李秋香 宮月 陳彥如 公安部第一研究所

一、關基檢測評估工作政策標準依據(jù)

（一）依據(jù)的政策

2017年6月1日《網(wǎng)絡安全法》[1]正式施行。《網(wǎng)絡安全法》第三十九條明確要求“對關鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網(wǎng)絡安全服務機構對網(wǎng)絡存在的安全風險進行檢測評估”。2021年9月1日《關鍵信息基礎設施安全保護條例》[2]正式施行?！蛾P鍵信息基礎設施安全保護條例》第十七條明確要求“運營者應當自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估”?！敦瀼芈鋵嵕W(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》（公網(wǎng)安[2020]1960號）[3]中明確關鍵信息基礎設施依據(jù)關鍵信息基礎設施安全保護標準，加強安全保護和保障，并進行安全檢測評估。

（二）依據(jù)的標準

國家層面正在構建關鍵信息基礎設施安全領域標準體系，2023年5月1日GB/T 39204-2022《信息安全技術 關鍵信息基礎設施安全保護要求》[4]（以下簡稱《關基安全保護要求》）作為我國第一項關鍵信息基礎設施安全保護的國家標準，對于我國關鍵信息基礎設施安全保護有著極為重要的指導意義?！蛾P基安全保護要求》共11個章節(jié)，重點闡述了關保的基本原則、主要內容及活動。關鍵信息基礎設施安全保護應在落實網(wǎng)絡安全等級保護制度基礎上，實行重點保護，以關鍵業(yè)務為核心的整體防控、以風險管理為導向的動態(tài)防護、以信息共享為基礎的協(xié)同聯(lián)防為三項基本原則?！蛾P基安全保護要求》從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置六個方面，提出111條安全要求，整體上采用動態(tài)風控理念，強化安全管理職責，強調數(shù)據(jù)安全及供應鏈安全，落實閉環(huán)安全防護體系。國家標準《信息安全技術 關鍵信息基礎設施安全測評要求（征求意見稿）》[5]（以下簡稱《關基測評要求》）目前正在制定過程中。

二、關基檢測評估工作概述

關鍵信息基礎設施（以下簡稱關基）安全檢測評估是關基安全保護工作的重要一環(huán)，發(fā)揮著舉足輕重的作用[6]。本文所提出的關基安全檢測評估方法可以分為四大部分：單元測評、安全性驗證、關聯(lián)測試和整體評估。單元測評依據(jù)《關基安全保護要求》開展，包括識別分析、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置六個環(huán)節(jié)，評估關基現(xiàn)有網(wǎng)絡安全防護能力與《關基安全保護要求》的差距。安全策略有效性驗證結合實戰(zhàn)化視角落地關基安全檢測評估，通過技術手段（人工或自動化工具）模擬安全邊界突破、內網(wǎng)橫向移動、主機與終端入侵、重要數(shù)據(jù)竊取等驗證用例，檢測識別關基縱深防御體系下各個維度安全策略有效性情況，驗證關基安全防護策略有效性、安全措施實際防護能力。關聯(lián)測評包括信息收集、入侵痕跡分析、業(yè)務邏輯安全分析、模擬攻擊路徑設計、滲透測試五個部分，針對可能的威脅，結合單元測評中發(fā)現(xiàn)的漏洞及安全問題，從攻擊者視角利用各種攻擊技術對CII可能遭受的攻擊路徑進行非破壞性質的攻擊性測試。在前面三項測評工作的基礎上，最后結合單元測評、關聯(lián)測評、等級測評等結果以及CII自身安全保護需求，進行整體評估，給出綜合評價。

三、關基檢測評估工作內容

（一）單元測評

單元測評是關基安全檢測評估工作的基本活動，評估指標主要來源于GB/T 39204-2022的各要求項。單元測評一方面可以輸出安全問題，作為關聯(lián)測評中模擬攻擊路徑設計、滲透測試和整體評估中資產(chǎn)安全風險評價的基礎；另一方面可以輸出已采取的安全措施，作為整體評估中運營者的網(wǎng)絡安全管控能力評估和關基網(wǎng)絡安全保護水平評估的基礎。

目前，關保中心針對分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置6個方面，27個控制點，111個安全要求項，形成《關鍵信息基礎設施安全檢測評估單元測評現(xiàn)場檢查表》，包括安全保護要求項、測評對象、測評方法、結果分析等內容，如表1所示。

1.分析識別

評估是否按要求識別關鍵業(yè)務，分析對外部業(yè)務的依賴和重要性，明確支撐關鍵業(yè)務的信息基礎設施分布。同時，確認關鍵業(yè)務鏈的資產(chǎn)，根據(jù)類別、重要性和業(yè)務支持確定保護優(yōu)先級并進行風險分析，形成安全風險報告。在重大變更時，重新識別并更新資產(chǎn)清單。

2.安全防護

評估是否執(zhí)行國家網(wǎng)絡安全等級保護制度，包括定級、備案、安全建設整改和等級測評。是否建立適合組織的網(wǎng)絡安全保護計劃，明確關鍵信息基礎設施安全保護的目標，并制定管理制度和安全策略，以適應不斷變化的安全風險。是否設立網(wǎng)絡安全工作委員會，明確網(wǎng)絡安全領導體系，并設置專門的網(wǎng)絡安全管理機構，明確責任和監(jiān)督機制。是否對安全管理人員進行安全背景審查、技能考核和安全培訓。是否建立安全通信網(wǎng)絡，包括互聯(lián)安全和邊界防護，以及對網(wǎng)絡操作進行審計。是否建立安全計算環(huán)境，包括鑒別與授權、入侵防范和自動化工具的使用。是否在安全建設過程中實現(xiàn)“三同步”，以保證安全技術措施的有效性。是否進行安全運維管理，包括運維地點、簽訂保密協(xié)議和工具備案。是否進行供應鏈安全保護，包括供應方選擇、產(chǎn)品選購和知識產(chǎn)權授權等。是否進行了數(shù)據(jù)安全防護，包括數(shù)據(jù)分類分級保護、境內存儲、備份與恢復等。

3.檢測評估

評估是否建立了完善的安全評估制度，包括流程、方式、周期、人員和資金等方面。是否每年至少進行一次安全性和風險評估，對多運營者情況也能定期進行跨運營者評估并及時整改。對重大變更是否進行評估、風險分析和必要的整改。

4.監(jiān)測預警

評估是否在制度上建立常態(tài)化的監(jiān)測預警和快速響應機制，并制定自身的預警制度。是否與外部和內部實體進行溝通合作，并實施信息共享。是否在在網(wǎng)絡的關鍵部位部署監(jiān)測設備，對關鍵業(yè)務系統(tǒng)進行綜合監(jiān)測，采用自動化工具整合并分析數(shù)據(jù)，并持續(xù)驗證安全策略的有效性。是否對報警信息進行綜合分析，并與外部預警機構合作。當識別到威脅時，是否啟動應急預案，當安全隱患被控制或消除后，是否執(zhí)行預警解除等。

5.主動防御

評估是否識別并減少了互聯(lián)網(wǎng)和內網(wǎng)資產(chǎn)的暴露面，壓縮互聯(lián)網(wǎng)出口數(shù)量。是否限制了對外暴露組織內部信息，以防止社會工程學攻擊。是否在公共存儲空間存儲可能被攻擊者利用的技術文檔。是否建立分析網(wǎng)絡攻擊的方法，采取有針對性的防護策略和技術措施，迅速制定技術應對方案。是否能分析攻擊活動，設置多道防線，采用多種技術手段，切斷攻擊路徑，迅速處置網(wǎng)絡攻擊。是否能追蹤攻擊活動，描繪攻擊者畫像，為案件偵查、事件調查提供支持。是否能全面分析攻擊意圖、技術與過程，改進安全策略。是否定期組織攻防演練，關注可持續(xù)運行的關鍵業(yè)務，進行實網(wǎng)攻防演練或沙盤推演，涵蓋供應鏈和產(chǎn)業(yè)鏈相關單位，及時整改演練中的問題。是否建立了網(wǎng)絡威脅情報共享機制，內部聯(lián)動上下級單位共享情報，處理威脅情報；與外部權威機構協(xié)同共享威脅情報，實現(xiàn)跨行業(yè)網(wǎng)絡安全聯(lián)防聯(lián)控。

6.事件處置

評估是否建立網(wǎng)絡安全事件管理制度，包括分類分級、處置流程和應急預案等。是否建立了網(wǎng)絡安全應急支援隊伍和專家隊伍，保障安全事件及時有效處理，并參與應急演練、案件偵辦等工作。在應急預案和演練方面，是否制定了網(wǎng)絡安全應急預案，明確關鍵業(yè)務功能的維護和恢復時間。在事件響應方面，是否會報告危害關鍵業(yè)務的安全事件，按流程處理事件，收集證據(jù)并進行取證分析，最終形成完整的處理報告。是否能及時通報安全事件及處置情況，對安全隱患和事件進行重新識別，以更新安全策略。

單元測評是開展安全驗證、關聯(lián)測評、整體評估等其他環(huán)節(jié)檢測評估的必要基礎，需要全面而細致地進行開展。

（二）安全驗證

安全驗證是利用自動化技術手段對關基安全保護中實施的重要安全措施、安全策略等有效性進行驗證。實際驗證《關基安全保護要求》中的部分技術性安全要求項，對單元測評結果進行修正，以確保檢測評估結論的準確性。

安全驗證技術通過模擬真實的攻擊行為、社會工程學攻擊等評估關基安全保護措施與策略的有效性。使用定制化的關基安全驗證工具，可以模擬重現(xiàn)攻擊行為，以檢驗關基安全保護措施與策略的有效性。安全驗證技術不僅可以檢測技術防御措施，還可以檢測關基保護中相關人員的安全意識。

安全驗證針對安全防護、監(jiān)測預警、主動防御等3個環(huán)節(jié)的18個安全要求項。

（三）關聯(lián)測評

關聯(lián)測評是在信息收集的基礎上，針對可能的威脅，結合單元測評中發(fā)現(xiàn)的漏洞及安全問題，從攻擊者視角利用各種攻擊技術對關基可能遭受的攻擊路徑進行非破壞性質的攻擊性測試。

關聯(lián)測評包括信息收集、入侵痕跡分析、業(yè)務邏輯安全分析、模擬攻擊路徑設計、滲透測試等各環(huán)節(jié)。

1.信息收集

需要收集涵蓋資產(chǎn)、運營者及其關聯(lián)人員、供應鏈以及威脅情報等方面的信息。這些信息有助于CII的全面安全防護和應對策略的制定。

2.入侵痕跡分析

需要根據(jù)業(yè)務流程或警告信息，分析系統(tǒng)日志，包括登錄、系統(tǒng)、應用和系統(tǒng)訪問日志，以判斷是否有未經(jīng)授權的登錄或入侵痕跡。同時，需審查關鍵文件、環(huán)境變量、系統(tǒng)進程、計劃任務、端口使用和庫文件加載等情況，以確定是否遭受劫持或植入后門。此外，還應檢查是否存在隱藏賬號、克隆賬號，檢查注冊表、shift后門、計劃任務和遠程連接程序等。為確保安全，需要捕獲網(wǎng)絡流量進行分析，以尋找異常的數(shù)據(jù)流或數(shù)據(jù)包。

3.業(yè)務邏輯安全分析

應從業(yè)務環(huán)節(jié)、支持系統(tǒng)以及二者間的關系等多個角度進行檢測，以排查安全設計缺陷和漏洞。分析范圍包括識別流程設計缺陷、業(yè)務程序安全邏輯缺陷、接口調用問題、數(shù)據(jù)驗證不足等。尤其要重點關注不同運營者、系統(tǒng)和區(qū)域之間的系統(tǒng)互聯(lián)，以及不同業(yè)務功能模塊之間的訪問，以確保業(yè)務邏輯在這些交叉點上的安全性。

4.模擬攻擊路徑設計

需要設計縱向、橫向和物理路徑等3類。在縱向路徑中，需要模擬不同類型的用戶和威脅主體，測試現(xiàn)有安全措施的有效性，包括業(yè)務、數(shù)據(jù)、系統(tǒng)等方面的測試，并驗證信息共享、聯(lián)防聯(lián)控和應急機制。在橫向路徑中，要在內部系統(tǒng)設置路徑，測試關聯(lián)系統(tǒng)的安全措施，覆蓋內部外部系統(tǒng)、運維支持系統(tǒng)等，采用多種方式設計最優(yōu)路徑。在物理路徑測試中，使用近源攻擊等模擬物理路徑，測試物理防護、接口、通信網(wǎng)絡、終端等，包括針對物理防御和設備的測試，以及對內部潛在攻擊面的測試。

5.滲透測試

包括明確目標、信息收集、漏洞探測、驗證、分析、信息獲取、整理并形成報告等部分。測試類型應根據(jù)CII的業(yè)務和防護需求決定，包括漏洞驗證、業(yè)務安全、社會工程學、無線和內網(wǎng)安全、新技術擴展等。所用工具應符合國家安全標準，確保測試本身不導致CII受惡意程序或安全漏洞威脅。如果滲透測試發(fā)現(xiàn)可能被濫用的安全問題，應立即通知CII運營者整改并報告相關部門。目前，關聯(lián)測評按照《關基測評要求》附錄B滲透測試用例，逐項提出相應的滲透測試技術（技術編號、技術名稱、技術描述）、工具（工具編號、工具名稱、工具描述）及緩解措施（緩解措施編號、名稱、描述），形成《關鍵信息基礎設施關聯(lián)測評知識庫》，如表2所示。

（四）整體評估

整體評估包括網(wǎng)絡安全管控能力評估、網(wǎng)絡安全保護水平評估和關鍵業(yè)務安全風險評價三個方面，其中網(wǎng)絡安全管控能力評估主要是評估運營者對關基相關的各項安全保護工作的組織情況。網(wǎng)絡安全保護水平評估主要是對關基自身有效防范網(wǎng)絡安全重大風險隱患的能力進行評估。關鍵業(yè)務安全風險評價是在資產(chǎn)和關鍵業(yè)務鏈的風險評價基礎上確定的，首先分析資產(chǎn)對關鍵業(yè)務鏈的影響來判斷關鍵業(yè)務鏈的風險等級，進而依據(jù)關鍵業(yè)務鏈與關鍵業(yè)務的關系來判斷關鍵業(yè)務的總體風險。

本文所提出的關基安全檢測評估方法從五個維度全方位開展關基安全防護能力評價。

1.量化得分與整體結論

針對關基測評整體量化評估值、網(wǎng)絡安全管控能力評價、網(wǎng)絡安全保護水平評價、關鍵業(yè)務安全風險評價中的定量評估值與定性分析結果。

2.單元測評問題清單

針對單元測評中的符合項、部分符合項以及不符合項的符合性測評結果進行歸類展示。

3.關聯(lián)測評問題清單

針對關聯(lián)測評中發(fā)現(xiàn)的安全風險結果并進行歸類展示。

4.保護能力雷達圖

以雷達圖的方式細項展示網(wǎng)絡安全管控能力和網(wǎng)絡安全保護水平中的各項能力（用作關基單位每年的縱向對比以及與關基行業(yè)平均水平的橫向對比）。

5.能力分布散點圖

以散點圖的方式展示關基運營者在管理和技術兩個維度的建設偏重（用作關基單位后續(xù)建設投入以及用作關基行業(yè)整體性分析的輸入?yún)⒖迹?/p>

四、總結

關基作為支撐國家經(jīng)濟和社會穩(wěn)定的重要支柱，其安全性至關重要。關基安全檢測評估能夠全面識別關基安全保護措施的符合性情況，發(fā)現(xiàn)系統(tǒng)漏洞、弱點和潛在威脅，為制定有針對性的安全策略提供依據(jù)，有效預防安全事故。通過模擬攻擊的安全驗證和關聯(lián)測試，可以驗證防御機制，發(fā)現(xiàn)薄弱環(huán)節(jié)，進而提升整體安全性，最后通過整體評估對關基系統(tǒng)的保護情況進行綜合評價。定期的檢測評估還有助于關基單位的管理層深入了解安全狀況，優(yōu)化資源配置，提高組織對抗風險的能力。綜上所述，關基安全檢測評估在保障關鍵信息基礎設施運行穩(wěn)定、維護國家安全中發(fā)揮著重要作用。