关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露将对国家安全、国计民生、公共利益导致非常严重危害的网络设施和信息系统。

  （2）平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；

  （3）生产业务类，如办公和业务系统、工业控制管理系统、大型数据中心、云计算平台、电视转播系统等。

  金融、能源、通信、交通等重点行业和领域的关键信息基础设施是经济社会运行的神经中枢，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益。当前，关键信息基础设施是网络攻击的重点目标，其安全保护是网络安全的重中之重。面对当前严峻的网络安全形势，各国普遍加强对关键信息基础设施的保护，出台了一系列政策法规。

  根据《网络安全法》关键信息基础设施的运营者每年至少进行一次检验测试评估；运营者应当自行或委托网络安全服务机构做评估；应当对网络的安全性和有几率存在的风险进行仔细的检测评估；运营者将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护的工作部门。

  依据已制定的安全基线，对关键信息基础设施的安全现在的状况进行逐项安全核查，核查范围覆盖物理环境、网络与通信、计算环境、应用及数据、管理制度等层面。核查方法可采用人员访谈、实地查看、配置检查、文档审查、案例测试等方式。

  使用正版专业的漏洞扫描系统对关键信息基础设施进行漏洞探测，扫描范围覆盖网络设备、安全设备、服务器操作系统、数据库、应用系统等层面。在完成漏洞扫描后，对工具识别的漏洞进行人工验证测试，验证漏洞的线)渗透测试

  渗透测试是通过专业的安全攻防人员模拟黑客的各类网络攻击技术，对授权的测试对象进行非破坏性的测试手段。

  测试人员在信息收集、漏洞映射、漏洞利用、权限提升、控制管理系统、结果输出等位置对关键信息基础设施做全面的弱点、缺陷及漏洞分析，以控制管理系统为最终目标，并输出测试结果。

  软件代码是构建关键信息基础设施的重要基础组件之一，源代码审计的具体实施可通过专业正版的源代码审查工具先进行扫描分析，再结合人工代码审查的方式来进行漏洞定位，依据业务流来检查目标系统的脆弱性、缺陷及结构上的问题。