CNSA 29100 网络安全审查技术与方法培训课件

CNSA29100网络安全审查技术与方法培训课件汇报人：XXXXXX目录CATALOGUE网络安全审查概述网络安全审查标准与框架网络安全审查流程网络安全审查技术典型审查案例分析网络安全审查能力建设网络安全审查概述01定义与目标网络安全审查的核心目标是确保关键信息基础设施供应链安全，通过对采购的网络产品和服务进行安全性评估，防范因供应链漏洞引发的国家安全风险。供应链安全审查审查聚焦于识别和评估网络产品、服务及数据处理活动可能带来的国家安全威胁，包括数据泄露、非法控制设备、技术依赖等潜在风险。国家安全风险防控在审查过程中需兼顾先进技术应用与安全风险防范，通过标准化流程促进技术创新与安全可控的协调发展。技术应用与安全平衡审查范围与对象针对掌握超100万用户个人信息的平台运营者，对其赴国外上市、合并重组等数据处理行为实施强制性审查。涵盖能源、金融、交通等重点行业的运营单位，要求其对采购的网络产品和服务进行预判和申报审查。涉及国家安全、经济命脉的核心技术数据出口，以及关系公共利益的大规模数据资源整合活动需纳入审查范围。包括工业控制系统中的国外软硬件产品、开源组件等供应链环节，审查其漏洞风险和供应链可靠性。关键信息基础设施运营者网络平台数据处理活动核心数据与重要数据第三方服务与组件审查的法律依据网络安全法基础依据《网络安全法》确立的关键信息基础设施保护制度，明确运营者采购网络产品和服务的安全责任义务。结合《数据安全法》对重要数据和核心数据的分类分级保护要求，将数据处理活动纳入审查法律框架。联动《国家安全法》《关键信息基础设施安全保护条例》等法规，构建覆盖供应链安全、数据跨境、技术出口的全方位审查体系。数据安全法延伸多法规协同机制网络安全审查标准与框架02国家标准（CNSA29100）解读标准化审查流程CNSA29100明确了网络安全审查的标准化流程，包括预评估、现场检查、漏洞验证和报告生成等环节，确保审查过程规范化和可追溯。合规性分级管理根据系统重要性和风险等级，将审查结果分为基础级、增强级和严格级，为不同行业提供差异化的合规指导。关键安全域覆盖标准详细规定了网络基础设施、数据安全、应用系统等关键安全域的审查要求，涵盖身份认证、访问控制、日志审计等核心技术指标。7，6，5！4，3XXX国际相关标准对比与ISO/IEC27001差异CNSA29100更侧重技术层面的深度审查，而ISO/IEC27001偏重管理体系框架，两者在风险评估方法和控制措施上存在互补性。对比CC通用准则在安全功能验证方面，CNSA29100吸收了CC（CommonCriteria）的保障等级划分方法，但扩展了对供应链安全的审查维度。对标NISTSP800-53在访问控制和加密机制要求上，CNSA29100与NISTSP800-53高度一致，但增加了针对中国数据本地化的特殊条款。欧盟GDPR关联性标准中数据跨境传输审查条款参考了GDPR的“隐私设计”原则，但强化了对数据存储物理位置和主权要求的审查。审查指标体系技术脆弱性指标包括系统漏洞密度、补丁覆盖率、渗透测试通过率等量化数据，用于评估系统抗攻击能力。审查安全策略完备性、应急响应机制有效性、人员培训覆盖率等管理要素，衡量组织安全治理水平。通过数据加密强度、匿名化处理合规性、泄露事件响应时效等维度，验证数据全生命周期保护能力。管理成熟度指标数据保护效能指标网络安全审查流程03预审查准备工具与人员配置部署漏洞扫描器（如Nessus）、流量分析工具（如Wireshark）及日志审计系统，组建包含渗透测试工程师、合规专家的复合型审查团队。合规标准梳理根据《网络安全法》《数据安全法》等法规要求，整理适用的国家标准（如GB/T22239-2019）、行业规范及企业内部安全策略，建立审查基准清单。审查范围确认明确网络安全审查的目标系统、网络设备、数据流及关键业务节点，形成审查边界文档，需与受审查方共同确认审查覆盖的技术域和管理域。现场审查实施资产与拓扑核查通过人工巡检和自动化工具结合，核验网络设备（防火墙、IDS/IPS）的型号、固件版本及配置策略，绘制实时网络拓扑图并与备案信息比对。01渗透测试执行采用OWASPTop10漏洞库开展定向测试，包括SQL注入、CSRF攻击模拟，重点验证业务系统（如支付模块、用户数据库）的防御有效性。管理制度审查检查安全运维记录、应急预案演练报告、第三方接入审批流程等文档，评估ISO27001等体系落地情况。数据流监控通过镜像流量抓包分析数据跨境传输行为，检测是否违反《个人信息保护法》关于数据本地化存储的要求。020304审查报告与反馈闭环管理机制建立复查跟踪表，通过远程复测或二次现场验证确保漏洞修复，最终形成加盖双方确认章的审查结论报告。整改建议制定针对关键基础设施提出硬件冗余改造方案，对应用系统给出代码层修复建议（如参数化查询防注入），并明确整改时限。风险等级评定依据CVSS3.0标准对发现漏洞进行评分，划分高危（如未修复的Log4j漏洞）、中危（配置错误）和低危（弱密码策略）风险等级。网络安全审查技术04漏洞扫描与渗透测试自动化扫描工具利用Masscan、Nessus等工具进行高速端口扫描和漏洞检测，支持TCP/UDP协议，可自定义扫描范围和策略，快速识别系统开放端口和服务漏洞。包括信息收集、漏洞分析、漏洞利用、权限提升和报告生成五个阶段，通过模拟攻击验证漏洞可利用性，评估系统实际安全风险。针对扫描结果进行手工验证，结合BurpSuite等工具测试SQL注入、XSS等Web漏洞，确保漏洞真实存在并评估危害等级。渗透测试流程漏洞验证技术数据安全评估技术数据分类分级依据敏感程度对数据进行分类（如公开、内部、机密），实施差异化保护策略，确保核心数据得到重点防护。02040301访问控制审计分析数据库、文件系统的权限设置，检测越权访问风险，确保遵循最小权限原则。加密技术评估检查数据传输（SSL/TLS）和存储（AES/RSA）的加密强度，验证密钥管理流程是否符合规范，防止数据泄露或篡改。数据生命周期管理评估数据创建、存储、使用、共享到销毁的全流程安全措施，包括备份完整性、残留数据清除等环节。通过SIEM系统集中采集网络设备、服务器日志，利用时间戳、IP等字段进行关联分析，识别异常行为模式。日志聚合与关联分析采用写保护设备提取原始日志和磁盘镜像，计算哈希值确保证据链完整性，符合司法取证规范。取证数据保全结合NetFlow流量数据和主机日志，重构攻击路径，定位入侵入口点和横向移动轨迹，支持应急响应决策。攻击溯源技术日志分析与取证技术典型审查案例分析05关键信息基础设施审查案例某能源企业因未对供应商进行网络安全评估，导致第三方运维工具存在后门程序，攻击者利用该漏洞窃取电网调度数据。审查发现其未落实《关键信息基础设施安全保护条例》第二十一条关于供应链安全管理的要求。供应链安全漏洞某金融机构核心交易系统日志仅保留3个月，未达到《网络安全法》规定的6个月最低标准。审查中发现其日志管理系统存在配置缺陷，无法满足审计溯源需求，被责令限期整改并处以行政处罚。日志留存不合规某跨国制造企业将国内工厂生产数据实时同步至境外总部服务器，未依法开展数据出境安全评估。审查依据《数据安全法》第三十六条，要求其建立本地化数据存储机制并补办评估手续。跨境数据传输风险云服务安全审查案例共享租户隔离失效某政务云平台因虚拟化层配置错误，导致不同委办局的虚拟机可互相访问存储资源。审查发现其未按照《云计算服务安全评估办法》实施严格的网络隔离策略，存在横向渗透风险。镜像供应链污染某电商平台使用第三方市场提供的容器镜像，内含恶意挖矿程序。审查追溯发现其未建立镜像签名验证机制，违反《网络产品和服务安全审查办法》关于软件成分审计的要求。特权账号滥用某高校私有云运维人员使用超级管理员账号进行日常操作，导致权限过度集中。审查报告指出其未落实最小权限原则，需按照《信息安全技术云计算服务安全指南》重建RBAC模型。应急响应缺失某医疗云服务商遭遇勒索病毒攻击后，无法在承诺的SLA时间内恢复业务。审查发现其灾难恢复预案未包含云环境特定场景，依据《网络安全审查办法》要求重构应急体系。协议脆弱性暴露某石化企业DCS系统仍使用Modbus等明文协议，攻击者可篡改工艺参数。审查依据《工业控制系统信息安全防护指南》，强制要求部署协议加密网关并升级至OPCUA等安全协议。工业控制系统审查案例补丁管理滞后某轨道交通信号系统长达2年未更新安全补丁，存在多个已知漏洞。审查发现其变更管理流程不符合《关键信息基础设施安全保护条例》第十六条关于漏洞修复时效性的规定。无线接入失控某智能制造车间未授权接入大量IIoT设备，形成隐蔽攻击通道。审查要求按照《工业互联网安全分级防护规范》建立设备准入白名单，并部署工业级网络流量监测系统。网络安全审查能力建设06审查人员需精通《网络安全法》《数据安全法》《个人信息保护法》及TC260发布的网络安全国家标准，能够准确依据法规和标准要求开展审查工作。审查人员技能要求法律与标准掌握具备识别SQL注入、远程代码执行（RCE）、拒绝服务（DoS）等常见漏洞的能力，熟悉漏洞利用原理及修复方案，如ApacheStruts、SAPS/4HANA等系统的漏洞场景。技术漏洞分析能力掌握关键信息基础设施供应链安全风险评估方法，能分析第三方组件（如开源工具n8n、Gogs）的安全隐患，并提出替代或加固建议。风险评估与供应链审计部署静态代码分析工具（如SonarQube）、动态应用安全测试（DAST）平台，用于识别Web应用框架（如ApacheStruts）的RCE漏洞及SQL注入风险。自动化检测工具针对网络平台运营者的数据处理活动，开发数据流向图谱工具，监测是否符合《网络安全审查办法》中百万级用户数据出境的规定。数据跨境流动监控平台集成SCA（软件成分分析）工具，追踪开源组件和商业软件（如西门子工业设备）的漏洞公告（如CVE-2018-11453），实现实时告警。供应链安全管理系统支持对App安全认证、个人信息保护合规审计的自动化验签，确保符合市场监管总局和网信办的专项治理要求。合规性验证系统审查工具与平台01020304持续改进