信息安全技术关键信息基础设施安全检查评价指引.docVIP

目 次 目 次 II 前言 I 引言 II 信息安全技术 关键信息基础设施安全检查评估指南 1 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 3.1 关键信息基础设施 critical information infrastructure 1 3.2 检查评估 inspection assessment 1 3.3 关键属性 Critical Attributes 2 3.4 渗透测试 penetration testing 2 4 缩略语 2 5 关键信息基础设施检查评估 2 5.1 合规检查 2 5.2 技术检测 2 5.3 分析评估 3 6 检查评估流程 3 6.1 工作准备 3 6.1.1 工作启动 3 6.1.2 工作调研 3 6.1.3 方案制定 3 6.2 工作实施 3 6.2.1 实施准备 3 6.2.2 实施执行 4 6.2.3 现场确认 4 6.2.4 风险控制 4 6.3 工作总结 4 6.3.1 风险研判 4 6.3.2 报告编制 4 6.3.3 结果反馈 4 7 合规检查 4 7.1 合规检查要求 4 7.2 合规检查内容 4 7.2.1 关键信息基础设施认定情况 4 7.2.2 政策文件要求落实情况 5 7.2.3 安全标准执行情况 5 7.2.4 信息安全等级保护落实情况 5 7.2.5 个人信息和重要数据保护情况 5 7.2.6 安全管理机构设置和人员安全管理情况 5 7.2.7 安全管理保障体系落实情况 6 7.2.8 备份与恢复情况 6 7.2.9 应急响应与处置情况 6 7.3 合规检查输出 7 8 技术检测 7 8.1 主动检测要求 7 8.1.1 工具要求 7 8.1.2 检测过程要求 7 8.2 主动检测内容 7 8.2.1 信息收集 7 8.2.2 漏洞扫描 7 8.2.3 漏洞验证 7 8.2.4 业务安全测试 8 8.2.5 社会工程学测试 8 8.2.6 无线安全测试 8 8.2.7 内网安全测试 8 8.2.8 安全域测试 8 8.2.9 入侵痕迹检测 8 8.2.10 安全意识测试 8 8.2.11 安全整改情况验证 8 8.3 被动检测要求 8 8.3.1 监测设备安全要求 9 8.3.2 监测数据安全要求 9 8.3.3 监测能力要求 9 8.3.4 监测工作要求 9 8.4 被动检测内容 9 8.4.1 信息刺探行为监测 9 8.4.2 漏洞利用攻击监测 9 8.4.3 间谍软件监测 9 8.4.4 病毒蠕虫攻击监测 9 8.4.5 木马后门攻击监测 9 8.4.6 恶意邮件攻击 9 8.4.7 Web应用攻击和漏洞监测 9 8.4.8 恶意域名监测 10 8.4.9 异常流量监测 10 8.4.10 敏感信息泄露监测 10 8.5 技术检测输出 10 9 分析评估 10 9.1.1 关键属性分析 10 9.1.2 风险分析 10 10 检查评估结果输出 10 10.1 检查对象基本情况描述 11 10.2 检查评估结果说明 11 附录 A （资料性附录） 1 参考文献 1 前言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由全国信息安全标准化技术委员会提出并归口。 本标准主要起草单位：安全研究中心。 引言 关键信息基础设施ritical Information Infrastructure）是指支撑国家关键基础设施的信息系统 根据《人民共和国网络法》关键信息基础设施网络法，是规范信息基础评估信息基础设施的网络安全防护。关键信息基础设施 信息安全技术 关键信息基础设施安全检查评估指南 范围 本标准提供了关键信息基础设施检查评估的、内容，关键信息基础设施规定了关键信息基础设施检查评估、、总结。指导开展关键信息基础设施工作。关键信息基础设施 本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者工作的人员。 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 209842007 信息安全技术 信息安全风险评估规范 GB/T 31509-2015 信息安全技术 信息安全风险评估实施指南 GB/T 22081-2016 信息安全技术 信息安全管理GB/T? 31496-2015 信息安全技术?信息安全管理体系实施指南信息安全技术 术语和定义 GB/T 5271.8—2001 信息技术 和 GB/T 25069-2010 界定的以及下列术语和定义适用于本标准。 关键信息基础设施 critical information infrastruc