01 什么是關鍵信息基礎設施？

關鍵信息基礎設施是指那些一旦遭到破壞、喪失功能或者數據泄露將對國家安全、國計民生、公共利益造成嚴重危害的網絡設施和信息系統。

02 關鍵信息基礎設施包括哪些？
（1）網站類，如黨政機關網站、企事業單位網站、新聞網站等；

（2）平臺類，如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺；

（3）生產業務類，如辦公和業務系統、工業控制系統、大型數據中心、云計算平臺、電視轉播系統等。

03 我國為什么要加強對關鍵信息基礎設施保護？
金融、能源、通信、交通等重點行業和領域的關鍵信息基礎設施是經濟社會運行的神經中樞，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益。當前，關鍵信息基礎設施是網絡攻擊的重點目標，其安全保護是網絡安全的重中之重。面對當前嚴峻的網絡安全形勢，各國普遍加強對關鍵信息基礎設施的保護，出臺了一系列政策法規。

04 關鍵信息基礎設施運營者如何進行自評估？
根據《網絡安全法》關鍵信息基礎設施的運營者每年至少進行一次檢測評估；運營者應當自行或者委托網絡安全服務機構進行評估；應當對網絡的安全性和可能存在的風險進行檢測評估；運營者將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護的工作部門。

05 如何進行關鍵信息基礎設施安全性評估？
(1)基線核查

依據已制定的安全基線，對關鍵信息基礎設施的安全現狀進行逐項安全核查，核查范圍覆蓋物理環境、網絡與通信、計算環境、應用及數據、管理制度等層面。核查方法可采用人員訪談、實地查看、配置檢查、文檔審查、案例測試等方式。

(2)漏洞掃描

使用正版專業的漏洞掃描系統對關鍵信息基礎設施進行漏洞探測，掃描范圍覆蓋網絡設備、安全設備、服務器操作系統、數據庫、應用系統等層面。在完成漏洞掃描后，對工具識別的漏洞進行人工驗證測試，驗證漏洞的真實性。

(3)滲透測試

滲透測試是通過專業的安全攻防人員模擬黑客的各類網絡攻擊技術，對授權的測試對象進行非破壞性的測試手段。

測試人員在信息收集、漏洞映射、漏洞利用、權限提升、控制系統、結果輸出等位置對關鍵信息基礎設施進行全面的弱點、缺陷及漏洞分析，以控制系統為最終目標，并輸出測試結果。

(4)源代碼審計

軟件代碼是構建關鍵信息基礎設施的重要基礎組件之一，源代碼審計的具體實施可通過專業正版的源代碼審查工具先進行掃描分析，再結合人工代碼審查的方式進行漏洞定位，根據業務流來檢查目標系統的脆弱性、缺陷以及結構上的問題。

了解更多安全資訊，請關注 中科天齊軟件安全中心

總結

以上是生活随笔為你收集整理的网络安全通识全解|第6期 一文读懂关键信息基础设施的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。