电子政务系统信息安全等级保护测评工作实践*
2015-11-26王坤宋红波胡景瑞
王坤, 宋红波,胡景瑞
(国家应用软件产品质量监督检验中心,北京100193)
电子政务系统信息安全等级保护测评工作实践*
王坤, 宋红波,胡景瑞
(国家应用软件产品质量监督检验中心,北京100193)
等级保护测评工作是查找信息系统安全问题的重要手段。文中首先结合实际工作,对电子政务外网的定义及定级范围进行了论述;接着,对安全测评常见的重要问题进行了分析;最后,对基于云平台的信息系统等级保护测评要求进行了说明。
信息安全;等级保护;云平台
0 引言
国家对非涉密信息系统实行等级保护制度,等级保护测评的目的在于提高国家重要信息系统的信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设[1]。伴随着信息安全等级保护制度的贯彻实施,信息系统的安全保护能力有了普遍提升,相关人员的信息安全意识同样有了提高。等级保护测评工作是查找信息系统安全问题的重要手段,国家相继出台了相关的标准,来规范和指导信息安全等级保护测评,例如GB/T 22239-2008、GB/T 22240-2008、GB/T 28449-2012等标准。
笔者在对电子政务系统信息安全等级保护定级以及系统测评方面,根据在实际工作中遇到的问题,结合工程实践,对测评中遇到的这些问题进行分析,并给出了具体的解决方法。这些问题包括:电子政务外网定级与测评、测评中常见的重要问题分析,以及云平台下开展等级保护测评工作应关注的附加测评项等内容。
1 电子政务外网定级与测评
对于电子政务外网的定级,对刚刚接触等级保护测评的机构或测评人员来说,可能相对陌生。以往我们开展信息系统等级保护的定级和测评,都是以信息系统为测评单位,要对整个电子政务外网进行定级,是否可行,定级范围又是如何界定,下文将给出具体的分析。
对一个信息化平台是可以定级的,下面就以电子政务外网为例,来说明具体情况。电子政务外网是国家电子政务重要基础设施,是承载各级政务部门用于经济调节、市场监管、社会管理和公共服务等非涉及国家秘密的业务应用系统的政务公用网络。
电子政务外网的定级对象为本级政务外网管辖范围内(由边界设备确定)的所有网络、计算、存储和安全防护等各类设备、各种用于网络运维管理、安全保障的应用系统、各种通信线路及支持所有软硬件正常运行的机房等基础设施环境等。门户网站系统、跨部门的数据共享与交换系统、数据中心内的各业务应用系统以及各级政务部门的各类应用系统不包括在政务外网的等级保护范围内,这些系统的的定级标准依据GB/T 2224-2008《信息安全技术信息系统安全等级保护定级指南》,测评标准依据GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》。
在《国家电子政务外网安全等级保护实施指南》中,分别给出了等级保护二级和等级保护三级的定级范围图。其中,等级保护二级的定级范围图如图1所示。图中标识为紫色的区域,就是电子政务外网的定级范围。
图1 政务外网安全等保二级定级范围
对于电子政务外网的测评,要依据两个方面的标准,其一是《国家电子政务外网安全保护等级基本要求》,在该标准中对IP承载网、业务区域网络和管理区域网络等方面提出了具体要求,包括结构安全、访问控制等具体要求项;其二是GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》。电子政务外网按照功能区域划分可以划分出6个安全区域,即公用网络区、互联网接入区、专用网络区、用户接入区、网络和安全管理区、电子认证区。
在实际的测评工作工作中,要理解各个功能区域作用:
互联网接入区:是政务部门通过逻辑隔离安全接入互联网的网络区域,满足政务部门连接互联网的需求。
网络管理区:网络管理区主要承载网络管理信息系统,通过网络管理系统实现对管辖区内网络设备、服务器设备的状态监控及相关管理等功能;
安全管理区:安全管理区主要承载安全管理信息系统,通过安全管理区实现对管辖区内安全设备进行日志采集、实现对网络中的攻击行为进行报警等功能;
公用网络区:采用统一分配的公共IP地址,实现各部门、各地区之间的互联互通,为跨地区、跨部门的业务应用提供数据共享与交换的网络平台。
2 测评中常见的问题分析
2.1 网络结构方面
根据调研,笔者发现目前一些单位的二级系统由于应用架构简单,面对互联网提供服务的应用服务器、数据库服务器被部署在一个网段,而且部署在内网区域。很显然,该种拓扑结构存在的问题主要体现在:1)应用服务器和数据库部署在一个网段,存在安全隐患,一旦面对互联网的应用服务器被恶意入侵,同网段的数据库服务器将面临很大的安全风险。2)面对互联网的应用服务器部署在内网区域,一旦该服务器被恶意入侵,将给内网安全带来安全风险。对于该类网络拓扑结构,应将应用服务器设置在互联网边界防火墙的DMZ区域。
在实际的测评工作中,我们也发现了个别单位拟对电子政务外网平台进行网络结构的改造,但往往又不清楚如何下手。据调研,现有的网络拓扑图互联网出口过多,安全域划分不合理,网络区域的划分非常分散,都是当前网络结构方面面临的问题。笔者建议这些单位负责网络平台运维的相关人员要仔细阅读《国家电子政务外网安全等级保护等级基本要求》和《国家电子政务外网安全等级保护实施指南》这两个标准,这个标准对电子政务外网功能区域的划分,已经给出了明确的说明。在不了解上述标准的前提下,对现有的网络结构进行盲目的调整,调整的结果仍然是网络区域分散,互联网出口过多、系统化不强。《国家电子政务外网安全等级保护实施指南》中给出的网络功能区域的划分图如图2所示。
图2 政务外网功能区划
2.2 重要网段防止地址欺骗
为了做好重要网段防止地址欺骗工作。可以从双向IP/ MAC绑定入手。例如:重要的管理终端与该管理终端的接入网关之间,要实现双向绑定。在管理终端上设置网关的静态ARP信息,在网关上将管理终端的IP-MAC输入到静态表中。在实际的测评中发现,重要网段防止地址欺骗在网络设置中做的不多。
2.3 访问控制
信息安全等级保护的两个目的,其一是保护信息系统数据的安全性,其二是保证信息系统的业务连续性。显然,对服务器的保护显得重之又重。在具体的测评中,我们发现,在服务器区域边界防火墙的访问控制策略中,源地址范围过大是常见的一类问题,而且该策略中,对应的端口限制粒度也往往过大。
2.4 单点故障问题
在测评中时常发现,一些三级系统未采用冗余技术设计网络拓扑图,因而造成关键节点存在单点故障。避免单点故障就是为了保障系统的高可用性。
2.5 非法外联的问题
在等保测评的技术要求中,要求采用技术手段限制非法外联行为。一些刚刚迈进等级保护测评大门的相关人员可能会有如下错误的认识:“待评测的信息系统面向互联网提供服务,而且被测评单位的所有计算机终端设备均允许连接互联网,该测评项因此可以判定为不适用”。
实际上,上面的理解是不正确的,尽管该单位所有的终端都可以连接互联网,但是这些终端都是通过该单位统一的互联网出口出去的,而且在互联网边界必定部署了相关安全设备,如放火墙、入侵防御设备等等。如果该单位某个终端用户采用一个3G上网卡连接了互联网,这等于就打开了一个新的通路,而且这条通路上没有任何的安全防护设备,这就破坏了网络的边界完整性,给内网安全带来了隐患。因此,限制终端用户的非法外联行为是十分必要的。
2.6 密码加密的问题
在测评中发现,一些数据库的用户表中,密码字段仍然是明文存储,显然这是非常不安全的,建议对密码字段进行加密,加密可采用md5(用户名+密码+随机字符串)加密方式。
2.7 验证码绕过的问题
在应用安全测评中,我们发现一些应用系统仍然存在admin这样的管理员用户,这就给密码猜测提供了可能,建议重命名admin或administrator,此外,为了避免验证码绕过的问题,应及时更新验证码(在登录失败时也要更新验证码),防止出现验证码被绕过问题的发生。
2.8 信息系统精确定级
在进行信息系统等级保护定级时,信息系统的使用单位一般都做到了信息系统定级,但是没有做到准确定级,也就是说没有根据数据的安全性等级和业务连续性的安全等级来最终定位系统的安全保护等级。
在一个三级系统的等级保护测评咨询项目中,用户将信息系统定为三级(S3G3A3),根据我们实际的调研发现,该系统仅仅是一个数据备份系统,对数据安全性要求可以达到三级要求,但对于业务连续性的要求是不需要定为三级的,因此就建议用户对信息系统定级为三级(S3G3A2),这样一来,既保证了信息系统安全性,也为使用单位设计、改造该系统的信息安全保护能力提供了准确的指导建议。
3 云平台环境下的信息系统信息安全测评
随着云平台的发展,一些单位将应用部署在云服务器上,当前云应用存在四个方面的安全风险,一是共享技术漏洞引入的虚拟化安全风险;二是云服务不可信带来的信息安全风险;三是多租户模式带来的数据泄露风险;四是云平台恶意使用带来的运营安全风险。
“虚拟化”和“分散处理”是云平台下两项关键技术,而云平台是以虚拟机系统作为底层架构,因此虚拟机系统的安全是云安全的核心。这就给开展等级保护测评工作引入了新的要求。图3给出了虚拟化环境层次分析模型[2]。图中所示的Hypervisor为管理控制程序,负责对硬件资源的调度、管理VM(虚拟机)、响应VM。
图3 虚拟化环境层次分析模型
在该模型中,信息系统采用虚拟化技术,用户使用的服务器资源、网络设备资源、安全设备资源等资源,均被放置在云端。用户通过客户端的浏览器页面访问信息系统的WEB页面,由云端的虚拟化管理层对用户进行身份验证,并分配相应的资源。
结合图3所示,在进行信息安全等级保护测评时,应充分考虑三个层次存在的安全风险[2]:
对于用户接入层:要关注终端安全、身份认证、通信加密、连接安全等安全风险点;
虚拟化管理层:要关注Hypervisor自身的安全性、Hypervisor特权威胁、计算资源虚拟化等安全威胁;
VM层:要关注数据集中风险、逃逸威胁、VM镜像的安全性、残余信息保护等。
针对云平台下的信息系统信息安全测评,笔者认为除了要依据GB/T 22239-2008标准的基本要求对信息系统进行测评外,还应增加相应的附加要求。这些附加要求包括:
3.1 网络安全
(1)结构安全
云服务提供商应能提供完整的虚拟网络环境说明,包括网络设备、安全设备的部署情况及作用说明,并提供给云平台用户备案;
云服务提供商应能对虚拟网络的运行状况进行监控。
(2)访问控制
应在虚拟网络边界部署访问控制设备,并启用访问控制功能;
应在客户端到虚拟机之间部署访问控制设备,并启用访问控制功能。
3.2 主机安全
(1)身份鉴别
对虚拟服务器进行远程管理时,应采取必要措施,防止用户鉴别信息在网络传输中被窃听。
(2)访问控制
应采用技术手段控制虚拟机与物理主机之间、虚拟机之间的互访。
(3)剩余信息保护
应采取技术措施保证虚拟资源回收时,对数据进行清除。
(4)入侵防范
物理主机中应采用监测技术,对同一物理主机上各虚拟主机之间的通信进行监测。
(5)资源控制
应限制每台虚拟机资源使用的上限。
(6)恶意代码防范
应采用技术手段对虚拟机镜像文件进行保护;
在物理机和虚拟机中均应安装恶意代码防范软件,并及时更新恶意代码软件版本和恶意代码库。
(7)剩余信息保护
应采取技术措施保证虚拟资源回收时,对数据进行清除。
3.3 数据安全
(1)数据完整性
应采用技术手段对虚拟机镜像文件进行完整性保护。
(2)数据保密性应采用加密或者其他保护措施实现虚拟镜像文件的保密性。
(3)备份和恢复
对VMM(即Hypervisor)的安全配置、访问控制策略进行备份。
4 结语
信息系统的等级保护测评工作是实践性非常强的一项工作,由于新技术、新产品的应用都将给测评工作带来新的挑战。本文结合具体的工程实践,对电子政务外网的定级进行了阐述,对测评中发现的一些重要问题进行了分析,并结合当前云应用的情况,对信息安全等级保护测评的基本要求进行补充。笔者也将在今后的文章中,对信息安全等级测评标准的理解与实践,做更加详细地陈述。
[1]孙铁.云环境下开展等级保护工作的思考[J].信息网络安全,2011(6):11-13.
[2]杨冰,张保稳,李号,等.面向云计算中虚拟化技术的等级保护要求研究[J].信息安全与通信保密,2014(2):106-110.
Evaluation Practice of Infosec Classified Protection for e-Government System
WANG Kun,SONG Hong-bo,HU Jing-rui
(National Application Software Products Quality Supervision and Inspection Center,Beijing 100193,China)
Classified protection evaluation of information system is an important measure to find security defects.This paper firstly in combination of the actual work,discusses the definition of National e-Government Network,then analyzes some important problems in security evaluation,and finally explains the evaluation requirement for classified protection of information system based on cloud platform.
information security;classified protection;cloud platform
TP39
A
1009-8054(2015)12-0116-04
王 坤(1976—),男,工程硕士,高工,主要研究方向为信息安全;
宋红波(1976—),女,工程硕士,高工,主要研究方向为软件工程;
胡景瑞(1986—),男,学士,工程师,主要研究方向为信息安全。■
2015-08-19
