Nkey Whitehat：“仅靠控制项映射有限，必须持续检查”。

Source: Byline Network

策划/N²SF 转型⑧ N²SF 实证 3个项目通过‘攻击者视角’渗透测试检查安全性

目录

1. 公共安全范式大转变，N²SF
2. N²SF，拥抱零信任架构
3. N²SF 指南主笔人眼中的公共安全难题 – 李哲浩 ENPLUS LAB 代表访谈
4. N²SF 实证案例：SGA Solutions “咨询阶段是核心”
5. N²SF 实证案例：Genience “从终端验证开始的 N²SF”
6. N²SF 实证案例：Monitor Lab “使用生成式 AI 的瞬间，数据即为受控对象”
7. N²SF 实证案例：Private Technology “需要符合实际的分阶段应用”
8. N²SF 实证案例：Enki Whitehat “仅靠控制项映射有局限，必须持续检查” (本期)
9. N²SF 的前进之路：后续任务

Enki Whitehat 的 N²SF 实证参与

Enki Whitehat 参与了去年开展的国家网络安全体系（N²SF）试点实证的 3 项任务，承担了通过**渗透测试（模拟攻击）**验证咨询·建设成果在真实攻击情境下是否仍能保持安全控制的职责。参与的任务包括

• 全政府超大规模人工智能（AI）公共基础设施实证
• 数字平台政府（DPG）统一平台实证
• 面向公共机构的实证

Enki Whitehat 将此次实证的重点放在“功能是否正常”或“列出漏洞”之外，侧重于从攻击者视角检验高等级（C·S）数据是否真的可能被窃取，新引入的安全产品的控制是否会在攻击过程中被削弱。由于各机构的诊断周期仅为 2 天至约 1 周，团队并未对全部场景进行广泛验证，而是围绕**“新引入的解决方案在攻击情境下是否能保持控制”**进行检查。

现场发现了建设团队容易忽视的配置错误或可绕过的漏洞。例如，因初始配置不足导致管理员页面暴露，或用户终端未及时打安全补丁，团队将这些问题报告给国家情报院及相关机构，以促使其整改。

“设计·政策适配性检查是基础，但在集成·联动过程中产生的缺陷或实现本身的漏洞，仅凭这种方式难以充分验证。” – Enki Whitehat 相关负责人

3 项任务检查了哪些内容

全政府超大 AI 公共基础设施任务

• 按数据流（Prompt·检索增强生成（RAG）·机密（C）·敏感（S）·公开（O）等）等级检查攻击可能性
• 通过 Prompt 注入尝试窃取系统 Prompt
• Jailbreak 等绕过技术测试
• Web 漏洞检查（如未授权查看聊天记录）

DPG 统一平台任务

• 在 C·S 等级业务·数据区间检查基于零信任的虚拟专用网（VPN）客户端的绕过可能性及漏洞
• 通过 VPN 客户端 Hook 进行内部逻辑分析
• 剪贴板锁定·水印·基础安全检查等控制失效测试
• 关联网络安全控制绕过后进行内部渗透·权限提升尝试
• 在 Web 邮件·文档集中化解决方案中检查文档查看器权限绕过及管理员权限窃取可能性

面向公共机构的 N²SF 应用任务

• 在 C·S 等级业务环境中检查远程浏览器隔离（RBI）解决方案在攻击情境下是否仍保持控制功能
• 验证 RBI 方案在真实攻击场景中是否存在被绕过或失效的风险

“N²SF 在运营阶段才算完成” … 需要延长检查周期

Enki Whitehat 认为，新安全体系在设计阶段未能识别的威胁可能会在实现·运营阶段显现，**“攻击者视角”**的持续检查是必不可少的。现场的渗透测试至少应持续 2 周，若条件允许，最好延伸至约 1 个月。

提出的两种方向如下：

1. 由发包机构·系统集成（SI）厂商主导 – 从整体体系视角基于场景开展渗透测试
2. 由解决方案供应商主导 – 对零信任·AI·文档安全等新引入的单个解决方案进行安全性验证，并重点检查在集成·联动过程中可能出现的缺陷

“仅仅制定好的体系还不够，运营阶段必须通过攻击者视角的反馈进行补强，这一过程是必不可少的。” – Enki Whitehat 相关负责人