政府门户网站安全等级保护需求分析

袁 静， 任卫红， 陶 源， 王李乐， 尚旭光， 王 宁， 张 伟

(1.公安部第三研究所，北京，100142；2.天津市公安局网监总队三支队，天津市，300020)

政府门户网站安全等级保护需求分析

袁 静1， 任卫红1， 陶 源1， 王李乐1， 尚旭光1， 王 宁1， 张 伟2

(1.公安部第三研究所，北京，100142；2.天津市公安局网监总队三支队，天津市，300020)

作为我国各级政府部门的服务窗口的政府门户网站一直以来是国外敌对势力的热门攻击对象。政府门户网站一旦被攻破篡改将给我国政府带来荣誉损失。本文在分析政府门户网站系统特点的基础上,通过网站面临攻击对象特点的分析,确定可能面临的威胁及攻击,从而提出政府门户网站这一特殊网站的安全保护需求,作为运营单位提供确定安全防护措施时的参考资料。

政府门户网站;信息安全等级保护;安全保护需求

0 引言

根据“十五”期间全国电子政务建设指导意见,将进一步加快政务平台,整合信息资源,统一平台,统一标准。2003年的电子政务建设工作将主要围绕“两网一站四库十二金”重点展开。其中“一站”指的便是:政府门户网站。

随着全国信息安全等级保护工作的深入开展,作为重要信息系统的政府门户网站系统也应按照等级保护各项要求进行建设。但是,由于政府门户网站系统处理的业务信息及系统服务的特殊性,其与一般门户网站并不相同,因此,其安全保护需求也应有其特殊之处。

本文从政府门户网站系统用户以及处理的业务信息分类入手,分析不同用户的功能需求以及业务信息保护需求,在此基础上分析面临的威胁和攻击,进而确定政府门户网站系统的安全保护需求,设计网站建设逻辑架构及重点保护内容。

1 政府门户网站系统特点分析

1.1 业务信息分类

从信息类型来看,党政机关门户网站信息总的可分为业务信息、管理信息和系统信息,其中业务信息是门户网站提供给用户访问的目标和网站管理维护的对象。由于用户对不同信息的关注程度不同,例如用户对于政策法规的关注程度明显高于对旅游咨询的关注,而且政策法规对用户的影响程度也较高一些,相应地其安全保护需求也不同,因此,对业务信息分类时应主要考虑信息的内容和使用范围。

根据业务信息内容和使用范围,可以将业务信息分为政务公开信息、公共服务信息、办事服务信息、互动交流信息以及用户私有信息等五类。其所含信息内容如表1中所列:

表1类别信息对安全保护的需求有所不同,如政务公开信息和办事服务信息是政府部门通过门户网站向公众发布的信息,为保证信息内容的权威性,对完整性保护需求较高;用户私有信息是政府为行政管理需要要求组织和个人提供的私有信息,对保密性保护需求较高;公共服务信息和互动交流信息则在保密性和完整性方面需求相对较低。在对上述各类信息进行安全保护时应针对各类信息不同的保护需求采取不同的安全保护措施。

表1 政府门户网站业务信息分类

1.2 系统用户分类

政府门户网站的用户可以分为普通用户和管理用户。

普通用户为来自互联网的公众用户,分为注册用户和非注册用户。普通用户中的很大一部分群体是政府的工作人员(包括党政要员)。

管理用户为负责网站运行维护的用户,根据管理用户承担的角色,可以分为系统管理员、应用管理员、安全管理员和安全审计员。

系统管理员负责配置、控制和管理系统的资源和运行,承担包括用户身份管理、系统资源配置、系统加载和启动、系统运行的异常处理以及支持管理本地和(或)异地灾难备份与恢复的角色。可进一步细分为操作系统管理员、数据库管理员和网络管理员。

应用管理员负责配置、控制、管理应用系统的资源和运行,并承担业务数据处理的角色。党政机关门户网站系统的应用管理员可以进一步细分为Web中间件管理员、Web应用管理员和网站内容管理员。Web中间件管理员负责配置、控制和管理Web中间件。Web应用管理员负责配置、控制及管理网站前、后台系统,以及网站前后台数据的本地和(或)异地灾难备份。网站内容管理员负责编辑、审核和发布门户网站内容。

安全管理员负责配置一致的安全策略,进行系统安全防护,检查系统存在的安全脆弱点,执行系统安全隐患整改,同时协助管理人员进行机房管理。安全管理员角色贯穿于技术要求的各个层面中。

安全审计员负责管理分布在系统各个组成部分的安全审计机制,承担根据安全审计策略对审计记录进行分类、存储、管理、分析和查询的角色。安全审计员角色贯穿于技术要求的各个层面中。

2 政府门户网站面临威胁及攻击分析

2.1 安全威胁

由于网站具有面向互联网提供信息服务的特点,带有各种动机的攻击者可能会利用网站开放的服务端口和一定的访问权限进一步探测其安全漏洞,以获取未授权的信息访问。党政机关门户网站更由于其代表政府的特殊属性,备受公众和攻击者的关注。因此,针对党政机关门户网站的安全威胁,无论从威胁来源、威胁动机和威胁方式分析,都具有其特点。

2.1.1 威胁来源

党政机关门户网站系统作为信息系统,与一般信息系统一样其安全威胁会来自如自然环境、设备故障、内部人员恶意或无意的行为等,但最主要的安全威胁来源是来自互联网的攻击者。

2.1.2 威胁动机

党政机关门户网站作为党政机关的网络形象和宣传窗口,承载了信息发布、形象展示、办事指南、交流互动和信息收集等功能。攻击者入侵网站的动机可能是窃取用户私有信息、控制并占用服务器资源、破坏政府形象和干扰政府工作秩序等。

2.1.3 威胁方式

针对党政机关门户网站的威胁方式主要为:网络攻击、删改或插入信息内容、中断服务、越权访问以及网站发布管理不当等。

2.2 攻击分类

针对网站的主要威胁方式如删改或插入信息内容、中断服务和越权访问都是以互联网攻击者实施攻击为前提的,因此进一步分析针对网站的攻击手段,有利于更有针对性地提出网站的安全防护措施。

本节面向门户网站系统从攻击导致信息泄露、页面修改、系统被控制和系统被破坏等4类后果角度,对攻击方式进行分类阐述。

2.2.1 网页篡改

(1)获取管理接口

攻击者通过猜测、社会工程等方式获取管理后台、WEB服务器、程序处理接口、中间件接口等关键、敏感的页面,实施进一步攻击,获取访问权限,随后即可对网站内容进行删改或插入。

(2)认证绕过

攻击者利用代码编写缺陷造成的漏洞,在身份鉴别时输入特定语句即可绕过身份鉴别。也可对采用Cookie技术的网站进行Cookie欺骗,从而绕过身份验证直接访问相应页面进行非授权操作。

(3)暴力破解

攻击者可对仅采用用户名＋口令方式进行身份鉴别的WEB应用进行字典攻击,检测是否存在常见用户名和弱口令。

(4)跨站请求伪造

跨站请求伪造是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击者利用特意构造的请求,迫使Web应用程序的用户执行攻击者选择的操作,如银行转账、恶意发帖等。

(5)危险请求

当网站对请求的访问控制不当时,攻击者可采用PUT方法直接上传文件,或DELETE方法直接删除服务器文件。

(6)暗链

暗链攻击是指在未授权的情况下,通过各类攻击手段,在网站中植入浏览器不可见的链接代码,提高链接所指向网站的知名度,这些链接所指网页通常无恶意行为能力,主要包括:情色、赌博、欺诈类非法商品、政治性内容。

2.2.2 服务中断

(1)应用层拒绝服务

攻击者可以利用递归载荷、XML解析器弱点等向Web服务发送大量或异常请求,形成拒绝服务攻击。

(2)网络层拒绝服务

攻击者针对服务器IP地址发起大量网络层数据包,包括syn＿flood攻击,UDP大包攻击等,导致网络阻塞,形成拒绝服务攻击。

2.2.3 系统被控

(1)文件上传

攻击者可利用网站上传功能中未对上传文件格式进行严格的过滤的缺陷,上传脚本后门程序,从而获取服务器管理权限。

(2)SQL注入

攻击者可通过将SQL命令插入页面请求中,欺骗服务器执行恶意的SQL命令,实现对数据库的非授权修改、插入和删除。攻击成功后利用数据库安全配置漏洞,甚至可执行操作系统命令,获取服务器管理权限。

(3)命令注入

攻击者可利用WEB应用缺乏输入有效性验证缺陷、web应用代码缺陷,通过向服务器提交恶意代码从而在Web服务器上运行命令。

(4)旁注攻击

如果网站服务器部署了多个网站系统,攻击者可利用其中一个网站存在的安全问题,获取服务器管理权限,进而攻击服务器中其他网站。

(5)缓冲区溢出

由于应用程序对输入数据的验证不严格,攻击者通过输入超长内容可造成程序缓冲区溢出,缓冲区溢出攻击可能导致系统异常或使攻击者获取执行系统命令的权限。

2.2.4 信息泄露

(1)漏洞扫描

攻击者利用漏洞扫描工具探测目标网站服务器或应用系统,分析返回的响应信息和系统指纹特征,判断服务器或应用类型,甚至可能直接获取目标系统漏洞信息。

(2)目录遍历

攻击者通过尝试遍历每个可能存在的目录,试图探测到数据库、管理接口、上传目录、不安全组件等等所在目录。攻击者可以利用获取到的信息定位有关数据文件并下载、对管理接口进行登录尝试、对不安全组件漏洞进行攻击等。攻击者也可以访问未限制浏览权限的目录并下载文件。

(3)文件包含

当服务器对要包含的文件过滤不严格时,攻击者可以通过向服务器发送包含目标系统文件或恶意程序文件等请求,达到读取服务器重要文件或上传恶意代码到服务器上的目的。

(4)利用冗余信息

攻击者通过访问无效页面、提交非法字符或超长内容等操作造成WEB应用出错,分析返回的错误信息,可能获得文件绝对路径,软件版本等敏感信息。攻击者也可以从网站上未及时清理的默认配置生成文件、临时文件、备份文件等中获取有用的信息。

(5)越权访问

攻击者利用网站管理员对页面或数据访问权限授权不严格或粒度不足,越权访问未预期公开的信息。

(6)嗅探监听

攻击者监听用户与网站服务器的通信过程,截取未经有效加密的用户身份鉴别信息和其它敏感信息。

(7)获取明文存储信息

攻击者获得系统访问权限后,可获取网站服务器或数据库中明文存放的管理用户信息、用户私有信息,如网站管理员账号,中间件管理员账号,用户电话、住址、身份证号、银行账号等,可能造成大量用户信息泄露。

(8)跨站脚本

攻击者利用WEB应用缺乏输入有效性验证的漏洞,构造包含恶意脚本的链接,致使客户端使用相关链接时执行恶意脚本,从而盗取用户信息。

(9)社会工程

攻击者利用社会工程学进行收集、分析、整理网站信息、管理者信息和员工信息,获取机构组织关系、用户名、电话号码等信息,以便在攻击中使用这些信息。

3 安全保护需求

根据党政机关门户网站的业务信息、用户及逻辑结构特点,以及网站面临的安全威胁和可能受到的攻击,党政机关门户网站的安全保护需求重点分为以下四个方面。

3.1 加强网站完整性保护和监控能力，防止网页被篡改

1)党政机关门户网站通过采取技术措施具备网页防篡改的能力,或在网页被篡改时具备自动恢复网页内容的能力;

2)党政机关门户网站能够对静态页面和动态页面进行监控,及时发现网站内容被篡改的情况;

3)第三级党政机关门户网站能够实时监控网站运行状态、挂马情况和暗链情况;

4)党政机关门户网站通过建立管理制度和管理流程等措施,保证当网站内容被篡改时能够得到及时处置。

3.2 提高入侵防范和应急恢复能力，避免网站服务中断

1)党政机关门户网站在与互联网的边界处采取应用层安全防护措施,具备对进出网络的信息内容进行过滤的能力;

2)党政机关门户网站在与互联网的边界处采取入侵防护措施,对网络流量进行监控,具备及时发现异常流量和网络行为的能力;

3)党政机关组织相关人员定期对进出网络的数据、流量监控和报警记录进行分析、评审,能够及时发现潜在的入侵行为并采取相应的控制措施;

4)党政机关门户网站的关键设备、线路和数据处理系统采取硬件冗余部署,系统具备高可用性;

5)党政机关建立门户网站应急处置管理流程,具备门户网站发生安全事件时能够及时进行应急处置的能力。

3.3 具备纵深防御和动态检测能力，防止系统被控制

1)党政机关门户网站的管理用户采取强身份鉴别机制,具备防范暴力破解和认证绕过攻击的能力;

2)通过互联网远程管理网站的第三级党政机关门户网站的管理用户采用VPN通道及证书认证方式进行身份鉴别,具备防范会话嗅探监听或会话劫持的能力;

3)党政机关门户网站通过控制管理用户和普通用户的访问权限,具备防止非授权用户越权访问的能力;

4)党政机关门户网站通过加强对各类用户的审计,并定期分析网络审计日志和各类管理人员的行为审计日志,具备及时发现潜在的攻击行为和人员违规行为的能力;

5)党政机关门户网站应用系统采用严格的编码安全规范,具备完善的数据有效性检验功能,能够防范针对web网页的各类特有攻击;

6)党政机关门户网站定期进行安全检测,能够及时发现网站存在的安全漏洞、被挂马、设置暗链等情况;

7)第三级党政机关门户网站的前台系统、后台系统以及数据库系统部署在不同的服务器上,具备纵深防御能力。

3.4 提升信息控管和内容过滤能力，防范信息错误发布和泄露

1)党政机关门户网站采取网站应用程序控制措施或其他技术措施,具备对信息编辑、存储、审核、发布等过程进行严格控制和监督的能力;

2)党政机关规定允许在网上发布的信息内容和格式,并采取关键字过滤等技术手段或人工方式对网站内容实施过滤,具备防范信息错误发布或信息泄露的能力;

3)党政机关通过建立信息发布、监督管理制度和相关流程等管理措施,并将信息编辑权限和审核发布权限岗位职责分离,保证信息发布过程可控可管且相关人员行为规范;

4)党政机关通过建立网站用户隐私保护管理制度等措施,避免用户私有信息被未授权收集、复制、公开;

5)若党政机关门户网站主机在虚拟主机上运行,网站虚拟主机与其他虚拟主机上运行的信息系统(其安全保护等级应不低于门户网站系统的安全保护等级)的安全隔离,以及网站虚拟主机自身安全应符合相应等级的技术要求和管理要求。

4 结语

本文在分析政府门户网站系统运行的业务信息以及系统用户的基础上,分析对这些业务信息感兴趣的攻击对象,从这些攻击对象角度出发分析网站可能面临的特殊威胁及攻击,进而提出对抗这些威胁及攻击的安全保护需求。政府门户网站运营者可参考这些安全保护需求,对应采取相应的安全保护措施,从而使得我国的政府门户网站运行更加安全,抵御攻击能力更强。

[1] 中央办公厅,国务院办公厅.国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号).2003.8.

[2] 公安部等四部委办.信息安全等级保护管理办法(公通字[2007]43号).

[3] 全国信息安全标准化技术委员会.GB/T 22239－2008,信息系统安全等级保护基本要求[S].中国:中国国家标准化管理委员会,2008.

[4] 全国信息安全标准化技术委员会.GB/T 28448－2012,信息系统安全等级保护测评要求[S].中国:中国国家标准化管理委员会,2012.

Analysis on Infosec Requirement of Classified Protection for Government Portal Site

YUAN Jing1,REN Wei－hong1,TAD Yuan1,WANG Li－le1,SHANG Xu－guang11,WANG Ning1,ZHANG Wei2
(1The Third Institute of the Ministry of Public Security,Beijing 100142,China;2No.3 Detachment of Internet Survilliance,Tianjin Public Security Bureau,Tianjin 300020,China)

Government portal sites are often heavily attacked by hostile forces from foreign countries.The features of government portal sites and the characteristics of attackers are analyzed,and based on this,the possible threats and attacks could be determined and thus the specific protection requirements may proposed.This paper may serve as a reference for those organizations in protecting their information systems security.

government portal site;classified protection of information security;protection requirement

TP39

A

1009－8054(2015)01－0112－04

2014－11－15

袁 静(1977—),女,硕士,副研究员,主要研究方向为信息安全等级保护;

任卫红(1963—),女,辽宁,副研究员,硕士,主要研究方向为网络信息安全技术、安全评估;

陶 源(1981—),男,江苏,博士,主要研究方向为信息安全、等级保护;

王李乐(1983—),男,安徽,助理研究员,硕士,主要研究方向为安全评估、渗透测试;

尚旭光(1978—),男,河北,助理研究员,学士,主要研究方向为安全评估、渗透测试;

王 宁(1979—),女,黑龙江,助理研究员,主要研究方向为信息安全服务、等级保护;

张 伟(1983—,男,天津,工程师,硕士,主要研究方向为网络安全。■