标准信息安全技术关键信息基础设施安全检查评估指南.doc
《标准信息安全技术关键信息基础设施安全检查评估指南.doc》由会员分享,可在线阅读,更多相关《标准信息安全技术关键信息基础设施安全检查评估指南.doc(19页珍藏版)》请在冰豆网上搜索。
GB/T××××—××××
发布
中国国家标准化管理委员会
中华人民共和国国家质量监督检验检疫总局
××××-××-××实施
××××-××-××发布
信息安全技术关键信息基础设施安全检查评估指南
Informationsecuritytechnology–
GuidetoSecurityInspectionandEvaluationofCriticalInformationInfrastructure
征求意见稿
2017-7-01
GB/T××××—××××
中华人民共和国国家标准
ICS35.040
L80
目次
目次 II
前言 I
引言 II
信息安全技术关键信息基础设施安全检查评估指南 1
1范围 1
2规范性引用文件 1
3术语和定义 1
3.1关键信息基础设施criticalinformationinfrastructure 1
3.2检查评估inspectionassessment 1
3.3关键属性CriticalAttributes 2
3.4渗透测试penetrationtesting 2
4缩略语 2
5关键信息基础设施检查评估 2
5.1合规检查 2
5.2技术检测 2
5.3分析评估 3
6检查评估流程 3
6.1工作准备 3
6.1.1工作启动 3
6.1.2工作调研 3
6.1.3方案制定 3
6.2工作实施 3
6.2.1实施准备 3
6.2.2实施执行 4
6.2.3现场确认 4
6.2.4风险控制 4
6.3工作总结 4
6.3.1风险研判 4
6.3.2报告编制 4
6.3.3结果反馈 4
7合规检查 4
7.1合规检查要求 4
7.2合规检查内容 4
7.2.1关键信息基础设施认定情况 4
7.2.2政策文件要求落实情况 5
7.2.3安全标准执行情况 5
7.2.4信息安全等级保护落实情况 5
7.2.5个人信息和重要数据保护情况 5
7.2.6安全管理机构设置和人员安全管理情况 5
7.2.7安全管理保障体系落实情况 6
7.2.8备份与恢复情况 6
7.2.9应急响应与处置情况 6
7.3合规检查输出 7
8技术检测 7
8.1主动检测要求 7
8.1.1工具要求 7
8.1.2检测过程要求 7
8.2主动检测内容 7
8.2.1信息收集 7
8.2.2漏洞扫描 7
8.2.3漏洞验证 7
8.2.4业务安全测试 8
8.2.5社会工程学测试 8
8.2.6无线安全测试 8
8.2.7内网安全测试 8
8.2.8安全域测试 8
8.2.9入侵痕迹检测 8
8.2.10安全意识测试 8
8.2.11安全整改情况验证 8
8.3被动检测要求 8
8.3.1监测设备安全要求 9
8.3.2监测数据安全要求 9
8.3.3监测能力要求 9
8.3.4监测工作要求 9
8.4被动检测内容 9
8.4.1信息刺探行为监测 9
8.4.2漏洞利用攻击监测 9
8.4.3间谍软件监测 9
8.4.4病毒蠕虫攻击监测 9
8.4.5木马后门攻击监测 9
8.4.6恶意邮件攻击 9
8.4.7Web应用攻击和漏洞监测 9
8.4.8恶意域名监测 10
8.4.9异常流量监测 10
8.4.10敏感信息泄露监测 10
8.5技术检测输出 10
9分析评估 10
9.1.1关键属性分析 10
9.1.2风险分析 10
10检查评估结果输出 10
10.1检查对象基本情况描述 11
10.2检查评估结果说明 11
附录A(资料性附录) 1
参考文献 1
前言
本标准按照GB/T1.1-2009给出的规则起草。
本标准由全国信息安全标准化技术委员会提出并归口。
本标准主要起草单位:
中国互联网络信息中心、国家信息技术安全研究中心、中国信息安全测评中心、工业和信息化部电子科学技术情报研究所、国家计算机网络应急技术处理协调中心。
本标准主要起草人:
引言
关键信息基础设施(CriticalInformationInfrastructure)是指支撑国家关键基础设施的信息系统,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,其一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。
网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
关键信息基础设施安全检查评估指南是落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,定义了检测评估的主要内容,从而提升关键信息基础设施的网络安全防护能力。
本标准适用于关键信息基础设施运营者自行开展检测评估,网络安全服务机构对关键信息基础设施进行抽查和检测评估工作均可参考使用。
II
信息安全技术关键信息基础设施安全检查评估指南
1 范围
本标准提供了关键信息基础设施检查评估工作的方法、流程和内容,定义了关键信息基础设施检查评估所采用的方法,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及在检查评估具体要求和内容。
本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。
本标准可用于:
1)关键信息基础设施运营单位自行开展安全检测评估工作参考。
2)网络安全服务机构对关键信息基础设施实施检测评估工作参考。
3)网络安全检测产品研发机构研发检查工具,创新安全应用参考。
本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069-2010信息安全技术术语
GB/T20984-2007信息安全技术信息安全风险评估规范
GB/T22239-2015信息安全技术信息安全等级保护基本要求
GB/T31509-2015信息安全技术信息安全风险评估实施指南
GB/T22081-2016信息安全技术信息安全管理体系要求
GB/T 31496-2015信息安全技术 信息安全管理体系实施指南
信息安全技术关键信息基础设施网络安全保护要求(送审稿)
3 术语和定义
GB/T5271.8—2001信息技术和GB/T25069-2010界定的以及下列术语和定义适用于本标准。
3.1 关键信息基础设施criticalinformationinfrastructure
对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。
3.2 检查评估inspectionassessment
由关键信息基础设施运营者自行发起或者由上级主管机关发起并委托安全服务机构进行的一项估活动,其目的是依据国家有关法律与法规和标准,对信息系统安全状况进行检测评估。
3.3 关键属性CriticalAttributes
根据关键信息基础设施所承载的业务特点,以及其被认定为关键信息基础设施所拥有的关键特性,可以是业务连续性、数据机密性、系统完整性之一或者是组合。
3.4 渗透测试penetrationtesting
是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
,也称渗透性测试或者逆向测试。
4 缩略语
CII关键信息基础设施(CriticalInformationInfrastructure)
CI合规检查(ComplianceInspection)
TI技术检测(TechnicalInspection)
AA分析评估(AnalysisAssessment)
OVA脆弱性评估(OpenVulnerabilityAssessment)
AC访问控制(AccessControl)
CP应急预案(ContingencyPlanning)
CR应急响应(ContingencyResponse)
PL规划(Planning)
PT渗透测试(PenetrationTesting)
RA风险评估(RiskAssessment)
5 关键信息基础设施检查评估
关键信息基础设施检查评估工作是依据国家有关法律与法规要求,参考国家和行业安全标准,针对关键信息基础设施安全要求,通过一定的方法和流程,对信息系统安全状况进行评估,最后给出检查评估对象的整体安全状况的报告。
检查评估工作由合规检查、技术检测和分析评估三个主要方法组成,每个方法包含若干内容和项目。
5.1 合规检查
合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、人员访谈、配置核查等形式。
5.2 技术检测
技术检测分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现场检测相结合的方式,发现其安全性和可能存在的风险隐患,也可参考其他安全检测资料和报告,对技术检测结果进行验证。
被动方式是辅助监测分析手段,通过选取合适的监测接入点,部署相应的监测工具,实时监测并分析检查评估对象的安全状况,发现其存在的安全漏洞、安全隐患。
两种技术检测方式最终输出技术检测结果。
5.3 分析评估
分析评估是围绕关键信息基础设施承载业务特点,对关键信息基础设施的关键属性进行识别和分析,依据技术检测发现的安全隐患和问题,参考风险评估方法,对关键属性面临的风险进行风险分析,进而对关键信息基础设施的整体安全状况的评估。
6 检查评估流程
6.1 工作准备
6.1.1 工作启动
检查评估工作开展前应明确关键信息基础设施检查评估活动的背景、目标、原则、依据,充分调研检查评估对象所属行业的相关标准及政策文件的要求,确定检查评估工作任务。
6.1.2 工作调研
(1)明确范围
应根据任务要求,对接关键信息基础设施运营单位安全管理机构和安全管理负责人,调研和梳理检查评估对象的关键业务,确定支撑关键业务运行的基础设施,明确检查评估工作计划、范围及检查评估内容。
(2)调研内容
应对检查评估对象开展调研,要求关键信息基础设施运营单位提供的内容包含但不限于:
a)运营单位信息及组织架构;
b)检查评估对象的设施、网络、存储等基本信息;
c)主要运营业务及其流程;
d)管理运维人员、管理制度、应急响应制度等;
e)安全防护基本情况、曾发生的网
升级会员 