關鍵信息基礎設施安全檢查*

王 娟，陳 爽，張景明

（中國電子科技網絡安全有限公司，四川 成都 610041）

0 引 言

隨著新技術、新應用的發展，在給人們日常生活帶來便利的同時，公共通信和信息服務、教育、交通、金融、公共服務、電子政務等重要行業和領域的關鍵信息基礎設施面臨的網絡安全威脅也不斷升級，一旦遭到破壞或數據泄露等，可能嚴重危害國家安全、國計民生和公共利益，故網絡安全法明確對關鍵信息基礎設施實行重點保護。因此，關鍵信息基礎設施的運營者要貫徹落實習近平總書記關于“加快構建關鍵信息基礎設施安全保障體系”“全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改”的重要指示精神，認真落實檢查要求、全面摸清關鍵信息基礎設施底數，確保各項要求落實落細；通過檢查評估，準確了解重點網站、企業的網絡和系統安全現狀，確定其信息資產的價值、敏感性和嚴重性，分析發生威脅時潛在的損失或破壞，明晰被檢查對象及其管理單位的安全需求，安全檢查不僅指導被檢查單位制定網絡和系統安全策略以及安全解決方案，建立信息安全保障體系[1]，也推動了被檢查單位未來的安全建設和投入。

1 關鍵信息基礎設施安全檢查的基本原則

關鍵信息基礎設施安全檢查以安全風險為出發點，對被檢查對象的安全性和可能存在的風險進行檢測評估。關鍵信息基礎設施的運營者[2]開展檢查工作有兩種形式，自行或者委托網絡安全服務機構。工作基本原則包括標準性原則、可控性原則、完整性原則、最小影響原則和保密原則。開展檢查工作遵循國家、行業和組織相關標準開展檢查評估工作，在檢查實施過程中，應保證參與實施的人員、使用的技術、工具和過程都是可控的。檢查評估方案要充分考慮整個實施過程中的所有環節，做到統籌兼顧，細節清楚。檢查評估的所有階段，要保證實施工作對系統正常運行的可能影響降低到最低限度，不會對目前的業務系統運行造成明顯的影響。委托第三方機構的，特別要注意保密的原則，檢查評估的所有階段，均要求嚴格遵循保密原則，檢查過程中涉及的任何用戶信息均屬保密信息，不得泄露給其他單位或個人，不得利用這些信息損害被檢查單位利益。須與被檢單位簽訂保密協議，承諾未經允許不向其他任何方泄露有關信息系統的信息。

2 關鍵信息基礎設施安全檢查的方法

檢查方法的選擇主要依據安全檢查的相關標準和規范，主要分為現場檢查和遠程檢查兩種方式，現場檢查主要是對網絡安全管理情況的檢查和網絡安全技術防護情況的檢查，檢查關鍵信息基礎設施登記表和網絡安全自查表，開展文檔審查、人員訪談、核查驗證、現場察看、安全檢測等工作。遠程檢查主要對接入互聯網的被檢關鍵信息基礎設施進行外部檢測，重點檢查安全漏洞和安全隱患，檢驗安全防護措施的有效性。

2.1 現場檢查

現場檢查各項工作集中方式同步開展，獲取檢查結果。文檔審查主要包括自查工作開展、安全問題整改、被檢關鍵信息基礎設施運行安全防護措施及策略信息等相關資料。人員訪談是通過與運維人員和安全管理人員進行交談和問詢，了解被檢關鍵信息基礎設施技術和管理方面的基本信息、近一個月的運行狀況，并對一些抽測內容進行確認。核查驗證主要對需要上機確認的信息進行核實，對人員訪談和文檔審核中獲得的信息進行驗證。現場察看是對被檢關鍵信息基礎設施運行環境、運維工作環境等進行現場查看。安全檢測是根據實際情況，檢查人員按照相關要求對被檢關鍵信息基礎設施進行檢測，包括漏洞掃描、配置檢查、日志與記錄分析等。

2.2 遠程檢查

遠程檢查的方法包括對選定的網段和主機、服務器進行安全掃描、使用協議分析儀分析網絡數據、使用安全工具檢測Web應用程序漏洞、組織專業技術力量進行滲透測試等。

2.3 檢查技術方法

被檢查對象一般包含信息系統和工業控制系統，檢查工作主要涉及的技術方法如表1所示：

表1 檢查主要技術方法

3 關鍵信息基礎設施安全檢查的主要內容

關鍵信息基礎設施安全檢查需求主要包括兩個方面：網絡安全管理情況檢查和安全技術防護情況檢查。檢查主要內容包括網絡安全管理情況、技術防護情況、應急處理情況、宣傳教育培訓情況、等級保護工作落實有效性情況、商用密碼使用情況、安全問題整改情況、風險分析量化（定性、定量）和風險管理等，所以檢查范圍涉及關鍵信息基礎設施的各個方面，包括物理環境、網絡結構、應用系統、數據庫、服務器及網絡安全設備的安全性、安全產品和技術的應用狀況以及管理體系是否完善等，同時對管理風險、綜合安全風險以及應用系統安全性進行評估。檢查原則上應全面覆蓋服務器、網絡設備、安全設備和安全系統、系統軟件、應用系統，實際也可依據被檢系統的影響度等級、數量和分布情況采取抽樣方式進行，抽樣方式及檢查覆蓋面須同被檢單位溝通后共同確認。

3.1 網絡安全管理情況檢查內容

重點分析被檢單位網絡與信息系統網絡安全管理與組織情況。檢查內容可參考如下。

（1）安全組織：檢查網絡安全組織機構、網絡安全崗位建立情況和主管領導、工作人員職責落實情況。

（2）規章制度：檢查下發的網絡安全相關制度及本單位自行制定的安全規章制度的落實情況。

（3）資產分類與控制：檢查信息資產的登記情況和分類情況。

（4）人員安全：包括工作職責和人員考察。檢查在工作人員錄用、在職和調離的全過程中，相關的網絡安全和保密規章制度的建立和落實情況；檢查工作人員網絡安全教育與培訓開展情況，包括網絡安全意識教育、網絡安全技能培訓和網絡安全管理培訓等；第三方訪問安全檢查針對第三方訪問的風險評估情況，檢查相關管理規定的制定和落實情況。檢查對違反網絡安全規定的行為和網絡安全事故的查處情況。

（5）應急響應與安全事件：檢查應急響應機構和制度建立情況以及網絡安全應急演練開展情況；檢查重要設備的木馬、病毒查殺和系統漏洞修復情況；檢查本單位發生的網絡安全事件情況。

（6）網絡安全經費保障情況：檢查網絡安全經費的預算與落實情況以及在信息化建設預算中所占的比例。

（7）整改工作落實情況：回看上次檢查工作發現的問題整改跟進情況，檢查掌握隱患和整改后的核查機制、檢查通報機制。

3.2 安全技術防護情況檢查內容

重點分析單位網絡架構的合理性、邊界防護的強健性、安全策略配置的有效性、重要數據存儲傳輸的安全性、云計算等信息技術外包服務的可控性。檢查內容可參考如下。

（1）網絡結構防護情況：檢測被檢單位網絡區域劃分、網絡形態以及網絡安全防護策略等情況；被檢單位網絡拓撲、區域劃分情況；被檢單位網絡邊界劃分與防護情況；被檢單位無線網絡應用與安全情況。

（2）網絡設備檢查：被檢對象網絡設備安全策略配置情況及有效性檢驗。對核心交換機的安全配置、口令策略、開放服務、VALN劃分、訪問控制列表、端口過濾、日志記錄、冗余備份等內容進行安全檢查；對路由器的安全配置、口令策略、設置管理口令、口令更換、開放的服務、不明路由、高位端口屏蔽、日志功能、對安全事件的記錄、熱/冷備份等內容進行安全檢查。

（3）安全設備檢查：安全設備安全策略配置情況及有效性檢驗。檢查防火墻和IDS的用戶管理、系統配置、安全策略、日志審計、規范和操作流程、變更管理、遠程控制、操作記錄等；檢查防病毒系統分發管理、事件響應、升級管理、事件記錄等情況；檢查漏洞掃描工具、執行、制度、記錄、范圍、漏洞修復情況；檢查審計系統和數據庫、主要服務器、網絡設備等日志功能，審查記錄制度的執行情況。

（4）設備安全配置檢查：檢查服務器及終端安全策略與安全配置有效性情況。檢查各類型服務器操作系統安全防護級別、操作系統安全漏洞、補丁程序安全服務、系統配置關閉開啟情況、用戶管理、安全策略、日志審計、操作記錄、病毒、木馬程序等情況；檢查數據庫系統漏洞、補丁程序安裝情況；數據庫口令設置的復雜度與數據的機密性和完整性情況。

（5）應用安全配置情況：檢查系統應用軟件安全策略與配置有效性情況、應用的安全性、安全配置、補丁程序、日志審計及輔助安全措施等情況；檢查應用身份認證、訪問控制、代碼安全等情況。

（6）數據傳輸存儲情況：檢測被檢系統重要數據傳輸、存儲保護情況。重要數據類型、傳輸方式與采取的保護措施情況；重要數據容災備份措施；重要數據存儲介質、存儲方式、形式等保護措施；重要數據加密類型、加密內容及有效性措施。

（7）云計算安全管理檢查：檢測被檢單位云計算等信息技術的使用和安全管理情況，信息技術外包服務與安全管理情況，分析其可控性。檢查對云計算中心物理資源和虛擬資源運行狀態和性能的監控能力；從資源可用性角度對基礎設施資源、云服務、虛擬資源進行檢查；檢查安全預警信息發布能力；檢查依據準入策略控制設備接入的能力，保證接入設備的合法性和安全性；檢查具備對虛擬機的安全狀況進行檢查的能力等。

（8）工業控制終端基本情況和系統網絡安全保護情況：檢查工業控制終端的配置、使用協議、固件版本等情況；對工程師站、操作員站、服務器及數據庫等進行漏洞掃描及病毒檢查。

（9）商用密碼應用情況檢查：檢查系統中密碼算法使用，符合法律法規規定和密碼相關國家標準、行業標準的有關要求情況；檢查系統中密碼技術使用，遵循密碼相關國家標準和行業標準情況；檢查密碼設備的用途以及使用、管理符合國家相關法律法規的情況，核查密碼設備是否正常運行、密碼設備是否取得由市場監管總局牽頭，會同國家密碼管理局制定發布國推商用密碼認證的產品目錄。信息系統中使用的密碼服務是否通過國家密碼管理部門許可。

3.3 安全檢查工作重點

安全檢查工作重點主要包括信息收集、安全檢查要素設別、安全技術檢測及滲透測試和風險分析[3]四個方面。

（1）信息收集：通過文檔審核、人員訪談、核查驗證、現場查看等方式全面獲取被檢查系統運行期間相關信息，特別是近一個月內信息系統運行中出現的各類安全事件信息，為風險識別與分析做準備。

（2）安全檢查要素設別：安全檢查要素識別主要以檢查依據為標準，以國家網絡安全檢查操作指南等為依據，完成系統的資產識別、威脅識別、脆弱性識別。

（3）安全技術檢測及滲透測試：發現信息系統存在的脆弱點，進一步驗證每個脆弱點風險大小的重要檢測手段。安全檢查過程中，滲透測試將作為其中一個重要檢測過程。

（4）風險分析：主要根據所收集到的各種系統信息，對系統面臨的風險進行綜合性定性定量分析，得出系統網絡安全風險評估結果。

4 關鍵信息基礎設施安全風險分析

關鍵信息基礎設施安全檢查的風險分析主要依據國家風險評估標準，參考風險評估的過程執行，通過風險評估，掌握被檢設施及單位的整體安全現狀；通過資產評估，掌握被檢單位的網絡信息安全資產狀況，并錄入資產庫，進行資產梳理；通過威脅評估，掌握被檢單位存在的安全威脅情況；通過脆弱性評估，掌握被檢單位當前業務系統存在的脆弱性；對各個業務系統進行綜合風險分析，掌握風險情況，提出分系統的安全解決方案；提出各個系統的風險處置解決方案。

采用專業的人工和技術工具評估，分析關鍵信息基礎設施存在哪些威脅，根據所存在的威脅，來確定需要達到哪些系統安全目標才能保證關鍵信息基礎設施網絡能夠抵擋預期的安全威脅。

關鍵信息基礎設施安全檢查當前重點注意的安全風險是：防護體系缺乏規劃，堆疊安全設備，缺乏一體化、系統化建設規劃；網絡設備策略配置，未結合實際需要細化策略，導致內部服務設施遭受攻擊。制度落實仍需加強，普遍存在弱口令等不執行制度的情況；普遍缺乏對可移動存儲介質的管控。工控系統防護薄弱，存在大量使用明文傳輸賬號口令；國產化情況形勢嚴峻，操作系統、CPU、數據庫國產化率均不足。

5 關鍵信息基礎設施安全檢查工作質量和風險管控

質量為安全檢查的核心，風險管控是檢查管理的重要組成部分，質量和風險管控貫穿整個檢查工作生命周期。

5.1 質量管控

在整個檢查工作的實施過程中，可采用項目負責人質量控制和質量管理質量控制的方法全面保證整個檢查工作的質量。

（1）項目負責人質量控制：項目負責人不但要負責技術方案的制訂、技術方向的把握和技術問題的解決，同時也是質量控制的第一層把關者。要按照驗收標準每周對檢查工作實施工程師提交的工作日志進行批閱，并將之與實際檢查工作執行情況進行比對。如果出現質量不符合要求的情況，技術負責人有責任指出并督促實施工程師予以修正。

（2）質量管理質量控制：質量管理是獨立的質量控制小組。在檢查工作實施的過程中，成立質量控制小組，到被檢單位實施現場進行質量檢驗，并將檢驗結果同工程師的工作業績考評聯系起來。

5.2 風險管控

檢查工作的風險主要來自檢查過程的不確定性、安全檢查實施人員素質、客戶工作環境的特殊要求、檢查工具使用等。在檢查實施之前，應該充分考慮各種風險因素，識別檢查工作中存在的各種風險，制定風險規避措施和風險計劃。典型的風險因素和規避方法如下。

（1）安全檢查過程的不確定性：由于被檢查單位的操作系統版本和應用情況不同，造成不能實施完全統一的服務過程，需要考慮具體應用。可考慮規避方法為實施數據備份和主機設備的熱備份，在發生意外時進行恢復；使用自動化的商業測評工具，增加服務過程的自適應性；由被檢單位人員進行手工配置檢查。

（2）客戶工作環境的不確定性：由于被檢查單位的設備處于業務運行狀態，服務實施時可能需要避開業務高峰時段。可考慮規避方法為與客戶協商，避開業務高峰時段實施服務，例如在夜間工作；通過實施備份保證業務連續性。

（3）檢查人員素質：實施檢查評估的人員經驗能力，使服務過程效率和質量出現差別。可考慮規避方法為嚴格按照檢查要求內容和風險評估流程進行檢查，要完全遵循日常作業指導書進行實施，盡量減小人為原因對檢查工作造成的影響；通過技術交流和實施培訓，提高服務人員素質，質量控制組負責對測評結果進行抽查。

（4）檢查工具使用：實施檢查評估的人員所攜帶的筆記本電腦、PC機等電子設備安全防護軟件未安裝到位，利用存儲設備對評估數據進行復制，造成敏感信息泄露。可考慮規避方法為安全檢查人員使用的筆記本電腦、PC機需要安裝相應的安全防護軟件，辦理領用登記手續；在進行檢查之前進行崗前培訓和安全意識宣貫；明確責任人，檢查過程所需的數據統一由項目負責人收集，所有人員必須簽署保密協議；檢查相關報告、文檔等由配置管理員統一歸檔管理并進行保密存儲。

6 關鍵信息基礎設施安全檢查的創新建議

全面的檢查工作可聚焦行業、區域總體態勢感知新要求，深入細致開展工作，有效組織管理和技術風險管控，確保生產業務正常進行。下面也對檢查工作做三點建議。

（1）通過強大的威脅情報支撐安全檢查：建議可與國內的安全廠商建立良好的合作關系，共享第一手威脅情報，獲取最新的漏洞、攻擊手段，用以支撐安全檢查過程中新型威脅的檢測能力。

（2）采用態勢感知技術掌握整體安全情況：使用態勢感知技術對被檢查對象進行全方位的態勢呈現，為檢查、測試提供指導。

（3）多域多維度開展安全檢查：創新檢查工作和檢查手段，從邏輯域延伸檢查范圍至物理域和社會域，更精準反映整體安全態勢。

7 結 語

現階段已專門出臺針對關鍵信息基礎設施網絡安全的法規和標準，《中華人民共和國網絡安全法》《中華人民共和國密碼法》、公安部1960號《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》[4]等，《關鍵信息基礎設施安全保護條例（征求意見稿）》也建立健全“關基”安全檢測評估制度，對工業控制系統、云計算環境、電子商務等新型業務環境建立相關安全防護準則。我們須從國家、省市、單位統一規劃網絡安全、密碼安全防控體系，在體系規劃、設計、研制、部署和實施階段充分融入安全要素，改變“先上信息系統、后加安全產品”的局面。建立安全責任制，落實巡視制度，加大網絡安全責任制的監督和查處力度，切實落實安全責任制，從根本上保護好國家關鍵信息基礎設施。