關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估策略

徐楊子凡，蘭少鵬

(1.云南南天電子信息產(chǎn)業(yè)股份有限公司信息安全測評中心，云南昆明 650041；2.昆明長水國際機(jī)場，云南昆明 650200)

0 引言

隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)及新應(yīng)用的普及，關(guān)鍵信息基礎(chǔ)設(shè)施的安全狀況深刻影響著社會秩序、經(jīng)濟(jì)發(fā)展、公共利益及國家安全[1]。《中華人民共和國網(wǎng)絡(luò)安全法》正式實施后，國家將關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)作為網(wǎng)絡(luò)安全的重點工作。

檢測評估是落實關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)、監(jiān)控預(yù)警及應(yīng)急處置等工作的基礎(chǔ)，網(wǎng)絡(luò)運營者亟需一套可行的檢測評估策略支撐關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作的開展。

1 關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作現(xiàn)狀

我國2016年12月27日發(fā)布并實施的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》[2]給出了關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure，CII)基本概念：關(guān)系國家安全、國計民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國家安全、公共利益的信息設(shè)施。美國、俄羅斯及歐洲等發(fā)達(dá)國家將關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全作為國家網(wǎng)絡(luò)安全的重要組成部分，先后制定了一系列相關(guān)的政策、法規(guī)及標(biāo)準(zhǔn)。

1.1 國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估方法論

美國國家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)發(fā)布的《Framework for Improving Critical Infrastructure Cyber-security》[3]中明確了美國關(guān)鍵信息基礎(chǔ)設(shè)施的安全框架，并將網(wǎng)絡(luò)安全風(fēng)險作為組織風(fēng)險管理的重要環(huán)節(jié)。2018年3月18日，我國在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會上發(fā)布了《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求(征求意見稿)》[4]，明確了我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各工作環(huán)節(jié)的定義及基本要求。

美國與我國關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估活動整體思路及框架是一致的，相比傳統(tǒng)相對靜態(tài)的檢測評估方式，更側(cè)重于在統(tǒng)一的安全策略下開展持續(xù)性的安全評估，動態(tài)識別網(wǎng)絡(luò)安全風(fēng)險，如表1所示。

表1 檢測評估方法對比

1.2 我國關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作情況

我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作起步較晚，自2014年2月27日召開的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議至今，網(wǎng)絡(luò)運營者缺乏權(quán)威的技術(shù)標(biāo)準(zhǔn)指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作的有效落地，具體工作開展情況如表2所示。

表2 我國檢測評估工作開展情況

當(dāng)前的關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作存在以下幾個突出的問題：

(1)關(guān)鍵信息基礎(chǔ)設(shè)施可能包含相對復(fù)雜的物理設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)及其他支撐系統(tǒng)，與傳統(tǒng)信息系統(tǒng)相比覆蓋范圍較廣，傳統(tǒng)的檢測評估方式可能導(dǎo)致評估范圍出現(xiàn)盲區(qū)。

(2)網(wǎng)絡(luò)運營者可能需要遵循多個標(biāo)準(zhǔn)(如：等級保護(hù)標(biāo)準(zhǔn)、關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等)，然而不同的標(biāo)準(zhǔn)實施過程中存在一定的重復(fù)工作，嚴(yán)重影響工作效率。

(3)處于運行狀態(tài)的關(guān)鍵信息基礎(chǔ)設(shè)施安全能力在不斷地變化，檢測評估結(jié)論的有效性難以長期延續(xù)。

2 關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估策略設(shè)計

基于關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作的現(xiàn)狀及面臨的問題，檢測評估策略應(yīng)具備以下兩個特性：

(1)普適性。不同行業(yè)的安全要求、業(yè)務(wù)架構(gòu)及關(guān)鍵信息基礎(chǔ)設(shè)施的組成存在一定差異，檢測評估策略應(yīng)能夠與不同行業(yè)的現(xiàn)狀及行業(yè)標(biāo)準(zhǔn)兼容。

(2)可拓展性。不同單位基于自身的技術(shù)及管理狀況，可能會出現(xiàn)國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)無法覆蓋的安全需求；并且關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估技術(shù)標(biāo)準(zhǔn)正式定稿后，也會出現(xiàn)新的安全要求，檢測評估策略應(yīng)能夠結(jié)合上述情況進(jìn)行動態(tài)擴(kuò)展。

檢測評估策略總體設(shè)計如圖1所示。

圖1 檢測評估總體策略圖

(1)制定關(guān)鍵信息基礎(chǔ)設(shè)施安全基線[5]，作為檢測評估的主要依據(jù)。

(2)將幾種常規(guī)的脆弱性測試方法進(jìn)行組合，并結(jié)合關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)現(xiàn)狀及技術(shù)現(xiàn)狀制定不同的實施周期，形成一套完備的脆弱性識別工作策略。

(3)再統(tǒng)一將脆弱性測試結(jié)果進(jìn)行安全得分計算與風(fēng)險分析，判定安全能力值。

2.1 安全基線制定

安全基線是借用“基線”的概念，是對安全能力評估、定位的基本參照。具體制定步驟如下：

(1)先將網(wǎng)絡(luò)運營者所需遵循的各類標(biāo)準(zhǔn)進(jìn)行梳理，對所有標(biāo)準(zhǔn)中的安全條目匯總后進(jìn)行去重合并，形成安全標(biāo)準(zhǔn)匯編。

(2)結(jié)合本單位網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)特點、面臨的威脅、已發(fā)生過的安全事件等因素，定制化編寫安全基線擴(kuò)充條目。

(3)根據(jù)每個安全基線條目的重要程度定義權(quán)重值，作為后續(xù)檢測評估活動的重要衡量標(biāo)準(zhǔn)。其中，權(quán)重值的取值為1～5之間的整數(shù)，根據(jù)重要程度升序排列。

(4)組織相關(guān)網(wǎng)絡(luò)安全專家對安全基線初稿進(jìn)行評審，并在后續(xù)長期的安全運營工作中對安全基線的有效性開展階段性的評審，對其進(jìn)行不斷修訂和完善，形成一套可動態(tài)調(diào)整的安全基線。

2.2 脆弱性測試

2.2.1 測試方法

綜合采用基線核查、漏洞掃描與驗證測試、滲透測試[6]及源代碼審計[7]等方式對關(guān)鍵信息基礎(chǔ)設(shè)施脆弱性進(jìn)行識別。

(1)基線核查

依據(jù)已制定的安全基線，對關(guān)鍵信息基礎(chǔ)設(shè)施的安全現(xiàn)狀進(jìn)行逐項安全核查，核查范圍覆蓋物理環(huán)境、網(wǎng)絡(luò)與通信、計算環(huán)境、應(yīng)用及數(shù)據(jù)、管理制度等層面。核查方法可采用人員訪談、實地查看、配置檢查、文檔審查、案例測試等方式。

(2)漏洞掃描

使用正版專業(yè)的漏洞掃描系統(tǒng)對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行漏洞探測，掃描范圍覆蓋網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等層面。在完成漏洞掃描后，對工具識別的漏洞進(jìn)行人工驗證測試，驗證漏洞的真實性。

(3)滲透測試

滲透測試是通過專業(yè)的安全攻防人員模擬黑客的各類網(wǎng)絡(luò)攻擊技術(shù)，對授權(quán)的測試對象進(jìn)行非破壞性的測試手段。

圖2 滲透測試流程圖

滲透測試流程包括信息收集、漏洞映射、漏洞利用、權(quán)限提升、控制系統(tǒng)、結(jié)果輸出等步驟，如圖2所示。測試人員在不同的位置對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全面的弱點、缺陷及漏洞分析，以控制系統(tǒng)為最終目標(biāo)，并輸出測試結(jié)果。

(4)源代碼審計

軟件代碼是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的重要基礎(chǔ)組件之一，源代碼審計的具體實施可通過專業(yè)正版的源代碼審查工具先進(jìn)行掃描分析，再結(jié)合人工代碼審查的方式進(jìn)行漏洞定位，根據(jù)業(yè)務(wù)流來檢查目標(biāo)系統(tǒng)的脆弱性、缺陷以及結(jié)構(gòu)上的問題，具體步驟如下：

①信息收集

通過源代碼審計工具載入系統(tǒng)源代碼進(jìn)行閱讀，獲取待審計應(yīng)用系統(tǒng)的結(jié)構(gòu)設(shè)計、功能模塊，輸入輸出流，確定審計重點。

②代碼安全性分析

使用源代碼審計工具對源代碼進(jìn)行靜態(tài)掃描，并對掃描結(jié)果進(jìn)行人工分析、整理，然后根據(jù)嚴(yán)重問題對源代碼進(jìn)行人工審計。

③代碼規(guī)范性檢查

對應(yīng)用系統(tǒng)各功能模塊的代碼進(jìn)行合規(guī)性檢查。

④問題驗證

對前幾個步驟中定位的安全問題人工整理、分析，得出初步的風(fēng)險問題，對發(fā)現(xiàn)的所有安全漏洞采用滲透測試的方式進(jìn)行驗證性測試，驗證安全問題的真實性。

2.2.2 測試周期

對安全基線核查、漏洞掃描與驗證測試、滲透測試及源代碼審計的實施時間點及周期進(jìn)行合理化設(shè)置，動態(tài)識別關(guān)鍵信息基礎(chǔ)設(shè)施的脆弱性。

2.3 安全能力值評估

(1)安全得分計算

在完成所有層面的基線核查后，逐項記錄每個基線條目的核查結(jié)果，共分為：符合、部分符合及不符合三種結(jié)論。

假設(shè)總測評項數(shù)為P，測評結(jié)論為“符合”的測評項數(shù)為P1，測評結(jié)論為“部分符合”的測評項數(shù)為P2，則最終安全得分為：

(2)風(fēng)險分析

將2.2節(jié)中發(fā)現(xiàn)的所有安全問題進(jìn)行逐條風(fēng)險分析，具體分析流程及風(fēng)險值計算方法參考《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》[8]，風(fēng)險值可能的范圍為：很高、高、中等、低、很低。輸出關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險列表，并在各項脆弱性測試實施的時間節(jié)點動態(tài)更新。

(3)安全能力值計算

根據(jù)安全得分及風(fēng)險分析結(jié)果，判定關(guān)鍵信息基礎(chǔ)設(shè)施安全能力值，對關(guān)鍵信息基礎(chǔ)設(shè)施安全能力成熟度[9]進(jìn)行量化，實現(xiàn)安全運維階段對關(guān)鍵信息基礎(chǔ)設(shè)施安全能力的常態(tài)化的識別與定位[10]，具體判定方法如表3所示。

表3 關(guān)鍵信息基礎(chǔ)設(shè)施安全能力判定表

3 關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作示例

某銀行關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作步驟如下：

(1)整合檢測評估相關(guān)國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)，定制化編制關(guān)鍵信息基礎(chǔ)設(shè)施安全基線，如表4所示。

表4 關(guān)鍵信息基礎(chǔ)設(shè)施安全基線示例

(2)制定適用于本單位的年度脆弱性測試工作策略，如表5所示。開展全面的檢測評估工作，計算安全得分，分析各類安全風(fēng)險，輸出關(guān)鍵信息基礎(chǔ)設(shè)施安全能力值。

表5 關(guān)鍵信息基礎(chǔ)設(shè)施脆弱性測試周期示例

(3)根據(jù)年度脆弱性評估策略，對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行常態(tài)化安全評估，按需優(yōu)化與更新安全基線條目，動態(tài)維護(hù)網(wǎng)絡(luò)安全問題列表及風(fēng)險清單，為關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)、監(jiān)控預(yù)警及應(yīng)急處置等重要活動提供有效的技術(shù)支撐。

4 結(jié)論

本文結(jié)合現(xiàn)有的國內(nèi)外檢測評估標(biāo)準(zhǔn)對關(guān)鍵信息基礎(chǔ)設(shè)施的檢測評估方法進(jìn)行了研究，提出了一套具備普適性及可拓展性的實施策略，實現(xiàn)對關(guān)鍵信息基礎(chǔ)設(shè)施安全能力常態(tài)化的掌控。本文提出的策略可以在我國關(guān)鍵信息基礎(chǔ)設(shè)施技術(shù)標(biāo)準(zhǔn)未正式出臺之前的過渡期，提供各行業(yè)的網(wǎng)絡(luò)運營者參考借鑒，讓關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作得到有效的落地；并且在標(biāo)準(zhǔn)正式出臺之后也可以與其進(jìn)行兼容，根據(jù)最新的標(biāo)準(zhǔn)進(jìn)行動態(tài)拓展與優(yōu)化，對推動《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)要求的部署及落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保障任務(wù)具有重要意義。