您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
關鍵信息基礎設施安全檢查
摘 要 / Abstract”
關鍵信息基礎設施安全保護制度是黨中央有關文件和《中華人民共和國網(wǎng)絡安全法》確定的基本制度。在當前嚴峻的網(wǎng)絡安全形勢下,全面摸清關鍵信息基礎設施底數(shù),準確了解關鍵信息基礎設施安全現(xiàn)狀,確定其信息資產(chǎn)的價值、敏感性和嚴重性,分析發(fā)生威脅時潛在的損失或破壞,為全面掌握關鍵信息基礎設施網(wǎng)絡安全風險提供依據(jù)。近年來,各單位、各部門按照相關法律法規(guī)規(guī)定,開展了關鍵信息基礎設施的安全檢查和整改工作,全面加強了網(wǎng)絡安全工作,切實保障國家關鍵信息基礎設施的安全。主要介紹關鍵信息基礎設施安全檢查的方法原則、重點內(nèi)容、風險分析、質(zhì)量管控等幾個方面。
內(nèi)容目錄:
0 引 言
1 關鍵信息基礎設施安全檢查的基本原則
2 關鍵信息基礎設施安全檢查的方法
2.1 現(xiàn)場檢查
2.2 遠程檢查
2.3 檢查技術方法
3 關鍵信息基礎設施安全檢查的主要內(nèi)容
3.1 網(wǎng)絡安全管理情況檢查內(nèi)容、
3.2 安全技術防護情況檢查內(nèi)容
3.3 安全檢查工作重點
4 關鍵信息基礎設施安全風險分析
5 關鍵信息基礎設施安全檢查工作質(zhì)量和風險管控
5.1 質(zhì)量管控
5.2 風險管控
6 關鍵信息基礎設施安全檢查的創(chuàng)新建議
7 結 語
Vol.0 引 言
隨著新技術、新應用的發(fā)展,在給人們?nèi)粘I顜肀憷耐瑫r,公共通信和信息服務、教育、交通、金融、公共服務、電子政務等重要行業(yè)和領域的關鍵信息基礎設施面臨的網(wǎng)絡安全威脅也不斷升級,一旦遭到破壞或數(shù)據(jù)泄露等,可能嚴重危害國家安全、國計民生和公共利益,故網(wǎng)絡安全法明確對關鍵信息基礎設施實行重點保護。因此,關鍵信息基礎設施的運營者要貫徹落實習近平總書記關于“加快構建關鍵信息基礎設施安全保障體系”“全面加強網(wǎng)絡安全檢查,摸清家底,認清風險,找出漏洞,通報結果,督促整改”的重要指示精神,認真落實檢查要求、全面摸清關鍵信息基礎設施底數(shù),確保各項要求落實落細;通過檢查評估,準確了解重點網(wǎng)站、企業(yè)的網(wǎng)絡和系統(tǒng)安全現(xiàn)狀,確定其信息資產(chǎn)的價值、敏感性和嚴重性,分析發(fā)生威脅時潛在的損失或破壞,明晰被檢查對象及其管理單位的安全需求,安全檢查不僅指導被檢查單位制定網(wǎng)絡和系統(tǒng)安全策略以及安全解決方案,建立信息安全保障體系,也推動了被檢查單位未來的安全建設和投入。
Vol.1 關鍵信息基礎設施安全檢查的基本原則
關鍵信息基礎設施安全檢查以安全風險為出發(fā)點,對被檢查對象的安全性和可能存在的風險進行檢測評估。關鍵信息基礎設施的運營者開展檢查工作有兩種形式,自行或者委托網(wǎng)絡安全服務機構。工作基本原則包括標準性原則、可控性原則、完整性原則、最小影響原則和保密原則。開展檢查工作遵循國家、行業(yè)和組織相關標準開展檢查評估工作,在檢查實施過程中,應保證參與實施的人員、使用的技術、工具和過程都是可控的。檢查評估方案要充分考慮整個實施過程中的所有環(huán)節(jié),做到統(tǒng)籌兼顧,細節(jié)清楚。檢查評估的所有階段,要保證實施工作對系統(tǒng)正常運行的可能影響降低到最低限度,不會對目前的業(yè)務系統(tǒng)運行造成明顯的影響。委托第三方機構的,特別要注意保密的原則,檢查評估的所有階段,均要求嚴格遵循保密原則,檢查過程中涉及的任何用戶信息均屬保密信息,不得泄露給其他單位或個人,不得利用這些信息損害被檢查單位利益。須與被檢單位簽訂保密協(xié)議,承諾未經(jīng)允許不向其他任何方泄露有關信息系統(tǒng)的信息。
Vol.2 關鍵信息基礎設施安全檢查的方法
檢查方法的選擇主要依據(jù)安全檢查的相關標準和規(guī)范,主要分為現(xiàn)場檢查和遠程檢查兩種方式,現(xiàn)場檢查主要是對網(wǎng)絡安全管理情況的檢查和網(wǎng)絡安全技術防護情況的檢查,檢查關鍵信息基礎設施登記表和網(wǎng)絡安全自查表,開展文檔審查、人員訪談、核查驗證、現(xiàn)場察看、安全檢測等工作。遠程檢查主要對接入互聯(lián)網(wǎng)的被檢關鍵信息基礎設施進行外部檢測,重點檢查安全漏洞和安全隱患,檢驗安全防護措施的有效性。
2.1 現(xiàn)場檢查
現(xiàn)場檢查各項工作集中方式同步開展,獲取檢查結果。文檔審查主要包括自查工作開展、安全問題整改、被檢關鍵信息基礎設施運行安全防護措施及策略信息等相關資料。人員訪談是通過與運維人員和安全管理人員進行交談和問詢,了解被檢關鍵信息基礎設施技術和管理方面的基本信息、近一個月的運行狀況,并對一些抽測內(nèi)容進行確認。核查驗證主要對需要上機確認的信息進行核實,對人員訪談和文檔審核中獲得的信息進行驗證?,F(xiàn)場察看是對被檢關鍵信息基礎設施運行環(huán)境、運維工作環(huán)境等進行現(xiàn)場查看。安全檢測是根據(jù)實際情況,檢查人員按照相關要求對被檢關鍵信息基礎設施進行檢測,包括漏洞掃描、配置檢查、日志與記錄分析等。
2.2 遠程檢查
遠程檢查的方法包括對選定的網(wǎng)段和主機、服務器進行安全掃描、使用協(xié)議分析儀分析網(wǎng)絡數(shù)據(jù)、使用安全工具檢測Web應用程序漏洞、組織專業(yè)技術力量進行滲透測試等。
2.3 檢查技術方法
被檢查對象一般包含信息系統(tǒng)和工業(yè)控制系統(tǒng),檢查工作主要涉及的技術方法如表 1 所示:
Vol.3 關鍵信息基礎設施安全檢查的主要內(nèi)容
關鍵信息基礎設施安全檢查需求主要包括兩個方面:網(wǎng)絡安全管理情況檢查和安全技術防護情況檢查。檢查主要內(nèi)容包括網(wǎng)絡安全管理情況、技術防護情況、應急處理情況、宣傳教育培訓情況、等級保護工作落實有效性情況、商用密碼使用情況、安全問題整改情況、風險分析量化(定性、定量)和風險管理等,所以檢查范圍涉及關鍵信息基礎設施的各個方面,包括物理環(huán)境、網(wǎng)絡結構、應用系統(tǒng)、數(shù)據(jù)庫、服務器及網(wǎng)絡安全設備的安全性、安全產(chǎn)品和技術的應用狀況以及管理體系是否完善等,同時對管理風險、綜合安全風險以及應用系統(tǒng)安全性進行評估。檢查原則上應全面覆蓋服務器、網(wǎng)絡設備、安全設備和安全系統(tǒng)、系統(tǒng)軟件、應用系統(tǒng),實際也可依據(jù)被檢系統(tǒng)的影響度等級、數(shù)量和分布情況采取抽樣方式進行,抽樣方式及檢查覆蓋面須同被檢單位溝通后共同確認。
3.1 網(wǎng)絡安全管理情況檢查內(nèi)容
重點分析被檢單位網(wǎng)絡與信息系統(tǒng)網(wǎng)絡安全管理與組織情況。檢查內(nèi)容可參考如下。
(1)安全組織:檢查網(wǎng)絡安全組織機構、網(wǎng)絡安全崗位建立情況和主管領導、工作人員職責落實情況。
(2)規(guī)章制度:檢查下發(fā)的網(wǎng)絡安全相關制度及本單位自行制定的安全規(guī)章制度的落實情況。
(3)資產(chǎn)分類與控制:檢查信息資產(chǎn)的登記情況和分類情況。
(4)人員安全:包括工作職責和人員考察。檢查在工作人員錄用、在職和調(diào)離的全過程中,相關的網(wǎng)絡安全和保密規(guī)章制度的建立和落實情況;檢查工作人員網(wǎng)絡安全教育與培訓開展情況,包括網(wǎng)絡安全意識教育、網(wǎng)絡安全技能培訓和網(wǎng)絡安全管理培訓等;第三方訪問安全檢查針對第三方訪問的風險評估情況,檢查相關管理規(guī)定的制定和落實情況。檢查對違反網(wǎng)絡安全規(guī)定的行為和網(wǎng)絡安全事故的查處情況。
(5)應急響應與安全事件:檢查應急響應機構和制度建立情況以及網(wǎng)絡安全應急演練開展情況;檢查重要設備的木馬、病毒查殺和系統(tǒng)漏洞修復情況;檢查本單位發(fā)生的網(wǎng)絡安全事件情況。
(6)網(wǎng)絡安全經(jīng)費保障情況:檢查網(wǎng)絡安全經(jīng)費的預算與落實情況以及在信息化建設預算中所占的比例。
(7)整改工作落實情況:回看上次檢查工作發(fā)現(xiàn)的問題整改跟進情況,檢查掌握隱患和整改后的核查機制、檢查通報機制。
3.2 安全技術防護情況檢查內(nèi)容
重點分析單位網(wǎng)絡架構的合理性、邊界防護的強健性、安全策略配置的有效性、重要數(shù)據(jù)存儲傳輸?shù)陌踩?、云計算等信息技術外包服務的可控性。檢查內(nèi)容可參考如下。
(1)網(wǎng)絡結構防護情況:檢測被檢單位網(wǎng)絡區(qū)域劃分、網(wǎng)絡形態(tài)以及網(wǎng)絡安全防護策略等情況;被檢單位網(wǎng)絡拓撲、區(qū)域劃分情況;被檢單位網(wǎng)絡邊界劃分與防護情況;被檢單位無線網(wǎng)絡應用與安全情況。
(2)網(wǎng)絡設備檢查:被檢對象網(wǎng)絡設備安全策略配置情況及有效性檢驗。對核心交換機的安全配置、口令策略、開放服務、VALN劃分、訪問控制列表、端口過濾、日志記錄、冗余備份等內(nèi)容進行安全檢查;對路由器的安全配置、口令策略、設置管理口令、口令更換、開放的服務、不明路由、高位端口屏蔽、日志功能、對安全事件的記錄、熱/冷備份等內(nèi)容進行安全檢查。
(3)安全設備檢查:安全設備安全策略配置情況及有效性檢驗。檢查防火墻和 IDS 的用戶管理、系統(tǒng)配置、安全策略、日志審計、規(guī)范和操作流程、變更管理、遠程控制、操作記錄等;檢查防病毒系統(tǒng)分發(fā)管理、事件響應、升級管理、事件記錄等情況;檢查漏洞掃描工具、執(zhí)行、制度、記錄、范圍、漏洞修復情況;檢查審計系統(tǒng)和數(shù)據(jù)庫、主要服務器、網(wǎng)絡設備等日志功能,審查記錄制度的執(zhí)行情況。
(4)設備安全配置檢查:檢查服務器及終端安全策略與安全配置有效性情況。檢查各類型服務器操作系統(tǒng)安全防護級別、操作系統(tǒng)安全漏洞、補丁程序安全服務、系統(tǒng)配置關閉開啟情況、用戶管理、安全策略、日志審計、操作記錄、病毒、木馬程序等情況;檢查數(shù)據(jù)庫系統(tǒng)漏洞、補丁程序安裝情況;數(shù)據(jù)庫口令設置的復雜度與數(shù)據(jù)的機密性和完整性情況。
(5)應用安全配置情況:檢查系統(tǒng)應用軟件安全策略與配置有效性情況、應用的安全性、安全配置、補丁程序、日志審計及輔助安全措施等情況;檢查應用身份認證、訪問控制、代碼安全等情況。
(6)數(shù)據(jù)傳輸存儲情況:檢測被檢系統(tǒng)重要數(shù)據(jù)傳輸、存儲保護情況。重要數(shù)據(jù)類型、傳輸方式與采取的保護措施情況;重要數(shù)據(jù)容災備份措施;重要數(shù)據(jù)存儲介質(zhì)、存儲方式、形式等保護措施;重要數(shù)據(jù)加密類型、加密內(nèi)容及有效性措施。
(7)云計算安全管理檢查:檢測被檢單位云計算等信息技術的使用和安全管理情況,信息技術外包服務與安全管理情況,分析其可控性。檢查對云計算中心物理資源和虛擬資源運行狀態(tài)和性能的監(jiān)控能力;從資源可用性角度對基礎設施資源、云服務、虛擬資源進行檢查;檢查安全預警信息發(fā)布能力;檢查依據(jù)準入策略控制設備接入的能力,保證接入設備的合法性和安全性;檢查具備對虛擬機的安全狀況進行檢查的能力等。
(8)工業(yè)控制終端基本情況和系統(tǒng)網(wǎng)絡安全保護情況:檢查工業(yè)控制終端的配置、使用協(xié)議、固件版本等情況;對工程師站、操作員站、服務器及數(shù)據(jù)庫等進行漏洞掃描及病毒檢查。
(9)商用密碼應用情況檢查:檢查系統(tǒng)中密碼算法使用,符合法律法規(guī)規(guī)定和密碼相關國家標準、行業(yè)標準的有關要求情況;檢查系統(tǒng)中密碼技術使用,遵循密碼相關國家標準和行業(yè)標準情況;檢查密碼設備的用途以及使用、管理符合國家相關法律法規(guī)的情況,核查密碼設備是否正常運行、密碼設備是否取得由市場監(jiān)管總局牽頭,會同國家密碼管理局制定發(fā)布國推商用密碼認證的產(chǎn)品目錄。信息系統(tǒng)中使用的密碼服務是否通過國家密碼管理部門許可。
3.3 安全檢查工作重點
安全檢查工作重點主要包括信息收集、安全檢查要素設別、安全技術檢測及滲透測試和風險分析四個方面。
(1)信息收集:通過文檔審核、人員訪談、核查驗證、現(xiàn)場查看等方式全面獲取被檢查系統(tǒng)運行期間相關信息,特別是近一個月內(nèi)信息系統(tǒng)運行中出現(xiàn)的各類安全事件信息,為風險識別與分析做準備。
(2)安全檢查要素設別:安全檢查要素識別主要以檢查依據(jù)為標準,以國家網(wǎng)絡安全檢查操作指南等為依據(jù),完成系統(tǒng)的資產(chǎn)識別、威脅識別、脆弱性識別。
(3)安全技術檢測及滲透測試:發(fā)現(xiàn)信息系統(tǒng)存在的脆弱點,進一步驗證每個脆弱點風險大小的重要檢測手段。安全檢查過程中,滲透測試將作為其中一個重要檢測過程。
(4)風險分析:主要根據(jù)所收集到的各種系統(tǒng)信息,對系統(tǒng)面臨的風險進行綜合性定性定量分析,得出系統(tǒng)網(wǎng)絡安全風險評估結果。
Vol.4 關鍵信息基礎設施安全風險分析
關鍵信息基礎設施安全檢查的風險分析主要依據(jù)國家風險評估標準,參考風險評估的過程執(zhí)行,通過風險評估,掌握被檢設施及單位的整體安全現(xiàn)狀;通過資產(chǎn)評估,掌握被檢單位的網(wǎng)絡信息安全資產(chǎn)狀況,并錄入資產(chǎn)庫,進行資產(chǎn)梳理;通過威脅評估,掌握被檢單位存在的安全威脅情況;通過脆弱性評估,掌握被檢單位當前業(yè)務系統(tǒng)存在的脆弱性;對各個業(yè)務系統(tǒng)進行綜合風險分析,掌握風險情況,提出分系統(tǒng)的安全解決方案;提出各個系統(tǒng)的風險處置解決方案。
采用專業(yè)的人工和技術工具評估,分析關鍵信息基礎設施存在哪些威脅,根據(jù)所存在的威脅,來確定需要達到哪些系統(tǒng)安全目標才能保證關鍵信息基礎設施網(wǎng)絡能夠抵擋預期的安全威脅。
關鍵信息基礎設施安全檢查當前重點注意的安全風險是:防護體系缺乏規(guī)劃,堆疊安全設備,缺乏一體化、系統(tǒng)化建設規(guī)劃;網(wǎng)絡設備策略配置,未結合實際需要細化策略,導致內(nèi)部服務設施遭受攻擊。制度落實仍需加強,普遍存在弱口令等不執(zhí)行制度的情況;普遍缺乏對可移動存儲介質(zhì)的管控。工控系統(tǒng)防護薄弱,存在大量使用明文傳輸賬號口令;國產(chǎn)化情況形勢嚴峻,操作系統(tǒng)、CPU、數(shù)據(jù)庫國產(chǎn)化率均不足。
Vol.5 關鍵信息基礎設施安全檢查
工作質(zhì)量和風險管控
質(zhì)量為安全檢查的核心,風險管控是檢查管理的重要組成部分,質(zhì)量和風險管控貫穿整個檢查工作生命周期。
5.1 質(zhì)量管控
在整個檢查工作的實施過程中,可采用項目負責人質(zhì)量控制和質(zhì)量管理質(zhì)量控制的方法全面保證整個檢查工作的質(zhì)量。
(1)項目負責人質(zhì)量控制:項目負責人不但要負責技術方案的制訂、技術方向的把握和技術問題的解決,同時也是質(zhì)量控制的第一層把關者。要按照驗收標準每周對檢查工作實施工程師提交的工作日志進行批閱,并將之與實際檢查工作執(zhí)行情況進行比對。如果出現(xiàn)質(zhì)量不符合要求的情況,技術負責人有責任指出并督促實施工程師予以修正。
(2)質(zhì)量管理質(zhì)量控制:質(zhì)量管理是獨立的質(zhì)量控制小組。在檢查工作實施的過程中,成立質(zhì)量控制小組,到被檢單位實施現(xiàn)場進行質(zhì)量檢驗,并將檢驗結果同工程師的工作業(yè)績考評聯(lián)系起來。
5.2 風險管控
檢查工作的風險主要來自檢查過程的不確定性、安全檢查實施人員素質(zhì)、客戶工作環(huán)境的特殊要求、檢查工具使用等。在檢查實施之前,應該充分考慮各種風險因素,識別檢查工作中存在的各種風險,制定風險規(guī)避措施和風險計劃。典型的風險因素和規(guī)避方法如下。
(1)安全檢查過程的不確定性:由于被檢查單位的操作系統(tǒng)版本和應用情況不同,造成不能實施完全統(tǒng)一的服務過程,需要考慮具體應用。可考慮規(guī)避方法為實施數(shù)據(jù)備份和主機設備的熱備份,在發(fā)生意外時進行恢復;使用自動化的商業(yè)測評工具,增加服務過程的自適應性;由被檢單位人員進行手工配置檢查。
(2)客戶工作環(huán)境的不確定性:由于被檢查單位的設備處于業(yè)務運行狀態(tài),服務實施時可能需要避開業(yè)務高峰時段。可考慮規(guī)避方法為與客戶協(xié)商,避開業(yè)務高峰時段實施服務,例如在夜間工作;通過實施備份保證業(yè)務連續(xù)性。
(3)檢查人員素質(zhì):實施檢查評估的人員經(jīng)驗能力,使服務過程效率和質(zhì)量出現(xiàn)差別。可考慮規(guī)避方法為嚴格按照檢查要求內(nèi)容和風險評估流程進行檢查,要完全遵循日常作業(yè)指導書進行實施,盡量減小人為原因?qū)z查工作造成的影響;通過技術交流和實施培訓,提高服務人員素質(zhì),質(zhì)量控制組負責對測評結果進行抽查。
(4)檢查工具使用:實施檢查評估的人員所攜帶的筆記本電腦、PC機等電子設備安全防護軟件未安裝到位,利用存儲設備對評估數(shù)據(jù)進行復制,造成敏感信息泄露??煽紤]規(guī)避方法為安全檢查人員使用的筆記本電腦、PC機需要安裝相應的安全防護軟件,辦理領用登記手續(xù);在進行檢查之前進行崗前培訓和安全意識宣貫;明確責任人,檢查過程所需的數(shù)據(jù)統(tǒng)一由項目負責人收集,所有人員必須簽署保密協(xié)議;檢查相關報告、文檔等由配置管理員統(tǒng)一歸檔管理并進行保密存儲。
Vol.6 關鍵信息基礎設施安全檢查的創(chuàng)新建議
全面的檢查工作可聚焦行業(yè)、區(qū)域總體態(tài)勢感知新要求,深入細致開展工作,有效組織管理和技術風險管控,確保生產(chǎn)業(yè)務正常進行。對檢查工作的三點建議如下。
(1)通過強大的威脅情報支撐安全檢查:建議可與國內(nèi)的安全廠商建立良好的合作關系,共享第一手威脅情報,獲取最新的漏洞、攻擊手段,用以支撐安全檢查過程中新型威脅的檢測能力。
(2)采用態(tài)勢感知技術掌握整體安全情況:使用態(tài)勢感知技術對被檢查對象進行全方位的態(tài)勢呈現(xiàn),為檢查、測試提供指導。
(3)多域多維度開展安全檢查:創(chuàng)新檢查工作和檢查手段,從邏輯域延伸檢查范圍至物理域和社會域,更精準反映整體安全態(tài)勢。
Vol.7 結 語
現(xiàn)階段已專門出臺針對關鍵信息基礎設施網(wǎng)絡安全的法規(guī)和標準,《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》、公安部1960號《貫徹落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》等,《關鍵信息基礎設施安全保護條例(征求意見稿)》也建立健全“關基”安全檢測評估制度,對工業(yè)控制系統(tǒng)、云計算環(huán)境、電子商務等新型業(yè)務環(huán)境建立相關安全防護準則。我們須從國家、省市、單位統(tǒng)一規(guī)劃網(wǎng)絡安全、密碼安全防控體系,在體系規(guī)劃、設計、研制、部署和實施階段充分融入安全要素,改變“先上信息系統(tǒng)、后加安全產(chǎn)品”的局面。建立安全責任制,落實巡視制度,加大網(wǎng)絡安全責任制的監(jiān)督和查處力度,切實落實安全責任制,從根本上保護好國家關鍵信息基礎設施。
引用本文:王娟,陳爽,張景明.關鍵信息基礎設施安全檢查[J].信息安全與通信保密,2021(6):52-59.
作者簡介 >>>
王 娟(1980—),女,碩士,工程師,主要研究方向為計算機應用技術、網(wǎng)絡安全;
陳 爽(1980—),男,學士,主要研究方向為計算機技術、密碼技術;
張景明(1987—),男,碩士,工程師,主要研究方向為網(wǎng)絡安全。
選自《信息安全與通信保密》2021年第6期(為便于排版,已省去原文參考文獻)
文章來源: 信息安全與通信保密雜志社