关键信息基础设施安全检查

以下文章来源于信息安全与通信保密杂志社,作者Cismag

摘要/Abstract

关键信息基础设施安全保护制度是党中央有关文件和《中华人民共和国网络安全法》确定的基本制度。在当前严峻的网络安全形势下,全面摸清关键信息基础设施底数,准确了解关键信息基础设施安全现状,确定其信息资产的价值、敏感性和严重性,分析发生威胁时潜在的损失或破坏,为全面掌握关键信息基础设施网络安全风险提供依据。近年来,各单位、各部门按照相关法律法规规定,开展了关键信息基础设施的安全检查和整改工作,全面加强了网络安全工作,切实保障国家关键信息基础设施的安全。主要介绍关键信息基础设施安全检查的方法原则、重点内容、风险分析、质量管控等几个方面。

内容目录:

0引言

1关键信息基础设施安全检查的基本原则

2关键信息基础设施安全检查的方法

2.1现场检查

2.2远程检查

2.3检查技术方法

3关键信息基础设施安全检查的主要内容

3.1网络安全管理情况检查内容

3.2安全技术防护情况检查内容

3.3安全检查工作重点

4关键信息基础设施安全风险分析

5关键信息基础设施安全检查工作质量和风险管控

5.1质量管控

5.2风险管控

6关键信息基础设施安全检查的创新建议

7结语

引言

随着新技术、新应用的发展,在给人们日常生活带来便利的同时,公共通信和信息服务、教育、交通、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施面临的网络安全威胁也不断升级,一旦遭到破坏或数据泄露等,可能严重危害国家安全、国计民生和公共利益,故网络安全法明确对关键信息基础设施实行重点保护。因此,关键信息基础设施的运营者要贯彻落实习近平总书记关于“加快构建关键信息基础设施安全保障体系”“全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”的重要指示精神,认真落实检查要求、全面摸清关键信息基础设施底数,确保各项要求落实落细;通过检查评估,准确了解重点网站、企业的网络和系统安全现状,确定其信息资产的价值、敏感性和严重性,分析发生威胁时潜在的损失或破坏,明晰被检查对象及其管理单位的安全需求,安全检查不仅指导被检查单位制定网络和系统安全策略以及安全解决方案,建立信息安全保障体系,也推动了被检查单位未来的安全建设和投入。

关键信息基础设施安全检查的基本原则

关键信息基础设施安全检查以安全风险为出发点,对被检查对象的安全性和可能存在的风险进行检测评估。关键信息基础设施的运营者开展检查工作有两种形式,自行或者委托网络安全服务机构。工作基本原则包括标准性原则、可控性原则、完整性原则、最小影响原则和保密原则。开展检查工作遵循国家、行业和组织相关标准开展检查评估工作,在检查实施过程中,应保证参与实施的人员、使用的技术、工具和过程都是可控的。检查评估方案要充分考虑整个实施过程中的所有环节,做到统筹兼顾,细节清楚。检查评估的所有阶段,要保证实施工作对系统正常运行的可能影响降低到最低限度,不会对目前的业务系统运行造成明显的影响。委托第三方机构的,特别要注意保密的原则,检查评估的所有阶段,均要求严格遵循保密原则,检查过程中涉及的任何用户信息均属保密信息,不得泄露给其他单位或个人,不得利用这些信息损害被检查单位利益。须与被检单位签订保密协议,承诺未经允许不向其他任何方泄露有关信息系统的信息。

关键信息基础设施安全检查的方法

检查方法的选择主要依据安全检查的相关标准和规范,主要分为现场检查和远程检查两种方式,现场检查主要是对网络安全管理情况的检查和网络安全技术防护情况的检查,检查关键信息基础设施登记表和网络安全自查表,开展文档审查、人员访谈、核查验证、现场察看、安全检测等工作。远程检查主要对接入互联网的被检关键信息基础设施进行外部检测,重点检查安全漏洞和安全隐患,检验安全防护措施的有效性。

2.1现场检查

现场检查各项工作集中方式同步开展,获取检查结果。文档审查主要包括自查工作开展、安全问题整改、被检关键信息基础设施运行安全防护措施及策略信息等相关资料。人员访谈是通过与运维人员和安全管理人员进行交谈和问询,了解被检关键信息基础设施技术和管理方面的基本信息、近一个月的运行状况,并对一些抽测内容进行确认。核查验证主要对需要上机确认的信息进行核实,对人员访谈和文档审核中获得的信息进行验证。现场察看是对被检关键信息基础设施运行环境、运维工作环境等进行现场查看。安全检测是根据实际情况,检查人员按照相关要求对被检关键信息基础设施进行检测,包括漏洞扫描、配置检查、日志与记录分析等。

2.2远程检查

远程检查的方法包括对选定的网段和主机、服务器进行安全扫描、使用协议分析仪分析网络数据、使用安全工具检测Web应用程序漏洞、组织专业技术力量进行渗透测试等。

2.3检查技术方法

被检查对象一般包含信息系统和工业控制系统,检查工作主要涉及的技术方法如表 1 所示:

关键信息基础设施安全检查的主要内容

关键信息基础设施安全检查需求主要包括两个方面:网络安全管理情况检查和安全技术防护情况检查。检查主要内容包括网络安全管理情况、技术防护情况、应急处理情况、宣传教育培训情况、等级保护工作落实有效性情况、商用密码使用情况、安全问题整改情况、风险分析量化(定性、定量)和风险管理等,所以检查范围涉及关键信息基础设施的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等,同时对管理风险、综合安全风险以及应用系统安全性进行评估。检查原则上应全面覆盖服务器、网络设备、安全设备和安全系统、系统软件、应用系统,实际也可依据被检系统的影响度等级、数量和分布情况采取抽样方式进行,抽样方式及检查覆盖面须同被检单位沟通后共同确认。

3.1网络安全管理情况检查内容

重点分析被检单位网络与信息系统网络安全管理与组织情况。检查内容可参考如下。

(1)安全组织:检查网络安全组织机构、网络安全岗位建立情况和主管领导、工作人员职责落实情况。

(2)规章制度:检查下发的网络安全相关制度及本单位自行制定的安全规章制度的落实情况。

(3)资产分类与控制:检查信息资产的登记情况和分类情况。

(4)人员安全:包括工作职责和人员考察。检查在工作人员录用、在职和调离的全过程中,相关的网络安全和保密规章制度的建立和落实情况;检查工作人员网络安全教育与培训开展情况,包括网络安全意识教育、网络安全技能培训和网络安全管理培训等;第三方访问安全检查针对第三方访问的风险评估情况,检查相关管理规定的制定和落实情况。检查对违反网络安全规定的行为和网络安全事故的查处情况。

(5)应急响应与安全事件:检查应急响应机构和制度建立情况以及网络安全应急演练开展情况;检查重要设备的木马、病毒查杀和系统漏洞修复情况;检查本单位发生的网络安全事件情况。

(6)网络安全经费保障情况:检查网络安全经费的预算与落实情况以及在信息化建设预算中所占的比例。

(7)整改工作落实情况:回看上次检查工作发现的问题整改跟进情况,检查掌握隐患和整改后的核查机制、检查通报机制。

3.2安全技术防护情况检查内容

重点分析单位网络架构的合理性、边界防护的强健性、安全策略配置的有效性、重要数据存储传输的安全性、云计算等信息技术外包服务的可控性。检查内容可参考如下。

(1)网络结构防护情况:检测被检单位网络区域划分、网络形态以及网络安全防护策略等情况;被检单位网络拓扑、区域划分情况;被检单位网络边界划分与防护情况;被检单位无线网络应用与安全情况。

(2)网络设备检查:被检对象网络设备安全策略配置情况及有效性检验。对核心交换机的安全配置、口令策略、开放服务、VALN划分、访问控制列表、端口过滤、日志记录、冗余备份等内容进行安全检查;对路由器的安全配置、口令策略、设置管理口令、口令更换、开放的服务、不明路由、高位端口屏蔽、日志功能、对安全事件的记录、热/冷备份等内容进行安全检查。

(3)安全设备检查:安全设备安全策略配置情况及有效性检验。检查防火墙和 IDS 的用户管理、系统配置、安全策略、日志审计、规范和操作流程、变更管理、远程控制、操作记录等;检查防病毒系统分发管理、事件响应、升级管理、事件记录等情况;检查漏洞扫描工具、执行、制度、记录、范围、漏洞修复情况;检查审计系统和数据库、主要服务器、网络设备等日志功能,审查记录制度的执行情况。

(4)设备安全配置检查:检查服务器及终端安全策略与安全配置有效性情况。检查各类型服务器操作系统安全防护级别、操作系统安全漏洞、补丁程序安全服务、系统配置关闭开启情况、用户管理、安全策略、日志审计、操作记录、病毒、木马程序等情况;检查数据库系统漏洞、补丁程序安装情况;数据库口令设置的复杂度与数据的机密性和完整性情况。

(5)应用安全配置情况:检查系统应用软件安全策略与配置有效性情况、应用的安全性、安全配置、补丁程序、日志审计及辅助安全措施等情况;检查应用身份认证、访问控制、代码安全等情况。

(6)数据传输存储情况:检测被检系统重要数据传输、存储保护情况。重要数据类型、传输方式与采取的保护措施情况;重要数据容灾备份措施;重要数据存储介质、存储方式、形式等保护措施;重要数据加密类型、加密内容及有效性措施。

(7)云计算安全管理检查:检测被检单位云计算等信息技术的使用和安全管理情况,信息技术外包服务与安全管理情况,分析其可控性。检查对云计算中心物理资源和虚拟资源运行状态和性能的监控能力;从资源可用性角度对基础设施资源、云服务、虚拟资源进行检查;检查安全预警信息发布能力;检查依据准入策略控制设备接入的能力,保证接入设备的合法性和安全性;检查具备对虚拟机的安全状况进行检查的能力等。

(8)工业控制终端基本情况和系统网络安全保护情况:检查工业控制终端的配置、使用协议、固件版本等情况;对工程师站、操作员站、服务器及数据库等进行漏洞扫描及病毒检查。

(9)商用密码应用情况检查:检查系统中密码算法使用,符合法律法规规定和密码相关国家标准、行业标准的有关要求情况;检查系统中密码技术使用,遵循密码相关国家标准和行业标准情况;检查密码设备的用途以及使用、管理符合国家相关法律法规的情况,核查密码设备是否正常运行、密码设备是否取得由市场监管总局牵头,会同国家密码管理局制定发布国推商用密码认证的产品目录。信息系统中使用的密码服务是否通过国家密码管理部门许可。

3.3安全检查工作重点

安全检查工作重点主要包括信息收集、安全检查要素设别、安全技术检测及渗透测试和风险分析四个方面。

(1)信息收集:通过文档审核、人员访谈、核查验证、现场查看等方式全面获取被检查系统运行期间相关信息,特别是近一个月内信息系统运行中出现的各类安全事件信息,为风险识别与分析做准备。

(2)安全检查要素设别:安全检查要素识别主要以检查依据为标准,以国家网络安全检查操作指南等为依据,完成系统的资产识别、威胁识别、脆弱性识别。

(3)安全技术检测及渗透测试:发现信息系统存在的脆弱点,进一步验证每个脆弱点风险大小的重要检测手段。安全检查过程中,渗透测试将作为其中一个重要检测过程。

(4)风险分析:主要根据所收集到的各种系统信息,对系统面临的风险进行综合性定性定量分析,得出系统网络安全风险评估结果。

关键信息基础设施安全风险分析

关键信息基础设施安全检查的风险分析主要依据国家风险评估标准,参考风险评估的过程执行,通过风险评估,掌握被检设施及单位的整体安全现状;通过资产评估,掌握被检单位的网络信息安全资产状况,并录入资产库,进行资产梳理;通过威胁评估,掌握被检单位存在的安全威胁情况;通过脆弱性评估,掌握被检单位当前业务系统存在的脆弱性;对各个业务系统进行综合风险分析,掌握风险情况,提出分系统的安全解决方案;提出各个系统的风险处置解决方案。

采用专业的人工和技术工具评估,分析关键信息基础设施存在哪些威胁,根据所存在的威胁,来确定需要达到哪些系统安全目标才能保证关键信息基础设施网络能够抵挡预期的安全威胁。

关键信息基础设施安全检查当前重点注意的安全风险是:防护体系缺乏规划,堆叠安全设备,缺乏一体化、系统化建设规划;网络设备策略配置,未结合实际需要细化策略,导致内部服务设施遭受攻击。制度落实仍需加强,普遍存在弱口令等不执行制度的情况;普遍缺乏对可移动存储介质的管控。工控系统防护薄弱,存在大量使用明文传输账号口令;国产化情况形势严峻,操作系统、CPU、数据库国产化率均不足。

关键信息基础设施安全检查

工作质量和风险管控

质量为安全检查的核心,风险管控是检查管理的重要组成部分,质量和风险管控贯穿整个检查工作生命周期。

5.1质量管控

在整个检查工作的实施过程中,可采用项目负责人质量控制和质量管理质量控制的方法全面保证整个检查工作的质量。

(1)项目负责人质量控制:项目负责人不但要负责技术方案的制订、技术方向的把握和技术问题的解决,同时也是质量控制的第一层把关者。要按照验收标准每周对检查工作实施工程师提交的工作日志进行批阅,并将之与实际检查工作执行情况进行比对。如果出现质量不符合要求的情况,技术负责人有责任指出并督促实施工程师予以修正。

(2)质量管理质量控制:质量管理是独立的质量控制小组。在检查工作实施的过程中,成立质量控制小组,到被检单位实施现场进行质量检验,并将检验结果同工程师的工作业绩考评联系起来。

5.2风险管控

检查工作的风险主要来自检查过程的不确定性、安全检查实施人员素质、客户工作环境的特殊要求、检查工具使用等。在检查实施之前,应该充分考虑各种风险因素,识别检查工作中存在的各种风险,制定风险规避措施和风险计划。典型的风险因素和规避方法如下。

(1)安全检查过程的不确定性:由于被检查单位的操作系统版本和应用情况不同,造成不能实施完全统一的服务过程,需要考虑具体应用。可考虑规避方法为实施数据备份和主机设备的热备份,在发生意外时进行恢复;使用自动化的商业测评工具,增加服务过程的自适应性;由被检单位人员进行手工配置检查。

(2)客户工作环境的不确定性:由于被检查单位的设备处于业务运行状态,服务实施时可能需要避开业务高峰时段。可考虑规避方法为与客户协商,避开业务高峰时段实施服务,例如在夜间工作;通过实施备份保证业务连续性。

(3)检查人员素质:实施检查评估的人员经验能力,使服务过程效率和质量出现差别。可考虑规避方法为严格按照检查要求内容和风险评估流程进行检查,要完全遵循日常作业指导书进行实施,尽量减小人为原因对检查工作造成的影响;通过技术交流和实施培训,提高服务人员素质,质量控制组负责对测评结果进行抽查。

(4)检查工具使用:实施检查评估的人员所携带的笔记本电脑、PC机等电子设备安全防护软件未安装到位,利用存储设备对评估数据进行复制,造成敏感信息泄露。可考虑规避方法为安全检查人员使用的笔记本电脑、PC机需要安装相应的安全防护软件,办理领用登记手续;在进行检查之前进行岗前培训和安全意识宣贯;明确责任人,检查过程所需的数据统一由项目负责人收集,所有人员必须签署保密协议;检查相关报告、文档等由配置管理员统一归档管理并进行保密存储。

关键信息基础设施安全检查的创新建议

全面的检查工作可聚焦行业、区域总体态势感知新要求,深入细致开展工作,有效组织管理和技术风险管控,确保生产业务正常进行。对检查工作的三点建议如下。

(1)通过强大的威胁情报支撑安全检查:建议可与国内的安全厂商建立良好的合作关系,共享第一手威胁情报,获取最新的漏洞、攻击手段,用以支撑安全检查过程中新型威胁的检测能力。

(2)采用态势感知技术掌握整体安全情况:使用态势感知技术对被检查对象进行全方位的态势呈现,为检查、测试提供指导。

(3)多域多维度开展安全检查:创新检查工作和检查手段,从逻辑域延伸检查范围至物理域和社会域,更精准反映整体安全态势。

结语

现阶段已专门出台针对关键信息基础设施网络安全的法规和标准,《中华人民共和国网络安全法》《中华人民共和国密码法》、公安部1960号《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等,《关键信息基础设施安全保护条例(征求意见稿)》也建立健全“关基”安全检测评估制度,对工业控制系统、云计算环境、电子商务等新型业务环境建立相关安全防护准则。我们须从国家、省市、单位统一规划网络安全、密码安全防控体系,在体系规划、设计、研制、部署和实施阶段充分融入安全要素,改变“先上信息系统、后加安全产品”的局面。建立安全责任制,落实巡视制度,加大网络安全责任制的监督和查处力度,切实落实安全责任制,从根本上保护好国家关键信息基础设施。

来源:《信息安全与通信保密》

标签: