关键信息基础设施安全保护制度是党中央有关文件和《中华人民共和国网络安全法》确定的基本制度。在当前严峻的网络安全形势下,全面摸清关键信息基础设施底数,准确了解关键信息基础设施安全现状,确定其信息资产的价值、敏感性和严重性,分析发生威胁时潜在的损失或破坏,为全面掌握关键信息基础设施网络安全风险提供依据。近年来,各单位、各部门按照相关法律法规规定,开展了关键信息基础设施的安全检查和整改工作,全面加强了网络安全工作,切实保障国家关键信息基础设施的安全。主要介绍关键信息基础设施安全检查的方法原则、重点内容、风险分析、质量管控等几个方面。
The Security Protection System of critical information infrastructure is the basic system determined by the relevant documents of the Central Committee of the Communist Party of China and the Cyber Security Law of China. Under the current severe cyber security situation, it is necessary to find out the bottom number of critical information infrastructure, accurately understand the security status of critical information infrastructure, and determine the value, sensitivity and severity of its information assets. This paper analyzes the potential loss or damage when the threat occurs, and provides the basis for the central government to master the cyber security risk of the critical information infrastructure. In recent years, all units and departments have, in accordance with relevant laws and regulations, carried out security inspection and rectification work on key information infrastructure facilities, comprehensively strengthened cyber security work, and earnestly guaranteed the security of the state’s key information infrastructure. This paper mainly introduces several aspects such as the method, principle, key content, risk analysis, quality control and so on.
随着新技术、新应用的发展,在给人们日常生活带来便利的同时,公共通信和信息服务、教育、交通、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施面临的网络安全威胁也不断升级,一旦遭到破坏或数据泄露等,可能严重危害国家安全、国计民生和公共利益,故网络安全法明确对关键信息基础设施实行重点保护。因此,关键信息基础设施的运营者要贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”的重要指示精神,认真落实检查要求、全面摸清关键信息基础设施底数,确保各项要求落实落细;通过检查评估,准确了解重点网站、企业的网络和系统安全现状,确定其信息资产的价值、敏感性和严重性,分析发生威胁时潜在的损失或破坏,明晰被检查对象及其管理单位的安全需求,安全检查不仅指导被检查单位制定网络和系统安全策略以及安全解决方案,建立信息安全保障体系,也推动了被检查单位未来的安全建设和投入。
一、关键信息基础设施安全检查的基本原则
关键信息基础设施安全检查以安全风险为出发点,对被检查对象的安全性和可能存在的风险进行检测评估。关键信息基础设施的运营者开展检查工作有两种形式,自行或者委托网络安全服务机构。工作基本原则包括标准性原则、可控性原则、完整性原则、最小影响原则和保密原则。开展检查工作遵循国家、行业和组织相关标准开展检查评估工作,在检查实施过程中,应保证参与实施的人员、使用的技术、工具和过程都是可控的。检查评估方案要充分考虑整个实施过程中的所有环节,做到统筹兼顾,细节清楚。检查评估的所有阶段,要保证实施工作对系统正常运行的可能影响降低到最低限度,不会对目前的业务系统运行造成明显的影响。委托第三方机构的,特别要注意保密的原则,检查评估的所有阶段,均要求严格遵循保密原则,检查过程中涉及的任何用户信息均属保密信息,不得泄露给其他单位或个人,不得利用这些信息损害被检查单位利益。须与被检单位签订保密协议,承诺未经允许不向其他任何方泄露有关信息系统的信息。
二、关键信息基础设施安全检查的方法
检查方法的选择主要依据安全检查的相关标准和规范,主要分为现场检查和远程检查两种方式,现场检查主要是对网络安全管理情况的检查和网络安全技术防护情况的检查,检查关键信息基础设施登记表和网络安全自查表,开展文档审查、人员访谈、核查验证、现场察看、安全检测等工作。远程检查主要对接入互联网的被检关键信息基础设施进行外部检测,重点检查安全漏洞和安全隐患,检验安全防护措施的有效性。
2.1 现场检查
现场检查各项工作集中方式同步开展,获取检查结果。文档审查主要包括自查工作开展、安全问题整改、被检关键信息基础设施运行安全防护措施及策略信息等相关资料。人员访谈是通过与运维人员和安全管理人员进行交谈和问询,了解被检关键信息基础设施技术和管理方面的基本信息、近一个月的运行状况,并对一些抽测内容进行确认。核查验证主要对需要上机确认的信息进行核实,对人员访谈和文档审核中获得的信息进行验证。现场察看是对被检关键信息基础设施运行环境、运维工作环境等进行现场查看。安全检测是根据实际情况,检查人员按照相关要求对被检关键信息基础设施进行检测,包括漏洞扫描、配置检查、日志与记录分析等。
2.2 远程检查
远程检查的方法包括对选定的网段和主机、服务器进行安全扫描、使用协议分析仪分析网络数据、使用安全工具检测Web应用程序漏洞、组织专业技术力量进行渗透测试等。
2.3 检查技术方法
被检查对象一般包含信息系统和工业控制系统,检查工作主要涉及的技术方法如表1所示:
三、关键信息基础设施安全检查的主要内容
关键信息基础设施安全检查需求主要包括两个方面:网络安全管理情况检查和安全技术防护情况检查。检查主要内容包括网络安全管理情况、技术防护情况、应急处理情况、宣传教育培训情况、等级保护工作落实有效性情况、商用密码使用情况、安全问题整改情况、风险分析量化(定性、定量)和风险管理等,所以检查范围涉及关键信息基础设施的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等,同时对管理风险、综合安全风险以及应用系统安全性进行评估。检查原则上应全面覆盖服务器、网络设备、安全设备和安全系统、系统软件、应用系统,实际也可依据被检系统的影响度等级、数量和分布情况采取抽样方式进行,抽样方式及检查覆盖面须同被检单位沟通后共同确认。
3.1 网络安全管理情况检查内容
分析被检单位网络与信息系统网络安全管理与组织情况。检查内容可参考如下。
(1)安全组织:检查网络安全组织机构、网络安全岗位建立情况和主管领导、工作人员职责落实情况。
(2)规章制度:检查下发的网络安全相关制度及本单位自行制定的安全规章制度的落实情况。
(3)资产分类与控制:检查信息资产的登记情况和分类情况。
(4)人员安全:包括工作职责和人员考察。检查在工作人员录用、在职和调离的全过程中,相关的网络安全和保密规章制度的建立和落实情况;检查工作人员网络安全教育与培训开展情况,包括网络安全意识教育、网络安全技能培训和网络安全管理培训等;第三方访问安全检查针对第三方访问的风险评估情况,检查相关管理规定的制定和落实情况。检查对违反网络安全规定的行为和网络安全事故的查处情况。
(5)应急响应与安全事件:检查应急响应机构和制度建立情况以及网络安全应急演练开展情况;检查重要设备的木马、病毒查杀和系统漏洞修复情况;检查本单位发生的网络安全事件情况。
(6)网络安全经费保障情况:检查网络安全经费的预算与落实情况以及在信息化建设预算中所占的比例。
(7)整改工作落实情况:回看上次检查工作发现的问题整改跟进情况,检查掌握隐患和整改后的核查机制、检查通报机制。
3.2 安全技术防护情况检查内容
重点分析单位网络架构的合理性、边界防护的强健性、安全策略配置的有效性、重要数据存储传输的安全性、云计算等信息技术外包服务的可控性。检查内容可参考如下。
(1)网络结构防护情况:检测被检单位网络区域划分、网络形态以及网络安全防护策略等情况;被检单位网络拓扑、区域划分情况;被检单位网络边界划分与防护情况;被检单位无线网络应用与安全情况。
(2)网络设备检查:被检对象网络设备安全策略配置情况及有效性检验。对核心交换机的安全配置、口令策略、开放服务、VALN划分、访问控制列表、端口过滤、日志记录、冗余备份等内容进行安全检查;对路由器的安全配置、口令策略、设置管理口令、口令更换、开放的服务、不明路由、高位端口屏蔽、日志功能、对安全事件的记录、热/冷备份等内容进行安全检查。
(3)安全设备检查:安全设备安全策略配置情况及有效性检验。检查防火墙和IDS的用户管理、系统配置、安全策略、日志审计、规范和操作流程、变更管理、远程控制、操作记录等;检查防病毒系统分发管理、事件响应、升级管理、事件记录等情况;检查漏洞扫描工具、执行、制度、记录、范围、漏洞修复情况;检查审计系统和数据库、主要服务器、网络设备等日志功能,审查记录制度的执行情况。
(4)设备安全配置检查:检查服务器及终端安全策略与安全配置有效性情况。检查各类型服务器操作系统安全防护级别、操作系统安全漏洞、补丁程序安全服务、系统配置关闭开启情况、用户管理、安全策略、日志审计、操作记录、病毒、木马程序等情况;检查数据库系统漏洞、补丁程序安装情况;数据库口令设置的复杂度与数据的机密性和完整性情况。
(5)应用安全配置情况:检查系统应用软件安全策略与配置有效性情况、应用的安全性、安全配置、补丁程序、日志审计及辅助安全措施等情况;检查应用身份认证、访问控制、代码安全等情况。
(6)数据传输存储情况:检测被检系统重要数据传输、存储保护情况。重要数据类型、传输方式与采取的保护措施情况;重要数据容灾备份措施;重要数据存储介质、存储方式、形式等保护措施;重要数据加密类型、加密内容及有效性措施。
(7)云计算安全管理检查:检测被检单位云计算等信息技术的使用和安全管理情况,信息技术外包服务与安全管理情况,分析其可控性。检查对云计算中心物理资源和虚拟资源运行状态和性能的监控能力;从资源可用性角度对基础设施资源、云服务、虚拟资源进行检查;检查安全预警信息发布能力;检查依据准入策略控制设备接入的能力,保证接入设备的合法性和安全性;检查具备对虚拟机的安全状况进行检查的能力等。
(8)工业控制终端基本情况和系统网络安全保护情况:检查工业控制终端的配置、使用协议、固件版本等情况;对工程师站、操作员站、服务器及数据库等进行漏洞扫描及病毒检查。
(9)商用密码应用情况检查:检查系统中密码算法使用,符合法律法规规定和密码相关国家标准、行业标准的有关要求情况;检查系统中密码技术使用,遵循密码相关国家标准和行业标准情况;检查密码设备的用途以及使用、管理符合国家相关法律法规的情况,核查密码设备是否正常运行、密码设备是否取得由市场监管总局牵头,会同国家密码管理局制定发布国推商用密码认证的产品目录。信息系统中使用的密码服务是否通过国家密码管理部门许可。
3.3 安全检查工作重点
安全检查工作重点主要包括信息收集、安全检查要素设别、安全技术检测及渗透测试和风险分析四个方面。
(1)信息收集:通过文档审核、人员访谈、核查验证、现场查看等方式全面获取被检查系统运行期间相关信息,特别是近一个月内信息系统运行中出现的各类安全事件信息,为风险识别与分析做准备。
(2)安全检查要素设别:安全检查要素识别主要以检查依据为标准,以国家网络安全检查操作指南等为依据,完成系统的资产识别、威胁识别、脆弱性识别。
(3)安全技术检测及渗透测试:发现信息系统存在的脆弱点,进一步验证每个脆弱点风险大小的重要检测手段。安全检查过程中,渗透测试将作为其中一个重要检测过程。
以下为隐藏内容,登录后可见。