标准信息安全技术关键信息基础设施安全检查评估指南Word文档下载推荐.doc
- 文档编号:669118
- 上传时间:2023-04-29
- 格式:DOC
- 页数:19
- 大小:201.50KB
标准信息安全技术关键信息基础设施安全检查评估指南Word文档下载推荐.doc
《标准信息安全技术关键信息基础设施安全检查评估指南Word文档下载推荐.doc》由会员分享,可在线阅读,更多相关《标准信息安全技术关键信息基础设施安全检查评估指南Word文档下载推荐.doc(19页珍藏版)》请在冰点文库上搜索。
6检查评估流程 3
6.1工作准备 3
6.1.1工作启动 3
6.1.2工作调研 3
6.1.3方案制定 3
6.2工作实施 3
6.2.1实施准备 3
6.2.2实施执行 4
6.2.3现场确认 4
6.2.4风险控制 4
6.3工作总结 4
6.3.1风险研判 4
6.3.2报告编制 4
6.3.3结果反馈 4
7合规检查 4
7.1合规检查要求 4
7.2合规检查内容 4
7.2.1关键信息基础设施认定情况 4
7.2.2政策文件要求落实情况 5
7.2.3安全标准执行情况 5
7.2.4信息安全等级保护落实情况 5
7.2.5个人信息和重要数据保护情况 5
7.2.6安全管理机构设置和人员安全管理情况 5
7.2.7安全管理保障体系落实情况 6
7.2.8备份与恢复情况 6
7.2.9应急响应与处置情况 6
7.3合规检查输出 7
8技术检测 7
8.1主动检测要求 7
8.1.1工具要求 7
8.1.2检测过程要求 7
8.2主动检测内容 7
8.2.1信息收集 7
8.2.2漏洞扫描 7
8.2.3漏洞验证 7
8.2.4业务安全测试 8
8.2.5社会工程学测试 8
8.2.6无线安全测试 8
8.2.7内网安全测试 8
8.2.8安全域测试 8
8.2.9入侵痕迹检测 8
8.2.10安全意识测试 8
8.2.11安全整改情况验证 8
8.3被动检测要求 8
8.3.1监测设备安全要求 9
8.3.2监测数据安全要求 9
8.3.3监测能力要求 9
8.3.4监测工作要求 9
8.4被动检测内容 9
8.4.1信息刺探行为监测 9
8.4.2漏洞利用攻击监测 9
8.4.3间谍软件监测 9
8.4.4病毒蠕虫攻击监测 9
8.4.5木马后门攻击监测 9
8.4.6恶意邮件攻击 9
8.4.7Web应用攻击和漏洞监测 9
8.4.8恶意域名监测 10
8.4.9异常流量监测 10
8.4.10敏感信息泄露监测 10
8.5技术检测输出 10
9分析评估 10
9.1.1关键属性分析 10
9.1.2风险分析 10
10检查评估结果输出 10
10.1检查对象基本情况描述 11
10.2检查评估结果说明 11
附录A(资料性附录) 1
参考文献 1
前言
本标准按照GB/T1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会提出并归口。
本标准主要起草单位:
中国互联网络信息中心、国家信息技术安全研究中心、中国信息安全测评中心、工业和信息化部电子科学技术情报研究所、国家计算机网络应急技术处理协调中心。
本标准主要起草人:
引言
关键信息基础设施(CriticalInformationInfrastructure)是指支撑国家关键基础设施的信息系统,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,其一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。
网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
关键信息基础设施安全检查评估指南是落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,定义了检测评估的主要内容,从而提升关键信息基础设施的网络安全防护能力。
本标准适用于关键信息基础设施运营者自行开展检测评估,网络安全服务机构对关键信息基础设施进行抽查和检测评估工作均可参考使用。
II
1 范围
本标准提供了关键信息基础设施检查评估工作的方法、流程和内容,定义了关键信息基础设施检查评估所采用的方法,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及在检查评估具体要求和内容。
本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。
本标准可用于:
1)关键信息基础设施运营单位自行开展安全检测评估工作参考。
2)网络安全服务机构对关键信息基础设施实施检测评估工作参考。
3)网络安全检测产品研发机构研发检查工具,创新安全应用参考。
本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069-2010信息安全技术术语
GB/T20984-2007信息安全技术信息安全风险评估规范
GB/T22239-2015信息安全技术信息安全等级保护基本要求
GB/T31509-2015信息安全技术信息安全风险评估实施指南
GB/T22081-2016信息安全技术信息安全管理体系要求
GB/T
31496-2015信息安全技术
信息安全管理体系实施指南
信息安全技术关键信息基础设施网络安全保护要求(送审稿)
3 术语和定义
GB/T5271.8—2001信息技术和GB/T25069-2010界定的以及下列术语和定义适用于本标准。
3.1 关键信息基础设施criticalinformationinfrastructure
对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。
3.2 检查评估inspectionassessment
由关键信息基础设施运营者自行发起或者由上级主管机关发起并委托安全服务机构进行的一项估活动,其目的是依据国家有关法律与法规和标准,对信息系统安全状况进行检测评估。
3.3 关键属性CriticalAttributes
根据关键信息基础设施所承载的业务特点,以及其被认定为关键信息基础设施所拥有的关键特性,可以是业务连续性、数据机密性、系统完整性之一或者是组合。
3.4 渗透测试penetrationtesting
是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
,也称渗透性测试或者逆向测试。
4 缩略语
CII关键信息基础设施(CriticalInformationInfrastructure)
CI合规检查(ComplianceInspection)
TI技术检测(TechnicalInspection)
AA分析评估(AnalysisAssessment)
OVA脆弱性评估(OpenVulnerabilityAssessment)
AC访问控制(AccessControl)
CP应急预案(ContingencyPlanning)
CR应急响应(ContingencyResponse)
PL规划(Planning)
PT渗透测试(PenetrationTesting)
RA风险评估(RiskAssessment)
5 关键信息基础设施检查评估
关键信息基础设施检查评估工作是依据国家有关法律与法规要求,参考国家和行业安全标准,针对关键信息基础设施安全要求,通过一定的方法和流程,对信息系统安全状况进行评估,最后给出检查评估对象的整体安全状况的报告。
检查评估工作由合规检查、技术检测和分析评估三个主要方法组成,每个方法包含若干内容和项目。
5.1 合规检查
合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、人员访谈、配置核查等形式。
5.2 技术检测
技术检测分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现场检测相结合的方式,发现其安全性和可能存在的风险隐患,也可参考其他安全检测资料和报告,对技术检测结果进行验证。
被动方式是辅助监测分析手段,通过选取合适的监测接入点,部署相应的监测工具,实时监测并分析检查评估对象的安全状况,发现其存在的安全漏洞、安全隐患。
两种技术检测方式最终输出技术检测结果。
5.3 分析评估
分析评估是围绕关键信息基础设施承载业务特点,对关键信息基础设施的关键属性进行识别和分析,依据技术检测发现的安全隐患和问题,参考风险评估方法,对关键属性面临的风险进行风险分析,进而对关键信息基础设施的整体安全状况的评估。
6 检查评估流程
6.1 工作准备
6.1.1 工作启动
检查评估工作开展前应明确关键信息基础设施检查评估活动的背景、目标、原则、依据,充分调研检查评估对象所属行业的相关标准及政策文件的要求,确定检查评估工作任务。
6.1.2 工作调研
(1)明确范围
应根据任务要求,对接关键信息基础设施运营单位安全管理机构和安全管理负责人,调研和梳理检查评估对象的关键业务,确定支撑关键业务运行的基础设施,明确检查评估工作计划、范围及检查评估内容。
(2)调研内容
应对检查评估对象开展调研,要求关键信息基础设施运营单位提供的内容包含但不限于:
a)运营单位信息及组织架构;
b)检查评估对象的设施、网络、存储等基本信息;
c)主要运营业务及其流程;
d)管理运维人员、管理制度、应急响应制度等;
e)安全防护基本情况、曾发生的网络安全事件情况;
f)近半年内技术检测及网络安全事件情况;
6.1.3 方案制定
应结合检查评估对象,编制关键信息基础设施检查评估方案,内容需包含但不限于:
a)检查评估范围、对象、时间、进度安排;
b)检查评估内容及实施方法;
c)风险管控措施;
d)人员安排及项目管理制度;
e)关键信息基础设施运营单位配合事项清单。
6.2 工作实施
6.2.1 实施准备
如果检查评估活动由关键信息基础设施运营单位的上级主管机关发起并委托安全服务机构进行的,应满足如下条件:
a)检查评估方应具备相关资质,并与关键信息基础设施运营单位签署保密协议;
b)关键信息基础设施运营单位应提供检查评估所必要的检测环境及条件;
6.2.2 实施执行
主要包括合规检查、技术检测和分析评估三个主要环节相关工作和内容。
6.2.3 现场确认
应就发现的主要问题和隐患与关键信息基础设施运营单位确认检查结果。
6.2.4 风险控制
检查评估工实施过程中应采取相应的风险控制措施,需包含但不限于:
a)信息泄露风险、操作风险、进度风险等风险场景及其相应的规避措施;
b)尽可能小的影响系统和网络的正常运行,避免对关键信息基础设施的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)。
6.3 工作总结
6.3.1 风险研判
应对检查评估过程中发现的安全问题及风险隐患进行研判,对关键信息基础设施的安全防护能力予以分析。
6.3.2 报告编制
编制检查评估报告,内容需包含但不限于:
a)检查评估结果;
b)典型的安全问题及分析;
c)关键信息基础设施的安全态势分析;
d)整改对策和建议。
6.3.3 结果反馈
关键信息基础设施检查评估工作结果应向检查评估工作归口单位反馈。
7 合规检查
7.1 合规检查要求
合规检查工作应坚持客观公正、高效透明的原则,采取科学的检查方法,规范流程,控制风险,如实反映检查结果。
7.2 合规检查内容
1
2
3
4
5
6
6.1
6.2
7.2.1 关键信息基础设施认定情况
a)应了解检查评估对象的关键业务,查看关键信息基础设施相关材料,判定关键信息基础设施是否存在漏报、误报;
b)若关键信息基础设施发生变更,如新建、属性变更或废弃等,应及时向主管部门报告,查看相关证明文件。
7.2.2 政策文件要求落实情况
a)应要求检查关键信息基础设施运营单位提供国家及行业网络安全相关政策的文件清单,并查看清单是否存在重大遗漏;
b)应根据文件清单,抽查验证政策文件的落实情况。
7.2.3 安全标准执行情况
a)应要求检查关键信息基础设施运营单位提供国家及行业相关安全标准清单,并查看清单是否存在重大遗漏;
b)应检查按照标准关键信息基础设施网络安全保护要求落实情况,并查看是否存在遗漏;
c)应按照密码法对关键信息基础设施密码使用的强制性要求行进行检查,是否存在未按要求落实的情况;
d)应根据文件清单,抽查验证安全标准的执行情况。
7.2.4 信息安全等级保护落实情况
a)了解关键信息基础设施中信息系统的等级保护工作落实情况,查看关键信息基础设施近一年的信息安全等级保护定级、备案、测评和整改情况。
7.2.5 个人信息和重要数据保护情况
a)了解关键信息基础设施运营单位搜集个人信息和重要数据的目的和范围,是否存在超出用户授权范围的内容或违反相关法律法规的情况;
b)检查关键信息基础设施运营单位是否建立健全用户信息保护制度;
c)查看关键信息基础设施运营单位应具有个人信息和重要数据安全事件的投诉和举报机制,查看相关证明材料。
)查看关键信息基础设施运营单位公开或对外提供的用户个人信息范围,是否超出法律、行政法规规定和用户约定的范围;
7.2.6 安全管理机构设置和人员安全管理情况
a)应检查关键信息基础设施运营单位是否设置了专门安全管理机构和安全管理负责人,并要求其提供相关证明材料;
b)应检查关键信息基础设施运营单位是否对安全管理负责人和关键岗位的人员进行了安全背景审查,并要求其提供相关证明材料;
c)应检查关键信息基础设施运营单位是否对定期对从业人员进行网络安全教育、技术培训和技能考核,安全教育培训内容包括但不限于网络安全相关法律、政策、标准、技术、意识等,并要求其提供相关证明材料。
7.2.7 安全管理保障体系落实情况
7.2.7.1安全管理制度
a)应检查网络安全管理制度制订、落实情况,查看安全管理制度起草、制定、修改以及发布过程中的审批记录,查看安全管理制度历史版本记录;
b)查看安全管理制度体系是否健全,制度体系范围包括但不限于日常工作规范、安全配置标准、业务连续性计划和应急预案等。
7.2.7.2安全建设
a)检查关键信息基础设施上线运行前或者发生重大变化时是否进行安全检测评估,包括对外包开发的系统、软件,接受捐赠的网络产品,查看关键信息基础设施运营者产品或服务上线记录;
b)查看关键信息基础设施运营者采购网络产品和服务时是否与提供者签订安全保密协议,其中应明确安全和保密义务与责任;
c)查看网络安全技术措施规划、建设、运行情况,关键信息基础设施运营者应记录其网络安全与信息化的建设和资金投入、国产化率情况,查看是否存在相关记录。
7.2.7.3安全运维
a)检查关键信息基础设施的运行维护是否在境内实施,如果在境外远程维护并报上级部门同意的,应有相应的审批文件和记录;
b)检查关键信息基础设施的运行维护中发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,是否及时采取措施消除风险隐患和按规定向有关部门报告;
c)查看运维管理资料,应包括但不限于系统资产清单,介质管理规定、设备管理规定、机房出入记录等。
7.2.7.4安全监控
a)关键信息基础设施运营者应建立健全通报制度,查看网络安全监测预警和信息通报制度,查看其历史安全事件通报文件;
b)查看关键信息基础设施运营者日常检测内容,应包括但不限于系统运行状态、网络、人员行为、物理环境和策略运行效果;
c)查看关键信息基础设施运营者网络日志保存周期,日志保存周期应按照相关规定留存不少于六个月。
7.2.8 备份与恢复情况
a)查看关键信息基础设施运营者灾备恢复演练情况,应定期进行灾备恢复演练,并提供进行查看其近一年的灾备恢复演练记录。
b)检查关键信息基础设施运营单位冗余备份情况,应对关键业务的支撑体系进行冗余备份。
7.2.9 应急响应与处置情况
a)查看关键信息基础设施运营者制定的应急预案是否按照安全事件威胁程度进行分级分类处理;
b)查看关键信息基础设施运营者是否定期进行应急演练,应具有应急演练记录;
c)查看关键信息基础设施运营单位是否建立安全事件上报机制,查看历史安全事件上报文件。
7.3 合规检查输出
合规检查的结果要明确不符合项,对不符合项进行详细说明并提出整改建议。
8 技术检测
技术检测分为主动检测和被动检测两种方式。
8.1 主动检测要求
8.1.1 工具要求
a)检查评估方应提供技术检测中可能要的工具清单;
b)检查评估方应确保检测工具本身不得存在恶意程序、漏洞及其他安全缺陷。
c)对于检测工具可能产生的风险要在检测方案中明确指出,并给出风险规避和应急处置措施。
8.1.2 检测过程要求
a)关键信息基础设施运营者应提供满足检测工作要求的接入点和接入环境;
b)关键信息基础设施运营者应配合提供完成检测工作需要的必要信息。
c)检查评估方应在检测前应全面评估检测可能造成的风险,尽可能避免因技术检测对业务系统运行造成不良影响;
d)检查评估方在实施技术检测的过程中,应及时删除检测痕迹,若存在无法删除的痕迹,应在报告中明确指出。
8.2 主动检测内容
1.1.1.
8.2.1 信息收集
通过调研询问、网络采集、工具扫描、搜索引擎等方式,最大限度的收集检测对象的相关信息。
信息收集的信息类型包括但不限于:
a)IT资产信息(网络拓扑图、子网划分情况、IP地址清单、相关域名、子域名等);
b)安全防护情况(网络安全产品部署情况、安全策略配置情况、安全检测评估报告等);
c)产品、服务供应商(软硬件提供商、运维服务提供商、安全服务提供商、网络接入服务商、IDC提供商、DNS服务商、域名注册信息等);
d)运营单位和产品服务供应商相关的人员信息(组织架构、岗位设置,人员姓名、手机、邮箱等);
8.2.2 漏洞扫描
漏洞扫描是基于漏洞数据库,使用扫描工具对检测对象实施远程或本地网络和系统进行脆弱性检测,以发现可利用的漏洞。
安全扫描的类型应包括但不限于:
端口服务扫描、主机漏洞扫描、web应用漏洞扫描、安全配置核查、源代码漏洞扫描。
8.2.3 漏洞验证
通过使用漏洞验证工具或手工,验证漏洞扫描过程中发现的各类漏洞。
使用专业检测工具对各类常见漏洞进行检测和测试。
常见漏洞包括但不限于:
注入漏洞、XSS漏洞、CSRF、口令漏洞、文件上传漏洞、敏感信息泄露、路径遍历、使用含有漏洞的组件、新近重大高危漏洞等。
8.2.4 业务安全测试
通过深入分析检测对象业务流程,借助流量抓取、协议分析或手工检测等方式,以发现检测对象业务逻辑层面可能存在的安全漏洞和设计缺陷。
业务安全测试的内容包括但不限于:
越权缺陷、验证缺陷、接口调用缺陷、数据一致性缺陷、任意跳转缺陷等。
8.2.5 社会工程学测试
使用各种社会工程学测试方法对关键信息基础设施设计的相关人员进行社会工程学测试,测试方式包括,但不限于:
撞库测试、钓鱼测试、假冒伪造测试。
8.2.6 无线安全测试
通过使用无线审计工具对关键信息基础设施相关地点或相关人员周边的无线热点进行探测和测试。
以发现无线网络可能存在的安全隐患。
测试内容包括但不限于:
钓鱼热点检测、私搭乱建检测、弱口令检测、弱加密方式检测等。
8.2.7 内网安全测试
内网安全测试是在利用漏洞控制服务器后,以该服务器为跳板,探测内网信息,进一步利用相邻服务器或设备的漏洞,以获取更多内网服务器、更大服务器权限、更多的数据库访问权限为目标。
深度测试检测对象的内网防护情况。
8.2.8 安全域测试
对检测对象的网络安全域进行安全检测,测试安全域隔离策略是否存在的缺陷、是否存在特殊通道、隔离设备自身是否存在漏洞,以发现检测对象的网络安全域可能存在的安全隐患。
8.2.9 入侵痕迹检测
通过工具扫描、人工检测等方式,对检测对象的相关服务器文件、系统日志文件、数据库记录、安全设备日志等进行扫描和查看,检测关键信息基础设施的网络、服务器、设备、数据库是否存在已被入侵的痕迹,入侵痕迹包括木马、后门、入侵日志、数据库入侵记录等。
8.2.10 安全意识测试
使用问卷调查或无攻击危害的技术手段,检测关键信息基础设施运营单位相关人员的安全意识情况。
检测的方式包括但不限于:
a)向相关人员发放安全意识调查问卷,测试其安全常识掌握情况。
b)向相关人员发送无害的钓鱼邮件、钓鱼短信等方式检测相关人员的安全意识。
8.2.11 安全整改情况验证
针对以往安全评估、安全检测、安全通报中发现的问题进行复查,查看其整改情况。
复查对象包括但不限于:
等级保护报告、风险评估报告、自查报告、行业主管部门的检查结果、行业主管部门或安全机构通报的安全整改报告。
8.3 被动检测要求
8.3.1 监测设备安全要求
检查评估方所使用的监测设备应满足国家信息安全产品技术标准及安全审查的安全要求,设备本身不得存在恶意程序、漏洞及其他安全缺陷。
8.3.2 监测数据安全要求
检查评估方应能保证监测期间监测数据在采集、传输、存储、分析、销毁等全生命周期的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 标准 信息 安全技术 关键 基础设施 安全检查 评估 指南