随着信息化快速发展，国家经济和民众生活对信息化依赖度提高，以及国内外层出不穷的重大安全事件，使国家对网路安全越来越重视，意识到构建关键信息基础设施安全保障体系的紧迫性。从2017年国家颁发《中华人民共和国网络安全法》后，各项网络安全相关标准和规范陆续出台，如《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T  28448-2019）将网络安全合规作为基础要求提出了明确的建设范围，但是作为关键信息基础设施，还需要在符合等级保护的基础上实现重点防护，为指导落实对关键信息基础设施的安全防护工作，国家于2023年5月1日正式实施了《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）。

本篇文章是关保专题系列文章，将对关基保护要求的6个方面活动中的“检测评估”活动进行内容解读，“检测评估工作”的7条要求内容是为了以评促建，加强关键信息基础设的安全防护，也是检测各单位、企业是否落实国家网络安全战略的标准动作。本文也将给出满足“检测评估”活动建设要求的落地措施。

关基保护要求中对“检测评估”活动的要求项目分为“制度”、“方式和内容”2部分共7条安全要求，检测评估活动由关键信息基础设施使用单位、运营单位自行发起，或由上级主管机关发起并委托安全服务机构进行的，关键信息基础设施使用单位、运营单位需要提供必要的检测环境及条件，检查评估方需要具备相关资质，并与关键信息基础设施使用单位、运营单位签署保密协议。整个检查评估工作由合规检查、技术检测和分析评估三个主要环节组成。

合规检查是验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求，输出是否合规的结论，对不合规的具体项目进行说明。

合规检查采取的方法包括现场资料核实、人员访谈、配置核查等形式对关键信息基础设施认定情况、政策文件要求落实情况、安全标准执行情况、网络安全等级保护落实情况、数据安全防护情况、商用密码应用安全性评估情况、供应链安全防护情况、云计算服务安全评估情况、应急演练与攻防演练落实情况、备份与恢复情况等内容进行检查。  

合规检查结果说明包括关键信息基础设施安全保障措施是否合规,包含多少个不合规项，不合规项的说明，如：不符合项xxx的详细说明和描述。

技术检测分为主动检测和被动检测两种方式。

主动方式：是采用专业安全工具，配合专业安全人员，选取合适的技术检测接入点，通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段，采取远程检测和现场检测相结合的方式，发现其安全性和可能存在的风险隐患，也可参考其他安全检测资料和报告，对技术检测结果进行验证。检测内容如下图所示，需要结合关键信息基础设施运营者的现场实际情况进行灵活调整，如没有无线网络的环境可以不开展无线安全测试。

被动方式：是辅助监测分析手段，通过选取合适的监测接入点，部署相应的监测工具，实时监测并分析检查评估对象的安全状况，发现其存在的安全漏洞、安全隐患。检测内容如下图所示，需要结合关键信息基础设施运营者的现场实际情况进行灵活调整，如不具备web应用的环境可以不开展web应用攻击和漏洞检测。

技术检测发现的安全问题说明和描述，包括对主要安全威胁、安全漏洞、面临的安全风险进行说明：如技术检测发现的安全问题xxx的详细说明和描述。

分析评估工作是根据技术检测结果，围绕关键信息基础设施承载业务特点，对关键信息基础设施的关键属性进行识别和分析。依据技术检测发现的安全隐患和问题，参考GB/T 20984-2022《信息安全风险评估方法》对关键属性（承载业务的连续性、承载数据的机密性、承载系统的完整性）面临的风险进行风险分析，给出整体安全状况的总体评价和描述。

经过等保1.0和等保2.0的工作推进，各企业以“一个中心˙三层防护”的理念，结合技术与管理并重的原则开展网络安全等级保护的基本建设工作已经驾轻就熟。但是使用单位、运营单位还需要针对关键信息基础设施在等级保护的基础上进行重点防范、开展检测评估等工作，贯彻落实国家网络安全战略要求。

北京威努特技术有限公司深耕工控安全领域九年，作为国家信息安全漏洞库（CNNVD）二级技术支撑单位、国家工业信息安全漏洞库（CICSVD技术组）成员单位以及工业信息安全应急服务支持单位，具备成熟的网络安全监测评估工具（工控等保检查工具箱、工控漏洞扫描平台、工控安全监测与审计系统、高级威胁检测系统等）和专业的安全服务技术团队，可以协助企业开展生产网络的安全检测评估工作。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121