01 什么是關(guān)鍵信息基礎(chǔ)設(shè)施��?
關(guān)鍵信息基礎(chǔ)設(shè)施是指那些一旦遭到破壞�����、喪失功能或者數(shù)據(jù)泄露將對國家安全����、國計(jì)民生�、公共利益造成嚴(yán)重危害的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。
02 關(guān)鍵信息基礎(chǔ)設(shè)施包括哪些���?
(1)網(wǎng)站類��,如黨政機(jī)關(guān)網(wǎng)站����、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等�;
(2)平臺類,如即時(shí)通信��、網(wǎng)上購物���、網(wǎng)上支付�����、搜索引擎�、電子郵件�����、論壇�、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺�����;
(3)生產(chǎn)業(yè)務(wù)類��,如辦公和業(yè)務(wù)系統(tǒng)���、工業(yè)控制系統(tǒng)���、大型數(shù)據(jù)中心、云計(jì)算平臺�、電視轉(zhuǎn)播系統(tǒng)等。
03 我國為什么要加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)���?
金融����、能源���、通信�、交通等重點(diǎn)行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞�����,一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露���,可能嚴(yán)重危害國家安全�����、國計(jì)民生和公共利益����。當(dāng)前����,關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo),其安全保護(hù)是網(wǎng)絡(luò)安全的重中之重�。面對當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全形勢,各國普遍加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)�����,出臺了一系列政策法規(guī)���。
04 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者如何進(jìn)行自評估�����?
根據(jù)《網(wǎng)絡(luò)安全法》關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者每年至少進(jìn)行一次檢測評估���;運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)進(jìn)行評估;應(yīng)當(dāng)對網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)進(jìn)行檢測評估����;運(yùn)營者將檢測評估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的工作部門。
05 如何進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施安全性評估���?
(1)基線核查
依據(jù)已制定的安全基線���,對關(guān)鍵信息基礎(chǔ)設(shè)施的安全現(xiàn)狀進(jìn)行逐項(xiàng)安全核查,核查范圍覆蓋物理環(huán)境�、網(wǎng)絡(luò)與通信、計(jì)算環(huán)境���、應(yīng)用及數(shù)據(jù)����、管理制度等層面�。核查方法可采用人員訪談、實(shí)地查看�、配置檢查���、文檔審查、案例測試等方式����。
(2)漏洞掃描
使用正版專業(yè)的漏洞掃描系統(tǒng)對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行漏洞探測,掃描范圍覆蓋網(wǎng)絡(luò)設(shè)備�、安全設(shè)備、服務(wù)器操作系統(tǒng)�����、數(shù)據(jù)庫���、應(yīng)用系統(tǒng)等層面����。在完成漏洞掃描后�,對工具識別的漏洞進(jìn)行人工驗(yàn)證測試,驗(yàn)證漏洞的真實(shí)性��。
(3)滲透測試
滲透測試是通過專業(yè)的安全攻防人員模擬黑客的各類網(wǎng)絡(luò)攻擊技術(shù)��,對授權(quán)的測試對象進(jìn)行非破壞性的測試手段。
測試人員在信息收集�、漏洞映射、漏洞利用����、權(quán)限提升、控制系統(tǒng)�、結(jié)果輸出等位置對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全面的弱點(diǎn)、缺陷及漏洞分析����,以控制系統(tǒng)為最終目標(biāo)�,并輸出測試結(jié)果。
(4)源代碼審計(jì)
軟件代碼是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的重要基礎(chǔ)組件之一����,源代碼審計(jì)的具體實(shí)施可通過專業(yè)正版的源代碼審查工具先進(jìn)行掃描分析,再結(jié)合人工代碼審查的方式進(jìn)行漏洞定位��,根據(jù)業(yè)務(wù)流來檢查目標(biāo)系統(tǒng)的脆弱性��、缺陷以及結(jié)構(gòu)上的問題�����。
了解更多安全資訊�,請關(guān)注 靈狐科技
注:本文為博主「Tianqi_Wukong」的原創(chuàng)文章�����,轉(zhuǎn)載目的在于傳遞更多信息���,如有侵權(quán),請聯(lián)系刪除
等保測評咨詢
