蔡昌許 蔡昌曙

摘要：信息系統(tǒng)等級保護(hù)制度是我國加強(qiáng)信息系統(tǒng)安全防護(hù)的重要措施，電子政務(wù)外網(wǎng)運(yùn)行著電子政務(wù)的公共服務(wù)業(yè)務(wù)，開展等級保護(hù)與等級保護(hù)測評非常必要，政務(wù)外網(wǎng)[2011]15號文要求開展電子政務(wù)外網(wǎng)的等級保護(hù)與等級保護(hù)測評工作。該文就政務(wù)外網(wǎng)某網(wǎng)絡(luò)系統(tǒng)開展等級保護(hù)測評為例，探討等級保護(hù)的定級、測評對象與測評機(jī)構(gòu)的選擇、測評內(nèi)容與方法的確定、骨干網(wǎng)絡(luò)系統(tǒng)的漏洞測試、安全整改等內(nèi)容。本次測評在屬地電子政務(wù)行業(yè)產(chǎn)生了良好的示范效應(yīng)。

關(guān)鍵詞：電子政務(wù)外網(wǎng)；等級保護(hù)；等級保護(hù)測評

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）35-8593-02

Classified Protection Evaluation Investigation of E-government Extranet

CAI Chang-shu1，CAI Chang-shu2

（1.Computer Science & Technology College of Qujing Normal University， Qujing 655011， China； 2. E-Government Network Management Center of Yunnan Province， Kunming 650228， China）

Abstract： The classified protection system of information system is import to information system protection. E-government public service is operated on Yunnan E-government extranet， to carry out classified protection evaluation is essential. Based on a classified protection evaluation， grade determination， the selection of evaluation targe and evaluation organization， evaluation content and method definition， vulnerability detection of backbone network， security rectification， and so on are investigated. This assessment produce demonstration effect.

Key words： E-government extranet； classified protection； classified protection evaluation

1 國家電子政務(wù)外網(wǎng)等級保護(hù)背景

國家電子政務(wù)外網(wǎng)是我國電子政務(wù)重要的基礎(chǔ)行政設(shè)施，開展政務(wù)外網(wǎng)的等級保護(hù)工作是保證各級政務(wù)部門開展電子政務(wù)應(yīng)用，其安全保障關(guān)系到國家安全和社會(huì)穩(wěn)定。政務(wù)外網(wǎng)的安全保障主要對所承載的電子政務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)提供網(wǎng)絡(luò)承載和安全保護(hù)，對來自外部的網(wǎng)絡(luò)攻擊、病毒及異常流量進(jìn)行監(jiān)測，并不斷提高網(wǎng)絡(luò)與信息安全突發(fā)事件的應(yīng)急處置和響應(yīng)能力[1]。

根據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中發(fā)辦[2003]27號）、《信息安全等級保護(hù)管理辦法》（公通字[2007]43號），以及《關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知》（政務(wù)外網(wǎng)[2011]15號）要求，為進(jìn)一步做好國家電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)與信息安全工作，提高政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全保障能力和水平，應(yīng)積極開展電子政務(wù)外網(wǎng)等級保護(hù)工作，推行等級保護(hù)制度，逐步國家信息安全保護(hù)制度落實(shí)到政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、測評、運(yùn)行維護(hù)和應(yīng)用等各個(gè)環(huán)節(jié)，使得政務(wù)外網(wǎng)安全保障能力達(dá)到安全保護(hù)等級要求[2]。

信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。規(guī)定動(dòng)作：信息系統(tǒng)定級、備案、安全建設(shè)整改、等級測評、監(jiān)督檢查[3]。

信息安全等級保護(hù)工作的主要內(nèi)容是將信息系統(tǒng)（包括網(wǎng)絡(luò)）按照重要性和遭受損壞后的危害性分成五個(gè)安全保護(hù)等級（從第一級到第五級，逐級增高）；等級確定后，第二級（含）以上信息系統(tǒng)到公安機(jī)關(guān)備案，公安機(jī)關(guān)審核后頒發(fā)備案證明；備案單位選擇符合國家規(guī)定條件的測評機(jī)構(gòu)開展等級測評，根據(jù)信息系統(tǒng)安全等級，按照國家政策、標(biāo)準(zhǔn)開展安全建設(shè)整改；公安機(jī)關(guān)對第二級信息系統(tǒng)進(jìn)行指導(dǎo)，對第三、四級信息系統(tǒng)定期開展監(jiān)督、檢查[3]。

2 電子政務(wù)外網(wǎng)等級保護(hù)測評必要性

等級保護(hù)測評是測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動(dòng)。是信息安全等級保護(hù)工作的重要環(huán)節(jié)。確定安全等級保護(hù)第三級的政務(wù)外網(wǎng)要求每年進(jìn)行一次等級保護(hù)測評，國家外網(wǎng)管理中心將配合公安機(jī)關(guān)對政務(wù)外網(wǎng)安全等級保護(hù)工作開展情況進(jìn)行監(jiān)督檢查。開展等級保護(hù)測評是提高電子政務(wù)服務(wù)水平的一個(gè)重要措施，通過開展測評一是掌握電子政務(wù)網(wǎng)絡(luò)信息系統(tǒng)安全狀況、排查系統(tǒng)安全隱患和薄弱環(huán)節(jié)、明確信息系統(tǒng)安全建設(shè)整改需求；二是能夠衡量出信息系統(tǒng)安全保護(hù)措施是否符合等級保護(hù)的基本要求，是否具備了相應(yīng)等級的安全保護(hù)能力。

3 電子政務(wù)外網(wǎng)等級保護(hù)測評探討

3.1 等級保護(hù)定級

根據(jù)政務(wù)外網(wǎng)[2011]15號文件，政務(wù)外網(wǎng)等級保護(hù)的重點(diǎn)是廣域網(wǎng)和各級城域網(wǎng)。定級的對象是網(wǎng)絡(luò)與安全系統(tǒng)、網(wǎng)管系統(tǒng)、安全管理中心（SOC）、DNS等政務(wù)外網(wǎng)重要系統(tǒng)。政務(wù)外網(wǎng)中央至省、省至地（市）廣域網(wǎng)和中央、省、地（市）城域網(wǎng)應(yīng)達(dá)到安全等級保護(hù)第三級要求，地（市）至區(qū)縣廣域網(wǎng)和地（市）以上城域網(wǎng)至少達(dá)到等級保護(hù)第二級要求。根據(jù)國家要求和具體電子政務(wù)外網(wǎng)實(shí)際，把政務(wù)外網(wǎng)某網(wǎng)絡(luò)系統(tǒng)定級為三級、政務(wù)外網(wǎng)某網(wǎng)管系統(tǒng)定級為第二級，到屬地公安局機(jī)關(guān)進(jìn)行了備案，并把定級方案上報(bào)國家信息中心。

3.2 測評對象的確定

根據(jù)要求，等級保護(hù)三級的系統(tǒng)將一年進(jìn)行一次等級保護(hù)測評，接受一次以上監(jiān)督檢查，將備案為三級的政務(wù)外網(wǎng)某網(wǎng)絡(luò)系統(tǒng)作為測評的對象。測評時(shí)機(jī)為建設(shè)整改前開展等級測評，現(xiàn)狀分析。測評項(xiàng)目主要目標(biāo)是借助投標(biāo)方的專業(yè)資質(zhì)和安全管理項(xiàng)目實(shí)施經(jīng)驗(yàn)，參照國家標(biāo)準(zhǔn)和行業(yè)特點(diǎn)和安全需求，對政務(wù)外網(wǎng)某網(wǎng)絡(luò)系統(tǒng)的等級保護(hù)測評，深入挖掘安全隱患及漏洞，提出適宜的安全整改建議，通過相關(guān)單位及廠商技術(shù)人員的專項(xiàng)加固，建立政務(wù)外網(wǎng)的網(wǎng)絡(luò)系統(tǒng)安全管理制度體系，提升政務(wù)外網(wǎng)的安全防范能力和安全管理水平，逐步將政務(wù)外網(wǎng)的安全狀況達(dá)到符合國家政務(wù)外網(wǎng)等級保護(hù)三級的要求。

評測范圍：1） 網(wǎng)絡(luò)范圍及節(jié)點(diǎn)：政務(wù)外網(wǎng)省級到地市廣域骨干網(wǎng)、省級橫向城域網(wǎng)（包含省級核心節(jié)點(diǎn)、省級匯聚節(jié)點(diǎn)和地市級節(jié)點(diǎn)）；2） 政務(wù)外網(wǎng)網(wǎng)管系統(tǒng)；3） 與政務(wù)外網(wǎng)某網(wǎng)絡(luò)系統(tǒng)相關(guān)的安全管理系統(tǒng)及安全防護(hù)的相關(guān)設(shè)備（如防火墻、IPS 、安全審計(jì)等）。

3.3 測評機(jī)構(gòu)的選擇

根據(jù)行業(yè)測評機(jī)構(gòu)原則上在本行業(yè)內(nèi)開展測評，地方測評機(jī)構(gòu)原則上在本地開展測評的要求，從公安機(jī)關(guān)公布的《全國信息安全等級保護(hù)測評機(jī)構(gòu)推薦目錄》中選擇國家級、省級等級保護(hù)工作協(xié)調(diào)（領(lǐng)導(dǎo)）小組辦公室推薦，且熟悉電子政務(wù)的測評機(jī)構(gòu)，并要求參加測評

的工程師具備公安部信息安全等級保護(hù)評估中心認(rèn)定的信息安全等級中、高級資質(zhì)測評師資質(zhì)。

3.4 測評內(nèi)容與方法

政務(wù)外網(wǎng)等級保護(hù)的重點(diǎn)是廣域網(wǎng)和各級城域網(wǎng)。定級的對象是網(wǎng)絡(luò)與安全系統(tǒng)、網(wǎng)管系統(tǒng)、安全管理中心（SOC）等。本次測評選擇的對象為機(jī)房、網(wǎng)絡(luò)互連設(shè)備、安全設(shè)備、安全管理系統(tǒng)等。根據(jù)信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則，現(xiàn)場測評的方法包括檢查、訪談和測試等三類，各種測評方法各有優(yōu)勢，各有側(cè)重點(diǎn)，本次測評綜合使用了三類測評方法。

訪談是測評人員通過與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級保護(hù)措施是否有效的一種方法；檢查不同于行政執(zhí)法意義上的監(jiān)督檢查，是指測評人員通過對測評對象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全等級保護(hù)措施是否有效的一種方法；測試是測評人員通過對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的行為等活動(dòng)，查看、分析輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全等級保護(hù)措施是否有效的一種方法。

配置核查列表用于人工評估系統(tǒng)存在的各種安全弱點(diǎn)/脆弱性，它針對不同的系統(tǒng)列出待評估的條目，以保證人工評估結(jié)果數(shù)據(jù)的完備性。自動(dòng)化測試工具自動(dòng)檢測系統(tǒng)存在的脆弱性，具有效率高、準(zhǔn)確快速的特點(diǎn)。

具體的測評內(nèi)容分為物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等幾個(gè)方面。

3.5 骨干網(wǎng)絡(luò)系統(tǒng)漏洞測試

電子政務(wù)外網(wǎng)存在不同的安全域，不同級別的安全域之間對外暴露的安全漏洞不同，測試不同安全域之間暴露的漏洞是必要的。為了測試政務(wù)外網(wǎng)某網(wǎng)絡(luò)系統(tǒng)骨干網(wǎng)絡(luò)的漏洞，需進(jìn)行滲透性測試，在相同安全域之間、低安全域向高安全域、高安全域向低安全域之間進(jìn)行漏洞暴露情況測試，設(shè)計(jì)了如下的測試路徑：

在地市A節(jié)點(diǎn)掃描其他地市B節(jié)點(diǎn)網(wǎng)絡(luò)互聯(lián)設(shè)備，能夠檢驗(yàn)相同級別不同安全域間的網(wǎng)絡(luò)設(shè)備漏洞暴露情況。

在地市C節(jié)點(diǎn)對省級核心網(wǎng)絡(luò)設(shè)備D節(jié)點(diǎn)進(jìn)行掃描是從較低級安全域向高等級安全域設(shè)備進(jìn)行掃描，能夠檢驗(yàn)核心層設(shè)備對外部攻擊的防護(hù)能力。

在省級核心骨干設(shè)備E節(jié)點(diǎn)對地市節(jié)點(diǎn)F進(jìn)行掃描是在核心層直接測試各被測網(wǎng)絡(luò)設(shè)備對核心網(wǎng)絡(luò)暴露的安全漏洞情況。該點(diǎn)掃描探測出的漏洞數(shù)應(yīng)該是最多的，它說明網(wǎng)絡(luò)設(shè)備在沒有網(wǎng)絡(luò)安全保護(hù)措施下的安全狀況。

3.7 安全整改與備案

通過現(xiàn)場評估、風(fēng)險(xiǎn)分析、編寫評估報(bào)告階段，測評機(jī)構(gòu)應(yīng)提供了初步的測評報(bào)告。安全整改是一個(gè)循序漸進(jìn)的過程，不可能一次就完成所有安全漏洞的修補(bǔ)與系統(tǒng)的加固，根據(jù)初步的測評報(bào)告與安全整改建議，可以對網(wǎng)絡(luò)與安全系統(tǒng)配置漏洞、主機(jī)系統(tǒng)配置漏洞，操作系統(tǒng)漏洞、數(shù)據(jù)庫系統(tǒng)漏洞、安全管理制度方面的問題進(jìn)行了安全整改，并多次要求測評機(jī)構(gòu)進(jìn)行安全整改效果的評估，檢驗(yàn)安全整改是否達(dá)到了預(yù)期的目標(biāo)。經(jīng)過多次安全整改與檢驗(yàn)后，完成《XX政務(wù)外網(wǎng)某網(wǎng)絡(luò)系統(tǒng)等級保護(hù)測評報(bào)告》及《XX政務(wù)外網(wǎng)某網(wǎng)絡(luò)系統(tǒng)等級保護(hù)測評安全建議》，等級保護(hù)測評項(xiàng)目通過專家組驗(yàn)收后，將測評報(bào)告報(bào)屬地公安機(jī)關(guān)備案。

參考文獻(xiàn)：

[1] 國家電子政務(wù)外網(wǎng)管理中心. 國家電子政務(wù)外網(wǎng)安全等級保護(hù)實(shí)施指南（ 試行），2013.

[2] 國家電子政務(wù)外網(wǎng)管理中心. 關(guān)于加快推進(jìn)國家電子政務(wù)外網(wǎng)安全等級保護(hù)工作的通知（政務(wù)外網(wǎng)[2011]15號），2011.

[3] 郭啟全. 國家信息安全等級保護(hù)制度的主要內(nèi)容和要求，http：//wenku.baidu.com/view/5a4ef8c54028915f804dc279.html，2013.