王坤， 宋紅波，胡景瑞

（國家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心，北京100193）

電子政務(wù)系統(tǒng)信息安全等級保護測評工作實踐*

王坤， 宋紅波，胡景瑞

（國家應(yīng)用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心，北京100193）

等級保護測評工作是查找信息系統(tǒng)安全問題的重要手段。文中首先結(jié)合實際工作，對電子政務(wù)外網(wǎng)的定義及定級范圍進行了論述；接著，對安全測評常見的重要問題進行了分析；最后，對基于云平臺的信息系統(tǒng)等級保護測評要求進行了說明。

信息安全；等級保護；云平臺

0 引言

國家對非涉密信息系統(tǒng)實行等級保護制度，等級保護測評的目的在于提高國家重要信息系統(tǒng)的信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設(shè)［1］。伴隨著信息安全等級保護制度的貫徹實施，信息系統(tǒng)的安全保護能力有了普遍提升，相關(guān)人員的信息安全意識同樣有了提高。等級保護測評工作是查找信息系統(tǒng)安全問題的重要手段，國家相繼出臺了相關(guān)的標(biāo)準(zhǔn)，來規(guī)范和指導(dǎo)信息安全等級保護測評，例如GB/T 22239-2008、GB/T 22240-2008、GB/T 28449-2012等標(biāo)準(zhǔn)。

筆者在對電子政務(wù)系統(tǒng)信息安全等級保護定級以及系統(tǒng)測評方面，根據(jù)在實際工作中遇到的問題，結(jié)合工程實踐，對測評中遇到的這些問題進行分析，并給出了具體的解決方法。這些問題包括:電子政務(wù)外網(wǎng)定級與測評、測評中常見的重要問題分析，以及云平臺下開展等級保護測評工作應(yīng)關(guān)注的附加測評項等內(nèi)容。

1 電子政務(wù)外網(wǎng)定級與測評

對于電子政務(wù)外網(wǎng)的定級，對剛剛接觸等級保護測評的機構(gòu)或測評人員來說，可能相對陌生。以往我們開展信息系統(tǒng)等級保護的定級和測評，都是以信息系統(tǒng)為測評單位，要對整個電子政務(wù)外網(wǎng)進行定級，是否可行，定級范圍又是如何界定，下文將給出具體的分析。

對一個信息化平臺是可以定級的，下面就以電子政務(wù)外網(wǎng)為例，來說明具體情況。電子政務(wù)外網(wǎng)是國家電子政務(wù)重要基礎(chǔ)設(shè)施，是承載各級政務(wù)部門用于經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等非涉及國家秘密的業(yè)務(wù)應(yīng)用系統(tǒng)的政務(wù)公用網(wǎng)絡(luò)。

電子政務(wù)外網(wǎng)的定級對象為本級政務(wù)外網(wǎng)管轄范圍內(nèi)（由邊界設(shè)備確定）的所有網(wǎng)絡(luò)、計算、存儲和安全防護等各類設(shè)備、各種用于網(wǎng)絡(luò)運維管理、安全保障的應(yīng)用系統(tǒng)、各種通信線路及支持所有軟硬件正常運行的機房等基礎(chǔ)設(shè)施環(huán)境等。門戶網(wǎng)站系統(tǒng)、跨部門的數(shù)據(jù)共享與交換系統(tǒng)、數(shù)據(jù)中心內(nèi)的各業(yè)務(wù)應(yīng)用系統(tǒng)以及各級政務(wù)部門的各類應(yīng)用系統(tǒng)不包括在政務(wù)外網(wǎng)的等級保護范圍內(nèi)，這些系統(tǒng)的的定級標(biāo)準(zhǔn)依據(jù)GB/T 2224-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》，測評標(biāo)準(zhǔn)依據(jù)GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》。

在《國家電子政務(wù)外網(wǎng)安全等級保護實施指南》中，分別給出了等級保護二級和等級保護三級的定級范圍圖。其中，等級保護二級的定級范圍圖如圖1所示。圖中標(biāo)識為紫色的區(qū)域，就是電子政務(wù)外網(wǎng)的定級范圍。

圖1 政務(wù)外網(wǎng)安全等保二級定級范圍

對于電子政務(wù)外網(wǎng)的測評，要依據(jù)兩個方面的標(biāo)準(zhǔn)，其一是《國家電子政務(wù)外網(wǎng)安全保護等級基本要求》，在該標(biāo)準(zhǔn)中對IP承載網(wǎng)、業(yè)務(wù)區(qū)域網(wǎng)絡(luò)和管理區(qū)域網(wǎng)絡(luò)等方面提出了具體要求，包括結(jié)構(gòu)安全、訪問控制等具體要求項；其二是GB/T 22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》。電子政務(wù)外網(wǎng)按照功能區(qū)域劃分可以劃分出6個安全區(qū)域，即公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)、用戶接入?yún)^(qū)、網(wǎng)絡(luò)和安全管理區(qū)、電子認(rèn)證區(qū)。

在實際的測評工作工作中，要理解各個功能區(qū)域作用:

互聯(lián)網(wǎng)接入?yún)^(qū):是政務(wù)部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域，滿足政務(wù)部門連接互聯(lián)網(wǎng)的需求。

網(wǎng)絡(luò)管理區(qū):網(wǎng)絡(luò)管理區(qū)主要承載網(wǎng)絡(luò)管理信息系統(tǒng)，通過網(wǎng)絡(luò)管理系統(tǒng)實現(xiàn)對管轄區(qū)內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備的狀態(tài)監(jiān)控及相關(guān)管理等功能；

安全管理區(qū):安全管理區(qū)主要承載安全管理信息系統(tǒng)，通過安全管理區(qū)實現(xiàn)對管轄區(qū)內(nèi)安全設(shè)備進行日志采集、實現(xiàn)對網(wǎng)絡(luò)中的攻擊行為進行報警等功能；

公用網(wǎng)絡(luò)區(qū):采用統(tǒng)一分配的公共IP地址，實現(xiàn)各部門、各地區(qū)之間的互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供數(shù)據(jù)共享與交換的網(wǎng)絡(luò)平臺。

2 測評中常見的問題分析

2.1 網(wǎng)絡(luò)結(jié)構(gòu)方面

根據(jù)調(diào)研，筆者發(fā)現(xiàn)目前一些單位的二級系統(tǒng)由于應(yīng)用架構(gòu)簡單，面對互聯(lián)網(wǎng)提供服務(wù)的應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器被部署在一個網(wǎng)段，而且部署在內(nèi)網(wǎng)區(qū)域。很顯然，該種拓?fù)浣Y(jié)構(gòu)存在的問題主要體現(xiàn)在:1）應(yīng)用服務(wù)器和數(shù)據(jù)庫部署在一個網(wǎng)段，存在安全隱患，一旦面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器被惡意入侵，同網(wǎng)段的數(shù)據(jù)庫服務(wù)器將面臨很大的安全風(fēng)險。2）面對互聯(lián)網(wǎng)的應(yīng)用服務(wù)器部署在內(nèi)網(wǎng)區(qū)域，一旦該服務(wù)器被惡意入侵，將給內(nèi)網(wǎng)安全帶來安全風(fēng)險。對于該類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，應(yīng)將應(yīng)用服務(wù)器設(shè)置在互聯(lián)網(wǎng)邊界防火墻的DMZ區(qū)域。

在實際的測評工作中，我們也發(fā)現(xiàn)了個別單位擬對電子政務(wù)外網(wǎng)平臺進行網(wǎng)絡(luò)結(jié)構(gòu)的改造，但往往又不清楚如何下手。據(jù)調(diào)研，現(xiàn)有的網(wǎng)絡(luò)拓?fù)鋱D互聯(lián)網(wǎng)出口過多，安全域劃分不合理，網(wǎng)絡(luò)區(qū)域的劃分非常分散，都是當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)方面面臨的問題。筆者建議這些單位負(fù)責(zé)網(wǎng)絡(luò)平臺運維的相關(guān)人員要仔細(xì)閱讀《國家電子政務(wù)外網(wǎng)安全等級保護等級基本要求》和《國家電子政務(wù)外網(wǎng)安全等級保護實施指南》這兩個標(biāo)準(zhǔn)，這個標(biāo)準(zhǔn)對電子政務(wù)外網(wǎng)功能區(qū)域的劃分，已經(jīng)給出了明確的說明。在不了解上述標(biāo)準(zhǔn)的前提下，對現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進行盲目的調(diào)整，調(diào)整的結(jié)果仍然是網(wǎng)絡(luò)區(qū)域分散，互聯(lián)網(wǎng)出口過多、系統(tǒng)化不強?！秶译娮诱?wù)外網(wǎng)安全等級保護實施指南》中給出的網(wǎng)絡(luò)功能區(qū)域的劃分圖如圖2所示。

圖2 政務(wù)外網(wǎng)功能區(qū)劃

2.2 重要網(wǎng)段防止地址欺騙

為了做好重要網(wǎng)段防止地址欺騙工作。可以從雙向IP/ MAC綁定入手。例如:重要的管理終端與該管理終端的接入網(wǎng)關(guān)之間，要實現(xiàn)雙向綁定。在管理終端上設(shè)置網(wǎng)關(guān)的靜態(tài)ARP信息，在網(wǎng)關(guān)上將管理終端的IP-MAC輸入到靜態(tài)表中。在實際的測評中發(fā)現(xiàn)，重要網(wǎng)段防止地址欺騙在網(wǎng)絡(luò)設(shè)置中做的不多。

2.3 訪問控制

信息安全等級保護的兩個目的，其一是保護信息系統(tǒng)數(shù)據(jù)的安全性，其二是保證信息系統(tǒng)的業(yè)務(wù)連續(xù)性。顯然，對服務(wù)器的保護顯得重之又重。在具體的測評中，我們發(fā)現(xiàn)，在服務(wù)器區(qū)域邊界防火墻的訪問控制策略中，源地址范圍過大是常見的一類問題，而且該策略中，對應(yīng)的端口限制粒度也往往過大。

2.4 單點故障問題

在測評中時常發(fā)現(xiàn)，一些三級系統(tǒng)未采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓?fù)鋱D，因而造成關(guān)鍵節(jié)點存在單點故障。避免單點故障就是為了保障系統(tǒng)的高可用性。

2.5 非法外聯(lián)的問題

在等保測評的技術(shù)要求中，要求采用技術(shù)手段限制非法外聯(lián)行為。一些剛剛邁進等級保護測評大門的相關(guān)人員可能會有如下錯誤的認(rèn)識:“待評測的信息系統(tǒng)面向互聯(lián)網(wǎng)提供服務(wù)，而且被測評單位的所有計算機終端設(shè)備均允許連接互聯(lián)網(wǎng)，該測評項因此可以判定為不適用”。

實際上，上面的理解是不正確的，盡管該單位所有的終端都可以連接互聯(lián)網(wǎng)，但是這些終端都是通過該單位統(tǒng)一的互聯(lián)網(wǎng)出口出去的，而且在互聯(lián)網(wǎng)邊界必定部署了相關(guān)安全設(shè)備，如放火墻、入侵防御設(shè)備等等。如果該單位某個終端用戶采用一個3G上網(wǎng)卡連接了互聯(lián)網(wǎng)，這等于就打開了一個新的通路，而且這條通路上沒有任何的安全防護設(shè)備，這就破壞了網(wǎng)絡(luò)的邊界完整性，給內(nèi)網(wǎng)安全帶來了隱患。因此，限制終端用戶的非法外聯(lián)行為是十分必要的。

2.6 密碼加密的問題

在測評中發(fā)現(xiàn)，一些數(shù)據(jù)庫的用戶表中，密碼字段仍然是明文存儲，顯然這是非常不安全的，建議對密碼字段進行加密，加密可采用md5（用戶名+密碼+隨機字符串）加密方式。

2.7 驗證碼繞過的問題

在應(yīng)用安全測評中，我們發(fā)現(xiàn)一些應(yīng)用系統(tǒng)仍然存在admin這樣的管理員用戶，這就給密碼猜測提供了可能，建議重命名admin或administrator，此外，為了避免驗證碼繞過的問題，應(yīng)及時更新驗證碼（在登錄失敗時也要更新驗證碼），防止出現(xiàn)驗證碼被繞過問題的發(fā)生。

2.8 信息系統(tǒng)精確定級

在進行信息系統(tǒng)等級保護定級時，信息系統(tǒng)的使用單位一般都做到了信息系統(tǒng)定級，但是沒有做到準(zhǔn)確定級，也就是說沒有根據(jù)數(shù)據(jù)的安全性等級和業(yè)務(wù)連續(xù)性的安全等級來最終定位系統(tǒng)的安全保護等級。

在一個三級系統(tǒng)的等級保護測評咨詢項目中，用戶將信息系統(tǒng)定為三級（S3G3A3），根據(jù)我們實際的調(diào)研發(fā)現(xiàn)，該系統(tǒng)僅僅是一個數(shù)據(jù)備份系統(tǒng)，對數(shù)據(jù)安全性要求可以達(dá)到三級要求，但對于業(yè)務(wù)連續(xù)性的要求是不需要定為三級的，因此就建議用戶對信息系統(tǒng)定級為三級（S3G3A2），這樣一來，既保證了信息系統(tǒng)安全性，也為使用單位設(shè)計、改造該系統(tǒng)的信息安全保護能力提供了準(zhǔn)確的指導(dǎo)建議。

3 云平臺環(huán)境下的信息系統(tǒng)信息安全測評

隨著云平臺的發(fā)展，一些單位將應(yīng)用部署在云服務(wù)器上，當(dāng)前云應(yīng)用存在四個方面的安全風(fēng)險，一是共享技術(shù)漏洞引入的虛擬化安全風(fēng)險；二是云服務(wù)不可信帶來的信息安全風(fēng)險；三是多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險；四是云平臺惡意使用帶來的運營安全風(fēng)險。

“虛擬化”和“分散處理”是云平臺下兩項關(guān)鍵技術(shù)，而云平臺是以虛擬機系統(tǒng)作為底層架構(gòu)，因此虛擬機系統(tǒng)的安全是云安全的核心。這就給開展等級保護測評工作引入了新的要求。圖3給出了虛擬化環(huán)境層次分析模型［2］。圖中所示的Hypervisor為管理控制程序，負(fù)責(zé)對硬件資源的調(diào)度、管理VM（虛擬機）、響應(yīng)VM。

圖3 虛擬化環(huán)境層次分析模型

在該模型中，信息系統(tǒng)采用虛擬化技術(shù)，用戶使用的服務(wù)器資源、網(wǎng)絡(luò)設(shè)備資源、安全設(shè)備資源等資源，均被放置在云端。用戶通過客戶端的瀏覽器頁面訪問信息系統(tǒng)的WEB頁面，由云端的虛擬化管理層對用戶進行身份驗證，并分配相應(yīng)的資源。

結(jié)合圖3所示，在進行信息安全等級保護測評時，應(yīng)充分考慮三個層次存在的安全風(fēng)險［2］:

對于用戶接入層:要關(guān)注終端安全、身份認(rèn)證、通信加密、連接安全等安全風(fēng)險點；

虛擬化管理層:要關(guān)注Hypervisor自身的安全性、Hypervisor特權(quán)威脅、計算資源虛擬化等安全威脅；

VM層:要關(guān)注數(shù)據(jù)集中風(fēng)險、逃逸威脅、VM鏡像的安全性、殘余信息保護等。

針對云平臺下的信息系統(tǒng)信息安全測評，筆者認(rèn)為除了要依據(jù)GB/T 22239-2008標(biāo)準(zhǔn)的基本要求對信息系統(tǒng)進行測評外，還應(yīng)增加相應(yīng)的附加要求。這些附加要求包括:

3.1 網(wǎng)絡(luò)安全

（1）結(jié)構(gòu)安全

云服務(wù)提供商應(yīng)能提供完整的虛擬網(wǎng)絡(luò)環(huán)境說明，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備的部署情況及作用說明，并提供給云平臺用戶備案；

云服務(wù)提供商應(yīng)能對虛擬網(wǎng)絡(luò)的運行狀況進行監(jiān)控。

（2）訪問控制

應(yīng)在虛擬網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，并啟用訪問控制功能；

應(yīng)在客戶端到虛擬機之間部署訪問控制設(shè)備，并啟用訪問控制功能。

3.2 主機安全

（1）身份鑒別

對虛擬服務(wù)器進行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止用戶鑒別信息在網(wǎng)絡(luò)傳輸中被竊聽。

（2）訪問控制

應(yīng)采用技術(shù)手段控制虛擬機與物理主機之間、虛擬機之間的互訪。

（3）剩余信息保護

應(yīng)采取技術(shù)措施保證虛擬資源回收時，對數(shù)據(jù)進行清除。

（4）入侵防范

物理主機中應(yīng)采用監(jiān)測技術(shù)，對同一物理主機上各虛擬主機之間的通信進行監(jiān)測。

（5）資源控制

應(yīng)限制每臺虛擬機資源使用的上限。

（6）惡意代碼防范

應(yīng)采用技術(shù)手段對虛擬機鏡像文件進行保護；

在物理機和虛擬機中均應(yīng)安裝惡意代碼防范軟件，并及時更新惡意代碼軟件版本和惡意代碼庫。

（7）剩余信息保護

應(yīng)采取技術(shù)措施保證虛擬資源回收時，對數(shù)據(jù)進行清除。

3.3 數(shù)據(jù)安全

（1）數(shù)據(jù)完整性

應(yīng)采用技術(shù)手段對虛擬機鏡像文件進行完整性保護。

（2）數(shù)據(jù)保密性應(yīng)采用加密或者其他保護措施實現(xiàn)虛擬鏡像文件的保密性。

（3）備份和恢復(fù)

對VMM（即Hypervisor）的安全配置、訪問控制策略進行備份。

4 結(jié)語

信息系統(tǒng)的等級保護測評工作是實踐性非常強的一項工作，由于新技術(shù)、新產(chǎn)品的應(yīng)用都將給測評工作帶來新的挑戰(zhàn)。本文結(jié)合具體的工程實踐，對電子政務(wù)外網(wǎng)的定級進行了闡述，對測評中發(fā)現(xiàn)的一些重要問題進行了分析，并結(jié)合當(dāng)前云應(yīng)用的情況，對信息安全等級保護測評的基本要求進行補充。筆者也將在今后的文章中，對信息安全等級測評標(biāo)準(zhǔn)的理解與實踐，做更加詳細(xì)地陳述。

［1］孫鐵.云環(huán)境下開展等級保護工作的思考［J］.信息網(wǎng)絡(luò)安全，2011（6）:11-13.

［2］楊冰，張保穩(wěn)，李號，等.面向云計算中虛擬化技術(shù)的等級保護要求研究［J］.信息安全與通信保密，2014（2）:106-110.

Evaluation Practice of Infosec Classified Protection for e-Government System

WANG Kun，SONG Hong-bo，HU Jing-rui
（National Application Software Products Quality Supervision and Inspection Center，Beijing 100193，China）

Classified protection evaluation of information system is an important measure to find security defects.This paper firstly in combination of the actual work，discusses the definition of National e-Government Network，then analyzes some important problems in security evaluation，and finally explains the evaluation requirement for classified protection of information system based on cloud platform.

information security；classified protection；cloud platform

TP39

A

1009-8054（2015）12-0116-04

王 坤（1976—），男，工程碩士，高工，主要研究方向為信息安全；

宋紅波（1976—），女，工程碩士，高工，主要研究方向為軟件工程；

胡景瑞（1986—），男，學(xué)士，工程師，主要研究方向為信息安全。■

2015-08-19