《网络安全技术 关键信息基础设施安全检测评估方法》

13.13.23.323.4敏感数据sensitivedata5.1框架构成注：在进行分类安全评估时，也可以基于安全管理、系统架构、技术防护、安全运营进行各类能力评估。346.1安全管理6.1.1管理规范保护计划），制度策略52)核查安全策略文件是否包括但不限于：安全互联管理考核6.1.2资源保障保护团队7）；基础资源保障经费保障6.1.3风险管理风险管理策略风险管理活动96.1.4供应链安全供应链安全管理），供应方安全管理运维外包管理）；供应链风险预警与应急处置6.2.1架构安全网络防护架构）；通信链路与关键设备冗余应用数据分离6.2.2业务连续性业务依赖性分析业务连续性保障灾难备份和恢复网络接入安全网络传输安全系统互联安全6.3.2边界安全防护边界入侵防范边界访问控制恶意代码防范网络安全审计6.3.3计算环境防护计算环境身份鉴别计算环境访问控制计算环境恶意软件防范计算环境安全审计计算环境入侵防范与阻断6.3.4数据安全防护数据分类分级数据处理活动），数据安全责任数据跨境6.4安全运营6.4.1安全运维检测评估），运维管控集中管理），），协同防护6.4.2态势感知安全监测）；预警通报威胁信息6.4.3主动防御主动安全防护策略收敛暴露面应用服务等进行梳理，资产范围是否包括业务系统（后台攻击发现和阻断溯源处置6.4.4事件处置应急预案），响应处置），）；）；攻防演练协同联动7.1.1安全管理资源保障.1保护团队.2基础资源保障供应链安全.1供应链风险预警与应急处置7.1.2系统架构架构安全.1应用数据分离业务连续性.1业务连续性保障7.1.3技术防护网络基础设施防护.1网络接入安全.2网络传输安全.3系统互联安全边界安全防护.1边界入侵防范.2边界访问控制.3网络安全审计计算环境防护.1计算环境访问控制.2计算环境恶意软件防范.3计算环境安全审计.4计算环境入侵防范与阻断数据安全防护.1数据处理活动7.1.4安全运营安全运维.2运维管控态势感知.1威胁信息事件处置.1响应处置7.2.1简述7.2.2网络渗透测试纵向路径测试横向路径测试7.2.3沙盘攻防推演关键资产失陷风险推演防护措施失效风险推演攻击扩散蔓延风险推演新技术应用场景风险推演8.1预防预测8.1.1系统架构业务连续性.1业务连续性保障8.1.2安全运营态势感知.1安全监测8.2.1安全管理管理规范.1制度策略8.2.2系统架构架构安全.1网络防护架构业务连续性.1业务连续性保障8.2.3安全运营安全运维.2集中管理.3协同防护主动防御.1攻击发现和阻断事件处置.1应急预案.2攻防演练8.3.1安全管理管理规范.1制度策略资源保障.1基础资源保障供应链安全8.3.2系统架构业务连续性.1业务连续性保障.2灾难备份和恢复8.3.3技术防护数据安全防护.1数据处理活动8.3.4安全运营主动防御.1收敛暴露面事件处置.1应急预案.2攻防演练8.4重构适应8.4.1安全管理管理规范.1制度策略8.4.2系统架构业务连续性.1业务连续性保障8.4.3安全运营主动防御.1主动安全防护策略9.1单项安全评估备测试网络设备、安全设备是否存在已经公开的安全漏洞测试网络设备、安全设备管理界面、端口的安全性，包测试网络设备、安全设备是否开放了非必要端口、存在测试操作系统是否存在认证授权方面的安全问题，包括但不限于弱口令、默认口令、相同口令测试操作系统是否开放了非必要端口、开启了网络共享WEB后台和认证信息等敏感信息，包括但不限于目录扫任意文件下载、明文口令传输及报错信息等测试手段利用网站返回信息测试是否存在配置缺陷，包括但不限测试验证不同运营者、不同系统、不同区域间的系统互联以及不同业务功能模块互相访问时的安全性，包括缺少对用户的身份鉴别或者是鉴别流程设计存在缺陷，如利用漏洞是否可获取或绕过认证访问WEB应用或相关接测试验证业务程序逻辑设计或实现的合理性，如逻辑处包括但不限于关键参数篡改、参数伪造等测试手段测试验证接口调用安全性，包括数据或者功能接口的访测试验证业务处理中的业务数据完整性、一致性验证的有效性，如数据一致性缺陷、业务数据任意修APP测试APP、使用的第三方SDK是否存在已经公开的安全漏洞是否对APP进行保护（如加固、混淆等）、APP组件安全（包含系统组件、WebView、第三方SDK安全等）、通讯加密安全（服务端证书校验）、数据安全（敏感数据访问控制、敏感信息硬编码、敏感数据本地存测试客户端在处理敏感信息时的安全性，包括但不限于测试客户端在传输敏感信息时的安全性，包括但不限于参考通用中的网络设备、操作系统、WEB进行测试C/S（客户机/服务器架构，下同）应用程序是否存加壳、混淆源代码泄露、硬编码key/password、获取加解密逻辑、角色判断逻辑、登录绕过、权限绕过等测试敏感信息保护安全，包括但不限于检测敏感文件、注册表、开发调试日志泄露、客户端安全、运行包内置的敏感数据，以及在内存中的敏感数据等是否存在泄漏测试业务操作安全性，包括但不限于常规用户名枚举、暴力破解、弱口令、Cookie注入、RFI、XPath注入、陷、授权认证缺陷、未授权、越权、命令执行、参数污测试软件安全性，包括但不限于开发软件格式化字符串漏洞、DLL劫持、堆栈溢出、DOS拒绝服务（远程拒绝服务、本地拒绝服务）、任意地址写数据、内置后门等漏洞险通过利用已知的用户和口令信息，尝试登陆被测目标系测试相关人员是否具备一定的安全意识，采取包括但不限于邮箱、短信、群聊等方式对目标系统相关人员通过假冒称被测目标系统内部人员或者客户，引诱被测试人员执行相关操作或泄露敏感信息，测试相关人员是测试验证无线网络安全性，如钓鱼热点、弱口令、弱加密方式、安全机制绕过、无线网络口令撞库攻测试云平台账号是否存在登录信息泄露、账户劫持等漏洞测试云对象的存储安全性，包括但不限于Bucket公开访测试无线热点物理接入安全性，包括但不限于无线热点测试移动终端安全性，包括但不限于是否可以利用移动终端直接攻击内网应用、数据等，移动终端用户身份安全、接入安全、数据保密性以及网络边界完整性，用户信息泄漏、感染病毒木马、算法密钥泄露、核心模块破解、反编译、动态调试、数据篡改、二次打包、业务逻辑缺陷、组件漏洞、数据漏洞、源码漏洞、逻辑漏洞、测试物联网相关设备是否存在已经公开的安全测试安全设备是否开放了非必要端口、存在未声明的功能或访问接口；测试设备终端嵌入式系统是否存在敏感信息泄露漏洞，包括但不限于用户口令、证书私钥、源码等信息；其他终端安全相关测试。测试终端接入认证机制、终端接口访问控制、终端的抗仿造、防篡改、抗对节点和控制端发起中间人攻击并尝试篡改数据包，测测试传输数据包是否存在敏感信息明文传输或使用了不安全加密算法，包括但不限于操作设备指令、用户口令对各类数据不同指令进行采集重放，例如，对信号等数测试是否存在集权批量控制相关安全漏洞，包括但不限于通过集中控制后台批量控制大规模终端设备启动或停全测试工控相关设备是否存在已经公开的安全击漏洞、未授权导致的漏洞（如任意修改程序、任意程存器任意读写、计算逻辑漏洞、看门超时漏洞、缓存溢测试是否存在工控协议相关安全漏洞，包括但不限于工控相关协议敏感信息明文传输问题（如操作设备指令、），检测项a）检测实施小项2）检测实施小项2）1)核查网络安全工作责任制落实记录是否与工作责任制文档一致；和问责方式进行明确，是否具有网络安全监督问责的相关记录文档。