网络安全通识全解|第6期 一文读懂关键信息基础设施
01 什么是关键信息基础设施?
关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国计民生、公共利益造成严重危害的网络设施和信息系统。
02 关键信息基础设施包括哪些?
(1)网站类,如党政机关网站、企事业单位网站、新闻网站等;
(2)平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;
(3)生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
03 我国为什么要加强对关键信息基础设施保护?
金融、能源、通信、交通等重点行业和领域的关键信息基础设施是经济社会运行的神经中枢,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。当前,关键信息基础设施是网络攻击的重点目标,其安全保护是网络安全的重中之重。面对当前严峻的网络安全形势,各国普遍加强对关键信息基础设施的保护,出台了一系列政策法规。
04 关键信息基础设施运营者如何进行自评估?
根据《网络安全法》关键信息基础设施的运营者每年至少进行一次检测评估;运营者应当自行或者委托网络安全服务机构进行评估;应当对网络的安全性和可能存在的风险进行检测评估;运营者将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护的工作部门。
05 如何进行关键信息基础设施安全性评估?
(1)基线核查
依据已制定的安全基线,对关键信息基础设施的安全现状进行逐项安全核查,核查范围覆盖物理环境、网络与通信、计算环境、应用及数据、管理制度等层面。核查方法可采用人员访谈、实地查看、配置检查、文档审查、案例测试等方式。
(2)漏洞扫描
使用正版专业的漏洞扫描系统对关键信息基础设施进行漏洞探测,扫描范围覆盖网络设备、安全设备、服务器操作系统、数据库、应用系统等层面。在完成漏洞扫描后,对工具识别的漏洞进行人工验证测试,验证漏洞的真实性。
(3)渗透测试
渗透测试是通过专业的安全攻防人员模拟黑客的各类网络攻击技术,对授权的测试对象进行非破坏性的测试手段。
测试人员在信息收集、漏洞映射、漏洞利用、权限提升、控制系统、结果输出等位置对关键信息基础设施进行全面的弱点、缺陷及漏洞分析,以控制系统为最终目标,并输出测试结果。
(4)源代码审计
软件代码是构建关键信息基础设施的重要基础组件之一,源代码审计的具体实施可通过专业正版的源代码审查工具先进行扫描分析,再结合人工代码审查的方式进行漏洞定位,根据业务流来检查目标系统的脆弱性、缺陷以及结构上的问题。
了解更多安全资讯,请关注 中科天齐软件安全中心
网络安全通识全解|第6期 一文读懂关键信息基础设施相关推荐
- 网络安全通识全解|第1期 什么是网络安全
网络安全通识全解|第1期 什么是网络安全 01 什么是网络安全? 网络安全是指网络系统的硬件.软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏.修改.泄露,系统连续可靠正常地运行,网络 ...
- 网络安全通识全解|第12期 《网络安全审查办法》解读
01 <网络安全审查办法>出台背景 关键信息基础设施对国家安全.经济安全.社会稳定.公众健康和安全至关重要.我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品 ...
- 网络安全通识全解|第10期 安全上网你要懂得的事
01 上网前可以做哪些事情确保网络安全? 安装个人防火墙,利用隐私控制特性,选择需要保密的重要信息,以防不慎把这些信息发送到不安全的网站.同时防火墙还可以防止网站服务器在未察觉的情况下跟踪你的电子邮件 ...
- 网络安全通识全解|第14期 那些常见的网络安全“黑话”
0day漏洞 0day漏洞最早的破解是专门针对软件,叫做WAREZ,后来才发展到游戏,音乐,影视等其他内容的.0day中的0表示Zero,早期的0day表示在软件发行后的24小时内就出现破解版本. 在 ...
- 网络安全通识全解|第15期 白帽、黑帽、灰帽,黑客的差异!
提起黑客,很多人的脑中最先浮现的就是"计算机犯罪",是控制他人电脑.窃取密码甚至存款的无耻之徒.实际上这是一种误解,黑客也存在不同的"面孔". 白帽黑客 一般来 ...
- 网络安全通识全解|第9期 揭秘黑客的常用攻击手段
01 网络钓鱼 网络钓鱼是指攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,钓鱼邮件一般是攻击者伪装成同事.合作伙伴.朋友.家人等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件 ...
- 网络安全通识全解|第17期 了解污点分析
随着互联网+.云计算.移动智能终端等技术的发展, 软件系统对信息安全的需求越来越高,信息流分析可以有效保证计算机系统中信息的保密性和完整性. 污点分析是常见的信息流分析手段,是分析代码漏洞.检测攻击方 ...
- 网络安全通识全解|第16期 手工测试与自动化测试
手工测试与自动化测试 手工测试是指软件测试的整个活动过程(如评审.测试设计.测试执行等)都是由软件测试工程师手工执行来完成,不使用任何测试工具,狭义上是指测试执行由人工完成,这是最基本的测试形式. 自 ...
- 网络安全通识全解|第18期 DAST、SAST、IAST——Web应用安全测试技术
在互联网高度发达的当下,智能化的软件成为商业决策.推广等不可缺少的利器,很多软件涉及了客户商业上重要的信息资料,一个细小的安全漏洞,将有可能对客户造成巨大影响.因此,软件安全测试的重要性不言而喻. W ...
最新文章
- python练习题(python之“求一个数的阶乘并求结果中从后向前数第一个不为0(零)的数” 等)
- ResNet被全面超越了,是Transformer干的:依图科技开源“可大可小”T2T-ViT,轻量版优于MobileNet...
- linux下热插拔事件的产生是怎样通知到用户空间,kobject_uevent_env之uevent【转】...
- 如何从零开始学python_从零开始学Python【4】--numpy
- TF之TF flags:TF flags(命令行解析)的简介、安装、使用方法之详细攻略
- python实现 HmacSHA256加密算法
- 华为Mate X海报曝光:设计惊艳 可变形
- $.ajax()方法
- [Ext JS6]路由(Routing)及使用
- linux命令-p,Linux-send命令详解
- PHP截取中文字符串的方法
- MySQL Data目录查找并迁移到data文件夹中
- 挑战程序设计竞赛:Conscription
- java 车牌号正则_最新车牌号码(包括新能源车牌)正则表达式
- 了不起的 Deno:带你极速获取各大平台今日热榜
- [转载]GRADS画图
- 关于fiddler和charles手机代理以后无法上网的问题解决
- 【深度探讨】数据存储进化论,区块链才是未来
- 前端工程师考核总结_最新前端工程师周工作总结
- 计算雅思成绩C语言,雅思总成绩计算四舍五入查分表