随着网络与信息技术的不断发展,互联网及新应用的普及,关键信息基础设施的安全状况深刻影响着社会秩序、经济发展、公共利益及国家安全。国家将关键信息基础设施的安全保护作为网络安全的重中之重,检测评估是落实关键信息基础设施安全防护、监控预警及应急处置等工作的基础,网络运营者亟需一套可行的检测评估策略支撑关键信息基础设施安全保障工作的开展。《中华人民共和国网络安全法》对关键信息基础设施检测评估工作提出了明确的要求,是网络运营者的重要任务之一。当前关键信息基础设施检测评估工作存在不足,需要一套具备普适性及可拓展性的关键信息基础设施检测评估策略,为网络运营者开展关键信息基础设施安全保障工作提供有效的支撑。
关键信息基础设施检测评估相关情况
美国国家标准和技术研究院(NIST)发布的《Framework for Improving Critical Infrastructure Cyber-security》中明确了美国关键信息基础设施的安全框架,并将网络安全风险作为组织风险管理的重要环节。2018年3月18日,我国在全国信息安全标准化技术委员会上发布了《信息安全技术 关键信息基础设施网络安全保护基本要求(征求意见稿)》,明确了我国关键信息基础设施网络安全保护各工作环节的定义及基本要求。
美国与我国关键信息基础设施检测评估活动整体思路及框架是一致的,相比传统相对静态的检测评估方式,更侧重于在统一的安全策略下开展持续性的安全评估,动态识别网络安全风险,如表1所示。
我国关键信息基础设施检测评估工作情况
我国关键信息基础设施安全保护工作起步较晚,自2014年2月至今,网络运营者缺乏权威的技术标准指导关键信息基础设施检测评估工作的有效落地,具体工作开展情况如表2所示。
当前的关键信息基础设施检测评估工作存在以下几个突出的问题:
(1)关键信息基础设施可能包含相对复杂的物理设施、网络、信息系统及其他支撑系统,与传统信息系统相比覆盖范围较广,传统的检测评估方式可能导致评估范围出现盲区。
(2)网络运营者可能需要遵循多个标准(如:等级保护标准、关键信息基础设施标准、行业标准等),然而不同的标准实施过程中存在一定的重复工作,严重影响工作效率。
(3)处于运行状态的关键信息基础设施安全能力在不断地变化,检测评估结论的有效性难以长期延续。
关键信息基础设施检测评估策略
基于关键信息基础设施检测评估工作的现状及面临的问题,检测评估策略应具备以下两个特性:
(1)普适性。不同行业的安全要求、业务架构及关键信息基础设施的组成存在一定差异,检测评估策略应能够与不同行业的现状及行业标准兼容。
(2)可拓展性。不同单位基于自身的技术及管理状况,可能会出现国家标准及行业标准无法覆盖的安全需求;并且关键信息基础设施检测评估技术标准正式定稿后,也会出现新的安全要求,检测评估策略应能够结合上述情况进行动态扩展。
检测评估策略总体设计如图1所示。
(1)制定关键信息基础设施安全基线,作为检测评估的主要依据。
(2)将几种常规的脆弱性测试方法进行组合,并结合关键信息基础设施的业务现状及技术现状制定不同的实施周期,形成一套完备的脆弱性识别工作策略。
(3)再统一将脆弱性测试结果进行安全得分计算与风险分析,判定安全能力值。
安全基线制定
安全基线是借用“基线”的概念,是对安全能力评估、定位的基本参照。具体制定步骤如下:
(1)先将网络运营者所需遵循的各类标准进行梳理,对所有标准中的安全条目汇总后进行去重合并,形成安全标准汇编。
(2)结合本单位网络环境、业务特点、面临的威胁、已发生过的安全事件等因素,定制化编写安全基线扩充条目。
(3)根据每个安全基线条目的重要程度定义权重值,作为后续检测评估活动的重要衡量标准。其中,权重值的取值为1~5之间的整数,根据重要程度升序排列。
(4)组织相关网络安全专家对安全基线初稿进行评审,并在后续长期的安全运营工作中对安全基线的有效性开展阶段性的评审,对其进行不断修订和完善,形成一套可动态调整的安全基线。
脆弱性测试
综合采用基线核查、漏洞扫描与验证测试、渗透测试及源代码审计等方式对关键信息基础设施脆弱性进行识别。
(1)基线核查
依据已制定的安全基线,对关键信息基础设施的安全现状进行逐项安全核查,核查范围覆盖物理环境、网络与通信、计算环境、应用及数据、管理制度等层面。核查方法可采用人员访谈、实地查看、配置检查、文档审查、案例测试等方式。
(2)漏洞扫描
使用正版专业的漏洞扫描系统对关键信息基础设施进行漏洞探测,扫描范围覆盖网络设备、安全设备、服务器操作系统、数据库、应用系统等层面。在完成漏洞扫描后,对工具识别的漏洞进行人工验证测试,验证漏洞的真实性。
(3)渗透测试
渗透测试是通过专业的安全攻防人员模拟黑客的各类网络攻击技术,对授权的测试对象进行非破坏性的测试手段。
渗透测试流程包括信息收集、漏洞映射、漏洞利用、权限提升、控制系统、结果输出等步骤,如图2所示。测试人员在不同的位置对关键信息基础设施进行全面的弱点、缺陷及漏洞分析,以控制系统为最终目标,并输出测试结果。
(4)源代码审计
软件代码是构建关键信息基础设施的重要基础组件之一,源代码审计的具体实施可通过专业正版的源代码审查工具先进行扫描分析,再结合人工代码审查的方式进行漏洞定位,根据业务流来检查目标系统的脆弱性、缺陷以及结构上的问题,具体步骤如下:
①信息收集
通过源代码审计工具载入系统源代码进行阅读,获取待审计应用系统的结构设计、功能模块,输入输出流,确定审计重点。
②代码安全性分析
使用源代码审计工具对源代码进行静态扫描,并对扫描结果进行人工分析、整理,然后根据严重问题对源代码进行人工审计。
③代码规范性检查
对应用系统各功能模块的代码进行合规性检查。
④问题验证
对前几个步骤中定位的安全问题人工整理、分析,得出初步的风险问题,对发现的所有安全漏洞采用渗透测试的方式进行验证性测试,验证安全问题的真实性。
测试周期
对安全基线核查、漏洞扫描与验证测试、渗透测试及源代码审计的实施时间点及周期进行合理化设置,动态识别关键信息基础设施的脆弱性。
安全能力值评估
(1)安全得分计算
在完成所有层面的基线核查后,逐项记录每个基线条目的核查结果,共分为:符合、部分符合及不符合三种结论。
假设总测评项数为P,测评结论为“符合”的测评项数为P1,测评结论为“部分符合”的测评项数为P2,则最终安全得分为:
(2)风险分析
将2.2节中发现的所有安全问题进行逐条风险分析,具体分析流程及风险值计算方法参考《信息安全技术 信息安全风险评估规范》,风险值可能的范围为:很高、高、中等、低、很低。输出关键信息基础设施风险列表,并在各项脆弱性测试实施的时间节点动态更新。
(3)安全能力值计算
根据安全得分及风险分析结果,判定关键信息基础设施安全能力值,对关键信息基础设施安全能力成熟度进行量化,实现安全运维阶段对关键信息基础设施安全能力的常态化的识别与定位,具体判定方法如表3所示。
关键信息基础设施检测评估工作示例
某银行关键信息基础设施检测评估工作步骤如下:
(1)整合检测评估相关国家标准及行业标准,定制化编制关键信息基础设施安全基线。
(2)制定适用于本单位的年度脆弱性测试工作策略,如下表所示。开展全面的检测评估工作,计算安全得分,分析各类安全风险,输出关键信息基础设施安全能力值。
(3)根据年度脆弱性评估策略,对关键信息基础设施进行常态化安全评估,按需优化与更新安全基线条目,动态维护网络安全问题列表及风险清单,为关键信息基础设施安全防护、监控预警及应急处置等重要活动提供有效的技术支撑。
结论
结合现有的国内外检测评估标准,对关键信息基础设施的检测评估方法进行研究,提出了一套具备普适性及可拓展性的实施策略,实现对关键信息基础设施安全能力常态化的掌控。该策略可以在我国关键信息基础设施技术标准未正式出台之前的过渡期,提供各行业的网络运营者参考借鉴,让关键信息基础设施检测评估工作得到有效的落地;并且在标准正式出台之后也可以与其进行兼容,根据最新的标准进行动态拓展与优化,对推动《中华人民共和国网络安全法》相关要求的部署及落实关键信息基础设施安全保障任务具有现实意义。
(内容节选自《信息技术与网络安全》2019年第六期《关键信息基础设施检测评估策略》一文,作者徐杨子凡,兰少鹏)
声明:本文来自信息技术与网络安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。