等保资讯

了解最新等保资讯及等保政策

当前位置:首页>等保资讯>等保资讯
全部 694 等保资讯 540 等保政策 15

一秒读懂关键信息基础设施

时间:2022-03-22   访问量:1764
关键词: 网络安全

01 什么是关键信息基础设施?


关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国计民生、公共利益造成严重危害的网络设施和信息系统。


02 关键信息基础设施包括哪些?

(1)网站类,如党政机关网站、企事业单位网站、新闻网站等;


(2)平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;


(3)生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。


03 我国为什么要加强对关键信息基础设施保护?

金融、能源、通信、交通等重点行业和领域的关键信息基础设施是经济社会运行的神经中枢,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。当前,关键信息基础设施是网络攻击的重点目标,其安全保护是网络安全的重中之重。面对当前严峻的网络安全形势,各国普遍加强对关键信息基础设施的保护,出台了一系列政策法规。


04 关键信息基础设施运营者如何进行自评估?

根据《网络安全法》关键信息基础设施的运营者每年至少进行一次检测评估;运营者应当自行或者委托网络安全服务机构进行评估;应当对网络的安全性和可能存在的风险进行检测评估;运营者将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护的工作部门。


05 如何进行关键信息基础设施安全性评估?

(1)基线核查


依据已制定的安全基线,对关键信息基础设施的安全现状进行逐项安全核查,核查范围覆盖物理环境、网络与通信、计算环境、应用及数据、管理制度等层面。核查方法可采用人员访谈、实地查看、配置检查、文档审查、案例测试等方式。


(2)漏洞扫描


使用正版专业的漏洞扫描系统对关键信息基础设施进行漏洞探测,扫描范围覆盖网络设备、安全设备、服务器操作系统、数据库、应用系统等层面。在完成漏洞扫描后,对工具识别的漏洞进行人工验证测试,验证漏洞的真实性。


(3)渗透测试


渗透测试是通过专业的安全攻防人员模拟黑客的各类网络攻击技术,对授权的测试对象进行非破坏性的测试手段。


测试人员在信息收集、漏洞映射、漏洞利用、权限提升、控制系统、结果输出等位置对关键信息基础设施进行全面的弱点、缺陷及漏洞分析,以控制系统为最终目标,并输出测试结果。


(4)源代码审计


软件代码是构建关键信息基础设施的重要基础组件之一,源代码审计的具体实施可通过专业正版的源代码审查工具先进行扫描分析,再结合人工代码审查的方式进行漏洞定位,根据业务流来检查目标系统的脆弱性、缺陷以及结构上的问题。


了解更多安全资讯,请关注 灵狐科技

注:本文为博主「Tianqi_Wukong」的原创文章,转载目的在于传递更多信息,如有侵权,请联系删除

上一篇:医疗行业|等级测评

下一篇:等保常见的三个误区

在线咨询

点击这里给我发消息 等保测评咨询

在线咨询

免费通话

24小时免费咨询

请输入您的联系电话,座机请加区号

免费通话

微信扫一扫

微信联系
返回顶部