網絡安全風險評估在電子政務中的實踐

劉 璐 賀 強

1(北京安信天行科技有限公司 北京 100080)2(中國信息安全測評中心 北京 100085)

(liulu@bjca.org.cn)

1 項目背景

為確保電子政務信息系統安全、可靠地運行，并最大限度地確保信息的機密性、完整性、可用性、可控性和不可否認性，避免各種潛在的威脅，同時為了貫徹落實國家信息化領導小組《關于加強信息安全保障工作的意見》(中辦發［2003］27號)提出的“積極防御、綜合治理”的安全戰略方針，創建安全健康的電子政務環境，保護公眾利益，促進電子政務的深入發展，將根據國務院和有關部門“電子政務網絡建設開發和維護升級工作的要求，由政府部門作為業主委托有關專業公司進行規范化的專業服務和技術支持，以保證系統不斷完善和正常運行”的規定，借助專業的安全服務來加強信息系統的安全建設，以保障電子政務信息系統安全穩定運行.

2 項目依據

1)《信息安全技術信息安全風險評估規范》(GB T 20984—2007)

2)《信息安全技術信息系統通用安全技術要求》(GB T20271—2006)

3)《信息安全技術信息系統安全等級保護基本要求》(GB T 22239—2008)

3 現狀與目標分析

3.1 安全現狀

1)物理環境現狀

某單位信息系統所依托的硬件設備部署在國家標準新建機房.機房有一個出入口，出入口設置有運維人員值守區域，進出機房需要登記身份信息，并由專門人員陪同，在重要區域配置電子門禁系統.機房內部署有專門的精密空調對機房的溫濕度進行控制，在機房中設置監控攝像頭對機房情況進行監控，機房配備專門的二氧化碳、七氟丙烷氣體滅火器，安裝火災自動報警系統，對機房火災進行監控，設置有專門的防水措施對水患進行監控，配置了穩壓器和過電壓防護設備，兩路市電，雙路UPS提供備用電力供應，建立了備用供電系統，保證關鍵設備在斷電情況下的正常運行.參考了文獻［1］的相關內容，引用了物理安全基本要求.

2)網絡環境現狀

信息系統運行于單位局域網中，網絡采用雙核心架構(2臺H3C 9512E作為核心交換機)，共有互聯網和政務外網2個出口.網絡劃分了6個區域，分別為:互聯網區域、政務外網區域、內部用戶域、內部數據域、內部應用域以及網管域.各區域邊界均部署防火墻，實現邊界的訪問控制.網絡中部署了上網行為管理、防病毒墻、安全審計和入侵檢測系統，實現外部用戶的安全訪問、Web應用防護、安全審計、用戶上網行為監控等安全功能.并使用網絡監控軟件對通信鏈路、數據傳輸設備狀態及機房環境進行24 h不間斷實時監控.

3)業務系統現狀

信息系統主要包括專項救助、低收入家庭認定、社會救助資金管理和居民經濟狀況核對等相對獨立的業務功能.信息系統面向本單位工作人員提供醫療救助、住房救助、就業援助等功能;低收入家庭認定功能提供低收入人群資金流程審核、審批的認定等功能;社會救助資金管理功能提供全市資金預算編制、資金撥款等功能;居民經濟狀況核對功能提供居民經濟狀況信息流程審核、審批等功能.參考了文獻［2］的相關內容，引用了業務系統安全要求.

4)安全管理現狀

信息系統建立了信息安全管理體系制度文件，對安全管理活動中的部分管理內容建立安全管理制度和操作規程.管理制度主要文件如表1所示:

表1 管理制度文件

3.2 面臨的主要問題

經過近幾年的信息化安全建設，被評估信息系統已采用了一些安全防護措施，包括通過防火墻實施區域邊界邏輯隔離與訪問控制以確保內網安全;部署入侵防御系統應用層面對來自外網的惡意入侵行為進行檢測和過濾;通過安全審計、上網行為管理實現了對網絡和用戶行為基本管理等，這些安全防護措施對業務系統的安全保障起了較大作用，但僅憑借單純技術層面的防御措施無法構建完整的安全保障體系，并不足以保證業務系統安全、穩定的正常運行.

隨著業務應用的不斷拓展和安全需求的變化，以及國際國內信息安全形勢的變化，信息系統網絡安全也不可避免地會面臨一些新的問題、新的威脅，需要及時采取應對措施，消除安全隱患，確保風險可控.主要存在問題如下:

1)網絡安全管理制度文件落實不足

已按照等級保護基本要求制定網絡安全總體方針和策略、網絡安全管理制度、操作規程和手冊以及記錄表單，但未定期對網絡安全管理制度文件進行審核、修訂，難以保證管理制度的適用性.網絡安全審查和審批方面缺少審批項目、審批部門和審批人的更新記錄.

2)缺乏高效的網絡安全工作監督檢查機制

為確保信息系統網絡安全工作的合理、有序、持續開展，應建立定期開展網絡安全風險評估的工作機制.以《信息安全技術 信息安全風險評估規范》為依據，評估各業務系統有關網絡安全工作的基本情況，針對風險評估所發現的技術和管理問題，督促各系統主管部分限期進行整改，并對整改效果進行跟蹤評價.

3)缺乏規范、持續可靠的網絡安全運維

目前，還沒有形成規范的、持續可靠的網絡安全運維管理體系.很多信息系統的安全運維由IT運維人員承擔，存在不規范、不專業的問題.

另外，定制開發的應用系統軟件是否存在漏洞、后門，不得而知，操作系統、數據庫、網絡設備等是否存在漏洞、是否及時打上必要的補丁，也沒有形成相應的工作機制和監管機制.

4)應急保障措施存在不足

國家信息中心制定了安全事件報告和處置制度，明確了安全事件的類型、處理、報告、恢復等流程.成立有應急預案小組，定期對系統相關人員進行應急預案培訓和演練.

但是，應急保障工作離電子政務安全保障的實際需求還存在一定的差距:一是在預案方面，綜合性應急預案需要進一步完善，一些專項預案、特定系統預案還缺乏或需要修訂;二是應急隊伍還需要充實，尤其是需要引進外部專業人員充實到應急隊伍中來.

3.3 項目目標

為了全面了解和掌握現有信息系統面臨的信息安全威脅和風險，需要開展風險評估，以掌握現有信息系統的安全狀況，為確立安全策略、制定安全規劃和開展信息安全保護工作提供決策建議.

風險評估的工作目的就是通過專業的檢測工具和分析手段，從技術、管理和人員等多個方面，包括網絡安全技術架構、網絡 安全設備性能和策略、主機(包括操作系統和數據庫)安全策略、信息系統安全機制和策略以及安全管理制度方面，查找受保護的信息系統和關鍵資產存在的脆弱性，分析其面臨的威脅和安全措施的有效性，確保重點.從資產重要性、脆弱性嚴重程度和威脅發生頻率等方面分析信息系統面臨的風險，為后續信息系統安全加固以及整改提供客觀數據，為建立信息安全保障體系提供決策依據.

4 項目實施

4.1 項目實施基礎

被評估信息系統包括專項救助功能、低收入家庭認定功能、社會救助資金管理功能和居民經濟狀況核對等相對獨立的功能模塊.本次風險評估資產主要包括主機服務器資產5臺、安全設備資產18臺、網絡設備資產9臺.

4.2 項目實施機制

4.2.1 項目工作方式

業務系統風險評估工作主要通過以下方式進行.

訪談:訪談是指評估人員與有關人員就風險評估所關注的問題進行有針對性的詢問和交流的過程，該過程可以幫助評估者了解現狀、澄清疑問或獲得證據.

檢查:檢查是指對評估對象(如規范、機制或行為)進行觀察、調查、評審、分析或核查的過程.與訪談類似，該過程可以幫助評估者了解現狀、澄清疑問或獲得證據.

測試:測試是指在特定環境中運行1個或多個評估對象(限于機制或行為)，并將實際結果與預期結果進行比較的過程.測試的目標是判定對象是否符合預定的一組規格.測試過程可以幫助評估者獲得證據.測試可以分為以下3類:

1)功能測試.即黒盒測試，測試人員在測試前已經了解被測評目標的功能規格、高層設計和操作規范.

2)結構化測試.即灰盒測試和白盒測試，測試人員在測試前已經掌握被測評項目的內部結構，如詳細設計、代碼實現等.

3)滲透測試.測試人員可以利用所有可用的資料和手段來企圖繞開被測評項目的安全特性.

工具掃描:使用多種掃描工具進行交替掃描，工具包括:AppScan，Nessus，ISS，Nmap，Webinspect8.1 等.

調查表:根據業務情況和系統現狀，制定詳細的調查表，并由相關人員進行填寫，以獲得業務系統基礎數據.具體包括應用信息系統調查表、物理資產調查表、軟件資產調查表、各相關設備資產調查表.

4.2.2 項目工作流程

根據信息系統現狀，風險評估工作共分為5個階段:即準備階段、識別階段、分析階段、風險控制規劃階段和總結階段.

準備階段:該階段主要完成確定評估范圍、建立評估組織、確定評估工具、確定風險評估過程風險控制策略、編制風險評估方案、風險評估培訓和評估對象備份等工作，確保風險評估能夠按照計劃順利、有序實施，并且風險可控.

識別階段:該階段主要完成資產識別、威脅識別、脆弱性識別和安全措施識別等工作，為分析階段提供依據.

分析階段:該階段在識別的基礎上進行大量整理并分析，進行資產分析、威脅分析、脆弱性分析、安全措施分析以及綜合風險分析，對信息安全風險水平給出結論.

風險控制規劃階段:根據風險分析的結果，結合國家有關的法律、法規和行業要求，以及網絡系統的特殊需求和風險，總結出當前的安全需求;根據安全需求的輕重緩急以及相關標準，制定出適合的安全規劃方案，為網絡系統今后的安全建設提供參考.

總結階段:該階段主要是對風險評估實施過程進行歸納總結，編制風險評估報告，并向項目負責人進行匯報.

4.2.3 項目工作內容

風險評估的工作內容就是根據國際和國內風險管理的思想，遵循國際和國內風險評估的方法論，由專業評估人員通過專業工具和分析手段，從技術和管理2個方面查找信息系統存在的漏洞，從資產評估、脆弱性評估、安全措施有效性評估以及綜合評估，最終通過全面的分析，識別出當前系統所存在的風險，并在評估分析完成后提出針對性的風險控制規劃措施.

參考文獻［3］的相關內容，引用最新的方法進行風險分析，表述出威脅源采用何種威脅方法，利用了系統的何種脆弱性，對哪一類資產，產生了什么樣的影響，當前采取了何種安全措施進行防護，其有效性如何，描述殘余風險狀況，并描述采取何種對策來防范威脅，減少脆弱性.圖1為風險分析模型及方法:

圖1 風險評估模型

資產的評估主要是對資產進行相對估價，而其估價準則就是依賴于對其影響的分析，主要從保密性、完整性、可用性3方面的安全屬性進行影響分析，從資產的相對價值中體現了資產的重要程度.

威脅評估是對資產所受威脅發生可能性的評估，主要從威脅源的動機和能力2個方面進行分析.

脆弱性的評估是對資產脆弱程度的評估，主要從脆弱性被利用的難易程度、被利用成功后的嚴重性2方面安全屬性進行分析.

安全措施有效性評估是對保障措施的有效性進行的評估活動，主要對安全措施在防范威脅，減少脆弱性方面的有效狀況的安全屬性進行分析.

風險分析就是通過綜合分析評估后的資產信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息.

4.3 項目工作成果

風險是指特定的威脅利用資產的一組脆弱性，導致資產的丟失或損害的潛在可能性，即特定威脅事件發生的可能性與后果的結合.風險只能預防、避免、降低、轉移和接受，但不可能完全被消滅.風險計算主要是在完成資產、威脅和脆弱性的評估賦值后，計算信息資產的風險值.

通過對信息系統的風險計算，綜合風險等級如表2所示.

通過分析數據，風險等級為很低(1級)的信息系統資產個數是0，風險等級為低(2級)的信息系統資產個數是19，風險等級為中等(3級)的信息系統資產個數是13.可以計算出來風險等級為低的資產數目占到了總比重的59%、風險等級為中的資產數目占到總比重的41%.主要存在的安全風險如下:

表2 風險計算結果

1)工具檢測結果

參考了文獻［4］及文獻［5］的相關內容，引用了數據庫檢查內容.通過使用漏洞掃描器對信息系統依賴的5臺主機服務器進行工具掃描，共發現了126個漏洞，其中高風險漏洞有4個，占所有漏洞的比例為3%;中風險漏洞有26個，占所有漏洞的比例為21%;低風險漏洞有96個，占所有漏洞的比例為76%;漏洞主要體現在信息系統安裝的操作系統、數據庫和中間件未及時安裝補丁、開放多余端口等.

2)操作系統人工檢測結果

參考了文獻［5］及文獻［6］的相關內容，引用了操作系統檢查內容.通過對信息系統5臺服務器的脆弱性檢查共發現了30個脆弱點，其中高風險弱點有5個，占所有弱點比例為17%;中風險弱點有15個，占所有弱點比例為50%;低風險弱點有10個，占所有弱點的比例為33%.漏洞主要體現在系統口令、用戶賬號、開啟了不必要的服務、日志安全配置不當等.

3)網絡設備和安全設備人工檢查結果

參考了文獻［7］的相關內容，引用了網絡基礎安全要求.通過對27臺網絡設備和安全設備人工檢查評估共發現了54個弱點，其中高風險弱點有0個;中風險弱點有35個，占所有弱點的比例為65%;低風險弱點有19個，占所有弱點的比例為35%;弱點主要集中在交換機未開啟管理員登錄地址限制、未采用雙因子進行身份鑒別等.

4)安全管理制度檢查結果

依據等級保護基本要求制定了網絡安全管理制度文件，但缺少安全管理制度的修訂記錄，難以保證管理制度的適用性;未定期審查審批事項，缺少審批項目、審批部門和審批人的更新記錄;未對關鍵崗位人員進行全面、嚴格的安全審查和技能考核，缺少相關考核記錄，增大了關鍵崗位人員操作失誤的安全風險等.參考了文獻［8］的相關內容，引用了安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理要求.

5 項目工作建議

信息安全風險評估是信息安全保障的基礎性工作和重要環節.各單位對信息系統的風險評估經歷了從無到有、從起步到提高的過程.今后，為了更好地開展此項目工作，提出以下建議:

1)落實網絡安全管理制度文件

定期開展網絡安全管理文件的審核與修訂，及時保證管理制度的適用性，制度審核與修訂后應通過正式途徑下發給有關人員，要求有關人員按照制度內容嚴格執行，并在制度執行的過程中形成相應的執行記錄文件.

2)嚴格按照要求定期開展風險評估工作

應定期組織有關網絡安全專家開展針對信息系統的風險評估工作，及時發現信息系統中存在的網絡安全風險，并根據風險的嚴重程度有選擇性地開展安全整改工作.

3)采用規范、持續可靠的網絡安全運維

參考了文獻［9］的相關內容，引用了滲透測試和脆弱性檢測術語，通過開展滲透測試、脆弱性檢測、安全加固、安全巡檢等安全服務，提高網絡安全防護水平，保障信息系統正常運行.

4)加大應急保障措施投入

需進一步完善應急保障工作，減少安全事件的發生，并在安全事件發生后快速高效地響應處置，盡可能減小安全事件帶來的危害.