logo资料库

信息安全技术 关键信息基础设施安全检查评估指南.doc

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.19M 资料格式:doc 举报 版权申诉
第1页 / 共19页
第2页 / 共19页
第3页 / 共19页
第4页 / 共19页
第5页 / 共19页
第6页 / 共19页
第7页 / 共19页
第8页 / 共19页
资料共19页,剩余部分请下载后查看
    目 次
    前言
    引言
    信息安全技术 关键信息基础设施安全检查评估指南
    1 范围
    2 规范性引用文件
    3 术语和定义
    4 缩略语
    5 关键信息基础设施检查评估
    6 检查评估流程
    6.1 工作准备
    6.1.1 工作启动
    6.1.2 工作调研
    6.1.3 方案制定
    6.2 工作实施
    6.2.1 实施准备
    6.2.2 实施执行
    6.2.3 现场确认
    6.2.4 风险控制
    6.3 工作总结
    6.3.1 风险研判
    6.3.2 报告编制
    6.3.3 结果反馈
    7 合规检查
    7.1 合规检查要求
    7.2 合规检查内容
    7.2.1 关键信息基础设施认定情况
    7.2.2 政策文件要求落实情况
    7.2.3 安全标准执行情况
    7.2.4 信息安全等级保护落实情况
    7.2.5 个人信息和重要数据保护情况
    7.2.6 安全管理机构设置和人员安全管理情况
    7.2.7 安全管理保障体系落实情况
    7.2.7.1 安全管理制度
    7.2.7.2安全建设
    7.2.7.3安全运维
    7.2.7.4安全监控
    7.2.8 备份与恢复情况
    7.2.9 应急响应与处置情况
    7.3 合规检查输出
    8 技术检测
    8.1 主动检测要求
    8.1.1 工具要求
    8.1.2 检测过程要求
    8.2 主动检测内容
    8.2.1 信息收集
    8.2.2 漏洞扫描
    8.2.3 漏洞验证
    8.2.4 业务安全测试
    8.2.5 社会工程学测试
    8.2.6 无线安全测试
    8.2.7 内网安全测试
    8.2.8 安全域测试
    8.2.9 入侵痕迹检测
    8.2.10 安全意识测试
    8.2.11 安全整改情况验证
    8.3 被动检测要求
    8.3.1 监测设备安全要求
    8.3.2 监测数据安全要求
    8.3.3 监测能力要求
    8.3.4 监测工作要求
    8.4 被动检测内容
    8.4.1 信息刺探行为监测
    8.4.2 漏洞利用攻击监测
    8.4.3 间谍软件监测
    8.4.4 病毒蠕虫攻击监测
    8.4.5 木马后门攻击监测
    8.4.6 恶意邮件攻击
    8.4.7 Web应用攻击和漏洞监测
    8.4.8 恶意域名监测
    8.4.9 异常流量监测
    8.4.10 敏感信息泄露监测
    8.5 技术检测输出
    9 分析评估
    9.1.1 关键属性分析
    9.1.2 风险分析
    10 检查评估结果输出
    10.1 检查对象基本情况描述
    10.2 检查评估结果说明
    附录 A (资料性附录)
    参考文献
    ICS 35.040 L80 GB/T××××—×××× 中华人民共和国国家标准 GB/T××××—×××× 信息安全技术 关键信息基础设施安全检 查评估指南 Guide to Security Inspection and Evaluation of Critical Information Infrastructure Information security technology – 征求意见稿 2017-7-01 ××××-××-××发布 ××××-××-××实施 中 华 人 民 共 和 国 国 家 质 量 监 督 检 验 检 疫 总 局 发 中 国 国 家 标 准 化 管 理 委 员 会
    GB/T××××—×××× 目 次 目 次 ............................................................................... II 前言 .................................................................................. I 引言 ................................................................................. II 信息安全技术 关键信息基础设施安全检查评估指南 ......................................... 1 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 3.1 关键信息基础设施 critical information infrastructure .................................. 1 3.2 检查评估 inspection assessment ................................................... 1 3.3 关键属性 Critical Attributes .......................................................2 3.4 渗透测试 penetration testing ........................................................ 2 4 缩略语 .............................................................................. 2 5 关键信息基础设施检查评估 ............................................................ 2 5.1 合规检查 ........................................................................ 2 5.2 技术检测 ........................................................................ 2 5.3 分析评估 ........................................................................ 3 6 检查评估流程 ........................................................................ 3 6.1 工作准备 ........................................................................ 3 6.1.1 工作启动 .................................................................... 3 6.1.2 工作调研 .................................................................... 3 6.1.3 方案制定 .................................................................... 3 6.2 工作实施 ........................................................................ 3 6.2.1 实施准备 .................................................................... 3 6.2.2 实施执行 .................................................................... 4 6.2.3 现场确认 .................................................................... 4 6.2.4 风险控制 .................................................................... 4 6.3 工作总结 ........................................................................ 4 6.3.1 风险研判 .................................................................... 4 6.3.2 报告编制 .................................................................... 4 6.3.3 结果反馈 .................................................................... 4 7 合规检查 ............................................................................ 4 7.1 合规检查要求 .................................................................... 4 7.2 合规检查内容 .................................................................... 4 7.2.1 关键信息基础设施认定情况 .................................................... 4 7.2.2 政策文件要求落实情况 ........................................................ 5 7.2.3 安全标准执行情况 ............................................................ 5 7.2.4 信息安全等级保护落实情况 .................................................... 5 7.2.5 个人信息和重要数据保护情况 .................................................. 5 7.2.6 安全管理机构设置和人员安全管理情况 .......................................... 5
    GB/T××××—×××× 7.2.7 安全管理保障体系落实情况 .................................................... 6 7.2.8 备份与恢复情况 .............................................................. 6 7.2.9 应急响应与处置情况 .......................................................... 6 7.3 合规检查输出 .................................................................... 7 8 技术检测 ............................................................................ 7 8.1 主动检测要求 .................................................................... 7 8.1.1 工具要求 .................................................................... 7 8.1.2 检测过程要求 ................................................................ 7 8.2 主动检测内容 .................................................................... 7 8.2.1 信息收集 .................................................................... 7 8.2.2 漏洞扫描 .................................................................... 7 8.2.3 漏洞验证 .................................................................... 7 8.2.4 业务安全测试 ................................................................ 8 8.2.5 社会工程学测试 .............................................................. 8 8.2.6 无线安全测试 ................................................................ 8 8.2.7 内网安全测试 ................................................................ 8 8.2.8 安全域测试 .................................................................. 8 8.2.9 入侵痕迹检测 ................................................................ 8 8.2.10 安全意识测试 ............................................................... 8 8.2.11 安全整改情况验证 ........................................................... 8 8.3 被动检测要求 .................................................................... 8 8.3.1 监测设备安全要求 ............................................................ 9 8.3.2 监测数据安全要求 ............................................................ 9 8.3.3 监测能力要求 ................................................................ 9 8.3.4 监测工作要求 ................................................................ 9 8.4 被动检测内容 .................................................................... 9 8.4.1 信息刺探行为监测 ............................................................ 9 8.4.2 漏洞利用攻击监测 ............................................................ 9 8.4.3 间谍软件监测 ................................................................ 9 8.4.4 病毒蠕虫攻击监测 ............................................................ 9 8.4.5 木马后门攻击监测 ............................................................ 9 8.4.6 恶意邮件攻击 ................................................................ 9 8.4.7 Web 应用攻击和漏洞监测 .......................................................9 8.4.8 恶意域名监测 ............................................................... 10 8.4.9 异常流量监测 ............................................................... 10 8.4.10 敏感信息泄露监测 .......................................................... 10 8.5 技术检测输出 ................................................................... 10 9 分析评估 ........................................................................... 10 9.1.1 关键属性分析 ............................................................... 10 9.1.2 风险分析 ................................................................... 10 10 检查评估结果输出 .................................................................. 10 10.1 检查对象基本情况描述 .......................................................... 11 10.2 检查评估结果说明 .............................................................. 11 附录 A (资料性附录) ................................................................. 1
    参考文献 .............................................................................. 1 GB/T××××—××××
    GB/T××××—×××× 前言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由全国信息安全标准化技术委员会提出并归口。 本标准主要起草单位:中国互联网络信息中心、国家信息技术安全研究中心、中国信息安全测评中 心、工业和信息化部电子科学技术情报研究所、国家计算机网络应急技术处理协调中心。 本标准主要起草人: I
    GB/T××××—×××× 引言 关键信息基础设施(Critical Information Infrastructure)是指支撑国家关键基础设施的信息 系统,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域, 其一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。 根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础 上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施 的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次 检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检 测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。 关键信息基础设施安全检查评估指南是落实网络安全法要求,规范关键信息基础设施检测评估相关 方法、流程,定义了检测评估的主要内容,从而提升关键信息基础设施的网络安全防护能力。 本标准适用于关键信息基础设施运营者自行开展检测评估,网络安全服务机构对关键信息基础设施 进行抽查和检测评估工作均可参考使用。 II
    信息安全技术 关键信息基础设施安全检查评估指南 GB/T××××—×××× 1 范围 本标准提供了关键信息基础设施检查评估工作的方法、流程和内容,定义了关键信息基础设施检查 评估所采用的方法,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及 在检查评估具体要求和内容。 本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施 检查评估相关工作。 本标准可用于: 1)关键信息基础设施运营单位自行开展安全检测评估工作参考。 2)网络安全服务机构对关键信息基础设施实施检测评估工作参考。 3)网络安全检测产品研发机构研发检查工具,创新安全应用参考。 本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估 工作的相关人员。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/T 22239-2015 信息安全技术 信息安全等级保护基本要求 GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南 GB/T 22081-2016 信息安全技术 信息安全管理体系要求 GB/T 31496-2015 信息安全技术 信息安全管理体系实施指南 信息安全技术 关键信息基础设施网络安全保护要求(送审稿) 3 术语和定义 GB/T 5271.8—2001 信息技术 和 GB/T 25069-2010 界定的以及下列术语和定义适用于本标准。 3.1 关键信息基础设施 critical information infrastructure 对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及 其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。 3.2 检查评估 inspection assessment 11
    GB/T××××—×××× 由关键信息基础设施运营者自行发起或者由上级主管机关发起并委托安全服务机构进行的一项估 活动,其目的是依据国家有关法律与法规和标准,对信息系统安全状况进行检测评估。 3.3 关键属性 Critical Attributes 根据关键信息基础设施所承载的业务特点,以及其被认定为关键信息基础设施所拥有的关键特性, 可以是业务连续性、数据机密性、系统完整性之一或者是组合。 3.4 渗透测试 penetration testing 是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。,也称渗透性测试 或者逆向测试。 4 缩略语 CII 关键信息基础设施(Critical Information Infrastructure) CI 合规检查 (Compliance Inspection) TI 技术检测(Technical Inspection) AA 分析评估(Analysis Assessment) OVA 脆弱性评估(Open Vulnerability Assessment) AC 访问控制(Access Control) CP 应急预案(Contingency Planning) CR 应急响应(Contingency Response) PL 规划(Planning) PT 渗透测试 (Penetration Testing) RA 风险评估(Risk Assessment) 5 关键信息基础设施检查评估 关键信息基础设施检查评估工作是依据国家有关法律与法规要求,参考国家和行业安全标准,针对 关键信息基础设施安全要求,通过一定的方法和流程,对信息系统安全状况进行评估,最后给出检查评 估对象的整体安全状况的报告。 检查评估工作由合规检查、技术检测和分析评估三个主要方法组成,每个方法包含若干内容和项目。 5.1 合规检查 合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规 定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、 人员访谈、配置核查等形式。 5.2 技术检测 技术检测分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适 的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现 场检测相结合的方式,发现其安全性和可能存在的风险隐患,也可参考其他安全检测资料和报告,对技 术检测结果进行验证。 12
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料