本文目录导读:

关于关键信息基础设施安全(关基安全) 中的 CISP-SP(国家注册信息安全专业人员-渗透测试方向) 员工行为准则,虽然CISP-SP的官方大纲主要聚焦于技术能力(如渗透测试方法、漏洞分析、代码审计等),但结合“关基保护”的特殊性以及CISP知识体系中的通用职业道德规范,以下是针对CISP-SP从业人员在关键信息基础设施场景下的核心行为准则建议:
法律合规与授权优先
- 严格遵循“无授权即违法”原则:在任何针对关基系统进行渗透测试、漏洞扫描或安全评估前,必须获得书面授权(包括安全测试协议、范围界定书及免责条款)。
- 遵守《关键信息基础设施安全保护条例》:明确关基的范围(如能源、交通、金融等),不得对未授权的关基系统进行任何形式的测试,避免触发“非法入侵计算机信息系统罪”。
- 禁止越界操作:测试范围严格限定在授权合同约定的IP段、域名、账号或业务逻辑区域内,严禁横向移动至关联未授权系统。
保密与数据最小化
- 绝对保密:对接触到的关基系统拓扑、业务数据、员工账号、配置密码及漏洞细节(0day漏洞等)承担终身保密义务,未经客户书面允许,不得泄露给第三方(包括在个人博客、社交媒体或会议中)。
- 数据不落地原则:在渗透测试过程中,若无意接触到真实用户数据(如个人隐私、商业秘密),应立即停止操作并删除本地缓存,不得拷贝、留存或外传。
- 敏感信息脱敏:在撰写报告或制作演示材料时,必须对真实IP地址、员工姓名、内部网址、屏幕截图中的业务数据等进行脱敏处理。
最小影响与业务连续性
- 避免破坏性操作:在关基环境(如电力监控系统、银行核心交易系统)中,严格禁止使用未经测试的DoS(拒绝服务)攻击、数据删除、系统格式化或高风险的漏洞利用(如可能引发系统重启的POC)。
- 测试窗口管理:攻击性测试必须在业务低峰期(如凌晨)或专门的测试环境(灾备或沙箱)中进行,并提前制定回滚与应急恢复预案。
- 终止机制:一旦发现测试行为可能触发生产系统告警或导致性能下降(如CPU/内存飙升),必须立即中止操作并通知客户。
工具与技术的安全性
- 禁用非授权工具:禁止使用来源不明、带有后门或数字签名异常的破解版渗透工具,必须使用经过团队审查、原厂授权的商业或开源工具。
- 漏洞验证可控:对于高危漏洞(如RCE,远程代码执行),仅进行概念验证(如执行
whoami而非实际弹Shell),禁止植入任何形式的持久化后门或挖矿程序。 - 日志透明:所有操作(包括命令执行、端口扫描、流量捕获)均需保留原始日志,供事后审计和复核。
职业操守与伦理
- 拒绝黑产诱惑:CISP-SP人员掌握高价值漏洞技术,严禁将所发现的关基漏洞出售给漏洞交易平台(灰色地带)、竞争对手或境外组织,应遵循《网络安全法》要求,及时向国家漏洞库(CNNVD/CNVD)或监管部门报告。
- 利益冲突回避:若个人或近亲属在关基目标单位持有股份、担任职位或有其他利益关联,应主动申请回避该项目的测试任务。
- 持续学习与红线教育:定期参加CISP继续教育,重点学习国家关于关基保护的最新法规(如《网络数据安全管理条例》),避免因技术升级而触碰法律红线。
应急与报告准则
- 即时报备:在测试中发现0day漏洞或高危绕过逻辑时,禁止私下复现,应立即通过正规渠道(项目经理、客户安全负责人、CNCERT——国家计算机网络应急技术处理协调中心)报送。
- 报告严谨性:输出的渗透测试报告必须客观、可复现,禁止夸大漏洞风险或遗漏关键发现,报告中需明确修复建议,且不得包含“如何手工修复”以外的攻击性代码全文。
CISP-SP在关基领域的“三条铁律”
- 无授权不碰:没有书面合同和授权书,哪怕面对的是暴露的漏洞也绝不测试。
- 数据不带走:关基系统的任何数据(包括截图)都不属于测试人员。
- 漏洞不私藏:发现的关基漏洞必须依法上报,禁止用于交易或炫耀。
提示:CISP-SP持证人员在签署劳动合同时,通常需额外签署《关基安全保密承诺书》,若违反上述准则,不仅面临吊销证书、行业禁入,还可能承担《刑法》第285条(非法侵入计算机信息系统罪)及《关基保护条例》第44条的法律责任。
如果你需要针对特定行业(如金融、电力、医疗)更细化的行为细则,可以补充具体场景,我可以进一步说明。