关键信息基础设施安全检测评估方法研究

李秋香 宫月 陈彦如 公安部第一研究所

一、关基检测评估工作政策标准依据

（一）依据的政策

2017年6月1日《网络安全法》[1]正式施行。《网络安全法》第三十九条明确要求“对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估”。2021年9月1日《关键信息基础设施安全保护条例》[2]正式施行。《关键信息基础设施安全保护条例》第十七条明确要求“运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估”。《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安[2020]1960号）[3]中明确关键信息基础设施依据关键信息基础设施安全保护标准，加强安全保护和保障，并进行安全检测评估。

（二）依据的标准

国家层面正在构建关键信息基础设施安全领域标准体系，2023年5月1日GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》[4]（以下简称《关基安全保护要求》）作为我国第一项关键信息基础设施安全保护的国家标准，对于我国关键信息基础设施安全保护有着极为重要的指导意义。《关基安全保护要求》共11个章节，重点阐述了关保的基本原则、主要内容及活动。关键信息基础设施安全保护应在落实网络安全等级保护制度基础上，实行重点保护，以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防为三项基本原则。《关基安全保护要求》从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面，提出111条安全要求，整体上采用动态风控理念，强化安全管理职责，强调数据安全及供应链安全，落实闭环安全防护体系。国家标准《信息安全技术 关键信息基础设施安全测评要求（征求意见稿）》[5]（以下简称《关基测评要求》）目前正在制定过程中。

二、关基检测评估工作概述

关键信息基础设施（以下简称关基）安全检测评估是关基安全保护工作的重要一环，发挥着举足轻重的作用[6]。本文所提出的关基安全检测评估方法可以分为四大部分：单元测评、安全性验证、关联测试和整体评估。单元测评依据《关基安全保护要求》开展，包括识别分析、安全防护、检测评估、监测预警、主动防御、事件处置六个环节，评估关基现有网络安全防护能力与《关基安全保护要求》的差距。安全策略有效性验证结合实战化视角落地关基安全检测评估，通过技术手段（人工或自动化工具）模拟安全边界突破、内网横向移动、主机与终端入侵、重要数据窃取等验证用例，检测识别关基纵深防御体系下各个维度安全策略有效性情况，验证关基安全防护策略有效性、安全措施实际防护能力。关联测评包括信息收集、入侵痕迹分析、业务逻辑安全分析、模拟攻击路径设计、渗透测试五个部分，针对可能的威胁，结合单元测评中发现的漏洞及安全问题，从攻击者视角利用各种攻击技术对CII可能遭受的攻击路径进行非破坏性质的攻击性测试。在前面三项测评工作的基础上，最后结合单元测评、关联测评、等级测评等结果以及CII自身安全保护需求，进行整体评估，给出综合评价。

三、关基检测评估工作内容

（一）单元测评

单元测评是关基安全检测评估工作的基本活动，评估指标主要来源于GB/T 39204-2022的各要求项。单元测评一方面可以输出安全问题，作为关联测评中模拟攻击路径设计、渗透测试和整体评估中资产安全风险评价的基础；另一方面可以输出已采取的安全措施，作为整体评估中运营者的网络安全管控能力评估和关基网络安全保护水平评估的基础。

目前，关保中心针对分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面，27个控制点，111个安全要求项，形成《关键信息基础设施安全检测评估单元测评现场检查表》，包括安全保护要求项、测评对象、测评方法、结果分析等内容，如表1所示。

1.分析识别

评估是否按要求识别关键业务，分析对外部业务的依赖和重要性，明确支撑关键业务的信息基础设施分布。同时，确认关键业务链的资产，根据类别、重要性和业务支持确定保护优先级并进行风险分析，形成安全风险报告。在重大变更时，重新识别并更新资产清单。

2.安全防护

评估是否执行国家网络安全等级保护制度，包括定级、备案、安全建设整改和等级测评。是否建立适合组织的网络安全保护计划，明确关键信息基础设施安全保护的目标，并制定管理制度和安全策略，以适应不断变化的安全风险。是否设立网络安全工作委员会，明确网络安全领导体系，并设置专门的网络安全管理机构，明确责任和监督机制。是否对安全管理人员进行安全背景审查、技能考核和安全培训。是否建立安全通信网络，包括互联安全和边界防护，以及对网络操作进行审计。是否建立安全计算环境，包括鉴别与授权、入侵防范和自动化工具的使用。是否在安全建设过程中实现“三同步”，以保证安全技术措施的有效性。是否进行安全运维管理，包括运维地点、签订保密协议和工具备案。是否进行供应链安全保护，包括供应方选择、产品选购和知识产权授权等。是否进行了数据安全防护，包括数据分类分级保护、境内存储、备份与恢复等。

3.检测评估

评估是否建立了完善的安全评估制度，包括流程、方式、周期、人员和资金等方面。是否每年至少进行一次安全性和风险评估，对多运营者情况也能定期进行跨运营者评估并及时整改。对重大变更是否进行评估、风险分析和必要的整改。

4.监测预警

评估是否在制度上建立常态化的监测预警和快速响应机制，并制定自身的预警制度。是否与外部和内部实体进行沟通合作，并实施信息共享。是否在在网络的关键部位部署监测设备，对关键业务系统进行综合监测，采用自动化工具整合并分析数据，并持续验证安全策略的有效性。是否对报警信息进行综合分析，并与外部预警机构合作。当识别到威胁时，是否启动应急预案，当安全隐患被控制或消除后，是否执行预警解除等。

5.主动防御

评估是否识别并减少了互联网和内网资产的暴露面，压缩互联网出口数量。是否限制了对外暴露组织内部信息，以防止社会工程学攻击。是否在公共存储空间存储可能被攻击者利用的技术文档。是否建立分析网络攻击的方法，采取有针对性的防护策略和技术措施，迅速制定技术应对方案。是否能分析攻击活动，设置多道防线，采用多种技术手段，切断攻击路径，迅速处置网络攻击。是否能追踪攻击活动，描绘攻击者画像，为案件侦查、事件调查提供支持。是否能全面分析攻击意图、技术与过程，改进安全策略。是否定期组织攻防演练，关注可持续运行的关键业务，进行实网攻防演练或沙盘推演，涵盖供应链和产业链相关单位，及时整改演练中的问题。是否建立了网络威胁情报共享机制，内部联动上下级单位共享情报，处理威胁情报；与外部权威机构协同共享威胁情报，实现跨行业网络安全联防联控。

6.事件处置

评估是否建立网络安全事件管理制度，包括分类分级、处置流程和应急预案等。是否建立了网络安全应急支援队伍和专家队伍，保障安全事件及时有效处理，并参与应急演练、案件侦办等工作。在应急预案和演练方面，是否制定了网络安全应急预案，明确关键业务功能的维护和恢复时间。在事件响应方面，是否会报告危害关键业务的安全事件，按流程处理事件，收集证据并进行取证分析，最终形成完整的处理报告。是否能及时通报安全事件及处置情况，对安全隐患和事件进行重新识别，以更新安全策略。

单元测评是开展安全验证、关联测评、整体评估等其他环节检测评估的必要基础，需要全面而细致地进行开展。

（二）安全验证

安全验证是利用自动化技术手段对关基安全保护中实施的重要安全措施、安全策略等有效性进行验证。实际验证《关基安全保护要求》中的部分技术性安全要求项，对单元测评结果进行修正，以确保检测评估结论的准确性。

安全验证技术通过模拟真实的攻击行为、社会工程学攻击等评估关基安全保护措施与策略的有效性。使用定制化的关基安全验证工具，可以模拟重现攻击行为，以检验关基安全保护措施与策略的有效性。安全验证技术不仅可以检测技术防御措施，还可以检测关基保护中相关人员的安全意识。

安全验证针对安全防护、监测预警、主动防御等3个环节的18个安全要求项。

（三）关联测评

关联测评是在信息收集的基础上，针对可能的威胁，结合单元测评中发现的漏洞及安全问题，从攻击者视角利用各种攻击技术对关基可能遭受的攻击路径进行非破坏性质的攻击性测试。

关联测评包括信息收集、入侵痕迹分析、业务逻辑安全分析、模拟攻击路径设计、渗透测试等各环节。

1.信息收集

需要收集涵盖资产、运营者及其关联人员、供应链以及威胁情报等方面的信息。这些信息有助于CII的全面安全防护和应对策略的制定。

2.入侵痕迹分析

需要根据业务流程或警告信息，分析系统日志，包括登录、系统、应用和系统访问日志，以判断是否有未经授权的登录或入侵痕迹。同时，需审查关键文件、环境变量、系统进程、计划任务、端口使用和库文件加载等情况，以确定是否遭受劫持或植入后门。此外，还应检查是否存在隐藏账号、克隆账号，检查注册表、shift后门、计划任务和远程连接程序等。为确保安全，需要捕获网络流量进行分析，以寻找异常的数据流或数据包。

3.业务逻辑安全分析

应从业务环节、支持系统以及二者间的关系等多个角度进行检测，以排查安全设计缺陷和漏洞。分析范围包括识别流程设计缺陷、业务程序安全逻辑缺陷、接口调用问题、数据验证不足等。尤其要重点关注不同运营者、系统和区域之间的系统互联，以及不同业务功能模块之间的访问，以确保业务逻辑在这些交叉点上的安全性。

4.模拟攻击路径设计

需要设计纵向、横向和物理路径等3类。在纵向路径中，需要模拟不同类型的用户和威胁主体，测试现有安全措施的有效性，包括业务、数据、系统等方面的测试，并验证信息共享、联防联控和应急机制。在横向路径中，要在内部系统设置路径，测试关联系统的安全措施，覆盖内部外部系统、运维支持系统等，采用多种方式设计最优路径。在物理路径测试中，使用近源攻击等模拟物理路径，测试物理防护、接口、通信网络、终端等，包括针对物理防御和设备的测试，以及对内部潜在攻击面的测试。

5.渗透测试

包括明确目标、信息收集、漏洞探测、验证、分析、信息获取、整理并形成报告等部分。测试类型应根据CII的业务和防护需求决定，包括漏洞验证、业务安全、社会工程学、无线和内网安全、新技术扩展等。所用工具应符合国家安全标准，确保测试本身不导致CII受恶意程序或安全漏洞威胁。如果渗透测试发现可能被滥用的安全问题，应立即通知CII运营者整改并报告相关部门。目前，关联测评按照《关基测评要求》附录B渗透测试用例，逐项提出相应的渗透测试技术（技术编号、技术名称、技术描述）、工具（工具编号、工具名称、工具描述）及缓解措施（缓解措施编号、名称、描述），形成《关键信息基础设施关联测评知识库》，如表2所示。

（四）整体评估

整体评估包括网络安全管控能力评估、网络安全保护水平评估和关键业务安全风险评价三个方面，其中网络安全管控能力评估主要是评估运营者对关基相关的各项安全保护工作的组织情况。网络安全保护水平评估主要是对关基自身有效防范网络安全重大风险隐患的能力进行评估。关键业务安全风险评价是在资产和关键业务链的风险评价基础上确定的，首先分析资产对关键业务链的影响来判断关键业务链的风险等级，进而依据关键业务链与关键业务的关系来判断关键业务的总体风险。

本文所提出的关基安全检测评估方法从五个维度全方位开展关基安全防护能力评价。

1.量化得分与整体结论

针对关基测评整体量化评估值、网络安全管控能力评价、网络安全保护水平评价、关键业务安全风险评价中的定量评估值与定性分析结果。

2.单元测评问题清单

针对单元测评中的符合项、部分符合项以及不符合项的符合性测评结果进行归类展示。

3.关联测评问题清单

针对关联测评中发现的安全风险结果并进行归类展示。

4.保护能力雷达图

以雷达图的方式细项展示网络安全管控能力和网络安全保护水平中的各项能力（用作关基单位每年的纵向对比以及与关基行业平均水平的横向对比）。

5.能力分布散点图

以散点图的方式展示关基运营者在管理和技术两个维度的建设偏重（用作关基单位后续建设投入以及用作关基行业整体性分析的输入参考）。

四、总结

关基作为支撑国家经济和社会稳定的重要支柱，其安全性至关重要。关基安全检测评估能够全面识别关基安全保护措施的符合性情况，发现系统漏洞、弱点和潜在威胁，为制定有针对性的安全策略提供依据，有效预防安全事故。通过模拟攻击的安全验证和关联测试，可以验证防御机制，发现薄弱环节，进而提升整体安全性，最后通过整体评估对关基系统的保护情况进行综合评价。定期的检测评估还有助于关基单位的管理层深入了解安全状况，优化资源配置，提高组织对抗风险的能力。综上所述，关基安全检测评估在保障关键信息基础设施运行稳定、维护国家安全中发挥着重要作用。