韋芳 鐘華訓(xùn) 甘海霞 趙子欣 周媛 鄭敏

（廣西壯族自治區(qū)動(dòng)物疫病預(yù)防控制中心，廣西 南寧 530001）

開展廣西動(dòng)物防疫物資信息管理系統(tǒng)風(fēng)險(xiǎn)評(píng)估（以下簡(jiǎn)稱風(fēng)險(xiǎn)評(píng)估）是非常重要的，這是我中心信息安全防護(hù)工作的重要內(nèi)容之一，與信息安全檢查、信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)內(nèi)容相互關(guān)聯(lián)，從風(fēng)險(xiǎn)管理的角度分析系統(tǒng)面臨的威脅和脆弱性，根據(jù)可能造成的損害程度對(duì)風(fēng)險(xiǎn)類型評(píng)定相應(yīng)等級(jí)，針對(duì)性地提出防護(hù)對(duì)策和整改措施，將風(fēng)險(xiǎn)級(jí)降低或控制在可接受范圍內(nèi)［1］。本文對(duì)風(fēng)險(xiǎn)評(píng)估方法、風(fēng)險(xiǎn)評(píng)估步驟、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)評(píng)估關(guān)鍵內(nèi)容進(jìn)行敘述，提出安全防護(hù)建議，為后續(xù)開展信息管理系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)提供參考。

廣西動(dòng)物防疫物資信息管理系統(tǒng)（簡(jiǎn)稱動(dòng)物防疫物資系統(tǒng)）是用于全區(qū)各級(jí)動(dòng)物疫病防控機(jī)構(gòu)管理動(dòng)物疫苗、應(yīng)急防護(hù)物資、動(dòng)物標(biāo)識(shí)、診斷試劑等動(dòng)物防疫物資的信息化倉庫管理平臺(tái)。系統(tǒng)主要有疫苗模塊和耳標(biāo)模塊。疫苗模塊用于管理自治區(qū)、市、縣/區(qū)、鄉(xiāng)鎮(zhèn)等各級(jí)間發(fā)放動(dòng)物疫苗、應(yīng)急物資、診斷試劑等防疫物資；耳標(biāo)模塊用于管理各縣/區(qū)將政府采購標(biāo)識(shí)入庫、調(diào)撥出庫給鄉(xiāng)鎮(zhèn)，鄉(xiāng)鎮(zhèn)向養(yǎng)殖企業(yè)、防疫員發(fā)放標(biāo)識(shí)。動(dòng)物防疫物資系統(tǒng)采用B/S架構(gòu)，基于大型數(shù)據(jù)庫系統(tǒng)和NET4.0技術(shù)開發(fā)，配有瀏覽器訪問端和手機(jī)App用戶端，兩端數(shù)據(jù)可實(shí)時(shí)傳送，共有2966用戶。物資管理員在系統(tǒng)操作入庫、出庫、發(fā)放等工作流程即可生成相應(yīng)的臺(tái)賬，減少出錯(cuò)率；同時(shí)方便管理部門實(shí)時(shí)檢查動(dòng)物防疫物資儲(chǔ)備和下?lián)芮闆r，提高整體的工作效率［2］。動(dòng)物防疫物資系統(tǒng)的使用給工作帶來便利的同時(shí)，系統(tǒng)安全也成為不可忽視的問題。一旦系統(tǒng)關(guān)鍵信息泄露或遭受惡意攻擊可能會(huì)導(dǎo)致信息系統(tǒng)癱瘓、業(yè)務(wù)中斷、數(shù)據(jù)丟失、數(shù)據(jù)泄露，造成嚴(yán)重社會(huì)影響及經(jīng)濟(jì)損失，嚴(yán)重?fù)p害公共利益。動(dòng)物防疫物資系統(tǒng)風(fēng)險(xiǎn)評(píng)估主要從系統(tǒng)的建設(shè)、運(yùn)行、維護(hù)等方面的安全保障情況進(jìn)行評(píng)估，以準(zhǔn)確了解機(jī)房物理環(huán)境、電源系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端設(shè)備、服務(wù)器系統(tǒng)、業(yè)務(wù)系統(tǒng)、管理制度等安全現(xiàn)狀，分析系統(tǒng)潛在的安全風(fēng)險(xiǎn)，及時(shí)掌握已知的風(fēng)險(xiǎn)、預(yù)測(cè)未知的風(fēng)險(xiǎn)，以針對(duì)性地制定網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，形成科學(xué)、規(guī)范、有效的網(wǎng)絡(luò)信息安全管控體系。

1 風(fēng)險(xiǎn)評(píng)估概述

1.1 風(fēng)險(xiǎn)評(píng)估方法

選擇適合的風(fēng)險(xiǎn)評(píng)估方法對(duì)正確評(píng)估系統(tǒng)風(fēng)險(xiǎn)至關(guān)重要［3］。按照描述方式的不同可將風(fēng)險(xiǎn)評(píng)估分為以下三種：一是定性評(píng)估法。在公認(rèn)的理論基礎(chǔ)上，以評(píng)估要素高低程度來評(píng)定等級(jí)。該方法的優(yōu)點(diǎn)是無需精確量化具體數(shù)值，易于定位風(fēng)險(xiǎn)領(lǐng)域，相關(guān)操作簡(jiǎn)單易行。但其缺點(diǎn)在于對(duì)評(píng)估者要求較高，評(píng)估結(jié)論帶有主觀性，難以反映實(shí)際風(fēng)險(xiǎn)與安全情況。二是定量評(píng)估法。對(duì)標(biāo)準(zhǔn)的數(shù)值進(jìn)行評(píng)估測(cè)算，將量化的數(shù)值進(jìn)行加工處理、建立模型，測(cè)算量化后的風(fēng)險(xiǎn)數(shù)值，以確定風(fēng)險(xiǎn)發(fā)生的概率，最終綜合評(píng)定得出結(jié)論。該方法的優(yōu)點(diǎn)是通過直觀數(shù)據(jù)進(jìn)行評(píng)定，結(jié)果科學(xué)嚴(yán)謹(jǐn)、具有對(duì)比性。其不足體現(xiàn)在于被評(píng)估系統(tǒng)的復(fù)雜程度完全量化不易實(shí)現(xiàn)，數(shù)據(jù)來源可靠性不高。三是綜合評(píng)估法。將定性評(píng)估法與定量評(píng)估法相結(jié)合的方法，按實(shí)際需求采用定性評(píng)估法與定量評(píng)估法中的要素進(jìn)行賦值，綜合測(cè)算分析評(píng)估內(nèi)容，最終得出評(píng)估結(jié)論。常見的風(fēng)險(xiǎn)評(píng)估綜合評(píng)估法有層次分析法、模糊綜合評(píng)價(jià)法［4］。動(dòng)物防疫物資系統(tǒng)風(fēng)險(xiǎn)評(píng)估內(nèi)容比較復(fù)雜，有些評(píng)估要素可用量化分析，有些要素難以采用量化進(jìn)行分析，單獨(dú)采用定性評(píng)估法或定量評(píng)估法難以做到結(jié)果客觀、科學(xué)、準(zhǔn)確反映實(shí)際風(fēng)險(xiǎn)，因此評(píng)估小組確定采用的是綜合評(píng)估法。

1.2 風(fēng)險(xiǎn)評(píng)估步驟

1.2.1 準(zhǔn)備階段

組建評(píng)估小組成員，為確保評(píng)估有效性進(jìn)行系統(tǒng)前期調(diào)研等準(zhǔn)備工作，制定方案確定評(píng)估依據(jù)、目標(biāo)、范圍、方法、周期等內(nèi)容。

1.2.2 開展安全訪談

評(píng)估技術(shù)人員與動(dòng)物防疫物資系統(tǒng)業(yè)務(wù)管理員、網(wǎng)絡(luò)運(yùn)維、系統(tǒng)運(yùn)維、機(jī)房運(yùn)維等進(jìn)行信息安全相關(guān)的訪談，查閱信息系統(tǒng)安全設(shè)計(jì)方案、運(yùn)行日志、管理制度及相關(guān)維護(hù)文件記錄等材料，對(duì)信息系統(tǒng)安全管理進(jìn)行綜合了解以便分析和發(fā)現(xiàn)可能存在的管理缺陷、漏洞。

1.2.3 開展風(fēng)險(xiǎn)要素識(shí)別分析

進(jìn)行資產(chǎn)調(diào)查，梳理系統(tǒng)相關(guān)資產(chǎn)并列明清單，圍繞資產(chǎn)分析依存的威脅、脆弱性和風(fēng)險(xiǎn)，分析相關(guān)風(fēng)險(xiǎn)可能會(huì)對(duì)信息系統(tǒng)造成的影響和損失，確認(rèn)是否進(jìn)行降低風(fēng)險(xiǎn)或相關(guān)安全處置措施［5］。

1.2.4 開展?jié)B透測(cè)試

通過滲透測(cè)試，檢查主機(jī)、用戶、網(wǎng)絡(luò)和應(yīng)用端等可能隱含的安全風(fēng)險(xiǎn)。

1.2.5 開展安全檢查

檢查用戶、網(wǎng)絡(luò)、主機(jī)和應(yīng)用等是否存在的錯(cuò)誤配置、登錄弱口令、顯示最后登錄的用戶名、無超時(shí)登錄退出、無可信驗(yàn)證等問題。

1.2.6 編制風(fēng)險(xiǎn)評(píng)估報(bào)告

總結(jié)風(fēng)險(xiǎn)評(píng)估工作，詳細(xì)說明評(píng)估過程、方法、步驟、風(fēng)險(xiǎn)結(jié)果分析、系統(tǒng)安全加固整改建議等內(nèi)容。

1.3 風(fēng)險(xiǎn)要素識(shí)別

按照《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T 31509—2015）［6］和相關(guān)風(fēng)險(xiǎn)評(píng)估流程，評(píng)估技術(shù)人員對(duì)評(píng)估范圍內(nèi)的信息系統(tǒng)相關(guān)資產(chǎn)的價(jià)值、脆弱性和面臨的威脅、存在風(fēng)險(xiǎn)和安全防護(hù)措施等內(nèi)容進(jìn)行逐項(xiàng)分析與比對(duì)，結(jié)合動(dòng)物防疫物資系統(tǒng)的運(yùn)行現(xiàn)狀進(jìn)行識(shí)別分析，風(fēng)險(xiǎn)評(píng)估分析原理見圖1。

圖1 風(fēng)險(xiǎn)評(píng)估分析原理圖

1.4 風(fēng)險(xiǎn)評(píng)估關(guān)鍵內(nèi)容

1.4.1 資產(chǎn)分析

資產(chǎn)主要包括硬件、軟件、維護(hù)、管理制度、管理人員五大類。（1）硬件類包括機(jī)房環(huán)境（機(jī)柜、UPS、門禁系統(tǒng)、監(jiān)控系統(tǒng)、精密空調(diào)、消防設(shè)備等）、網(wǎng)絡(luò)設(shè)備（光纖線路、路由器、交換機(jī)等）、安全設(shè)備（防火墻、入侵檢測(cè)、入侵防范、安全審計(jì)服務(wù)器等）、存儲(chǔ)設(shè)備（磁盤陣列、硬盤、移動(dòng)硬盤等）、計(jì)算機(jī)設(shè)備（數(shù)據(jù)庫服務(wù)器、電腦、打印機(jī)、其他終端等）；（2）軟件類包括操作系統(tǒng)軟件、數(shù)據(jù)庫、安全控制軟件（防病毒、中間件、補(bǔ)丁等）；（3）維護(hù)類包括設(shè)備保養(yǎng)維護(hù)服務(wù)、網(wǎng)絡(luò)維護(hù)服務(wù)等；（4）管理制度類包括網(wǎng)絡(luò)信息安全管理體系（含安全管理機(jī)構(gòu)、安全管理制度、機(jī)房管理制度、設(shè)備安全管理制度、系統(tǒng)安全管理制度、人員管理制度等20項(xiàng)管理制度）、文檔記錄（運(yùn)行維護(hù)文檔、重要事項(xiàng)記錄、安全培訓(xùn)資料等）；（5）管理人員主要是網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組成員、業(yè)務(wù)系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、審計(jì)管理員、其他具體負(fù)責(zé)信息的工作人員。

根據(jù)資產(chǎn)的保密性、完整性、可用性和重要性來劃分，標(biāo)識(shí)為很低、低、中等、高、很高五個(gè)等級(jí)，賦值1、2、3、4、5分別代表對(duì)應(yīng)等級(jí)，分值代表該資產(chǎn)的重要性等級(jí)，級(jí)別越高代表該資產(chǎn)越重要［7］。評(píng)定分值見表1至表4。

表1 資產(chǎn)賦值及重要性等級(jí)評(píng)定表

表3 管理人員資產(chǎn)賦值及重要性等級(jí)評(píng)定表

表4 應(yīng)用系統(tǒng)資產(chǎn)賦值及重要性等級(jí)評(píng)定表

1.4.2 威脅分析

威脅來源可能來自于環(huán)境、管理、人員、系統(tǒng)等方面。環(huán)境威脅可能是突發(fā)自然災(zāi)害造成電源、網(wǎng)絡(luò)中斷、設(shè)備運(yùn)行異常等情況。管理威脅可能是制度體系不健全，安全管理人員疏忽大意，突發(fā)緊急情況沒有應(yīng)急預(yù)案措施造成業(yè)務(wù)長時(shí)中斷或其他更嚴(yán)重的影響。人員威脅可能是非法入侵用戶竊取信息、泄露數(shù)據(jù)、植入木馬勒索病毒、篡改系統(tǒng)信息等直接或間接危害系統(tǒng)安全的情況，也可能是合法用戶工作疏忽大意或責(zé)任心不足，濫用權(quán)限給非法用戶可乘之機(jī)。系統(tǒng)威脅可能是未及時(shí)更新設(shè)備或組件，未及時(shí)修復(fù)漏洞、進(jìn)行合規(guī)的安全配置導(dǎo)致安全隱患的發(fā)生。按照威脅出現(xiàn)從低到高的頻率劃分為很低、低、中等、高、很高，等級(jí)賦值對(duì)應(yīng)是1、2、3、4、5，等級(jí)數(shù)值越大，代表該威脅發(fā)生的頻率越高，等級(jí)數(shù)值越小代表威脅出現(xiàn)的頻率較小或極小。

項(xiàng)目組人員采用了安全訪談、安全檢查和安全測(cè)試進(jìn)行數(shù)據(jù)采集。首先，使用信息安全訪談表進(jìn)行信息安全訪談，并對(duì)訪談內(nèi)容進(jìn)行記錄；其次，參考訪談的情況，有針對(duì)性地進(jìn)行信息安全配置檢查，并對(duì)問題進(jìn)行記錄；再次，進(jìn)行主機(jī)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的掃描檢測(cè)；最后，根據(jù)這些工作匯總得出威脅數(shù)據(jù)，并把威脅數(shù)據(jù)進(jìn)行分類列出。評(píng)定賦值見表5。

表5 威脅賦值表

1.4.3 脆弱性分析

脆弱性識(shí)別主要體現(xiàn)在網(wǎng)絡(luò)環(huán)境、機(jī)房環(huán)境、系統(tǒng)運(yùn)行、管理等方面。（1）網(wǎng)絡(luò)環(huán)境脆弱性在于沒有部署可信驗(yàn)證的設(shè)備或組件，IP地址劃分不合理，網(wǎng)絡(luò)設(shè)備未關(guān)掉不必要的服務(wù)和相關(guān)參數(shù)配置不合理等。（2）機(jī)房環(huán)境分區(qū)不規(guī)范，門禁系統(tǒng)、消防系統(tǒng)、供電系統(tǒng)存在安全隱患等。（3）系統(tǒng)遠(yuǎn)程控制未采用SSL保證數(shù)據(jù)傳輸完整性，未設(shè)置登錄口令周期與復(fù)雜性，沒有登錄失敗處理功能，沒有啟用日志審計(jì)功能，沒有定期掃描系統(tǒng)，不及時(shí)升級(jí)補(bǔ)丁、修復(fù)漏洞等。（4）管理制度不完善，日常維護(hù)不規(guī)范，操作過程無記錄，沒有定期舉行安全培訓(xùn)和應(yīng)急演練與災(zāi)難恢復(fù)。這些脆弱性很容易使系統(tǒng)資產(chǎn)安全受到威脅，導(dǎo)致信息安全事件的發(fā)生。脆弱性賦值標(biāo)識(shí)分為五個(gè)級(jí)別：很低、低、中等、高、很高，等級(jí)賦值對(duì)應(yīng)為1、2、3、4、5，等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。相關(guān)評(píng)定賦值見表6。

表6 資產(chǎn)脆弱性識(shí)別結(jié)果匯總表

1.5 漏洞掃描

使用綠盟科技“遠(yuǎn)程安全評(píng)估系統(tǒng)”專業(yè)漏洞掃描器分別對(duì)系統(tǒng)主機(jī)、網(wǎng)頁應(yīng)用端和網(wǎng)絡(luò)進(jìn)行掃描，從風(fēng)險(xiǎn)分布、漏洞風(fēng)險(xiǎn)類別、主機(jī)風(fēng)險(xiǎn)信息、站點(diǎn)風(fēng)險(xiǎn)信息、漏洞信息、配置信息、脆弱賬號(hào)七個(gè)方面進(jìn)行分類統(tǒng)計(jì)，將掃描獲取的風(fēng)險(xiǎn)信息進(jìn)一步分析測(cè)試，按照整改提示逐項(xiàng)修改、升級(jí)補(bǔ)丁、修復(fù)漏洞，將系統(tǒng)配置不合規(guī)的問題及時(shí)進(jìn)行安全加固整改，最終掃描主機(jī)、應(yīng)用端、網(wǎng)絡(luò)的安全等級(jí)為非常安全。

1.6 風(fēng)險(xiǎn)分析

評(píng)估項(xiàng)目組采用定性與定量相結(jié)合的綜合評(píng)估法進(jìn)行風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)，發(fā)現(xiàn)動(dòng)物防疫物資系統(tǒng)存在的風(fēng)險(xiǎn)主要有安全管理、網(wǎng)絡(luò)安全、系統(tǒng)軟件方面的問題。（1）安全管理方面主要包括管理制度不完善，管理人員配備不足，重要操作無審批記錄材料，無系統(tǒng)維護(hù)過程材料記錄，缺乏對(duì)系統(tǒng)安全管理的規(guī)定，無系統(tǒng)維護(hù)手冊(cè)和重要操作規(guī)程。（2）網(wǎng)絡(luò)安全方面主要包括外聯(lián)區(qū)、辦公區(qū)、安全管理區(qū)防火墻存在部分訪問控制沒有明確目的端口，網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)沒有配置病毒防護(hù)策略，沒有部署基于可信驗(yàn)證的設(shè)備和組件，無入侵防范對(duì)終端接入方式或網(wǎng)絡(luò)地址范圍進(jìn)行限制。（3）系統(tǒng)軟件方面主要包括無定期漏洞掃描，無安裝惡意代碼防范軟件，未卸載或禁用非系統(tǒng)運(yùn)行必需的軟件，未關(guān)閉不需要的服務(wù)、默認(rèn)共享和高危端口，無登錄失敗鎖定功能，系統(tǒng)服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)終端存在弱口令登錄情況，未使用策略進(jìn)行限制用戶修改弱口令、密碼使用周期。這些威脅與脆弱點(diǎn)很容易被非法入侵者攻擊，導(dǎo)致數(shù)據(jù)丟失或者數(shù)據(jù)泄露，嚴(yán)重?fù)p害系統(tǒng)安全運(yùn)行和網(wǎng)絡(luò)秩序。

1.7 評(píng)估結(jié)論

本次動(dòng)物防疫物資系統(tǒng)風(fēng)險(xiǎn)測(cè)評(píng)等級(jí)是低風(fēng)險(xiǎn)。開展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是我中心信息安全管理工作建立過程中非常重要的決策參考依據(jù)，也是信息系統(tǒng)風(fēng)險(xiǎn)管控的重要環(huán)節(jié)。以開展本次風(fēng)險(xiǎn)評(píng)估為契機(jī)，我中心對(duì)動(dòng)物防疫物資管理信息系統(tǒng)的安全需求、安全現(xiàn)狀有了進(jìn)一步認(rèn)識(shí)，現(xiàn)已補(bǔ)充完善系統(tǒng)總體安全方針策略，制定涵蓋系統(tǒng)安全規(guī)范、網(wǎng)絡(luò)安全管理規(guī)范、網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案等20項(xiàng)管理制度的網(wǎng)絡(luò)信息安全手冊(cè)，發(fā)布正式文件成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，任命信息系統(tǒng)相關(guān)管理人員，明確職責(zé)和工作劃分；安裝惡意代碼防范軟件，升級(jí)補(bǔ)丁、修復(fù)系統(tǒng)存在的漏洞，使用策略來強(qiáng)制限制密碼長度和復(fù)雜性降低相關(guān)風(fēng)險(xiǎn)項(xiàng)，加強(qiáng)防范已知或未知的安全風(fēng)險(xiǎn)，在實(shí)踐檢驗(yàn)中逐步走向規(guī)范化。

2 動(dòng)物防疫物資系統(tǒng)安全防護(hù)建議

定期開展系統(tǒng)風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)測(cè)評(píng)。根據(jù)測(cè)評(píng)結(jié)果修訂總體安全策略等制度和相關(guān)配套文件，采取升級(jí)部署防護(hù)設(shè)備、修復(fù)系統(tǒng)漏洞、升級(jí)補(bǔ)丁等措施強(qiáng)化動(dòng)物防疫物資系統(tǒng)的主動(dòng)防御能力，提高防疫物資系統(tǒng)業(yè)務(wù)安全、信息安全。

定期開展學(xué)習(xí)與培訓(xùn)。每年至少組織一次重要信息系統(tǒng)開發(fā)工作人員、維護(hù)工作人員學(xué)習(xí)安全編碼、惡意攻擊防御等信息安全相關(guān)內(nèi)容的培訓(xùn)，避免漏洞的引入。每年開展應(yīng)急演練與網(wǎng)絡(luò)信息安全培訓(xùn)，重點(diǎn)培訓(xùn)網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員等系統(tǒng)管理相關(guān)工作人員，提高技術(shù)人員應(yīng)對(duì)緊急故障處置能力。

加強(qiáng)系統(tǒng)安全管理。在服務(wù)器上安裝惡意代碼防范軟件和端口掃描軟件，定期檢查惡意代碼庫升級(jí)情況，使用策略強(qiáng)制限制密碼長度、復(fù)雜性和使用周期，在網(wǎng)絡(luò)邊界、路由器、防火墻上設(shè)置嚴(yán)格的訪問控制策略，以保證系統(tǒng)安全。

開展源碼安全審計(jì)。系統(tǒng)升級(jí)或新開發(fā)上線之前進(jìn)行源碼審計(jì)，編碼要符合畜牧獸醫(yī)行業(yè)信息化技術(shù)規(guī)范。