您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查
摘 要 / Abstract”
關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度是黨中央有關(guān)文件和《中華人民共和國網(wǎng)絡(luò)安全法》確定的基本制度。在當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢下,全面摸清關(guān)鍵信息基礎(chǔ)設(shè)施底數(shù),準(zhǔn)確了解關(guān)鍵信息基礎(chǔ)設(shè)施安全現(xiàn)狀,確定其信息資產(chǎn)的價(jià)值、敏感性和嚴(yán)重性,分析發(fā)生威脅時(shí)潛在的損失或破壞,為全面掌握關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提供依據(jù)。近年來,各單位、各部門按照相關(guān)法律法規(guī)規(guī)定,開展了關(guān)鍵信息基礎(chǔ)設(shè)施的安全檢查和整改工作,全面加強(qiáng)了網(wǎng)絡(luò)安全工作,切實(shí)保障國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全。主要介紹關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的方法原則、重點(diǎn)內(nèi)容、風(fēng)險(xiǎn)分析、質(zhì)量管控等幾個(gè)方面。
內(nèi)容目錄:
0 引 言
1 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的基本原則
2 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的方法
2.1 現(xiàn)場檢查
2.2 遠(yuǎn)程檢查
2.3 檢查技術(shù)方法
3 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的主要內(nèi)容
3.1 網(wǎng)絡(luò)安全管理情況檢查內(nèi)容、
3.2 安全技術(shù)防護(hù)情況檢查內(nèi)容
3.3 安全檢查工作重點(diǎn)
4 關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)分析
5 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查工作質(zhì)量和風(fēng)險(xiǎn)管控
5.1 質(zhì)量管控
5.2 風(fēng)險(xiǎn)管控
6 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的創(chuàng)新建議
7 結(jié) 語
Vol.0 引 言
隨著新技術(shù)、新應(yīng)用的發(fā)展,在給人們?nèi)粘I顜肀憷耐瑫r(shí),公共通信和信息服務(wù)、教育、交通、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全威脅也不斷升級,一旦遭到破壞或數(shù)據(jù)泄露等,可能嚴(yán)重危害國家安全、國計(jì)民生和公共利益,故網(wǎng)絡(luò)安全法明確對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。因此,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者要貫徹落實(shí)習(xí)近平總書記關(guān)于“加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系”“全面加強(qiáng)網(wǎng)絡(luò)安全檢查,摸清家底,認(rèn)清風(fēng)險(xiǎn),找出漏洞,通報(bào)結(jié)果,督促整改”的重要指示精神,認(rèn)真落實(shí)檢查要求、全面摸清關(guān)鍵信息基礎(chǔ)設(shè)施底數(shù),確保各項(xiàng)要求落實(shí)落細(xì);通過檢查評估,準(zhǔn)確了解重點(diǎn)網(wǎng)站、企業(yè)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀,確定其信息資產(chǎn)的價(jià)值、敏感性和嚴(yán)重性,分析發(fā)生威脅時(shí)潛在的損失或破壞,明晰被檢查對象及其管理單位的安全需求,安全檢查不僅指導(dǎo)被檢查單位制定網(wǎng)絡(luò)和系統(tǒng)安全策略以及安全解決方案,建立信息安全保障體系,也推動(dòng)了被檢查單位未來的安全建設(shè)和投入。
Vol.1 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的基本原則
關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查以安全風(fēng)險(xiǎn)為出發(fā)點(diǎn),對被檢查對象的安全性和可能存在的風(fēng)險(xiǎn)進(jìn)行檢測評估。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者開展檢查工作有兩種形式,自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)。工作基本原則包括標(biāo)準(zhǔn)性原則、可控性原則、完整性原則、最小影響原則和保密原則。開展檢查工作遵循國家、行業(yè)和組織相關(guān)標(biāo)準(zhǔn)開展檢查評估工作,在檢查實(shí)施過程中,應(yīng)保證參與實(shí)施的人員、使用的技術(shù)、工具和過程都是可控的。檢查評估方案要充分考慮整個(gè)實(shí)施過程中的所有環(huán)節(jié),做到統(tǒng)籌兼顧,細(xì)節(jié)清楚。檢查評估的所有階段,要保證實(shí)施工作對系統(tǒng)正常運(yùn)行的可能影響降低到最低限度,不會(huì)對目前的業(yè)務(wù)系統(tǒng)運(yùn)行造成明顯的影響。委托第三方機(jī)構(gòu)的,特別要注意保密的原則,檢查評估的所有階段,均要求嚴(yán)格遵循保密原則,檢查過程中涉及的任何用戶信息均屬保密信息,不得泄露給其他單位或個(gè)人,不得利用這些信息損害被檢查單位利益。須與被檢單位簽訂保密協(xié)議,承諾未經(jīng)允許不向其他任何方泄露有關(guān)信息系統(tǒng)的信息。
Vol.2 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的方法
檢查方法的選擇主要依據(jù)安全檢查的相關(guān)標(biāo)準(zhǔn)和規(guī)范,主要分為現(xiàn)場檢查和遠(yuǎn)程檢查兩種方式,現(xiàn)場檢查主要是對網(wǎng)絡(luò)安全管理情況的檢查和網(wǎng)絡(luò)安全技術(shù)防護(hù)情況的檢查,檢查關(guān)鍵信息基礎(chǔ)設(shè)施登記表和網(wǎng)絡(luò)安全自查表,開展文檔審查、人員訪談、核查驗(yàn)證、現(xiàn)場察看、安全檢測等工作。遠(yuǎn)程檢查主要對接入互聯(lián)網(wǎng)的被檢關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行外部檢測,重點(diǎn)檢查安全漏洞和安全隱患,檢驗(yàn)安全防護(hù)措施的有效性。
2.1 現(xiàn)場檢查
現(xiàn)場檢查各項(xiàng)工作集中方式同步開展,獲取檢查結(jié)果。文檔審查主要包括自查工作開展、安全問題整改、被檢關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全防護(hù)措施及策略信息等相關(guān)資料。人員訪談是通過與運(yùn)維人員和安全管理人員進(jìn)行交談和問詢,了解被檢關(guān)鍵信息基礎(chǔ)設(shè)施技術(shù)和管理方面的基本信息、近一個(gè)月的運(yùn)行狀況,并對一些抽測內(nèi)容進(jìn)行確認(rèn)。核查驗(yàn)證主要對需要上機(jī)確認(rèn)的信息進(jìn)行核實(shí),對人員訪談和文檔審核中獲得的信息進(jìn)行驗(yàn)證?,F(xiàn)場察看是對被檢關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行環(huán)境、運(yùn)維工作環(huán)境等進(jìn)行現(xiàn)場查看。安全檢測是根據(jù)實(shí)際情況,檢查人員按照相關(guān)要求對被檢關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行檢測,包括漏洞掃描、配置檢查、日志與記錄分析等。
2.2 遠(yuǎn)程檢查
遠(yuǎn)程檢查的方法包括對選定的網(wǎng)段和主機(jī)、服務(wù)器進(jìn)行安全掃描、使用協(xié)議分析儀分析網(wǎng)絡(luò)數(shù)據(jù)、使用安全工具檢測Web應(yīng)用程序漏洞、組織專業(yè)技術(shù)力量進(jìn)行滲透測試等。
2.3 檢查技術(shù)方法
被檢查對象一般包含信息系統(tǒng)和工業(yè)控制系統(tǒng),檢查工作主要涉及的技術(shù)方法如表 1 所示:
Vol.3 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的主要內(nèi)容
關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查需求主要包括兩個(gè)方面:網(wǎng)絡(luò)安全管理情況檢查和安全技術(shù)防護(hù)情況檢查。檢查主要內(nèi)容包括網(wǎng)絡(luò)安全管理情況、技術(shù)防護(hù)情況、應(yīng)急處理情況、宣傳教育培訓(xùn)情況、等級保護(hù)工作落實(shí)有效性情況、商用密碼使用情況、安全問題整改情況、風(fēng)險(xiǎn)分析量化(定性、定量)和風(fēng)險(xiǎn)管理等,所以檢查范圍涉及關(guān)鍵信息基礎(chǔ)設(shè)施的各個(gè)方面,包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器及網(wǎng)絡(luò)安全設(shè)備的安全性、安全產(chǎn)品和技術(shù)的應(yīng)用狀況以及管理體系是否完善等,同時(shí)對管理風(fēng)險(xiǎn)、綜合安全風(fēng)險(xiǎn)以及應(yīng)用系統(tǒng)安全性進(jìn)行評估。檢查原則上應(yīng)全面覆蓋服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和安全系統(tǒng)、系統(tǒng)軟件、應(yīng)用系統(tǒng),實(shí)際也可依據(jù)被檢系統(tǒng)的影響度等級、數(shù)量和分布情況采取抽樣方式進(jìn)行,抽樣方式及檢查覆蓋面須同被檢單位溝通后共同確認(rèn)。
3.1 網(wǎng)絡(luò)安全管理情況檢查內(nèi)容
重點(diǎn)分析被檢單位網(wǎng)絡(luò)與信息系統(tǒng)網(wǎng)絡(luò)安全管理與組織情況。檢查內(nèi)容可參考如下。
(1)安全組織:檢查網(wǎng)絡(luò)安全組織機(jī)構(gòu)、網(wǎng)絡(luò)安全崗位建立情況和主管領(lǐng)導(dǎo)、工作人員職責(zé)落實(shí)情況。
(2)規(guī)章制度:檢查下發(fā)的網(wǎng)絡(luò)安全相關(guān)制度及本單位自行制定的安全規(guī)章制度的落實(shí)情況。
(3)資產(chǎn)分類與控制:檢查信息資產(chǎn)的登記情況和分類情況。
(4)人員安全:包括工作職責(zé)和人員考察。檢查在工作人員錄用、在職和調(diào)離的全過程中,相關(guān)的網(wǎng)絡(luò)安全和保密規(guī)章制度的建立和落實(shí)情況;檢查工作人員網(wǎng)絡(luò)安全教育與培訓(xùn)開展情況,包括網(wǎng)絡(luò)安全意識教育、網(wǎng)絡(luò)安全技能培訓(xùn)和網(wǎng)絡(luò)安全管理培訓(xùn)等;第三方訪問安全檢查針對第三方訪問的風(fēng)險(xiǎn)評估情況,檢查相關(guān)管理規(guī)定的制定和落實(shí)情況。檢查對違反網(wǎng)絡(luò)安全規(guī)定的行為和網(wǎng)絡(luò)安全事故的查處情況。
(5)應(yīng)急響應(yīng)與安全事件:檢查應(yīng)急響應(yīng)機(jī)構(gòu)和制度建立情況以及網(wǎng)絡(luò)安全應(yīng)急演練開展情況;檢查重要設(shè)備的木馬、病毒查殺和系統(tǒng)漏洞修復(fù)情況;檢查本單位發(fā)生的網(wǎng)絡(luò)安全事件情況。
(6)網(wǎng)絡(luò)安全經(jīng)費(fèi)保障情況:檢查網(wǎng)絡(luò)安全經(jīng)費(fèi)的預(yù)算與落實(shí)情況以及在信息化建設(shè)預(yù)算中所占的比例。
(7)整改工作落實(shí)情況:回看上次檢查工作發(fā)現(xiàn)的問題整改跟進(jìn)情況,檢查掌握隱患和整改后的核查機(jī)制、檢查通報(bào)機(jī)制。
3.2 安全技術(shù)防護(hù)情況檢查內(nèi)容
重點(diǎn)分析單位網(wǎng)絡(luò)架構(gòu)的合理性、邊界防護(hù)的強(qiáng)健性、安全策略配置的有效性、重要數(shù)據(jù)存儲(chǔ)傳輸?shù)陌踩?、云?jì)算等信息技術(shù)外包服務(wù)的可控性。檢查內(nèi)容可參考如下。
(1)網(wǎng)絡(luò)結(jié)構(gòu)防護(hù)情況:檢測被檢單位網(wǎng)絡(luò)區(qū)域劃分、網(wǎng)絡(luò)形態(tài)以及網(wǎng)絡(luò)安全防護(hù)策略等情況;被檢單位網(wǎng)絡(luò)拓?fù)?、區(qū)域劃分情況;被檢單位網(wǎng)絡(luò)邊界劃分與防護(hù)情況;被檢單位無線網(wǎng)絡(luò)應(yīng)用與安全情況。
(2)網(wǎng)絡(luò)設(shè)備檢查:被檢對象網(wǎng)絡(luò)設(shè)備安全策略配置情況及有效性檢驗(yàn)。對核心交換機(jī)的安全配置、口令策略、開放服務(wù)、VALN劃分、訪問控制列表、端口過濾、日志記錄、冗余備份等內(nèi)容進(jìn)行安全檢查;對路由器的安全配置、口令策略、設(shè)置管理口令、口令更換、開放的服務(wù)、不明路由、高位端口屏蔽、日志功能、對安全事件的記錄、熱/冷備份等內(nèi)容進(jìn)行安全檢查。
(3)安全設(shè)備檢查:安全設(shè)備安全策略配置情況及有效性檢驗(yàn)。檢查防火墻和 IDS 的用戶管理、系統(tǒng)配置、安全策略、日志審計(jì)、規(guī)范和操作流程、變更管理、遠(yuǎn)程控制、操作記錄等;檢查防病毒系統(tǒng)分發(fā)管理、事件響應(yīng)、升級管理、事件記錄等情況;檢查漏洞掃描工具、執(zhí)行、制度、記錄、范圍、漏洞修復(fù)情況;檢查審計(jì)系統(tǒng)和數(shù)據(jù)庫、主要服務(wù)器、網(wǎng)絡(luò)設(shè)備等日志功能,審查記錄制度的執(zhí)行情況。
(4)設(shè)備安全配置檢查:檢查服務(wù)器及終端安全策略與安全配置有效性情況。檢查各類型服務(wù)器操作系統(tǒng)安全防護(hù)級別、操作系統(tǒng)安全漏洞、補(bǔ)丁程序安全服務(wù)、系統(tǒng)配置關(guān)閉開啟情況、用戶管理、安全策略、日志審計(jì)、操作記錄、病毒、木馬程序等情況;檢查數(shù)據(jù)庫系統(tǒng)漏洞、補(bǔ)丁程序安裝情況;數(shù)據(jù)庫口令設(shè)置的復(fù)雜度與數(shù)據(jù)的機(jī)密性和完整性情況。
(5)應(yīng)用安全配置情況:檢查系統(tǒng)應(yīng)用軟件安全策略與配置有效性情況、應(yīng)用的安全性、安全配置、補(bǔ)丁程序、日志審計(jì)及輔助安全措施等情況;檢查應(yīng)用身份認(rèn)證、訪問控制、代碼安全等情況。
(6)數(shù)據(jù)傳輸存儲(chǔ)情況:檢測被檢系統(tǒng)重要數(shù)據(jù)傳輸、存儲(chǔ)保護(hù)情況。重要數(shù)據(jù)類型、傳輸方式與采取的保護(hù)措施情況;重要數(shù)據(jù)容災(zāi)備份措施;重要數(shù)據(jù)存儲(chǔ)介質(zhì)、存儲(chǔ)方式、形式等保護(hù)措施;重要數(shù)據(jù)加密類型、加密內(nèi)容及有效性措施。
(7)云計(jì)算安全管理檢查:檢測被檢單位云計(jì)算等信息技術(shù)的使用和安全管理情況,信息技術(shù)外包服務(wù)與安全管理情況,分析其可控性。檢查對云計(jì)算中心物理資源和虛擬資源運(yùn)行狀態(tài)和性能的監(jiān)控能力;從資源可用性角度對基礎(chǔ)設(shè)施資源、云服務(wù)、虛擬資源進(jìn)行檢查;檢查安全預(yù)警信息發(fā)布能力;檢查依據(jù)準(zhǔn)入策略控制設(shè)備接入的能力,保證接入設(shè)備的合法性和安全性;檢查具備對虛擬機(jī)的安全狀況進(jìn)行檢查的能力等。
(8)工業(yè)控制終端基本情況和系統(tǒng)網(wǎng)絡(luò)安全保護(hù)情況:檢查工業(yè)控制終端的配置、使用協(xié)議、固件版本等情況;對工程師站、操作員站、服務(wù)器及數(shù)據(jù)庫等進(jìn)行漏洞掃描及病毒檢查。
(9)商用密碼應(yīng)用情況檢查:檢查系統(tǒng)中密碼算法使用,符合法律法規(guī)規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求情況;檢查系統(tǒng)中密碼技術(shù)使用,遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)情況;檢查密碼設(shè)備的用途以及使用、管理符合國家相關(guān)法律法規(guī)的情況,核查密碼設(shè)備是否正常運(yùn)行、密碼設(shè)備是否取得由市場監(jiān)管總局牽頭,會(huì)同國家密碼管理局制定發(fā)布國推商用密碼認(rèn)證的產(chǎn)品目錄。信息系統(tǒng)中使用的密碼服務(wù)是否通過國家密碼管理部門許可。
3.3 安全檢查工作重點(diǎn)
安全檢查工作重點(diǎn)主要包括信息收集、安全檢查要素設(shè)別、安全技術(shù)檢測及滲透測試和風(fēng)險(xiǎn)分析四個(gè)方面。
(1)信息收集:通過文檔審核、人員訪談、核查驗(yàn)證、現(xiàn)場查看等方式全面獲取被檢查系統(tǒng)運(yùn)行期間相關(guān)信息,特別是近一個(gè)月內(nèi)信息系統(tǒng)運(yùn)行中出現(xiàn)的各類安全事件信息,為風(fēng)險(xiǎn)識別與分析做準(zhǔn)備。
(2)安全檢查要素設(shè)別:安全檢查要素識別主要以檢查依據(jù)為標(biāo)準(zhǔn),以國家網(wǎng)絡(luò)安全檢查操作指南等為依據(jù),完成系統(tǒng)的資產(chǎn)識別、威脅識別、脆弱性識別。
(3)安全技術(shù)檢測及滲透測試:發(fā)現(xiàn)信息系統(tǒng)存在的脆弱點(diǎn),進(jìn)一步驗(yàn)證每個(gè)脆弱點(diǎn)風(fēng)險(xiǎn)大小的重要檢測手段。安全檢查過程中,滲透測試將作為其中一個(gè)重要檢測過程。
(4)風(fēng)險(xiǎn)分析:主要根據(jù)所收集到的各種系統(tǒng)信息,對系統(tǒng)面臨的風(fēng)險(xiǎn)進(jìn)行綜合性定性定量分析,得出系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估結(jié)果。
Vol.4 關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)分析
關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的風(fēng)險(xiǎn)分析主要依據(jù)國家風(fēng)險(xiǎn)評估標(biāo)準(zhǔn),參考風(fēng)險(xiǎn)評估的過程執(zhí)行,通過風(fēng)險(xiǎn)評估,掌握被檢設(shè)施及單位的整體安全現(xiàn)狀;通過資產(chǎn)評估,掌握被檢單位的網(wǎng)絡(luò)信息安全資產(chǎn)狀況,并錄入資產(chǎn)庫,進(jìn)行資產(chǎn)梳理;通過威脅評估,掌握被檢單位存在的安全威脅情況;通過脆弱性評估,掌握被檢單位當(dāng)前業(yè)務(wù)系統(tǒng)存在的脆弱性;對各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行綜合風(fēng)險(xiǎn)分析,掌握風(fēng)險(xiǎn)情況,提出分系統(tǒng)的安全解決方案;提出各個(gè)系統(tǒng)的風(fēng)險(xiǎn)處置解決方案。
采用專業(yè)的人工和技術(shù)工具評估,分析關(guān)鍵信息基礎(chǔ)設(shè)施存在哪些威脅,根據(jù)所存在的威脅,來確定需要達(dá)到哪些系統(tǒng)安全目標(biāo)才能保證關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)能夠抵擋預(yù)期的安全威脅。
關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查當(dāng)前重點(diǎn)注意的安全風(fēng)險(xiǎn)是:防護(hù)體系缺乏規(guī)劃,堆疊安全設(shè)備,缺乏一體化、系統(tǒng)化建設(shè)規(guī)劃;網(wǎng)絡(luò)設(shè)備策略配置,未結(jié)合實(shí)際需要細(xì)化策略,導(dǎo)致內(nèi)部服務(wù)設(shè)施遭受攻擊。制度落實(shí)仍需加強(qiáng),普遍存在弱口令等不執(zhí)行制度的情況;普遍缺乏對可移動(dòng)存儲(chǔ)介質(zhì)的管控。工控系統(tǒng)防護(hù)薄弱,存在大量使用明文傳輸賬號口令;國產(chǎn)化情況形勢嚴(yán)峻,操作系統(tǒng)、CPU、數(shù)據(jù)庫國產(chǎn)化率均不足。
Vol.5 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查
工作質(zhì)量和風(fēng)險(xiǎn)管控
質(zhì)量為安全檢查的核心,風(fēng)險(xiǎn)管控是檢查管理的重要組成部分,質(zhì)量和風(fēng)險(xiǎn)管控貫穿整個(gè)檢查工作生命周期。
5.1 質(zhì)量管控
在整個(gè)檢查工作的實(shí)施過程中,可采用項(xiàng)目負(fù)責(zé)人質(zhì)量控制和質(zhì)量管理質(zhì)量控制的方法全面保證整個(gè)檢查工作的質(zhì)量。
(1)項(xiàng)目負(fù)責(zé)人質(zhì)量控制:項(xiàng)目負(fù)責(zé)人不但要負(fù)責(zé)技術(shù)方案的制訂、技術(shù)方向的把握和技術(shù)問題的解決,同時(shí)也是質(zhì)量控制的第一層把關(guān)者。要按照驗(yàn)收標(biāo)準(zhǔn)每周對檢查工作實(shí)施工程師提交的工作日志進(jìn)行批閱,并將之與實(shí)際檢查工作執(zhí)行情況進(jìn)行比對。如果出現(xiàn)質(zhì)量不符合要求的情況,技術(shù)負(fù)責(zé)人有責(zé)任指出并督促實(shí)施工程師予以修正。
(2)質(zhì)量管理質(zhì)量控制:質(zhì)量管理是獨(dú)立的質(zhì)量控制小組。在檢查工作實(shí)施的過程中,成立質(zhì)量控制小組,到被檢單位實(shí)施現(xiàn)場進(jìn)行質(zhì)量檢驗(yàn),并將檢驗(yàn)結(jié)果同工程師的工作業(yè)績考評聯(lián)系起來。
5.2 風(fēng)險(xiǎn)管控
檢查工作的風(fēng)險(xiǎn)主要來自檢查過程的不確定性、安全檢查實(shí)施人員素質(zhì)、客戶工作環(huán)境的特殊要求、檢查工具使用等。在檢查實(shí)施之前,應(yīng)該充分考慮各種風(fēng)險(xiǎn)因素,識別檢查工作中存在的各種風(fēng)險(xiǎn),制定風(fēng)險(xiǎn)規(guī)避措施和風(fēng)險(xiǎn)計(jì)劃。典型的風(fēng)險(xiǎn)因素和規(guī)避方法如下。
(1)安全檢查過程的不確定性:由于被檢查單位的操作系統(tǒng)版本和應(yīng)用情況不同,造成不能實(shí)施完全統(tǒng)一的服務(wù)過程,需要考慮具體應(yīng)用??煽紤]規(guī)避方法為實(shí)施數(shù)據(jù)備份和主機(jī)設(shè)備的熱備份,在發(fā)生意外時(shí)進(jìn)行恢復(fù);使用自動(dòng)化的商業(yè)測評工具,增加服務(wù)過程的自適應(yīng)性;由被檢單位人員進(jìn)行手工配置檢查。
(2)客戶工作環(huán)境的不確定性:由于被檢查單位的設(shè)備處于業(yè)務(wù)運(yùn)行狀態(tài),服務(wù)實(shí)施時(shí)可能需要避開業(yè)務(wù)高峰時(shí)段??煽紤]規(guī)避方法為與客戶協(xié)商,避開業(yè)務(wù)高峰時(shí)段實(shí)施服務(wù),例如在夜間工作;通過實(shí)施備份保證業(yè)務(wù)連續(xù)性。
(3)檢查人員素質(zhì):實(shí)施檢查評估的人員經(jīng)驗(yàn)?zāi)芰?,使服?wù)過程效率和質(zhì)量出現(xiàn)差別??煽紤]規(guī)避方法為嚴(yán)格按照檢查要求內(nèi)容和風(fēng)險(xiǎn)評估流程進(jìn)行檢查,要完全遵循日常作業(yè)指導(dǎo)書進(jìn)行實(shí)施,盡量減小人為原因?qū)z查工作造成的影響;通過技術(shù)交流和實(shí)施培訓(xùn),提高服務(wù)人員素質(zhì),質(zhì)量控制組負(fù)責(zé)對測評結(jié)果進(jìn)行抽查。
(4)檢查工具使用:實(shí)施檢查評估的人員所攜帶的筆記本電腦、PC機(jī)等電子設(shè)備安全防護(hù)軟件未安裝到位,利用存儲(chǔ)設(shè)備對評估數(shù)據(jù)進(jìn)行復(fù)制,造成敏感信息泄露。可考慮規(guī)避方法為安全檢查人員使用的筆記本電腦、PC機(jī)需要安裝相應(yīng)的安全防護(hù)軟件,辦理領(lǐng)用登記手續(xù);在進(jìn)行檢查之前進(jìn)行崗前培訓(xùn)和安全意識宣貫;明確責(zé)任人,檢查過程所需的數(shù)據(jù)統(tǒng)一由項(xiàng)目負(fù)責(zé)人收集,所有人員必須簽署保密協(xié)議;檢查相關(guān)報(bào)告、文檔等由配置管理員統(tǒng)一歸檔管理并進(jìn)行保密存儲(chǔ)。
Vol.6 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查的創(chuàng)新建議
全面的檢查工作可聚焦行業(yè)、區(qū)域總體態(tài)勢感知新要求,深入細(xì)致開展工作,有效組織管理和技術(shù)風(fēng)險(xiǎn)管控,確保生產(chǎn)業(yè)務(wù)正常進(jìn)行。對檢查工作的三點(diǎn)建議如下。
(1)通過強(qiáng)大的威脅情報(bào)支撐安全檢查:建議可與國內(nèi)的安全廠商建立良好的合作關(guān)系,共享第一手威脅情報(bào),獲取最新的漏洞、攻擊手段,用以支撐安全檢查過程中新型威脅的檢測能力。
(2)采用態(tài)勢感知技術(shù)掌握整體安全情況:使用態(tài)勢感知技術(shù)對被檢查對象進(jìn)行全方位的態(tài)勢呈現(xiàn),為檢查、測試提供指導(dǎo)。
(3)多域多維度開展安全檢查:創(chuàng)新檢查工作和檢查手段,從邏輯域延伸檢查范圍至物理域和社會(huì)域,更精準(zhǔn)反映整體安全態(tài)勢。
Vol.7 結(jié) 語
現(xiàn)階段已專門出臺(tái)針對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的法規(guī)和標(biāo)準(zhǔn),《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》、公安部1960號《貫徹落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》等,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》也建立健全“關(guān)基”安全檢測評估制度,對工業(yè)控制系統(tǒng)、云計(jì)算環(huán)境、電子商務(wù)等新型業(yè)務(wù)環(huán)境建立相關(guān)安全防護(hù)準(zhǔn)則。我們須從國家、省市、單位統(tǒng)一規(guī)劃網(wǎng)絡(luò)安全、密碼安全防控體系,在體系規(guī)劃、設(shè)計(jì)、研制、部署和實(shí)施階段充分融入安全要素,改變“先上信息系統(tǒng)、后加安全產(chǎn)品”的局面。建立安全責(zé)任制,落實(shí)巡視制度,加大網(wǎng)絡(luò)安全責(zé)任制的監(jiān)督和查處力度,切實(shí)落實(shí)安全責(zé)任制,從根本上保護(hù)好國家關(guān)鍵信息基礎(chǔ)設(shè)施。
引用本文:王娟,陳爽,張景明.關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查[J].信息安全與通信保密,2021(6):52-59.
作者簡介 >>>
王 娟(1980—),女,碩士,工程師,主要研究方向?yàn)橛?jì)算機(jī)應(yīng)用技術(shù)、網(wǎng)絡(luò)安全;
陳 爽(1980—),男,學(xué)士,主要研究方向?yàn)橛?jì)算機(jī)技術(shù)、密碼技術(shù);
張景明(1987—),男,碩士,工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)安全。
選自《信息安全與通信保密》2021年第6期(為便于排版,已省去原文參考文獻(xiàn))
文章來源: 信息安全與通信保密雜志社