险主要来⾃检查过程的不确定性、安全检查实施⼈员素质、客户⼯作环境的特殊要求、检查⼯具使⽤等。在检查实施之前,应该充分考虑各种风险因素,识别检查⼯作中存在的各种风险,制定风险规避措施和风险计划。典型的风险因素和规避⽅法如下。
(1)安全检查过程的不确定性:由于被检查单位的操作系统版本和应⽤情况不同,造成不能实施完全统⼀的服务过程,需要考虑具体应⽤。可考虑规避⽅法为实施数据备份和主机设备的热备份,在发⽣意外时进⾏恢复;使⽤⾃动化的商业测评⼯具,增加服务过程的⾃适应性;由被检单位⼈员进⾏⼿⼯配置检查。
(2)客户⼯作环境的不确定性:由于被检查单位的设备处于业务运⾏状态,服务实施时可能需要避开业务⾼峰时段。可考虑规避⽅法为与客户协商,避开业务⾼峰时段实施服务,例如在夜间⼯作;通过实施备份保证业务连续性。
(3)检查⼈员素质:实施检查评估的⼈员经验能⼒,使服务过程效率和质量出现差别。可考虑规避
⽅法为严格按照检查要求内容和风险评估流程进⾏检查,要完全遵循⽇常作业指导书进⾏实施,尽量减⼩⼈为原因对检查⼯作造成的影响;通过技术交流和实施培训,提⾼服务⼈员素质,质量控制组负责对测评结果进⾏抽查。
(4)检查⼯具使⽤:实施检查评估的⼈员所携带的笔记本电脑、PC机等电⼦设备安全防护软件未安装到位,利⽤存储设备对评估数据进⾏复制,造成敏感信息泄露。可考虑规避⽅法为安全检查⼈员使⽤的笔记本电脑、PC机需要安装相应的安全防护软件,办理领⽤登记⼿续;在进⾏检查之前进⾏岗前培训和安全意识宣贯;明确责任⼈,检查过程所需的数据统⼀由项⽬负责⼈收集,所有⼈员必须签署保密协议;检查相关报告、⽂档等由配置管理员统⼀归档管理并进⾏保密存储。
服装店装修风格
Vol.6
关键信息基础设施安全检查的创新建议
全⾯的检查⼯作可聚焦⾏业、区域总体态势感知新要求,深⼊细致开展⼯作,有效组织管理和技术风险管控,确保⽣产业务正常进⾏。对检查⼯作的三点建议如下。
厦门去鼓浪屿怎么订票
(1)通过强⼤的威胁情报⽀撑安全检查:建议可与国内的安全⼚商建⽴良好的合作关系,共享第⼀⼿威胁情报,获取最新的漏洞、攻击⼿段,⽤以⽀撑安全检查过程中新型威胁的检测能⼒。
(2)采⽤态势感知技术掌握整体安全情况:使⽤态势感知技术对被检查对象进⾏全⽅位的态势呈现,为检查、测试提供指导。
(3)多域多维度开展安全检查:创新检查⼯作和检查⼿段,从逻辑域延伸检查范围⾄物理域和社会域,更精准反映整体安全态势。
Vol.7
结 语
现阶段已专门出台针对关键信息基础设施⽹络安全的法规和标准,《中华⼈民共和国⽹络安全法》《中华⼈民共和国密码法》、公安部1960号《贯彻落实⽹络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等,《关键信

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。