DB21/T 3896-2023 信息安全技术 关键信息基础设施网络安全检查实施指南

ICS35.030

CCSL80

21

辽宁省地方标准

DB21/T3896—2023

信息安全技术

关键信息基础设施网络安全检查实施指南

Informationsecuritytechnology-Implementationguideforcyber

securityinspectionofcriticalinformationinfrastructure

2023-12-30发布2024-01-30实施

辽宁省市场监督管理局发布

DB21/T3896—2023

目次

前言..................................................................................II

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4缩略语..............................................................................2

5总体目标............................................................................2

6技术手段............................................................................2

7检查框架与力度......................................................................2

7.1检查框架........................................................................2

7.2检查力度........................................................................3

8关键信息基础设施网络安全检查与等级测评的关系........................................3

9检查过程............................................................................4

9.1信息收集........................................................................4

9.2网络安全基线检查................................................................4

9.3技术对抗措施检查...............................................................13

9.4验证测试.......................................................................15

附录A（资料性）渗透测试授权委托书模板.............................................17

附录B（资料性）渗透测试报告样例...................................................18

II

DB21/T3896—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由辽宁省工业和信息化厅提出并归口。

本文件起草单位：北方实验室（沈阳）股份有限公司、辽宁鲲鹏生态创新中心有限公司、辽河石油

勘探局有限公司信息工程分公司、辽宁省高速公路运营管理有限责任公司、辽宁省市场监管事务服务中

心、辽宁省标准化研究院。

本文件主要起草人：张健楠、韩晓娜、袁洪朋、李海涛、丁琳、张鏖、朱江、刘文志、李琳、石绍

群、王继宏、何永建、马超、吴晓峰、徐帅、方涛、葛大明、盛明、王长亮、邱学思。

本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，

我们将及时答复并认真处理，根据实际情况依法进行评估及复审。

归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街45-2号），联系电话：

024-86893258。

标准起草单位通讯地址：北方实验室（沈阳）股份有限公司（沈阳市浑南新区三义街6-1号21层），

联系电话：024-83785841/83785849。

III

DB21/T3896—2023

信息安全技术关键信息基础设施网络安全检查实施指南

1范围

本文件规定了关键信息基础设施网络安全检查的总体目标、检查框架、力度、技术手段和检查内容。

本文件适用于关键信息基础设施网络安全检查服务的实施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T28448信息安全技术网络安全等级保护测评要求

GB/T39204—2022信息安全技术关键信息基础设施安全保护要求

3术语和定义

GB/T25069、GB/T22239、GB/T28448、GB/T39204界定的以及下列术语和定义适用于本文件。

3.1

关键信息基础设施网络安全检查cybersecurityinspectionserviceofcriticalinformation

infrastructure

对关键信息基础设施（如金融、能源、交通、水利等行业）的网络安全状况进行全面、系统、深入

的检查和评估，以发现存在的安全漏洞、弱点和数据风险，防止网络攻击和数据泄露，制定相应的安全

防范措施保障关键信息基础设施的安全运行。

3.2

访谈interview

测评人员（指关键信息基础设施网络安全检查服务人员或运维人员）通过引导CII相关人员进行有

目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。

[来源：GB/T28448—2019，3.1，有修改]

3.3

检查inspection

测评人员（指关键信息基础设施网络安全检查服务人员或运维人员）通过对测评对象（如制度文档、

各类设备、数据资源及相关安全配置等）进行观察、查验和分析，以帮助测评人员理解、澄清或取得证

据的过程。

1

DB21/T3896—2023

3.4

测试test

测评人员（指关键信息基础设施网络安全检查服务人员或运维人员）使用预定的方法／工具使测评

对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。

[来源：GB/T28448—2019，3.3，有修改]

3.5

检查力度Inspectionintensity

在进行检查时所采取的严格程度、标准。检查力度越高，依据的标准会更加明确、严格，评估过程

会更加全面详尽，结果的可靠性和准确性也会更高。

注：通常由检查机构或者检查者来掌控，也可依据被检系统的影响度、数量和分布情况等动态调整，抽样方式及检查范

围应与受检CII运营机构共同确认，以确保所得出的评估结果具有一定的参考价值和可信度。

4缩略语

下列缩略语适用于本文件。

CII：关键信息基础设施（CriticalInformationInfrastructure）

5总体目标

发现CII中存在的影响设备设施正常运行的、危害国家基础数据信息安全的风险，通过检查给出相

应优化建议，保障CII稳定高效安全运行。

6技术手段

检查工作主要使用的技术手段见表1所示。

表1关键信息基础设施网络安全检查主要技术手段

序号检查手段概述

1安全审查检查，记录，分析网络设备，安全设备，服务器，操作系统的安全配置

2安全审计用户操作日志、安全日志分析，包含各类攻击信息

3漏洞扫描软硬件设施的安全漏洞扫描

4应用扫描利用扫描结果分析网站漏洞及应用安全问题

通过模拟恶意黑客的攻击方法，来评估计算机网络评估系统、应用程序或网络的安全性和弱点，

5渗透测试

以识别潜在的漏洞和风险

6安全监测通过实时监测系统日志、网络流量和入侵检测系统等手段，及时识别威胁行为

7态势感知远程感知受检系统的网络流量、异常行为等，并对感知情况进行全面系统分析

7检查框架与力度

7.1检查框架

2

DB21/T3896—2023

关键信息基础设施安全检查框架包括网络安全检查、技术对抗措施检查、验证测试。图1给出了关

键信息基础设施网络安全检查框架。

网络安全基线检查技术对抗措施检查

网络安全等级保护履行

收敛暴露面攻击发现和阻断

商用密码安全性评估情况履行

物理通信网络攻防演练威胁情报

安全检查安全检查

信息收集

计算环境区域边界

业务信息收集

（设备）安全检查安全检查

验证测试

资产信息收集人员管理项目建设管理

安全检查安全检查威胁及入侵痕

信息收集

迹分析

威胁信息收集运维管理制度管理

安全检查安全检查

模拟攻击路径设计

机构管理管理中心

安全检查安全检查

沙盘推演/渗透测试

供应链保护数据保护

安全检查安全检查

图1关键信息基础设施网络安全检查框架

7.2检查力度

关键信息基础设施网络安全检查力度描述见表2所示。

表2关键信息基础设施网络安全检查力度描述

检查力度描述

代表性保证覆盖全部访谈对象类型的情况下，采取抽样调查方式开展访谈。

针对性根据检查重点，针对性选取访谈对象进行访谈，访谈重点随检查重点而定。

访谈

要对全部被访谈对象开展详细的全面访谈，访谈问题包括各方面所有通用及专用问题，适时可选

全面性

取较有难度的问题。

代表性保证覆盖全部材料类型的情况下，采取抽样调查方式开展检查。

针对性根据检查重点，针对性检查相关材料文件文档。

检查

对功能文档、机制和活动、总体/概要设计、详细设计以及实现上的信息等开展全面检查，包括详

全面性

细、彻底分析、观察和研究。开展检查时需结合业务实际情况进行分析。

代表性保证覆盖全部设备类型、安全配置的情况下，数量，范围上采取抽样调查方式开展测试

针对性根据检查重点，针对性选取安全设备、安全配置进行测试。

测试

使用特定工具/方法，对范围符合检查要求的所有设备/配置进行逐一测试，输出结果与预期结果

全面性

对比。

8关键信息基础设施网络安全检查与等级测评的关系

8.1在等级测评中，CII通常情况下由一个或多个等级保护对象组成，先进行等级保护测评后，再后

续利用测评结果针对性地进行网络安全检查。

8.2若等级保护测评力度与网络安全检查力度一致，则可重用CII相关等级保护对象的等级测评结果。