电子政务外网等级保护测评探讨

蔡昌许 蔡昌曙

摘要：信息系统等级保护制度是我国加强信息系统安全防护的重要措施，电子政务外网运行着电子政务的公共服务业务，开展等级保护与等级保护测评非常必要，政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例，探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。

关键词：电子政务外网；等级保护；等级保护测评

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）35-8593-02

Classified Protection Evaluation Investigation of E-government Extranet

CAI Chang-shu1，CAI Chang-shu2

（1.Computer Science & Technology College of Qujing Normal University， Qujing 655011， China； 2. E-Government Network Management Center of Yunnan Province， Kunming 650228， China）

Abstract： The classified protection system of information system is import to information system protection. E-government public service is operated on Yunnan E-government extranet， to carry out classified protection evaluation is essential. Based on a classified protection evaluation， grade determination， the selection of evaluation targe and evaluation organization， evaluation content and method definition， vulnerability detection of backbone network， security rectification， and so on are investigated. This assessment produce demonstration effect.

Key words： E-government extranet； classified protection； classified protection evaluation

1 国家电子政务外网等级保护背景

国家电子政务外网是我国电子政务重要的基础行政设施，开展政务外网的等级保护工作是保证各级政务部门开展电子政务应用，其安全保障关系到国家安全和社会稳定。政务外网的安全保障主要对所承载的电子政务应用系统和数据提供网络承载和安全保护，对来自外部的网络攻击、病毒及异常流量进行监测，并不断提高网络与信息安全突发事件的应急处置和响应能力[1]。

根据《国家信息化领导小组关于加强信息安全保障工作的意见》（中发办[2003]27号）、《信息安全等级保护管理办法》（公通字[2007]43号），以及《关于加快推进国家电子政务外网安全等级保护工作的通知》（政务外网[2011]15号）要求，为进一步做好国家电子政务外网的网络与信息安全工作，提高政务外网的网络安全保障能力和水平，应积极开展电子政务外网等级保护工作，推行等级保护制度，逐步国家信息安全保护制度落实到政务外网的规划、建设、测评、运行维护和应用等各个环节，使得政务外网安全保障能力达到安全保护等级要求[2]。

信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。规定动作：信息系统定级、备案、安全建设整改、等级测评、监督检查[3]。

信息安全等级保护工作的主要内容是将信息系统（包括网络）按照重要性和遭受损坏后的危害性分成五个安全保护等级（从第一级到第五级，逐级增高）；等级确定后，第二级（含）以上信息系统到公安机关备案，公安机关审核后颁发备案证明；备案单位选择符合国家规定条件的测评机构开展等级测评，根据信息系统安全等级，按照国家政策、标准开展安全建设整改；公安机关对第二级信息系统进行指导，对第三、四级信息系统定期开展监督、检查[3]。

2 电子政务外网等级保护测评必要性

等级保护测评是测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。是信息安全等级保护工作的重要环节。确定安全等级保护第三级的政务外网要求每年进行一次等级保护测评，国家外网管理中心将配合公安机关对政务外网安全等级保护工作开展情况进行监督检查。开展等级保护测评是提高电子政务服务水平的一个重要措施，通过开展测评一是掌握电子政务网络信息系统安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；二是能够衡量出信息系统安全保护措施是否符合等级保护的基本要求，是否具备了相应等级的安全保护能力。

3 电子政务外网等级保护测评探讨

3.1 等级保护定级

根据政务外网[2011]15号文件，政务外网等级保护的重点是广域网和各级城域网。定级的对象是网络与安全系统、网管系统、安全管理中心（SOC）、DNS等政务外网重要系统。政务外网中央至省、省至地（市）广域网和中央、省、地（市）城域网应达到安全等级保护第三级要求，地（市）至区县广域网和地（市）以上城域网至少达到等级保护第二级要求。根据国家要求和具体电子政务外网实际，把政务外网某网络系统定级为三级、政务外网某网管系统定级为第二级，到属地公安局机关进行了备案，并把定级方案上报国家信息中心。

3.2 测评对象的确定

根据要求，等级保护三级的系统将一年进行一次等级保护测评，接受一次以上监督检查，将备案为三级的政务外网某网络系统作为测评的对象。测评时机为建设整改前开展等级测评，现状分析。测评项目主要目标是借助投标方的专业资质和安全管理项目实施经验，参照国家标准和行业特点和安全需求，对政务外网某网络系统的等级保护测评，深入挖掘安全隐患及漏洞，提出适宜的安全整改建议，通过相关单位及厂商技术人员的专项加固，建立政务外网的网络系统安全管理制度体系，提升政务外网的安全防范能力和安全管理水平，逐步将政务外网的安全状况达到符合国家政务外网等级保护三级的要求。

评测范围：1） 网络范围及节点：政务外网省级到地市广域骨干网、省级横向城域网（包含省级核心节点、省级汇聚节点和地市级节点）；2） 政务外网网管系统；3） 与政务外网某网络系统相关的安全管理系统及安全防护的相关设备（如防火墙、IPS 、安全审计等）。

3.3 测评机构的选择

根据行业测评机构原则上在本行业内开展测评，地方测评机构原则上在本地开展测评的要求，从公安机关公布的《全国信息安全等级保护测评机构推荐目录》中选择国家级、省级等级保护工作协调（领导）小组办公室推荐，且熟悉电子政务的测评机构，并要求参加测评

的工程师具备公安部信息安全等级保护评估中心认定的信息安全等级中、高级资质测评师资质。

3.4 测评内容与方法

政务外网等级保护的重点是广域网和各级城域网。定级的对象是网络与安全系统、网管系统、安全管理中心（SOC）等。本次测评选择的对象为机房、网络互连设备、安全设备、安全管理系统等。根据信息系统安全等级保护测评准则，现场测评的方法包括检查、访谈和测试等三类，各种测评方法各有优势，各有侧重点，本次测评综合使用了三类测评方法。

访谈是测评人员通过与信息系统有关人员（个人/群体）进行交流、讨论等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法；检查不同于行政执法意义上的监督检查，是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全等级保护措施是否有效的一种方法；测试是测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动，查看、分析输出结果，获取证据以证明信息系统安全等级保护措施是否有效的一种方法。

配置核查列表用于人工评估系统存在的各种安全弱点/脆弱性，它针对不同的系统列出待评估的条目，以保证人工评估结果数据的完备性。自动化测试工具自动检测系统存在的脆弱性，具有效率高、准确快速的特点。

具体的测评内容分为物理安全、网络安全、主机系统安全、数据安全、应用安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等几个方面。

3.5 骨干网络系统漏洞测试

电子政务外网存在不同的安全域，不同级别的安全域之间对外暴露的安全漏洞不同，测试不同安全域之间暴露的漏洞是必要的。为了测试政务外网某网络系统骨干网络的漏洞，需进行渗透性测试，在相同安全域之间、低安全域向高安全域、高安全域向低安全域之间进行漏洞暴露情况测试，设计了如下的测试路径：

在地市A节点扫描其他地市B节点网络互联设备，能够检验相同级别不同安全域间的网络设备漏洞暴露情况。

在地市C节点对省级核心网络设备D节点进行扫描是从较低级安全域向高等级安全域设备进行扫描，能够检验核心层设备对外部攻击的防护能力。

在省级核心骨干设备E节点对地市节点F进行扫描是在核心层直接测试各被测网络设备对核心网络暴露的安全漏洞情况。该点扫描探测出的漏洞数应该是最多的，它说明网络设备在没有网络安全保护措施下的安全状况。

3.7 安全整改与备案

通过现场评估、风险分析、编写评估报告阶段，测评机构应提供了初步的测评报告。安全整改是一个循序渐进的过程，不可能一次就完成所有安全漏洞的修补与系统的加固，根据初步的测评报告与安全整改建议，可以对网络与安全系统配置漏洞、主机系统配置漏洞，操作系统漏洞、数据库系统漏洞、安全管理制度方面的问题进行了安全整改，并多次要求测评机构进行安全整改效果的评估，检验安全整改是否达到了预期的目标。经过多次安全整改与检验后，完成《XX政务外网某网络系统等级保护测评报告》及《XX政务外网某网络系统等级保护测评安全建议》，等级保护测评项目通过专家组验收后，将测评报告报属地公安机关备案。

参考文献：

[1] 国家电子政务外网管理中心. 国家电子政务外网安全等级保护实施指南（ 试行），2013.

[2] 国家电子政务外网管理中心. 关于加快推进国家电子政务外网安全等级保护工作的通知（政务外网[2011]15号），2011.

[3] 郭启全. 国家信息安全等级保护制度的主要内容和要求，http：//wenku.baidu.com/view/5a4ef8c54028915f804dc279.html，2013.