2022关键信息基础设施安全检查评估指南

信息安全技术关键信息基础设施安全检查评估指南目 次前言 III引言 IV1范围 1规范性用文件 1术语和义 1缩略语 15概述 2检查评流程 2工作备要求 2工启动 2工调研 2方制定 3工作施要求 3实准备 3现实施 3综分析 3报编制 3结果馈要求 4合规检查 4合规查要求 4合规查内容 4CII定情况 4法法规、策文件标准规梳理情况 4网安全等保护落情况 4个隐私数保护情况 4安管理机设置和员安全理情况 4安保障措落实情况 4技术检查 6安全6检要求 6检内容 6安全错误!未定义书签监要求 错误!未定义书签监内容 错误!未定义书签分析评估 10关键性分析 10脆弱识别 10I9.3威胁析 109.4风险析评估 1110结果输出 11II信息安全技术关键信息基础设施安全检查评估指南范围本标准给出了关键信息基础设施检查评估工作的方法、流程和内容。（）GB/T20984信息安全技术信息安全风险评估规范GB/T25069信息安全技术术语GB/T31495.2-2015信息安全技术信息安全保障指标体系及评价方法第2部分指标体系GB/T31509-2015信息安全技术信息安全风险评估实施指南术语和定义GB/T25069和GB/T31495.2-2015中界定的以及下列术语和定义适用于本文件。3.1关键信息础设施 criticalinformationinfrastructure3.2关键属性 criticalattributes4 缩略语下列缩略语适用于本文件。CII：关键信息基础设施（CriticalInformationInfrastructure）CSRF：跨站请求伪造（Cross-siterequestforgery）DDoS：分布式拒绝服务（DistributedDenialofService）DNS：域名系统（DomainNameSystem）1HTTP：（HyperTextTransferProtocol）IDC：（InternetDataCenter）IP：（InternetProtocol）IT：信息技术（InformationTechnology）LDAP：轻量目录访问协议(LightweightDirectoryAccessProtocol)SQL：结构化查询语言（StructuredQuevyLanguage）XPATH：XML路径语言(XMLPathLanguage)XSS：跨站脚本（CrossSiteScripting）概述本标准规定了检查评估的方法、流程和内容。工作启动CII工作调研明确范围CII调研内容检查评估方应对被检查方开展调研，要求被检查方提供的信息包括：2；检查评估方应根据上述预估，形成威胁和风险清单，作为后续检查评估依据。方案制定检查评估方结合被检查方的具体情况，编制检查评估方案，方案应包含：实施准备现场实施CII综合分析CII报告编制检查评估方应就此次检查评估结果形成正式检查评估报告。3检查评估方应将检查评估工作情况和检查评估报告向委托方反馈。合规检查CII检查评估方根据被检查方的关键业务，查看CII相关材料，判断是否已将支撑关键业务的网络设备和信息系统均纳入了认定范围，并检查下列内容：检查评估方检查被检查方对等级保护要求的落实情况，例如等级保护定级证明等。检查评估方了解被检查方搜集个人隐私数据的目的和范围，并检查下列内容：a）b）4检查评估方检查被检查方的安全管理制度，并检查下列内容：a）b）应急预案；安全建设检查评估方检查被检查方在安全建设方面的执行情况，并检查下列内容：d）安全运维检查评估方检查被检查方的运维管理资料，并检查下列内容：（日常监测检查评估方检查被检查方的日常监测情况，并检查下列内容：况；备份与恢复b）c）检查评估方检查被检查方的应急准备和处置情况，并检查下列内容：a）是否制定了应急预案并在过去一年中至少开展一次有单位网络安全主要责任人参加的实战演5练；技术检查安全检测检测要求工具要求对于检测工具可能产生的风险要在检查评估方案中明确指出，并给出风险规避和应急处置措施。检查评估方和被检查方应满足下列要求，确保检测正常开展：a）被检查方应提供满足检测工作要求的接入点和接入环境；b）被检查方应配合提供完成检测工作需要的必要信息；检测内容信息收集检查评估方收集被检查方的信息，宜包括：IT资产清单（IP）；（）；（IDCDNS）；漏洞扫描检查评估方执行的漏洞扫描的类型宜包括：a）b）c）d）6漏洞验证:数据验证错误:由于对携带参数或其中混杂操作指令的数据未能进行有效验证和正确处理导致SQLLDAPXPATHXSS攻击等；:::配置错误:环境错误:户权限；7检查评估方通过使用无线审计工具对被检查方所处的地点或相关人员周边的无线热点进行探测和测试，以发现无线网络可能存在的安全隐患。无线安全测试内容宜包括：a）b）c）d）弱加密方式检测。检查评估方应对被检查方进行内网安全测试，例如以服务器权限测试、数据库访问权限测试等。安全域测试检查评估方对被检查方的网络安全域进行安全测试，以发现被检查方的安全隐患，测试项宜包括：入侵检测入侵痕迹。检查评估方针对以往检查评估中发现的问题进行复查，查看其整改情况。复查对象宜包括：自查报告；安全监测监测要求8检查评估方使用的监测手段应至少能满足以下的监测能力要求：a）b）c）d）监测内容间谍软件是一种能够在用户不知情的情况下，在其计算机上安装后门、收集用户信息的软件。HTTP、9检查评估方监测针对网站服务器和应用系统的攻击行为，监测的攻击类型至少包括：a）注入攻击；b）c）IP（源（分析评估CII等级（）CII脆弱性识别检查评估方根据合规检查与技术检查的结果，对CII的脆弱性等级进行分析（高、中、低）并给出具体描述。脆弱性等级按照GB/T209845.4节“脆弱性识别”和GB/T31509-20155.2.4节“脆弱性识别”进行划分，在被检查方的意见基础之上，由检查评估方确定。威胁分析胁的来源（）CII用GB/T209845.3GB/T31509-201510CIIGB/T20984