徐楊子凡，蘭少鵬

(1.云南南天電子信息產(chǎn)業(yè)股份有限公司信息安全測(cè)評(píng)中心，云南昆明 650041；2.昆明長(zhǎng)水國(guó)際機(jī)場(chǎng)，云南昆明 650200)

0 引言

隨著網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)及新應(yīng)用的普及，關(guān)鍵信息基礎(chǔ)設(shè)施的安全狀況深刻影響著社會(huì)秩序、經(jīng)濟(jì)發(fā)展、公共利益及國(guó)家安全[1]?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》正式實(shí)施后，國(guó)家將關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)作為網(wǎng)絡(luò)安全的重點(diǎn)工作。

檢測(cè)評(píng)估是落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)、監(jiān)控預(yù)警及應(yīng)急處置等工作的基礎(chǔ)，網(wǎng)絡(luò)運(yùn)營(yíng)者亟需一套可行的檢測(cè)評(píng)估策略支撐關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作的開(kāi)展。

1 關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作現(xiàn)狀

我國(guó)2016年12月27日發(fā)布并實(shí)施的《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》[2]給出了關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure，CII)基本概念：關(guān)系國(guó)家安全、國(guó)計(jì)民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國(guó)家安全、公共利益的信息設(shè)施。美國(guó)、俄羅斯及歐洲等發(fā)達(dá)國(guó)家將關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全作為國(guó)家網(wǎng)絡(luò)安全的重要組成部分，先后制定了一系列相關(guān)的政策、法規(guī)及標(biāo)準(zhǔn)。

1.1 國(guó)內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估方法論

美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)發(fā)布的《Framework for Improving Critical Infrastructure Cyber-security》[3]中明確了美國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的安全框架，并將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為組織風(fēng)險(xiǎn)管理的重要環(huán)節(jié)。2018年3月18日，我國(guó)在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)上發(fā)布了《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求(征求意見(jiàn)稿)》[4]，明確了我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各工作環(huán)節(jié)的定義及基本要求。

美國(guó)與我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估活動(dòng)整體思路及框架是一致的，相比傳統(tǒng)相對(duì)靜態(tài)的檢測(cè)評(píng)估方式，更側(cè)重于在統(tǒng)一的安全策略下開(kāi)展持續(xù)性的安全評(píng)估，動(dòng)態(tài)識(shí)別網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，如表1所示。

表1 檢測(cè)評(píng)估方法對(duì)比

1.2 我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作情況

我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作起步較晚，自2014年2月27日召開(kāi)的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議至今，網(wǎng)絡(luò)運(yùn)營(yíng)者缺乏權(quán)威的技術(shù)標(biāo)準(zhǔn)指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作的有效落地，具體工作開(kāi)展情況如表2所示。

表2 我國(guó)檢測(cè)評(píng)估工作開(kāi)展情況

當(dāng)前的關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作存在以下幾個(gè)突出的問(wèn)題：

(1)關(guān)鍵信息基礎(chǔ)設(shè)施可能包含相對(duì)復(fù)雜的物理設(shè)施、網(wǎng)絡(luò)、信息系統(tǒng)及其他支撐系統(tǒng)，與傳統(tǒng)信息系統(tǒng)相比覆蓋范圍較廣，傳統(tǒng)的檢測(cè)評(píng)估方式可能導(dǎo)致評(píng)估范圍出現(xiàn)盲區(qū)。

(2)網(wǎng)絡(luò)運(yùn)營(yíng)者可能需要遵循多個(gè)標(biāo)準(zhǔn)(如：等級(jí)保護(hù)標(biāo)準(zhǔn)、關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等)，然而不同的標(biāo)準(zhǔn)實(shí)施過(guò)程中存在一定的重復(fù)工作，嚴(yán)重影響工作效率。

(3)處于運(yùn)行狀態(tài)的關(guān)鍵信息基礎(chǔ)設(shè)施安全能力在不斷地變化，檢測(cè)評(píng)估結(jié)論的有效性難以長(zhǎng)期延續(xù)。

2 關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估策略設(shè)計(jì)

基于關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作的現(xiàn)狀及面臨的問(wèn)題，檢測(cè)評(píng)估策略應(yīng)具備以下兩個(gè)特性：

(1)普適性。不同行業(yè)的安全要求、業(yè)務(wù)架構(gòu)及關(guān)鍵信息基礎(chǔ)設(shè)施的組成存在一定差異，檢測(cè)評(píng)估策略應(yīng)能夠與不同行業(yè)的現(xiàn)狀及行業(yè)標(biāo)準(zhǔn)兼容。

(2)可拓展性。不同單位基于自身的技術(shù)及管理狀況，可能會(huì)出現(xiàn)國(guó)家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)無(wú)法覆蓋的安全需求；并且關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估技術(shù)標(biāo)準(zhǔn)正式定稿后，也會(huì)出現(xiàn)新的安全要求，檢測(cè)評(píng)估策略應(yīng)能夠結(jié)合上述情況進(jìn)行動(dòng)態(tài)擴(kuò)展。

檢測(cè)評(píng)估策略總體設(shè)計(jì)如圖1所示。

圖1 檢測(cè)評(píng)估總體策略圖

(1)制定關(guān)鍵信息基礎(chǔ)設(shè)施安全基線[5]，作為檢測(cè)評(píng)估的主要依據(jù)。

(2)將幾種常規(guī)的脆弱性測(cè)試方法進(jìn)行組合，并結(jié)合關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)現(xiàn)狀及技術(shù)現(xiàn)狀制定不同的實(shí)施周期，形成一套完備的脆弱性識(shí)別工作策略。

(3)再統(tǒng)一將脆弱性測(cè)試結(jié)果進(jìn)行安全得分計(jì)算與風(fēng)險(xiǎn)分析，判定安全能力值。

2.1 安全基線制定

安全基線是借用“基線”的概念，是對(duì)安全能力評(píng)估、定位的基本參照。具體制定步驟如下：

(1)先將網(wǎng)絡(luò)運(yùn)營(yíng)者所需遵循的各類標(biāo)準(zhǔn)進(jìn)行梳理，對(duì)所有標(biāo)準(zhǔn)中的安全條目匯總后進(jìn)行去重合并，形成安全標(biāo)準(zhǔn)匯編。

(2)結(jié)合本單位網(wǎng)絡(luò)環(huán)境、業(yè)務(wù)特點(diǎn)、面臨的威脅、已發(fā)生過(guò)的安全事件等因素，定制化編寫(xiě)安全基線擴(kuò)充條目。

(3)根據(jù)每個(gè)安全基線條目的重要程度定義權(quán)重值，作為后續(xù)檢測(cè)評(píng)估活動(dòng)的重要衡量標(biāo)準(zhǔn)。其中，權(quán)重值的取值為1～5之間的整數(shù)，根據(jù)重要程度升序排列。

(4)組織相關(guān)網(wǎng)絡(luò)安全專家對(duì)安全基線初稿進(jìn)行評(píng)審，并在后續(xù)長(zhǎng)期的安全運(yùn)營(yíng)工作中對(duì)安全基線的有效性開(kāi)展階段性的評(píng)審，對(duì)其進(jìn)行不斷修訂和完善，形成一套可動(dòng)態(tài)調(diào)整的安全基線。

2.2 脆弱性測(cè)試

2.2.1 測(cè)試方法

綜合采用基線核查、漏洞掃描與驗(yàn)證測(cè)試、滲透測(cè)試[6]及源代碼審計(jì)[7]等方式對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施脆弱性進(jìn)行識(shí)別。

(1)基線核查

依據(jù)已制定的安全基線，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全現(xiàn)狀進(jìn)行逐項(xiàng)安全核查，核查范圍覆蓋物理環(huán)境、網(wǎng)絡(luò)與通信、計(jì)算環(huán)境、應(yīng)用及數(shù)據(jù)、管理制度等層面。核查方法可采用人員訪談、實(shí)地查看、配置檢查、文檔審查、案例測(cè)試等方式。

(2)漏洞掃描

使用正版專業(yè)的漏洞掃描系統(tǒng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行漏洞探測(cè)，掃描范圍覆蓋網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等層面。在完成漏洞掃描后，對(duì)工具識(shí)別的漏洞進(jìn)行人工驗(yàn)證測(cè)試，驗(yàn)證漏洞的真實(shí)性。

(3)滲透測(cè)試

滲透測(cè)試是通過(guò)專業(yè)的安全攻防人員模擬黑客的各類網(wǎng)絡(luò)攻擊技術(shù)，對(duì)授權(quán)的測(cè)試對(duì)象進(jìn)行非破壞性的測(cè)試手段。

圖2 滲透測(cè)試流程圖

滲透測(cè)試流程包括信息收集、漏洞映射、漏洞利用、權(quán)限提升、控制系統(tǒng)、結(jié)果輸出等步驟，如圖2所示。測(cè)試人員在不同的位置對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行全面的弱點(diǎn)、缺陷及漏洞分析，以控制系統(tǒng)為最終目標(biāo)，并輸出測(cè)試結(jié)果。

(4)源代碼審計(jì)

軟件代碼是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的重要基礎(chǔ)組件之一，源代碼審計(jì)的具體實(shí)施可通過(guò)專業(yè)正版的源代碼審查工具先進(jìn)行掃描分析，再結(jié)合人工代碼審查的方式進(jìn)行漏洞定位，根據(jù)業(yè)務(wù)流來(lái)檢查目標(biāo)系統(tǒng)的脆弱性、缺陷以及結(jié)構(gòu)上的問(wèn)題，具體步驟如下：

①信息收集

通過(guò)源代碼審計(jì)工具載入系統(tǒng)源代碼進(jìn)行閱讀，獲取待審計(jì)應(yīng)用系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)、功能模塊，輸入輸出流，確定審計(jì)重點(diǎn)。

②代碼安全性分析

使用源代碼審計(jì)工具對(duì)源代碼進(jìn)行靜態(tài)掃描，并對(duì)掃描結(jié)果進(jìn)行人工分析、整理，然后根據(jù)嚴(yán)重問(wèn)題對(duì)源代碼進(jìn)行人工審計(jì)。

③代碼規(guī)范性檢查

對(duì)應(yīng)用系統(tǒng)各功能模塊的代碼進(jìn)行合規(guī)性檢查。

④問(wèn)題驗(yàn)證

對(duì)前幾個(gè)步驟中定位的安全問(wèn)題人工整理、分析，得出初步的風(fēng)險(xiǎn)問(wèn)題，對(duì)發(fā)現(xiàn)的所有安全漏洞采用滲透測(cè)試的方式進(jìn)行驗(yàn)證性測(cè)試，驗(yàn)證安全問(wèn)題的真實(shí)性。

2.2.2 測(cè)試周期

對(duì)安全基線核查、漏洞掃描與驗(yàn)證測(cè)試、滲透測(cè)試及源代碼審計(jì)的實(shí)施時(shí)間點(diǎn)及周期進(jìn)行合理化設(shè)置，動(dòng)態(tài)識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施的脆弱性。

2.3 安全能力值評(píng)估

(1)安全得分計(jì)算

在完成所有層面的基線核查后，逐項(xiàng)記錄每個(gè)基線條目的核查結(jié)果，共分為：符合、部分符合及不符合三種結(jié)論。

假設(shè)總測(cè)評(píng)項(xiàng)數(shù)為P，測(cè)評(píng)結(jié)論為“符合”的測(cè)評(píng)項(xiàng)數(shù)為P1，測(cè)評(píng)結(jié)論為“部分符合”的測(cè)評(píng)項(xiàng)數(shù)為P2，則最終安全得分為：

(2)風(fēng)險(xiǎn)分析

將2.2節(jié)中發(fā)現(xiàn)的所有安全問(wèn)題進(jìn)行逐條風(fēng)險(xiǎn)分析，具體分析流程及風(fēng)險(xiǎn)值計(jì)算方法參考《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》[8]，風(fēng)險(xiǎn)值可能的范圍為：很高、高、中等、低、很低。輸出關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)列表，并在各項(xiàng)脆弱性測(cè)試實(shí)施的時(shí)間節(jié)點(diǎn)動(dòng)態(tài)更新。

(3)安全能力值計(jì)算

根據(jù)安全得分及風(fēng)險(xiǎn)分析結(jié)果，判定關(guān)鍵信息基礎(chǔ)設(shè)施安全能力值，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全能力成熟度[9]進(jìn)行量化，實(shí)現(xiàn)安全運(yùn)維階段對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全能力的常態(tài)化的識(shí)別與定位[10]，具體判定方法如表3所示。

表3 關(guān)鍵信息基礎(chǔ)設(shè)施安全能力判定表

3 關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作示例

某銀行關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作步驟如下：

(1)整合檢測(cè)評(píng)估相關(guān)國(guó)家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)，定制化編制關(guān)鍵信息基礎(chǔ)設(shè)施安全基線，如表4所示。

表4 關(guān)鍵信息基礎(chǔ)設(shè)施安全基線示例

(2)制定適用于本單位的年度脆弱性測(cè)試工作策略，如表5所示。開(kāi)展全面的檢測(cè)評(píng)估工作，計(jì)算安全得分，分析各類安全風(fēng)險(xiǎn)，輸出關(guān)鍵信息基礎(chǔ)設(shè)施安全能力值。

表5 關(guān)鍵信息基礎(chǔ)設(shè)施脆弱性測(cè)試周期示例

(3)根據(jù)年度脆弱性評(píng)估策略，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行常態(tài)化安全評(píng)估，按需優(yōu)化與更新安全基線條目，動(dòng)態(tài)維護(hù)網(wǎng)絡(luò)安全問(wèn)題列表及風(fēng)險(xiǎn)清單，為關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)、監(jiān)控預(yù)警及應(yīng)急處置等重要活動(dòng)提供有效的技術(shù)支撐。

4 結(jié)論

本文結(jié)合現(xiàn)有的國(guó)內(nèi)外檢測(cè)評(píng)估標(biāo)準(zhǔn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的檢測(cè)評(píng)估方法進(jìn)行了研究，提出了一套具備普適性及可拓展性的實(shí)施策略，實(shí)現(xiàn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全能力常態(tài)化的掌控。本文提出的策略可以在我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施技術(shù)標(biāo)準(zhǔn)未正式出臺(tái)之前的過(guò)渡期，提供各行業(yè)的網(wǎng)絡(luò)運(yùn)營(yíng)者參考借鑒，讓關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作得到有效的落地；并且在標(biāo)準(zhǔn)正式出臺(tái)之后也可以與其進(jìn)行兼容，根據(jù)最新的標(biāo)準(zhǔn)進(jìn)行動(dòng)態(tài)拓展與優(yōu)化，對(duì)推動(dòng)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》相關(guān)要求的部署及落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障任務(wù)具有重要意義。