福建省地震局门户网站等级保护测评

林加宝，王启东，邵平荣，戴丽金，陈栅桦

（1.福建省地震局信息中心，福州 350000；2.福建地震台，福州 350000；3.福建省地震局泉州基准地震台，福建 泉州 362000）

福建省地震局门户网站是由福建省地震局信息网中心申请立项，福建省地震局批复同意建设的。目前该系统由福建省地震局信息中心负责运行维护管理运营。福建省地震局门户网站是福建省地震局面向互联网上的所有用户服务的信息网站。该网站依托互联网，向社会公众提供各类防震减灾综合信息服务及地震科普知识宣传教育等内容，包括政府信息公开、政务信息、行业动态、震情快讯、地震科普和在线留言等综合服务。福建省地震局门户网站主要由网站系统和后台数据库系统组成。网站服务器部署在福建省地震局局域网防火墙的DMZ区（隔离区），通过单位统一的100 M光纤宽带接入互联网，在福建省地震局区域骨干局域网与互联网边界，部署了2台深信服防火墙，作为边界网关防护设备，与此同时还串连圣博润WAF（网站应用级入侵防御系统）墙进行安全防护。在DMZ区部署了3台DELL机架式服务器作为网站的服务器。门户网站系统网络结构拓扑图如图1所示。

图1 福建省地震局门户网站网络结构拓扑图

1 测评内容

福建省地震局委托福建省公安厅下属有测评资质的公司进行本次测评工作，最终由福建省网络与技术安全测评中心对福建省地震局门户网站进行了系统安全等级测评工作。福建省地震局门户网站是福建省地震局对外的窗口，对安全性要求比较高，经过专家多次认证决定进行三级等级保护测评，本次福建省地震局门户网站安全评测的范围主要包括福建省地震局门户网站的物理环境、服务器主机、网络设备、安全设备、业务应用系统、安全管理制度和人员等方面内容。等级保护测评通过静态评估、现场测评和综合评估等相关环节来完成[1-3]，从物理安全、网络安全、主机安全、应用安全、数据安全与备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等方面对福建省地震局门户网站进行综合测评[4-5]。

2 测评目的

等级保护测评的目的是通过对福建省地震局门户网站在安全技术与管理等方面进行安全评估测试，从而对福建省地震局门户网站系统的安全技术状态与安全管理状况作出初步判断，给出门户网站系统在安全技术与安全管理等方面与三级安全等级保护系统的要求之间的差距。等级保护评测结论作为福建省地震局门户网站进一步完善系统安全策略和安全技术防护措施的依据。为进一步提高福建省地震局门户网站安全保障能力，根据《信息安全等级保护管理办法》的精神，福建省地震局对门户网站进行三级等级保护测评，以期发现门户网站系统和等级保护标准的差距和存在的安全隐患，为后续的安全整改工作提供参考和依据[6]，从而提高福建省地震局门户网站安全防护能力。

3 测评过程

本次等级测评过程主要经历4个阶段：测评准备阶段、方案编制阶段、现场测评阶段，以及报告编制阶段，具体详细过程如图2所示。

图2 等级保护测评工作的流程图

测评准备阶段主要做了3件事情，首先是召开了工作启动会议，确定了大概的工作方案及工作人员名单；其次是对需要测评的系统做了一个信息收集和分析。最后确定了需要准备的工具和表单。

方案编制阶段：首先完成了测评对象和测评指标的确定；而后确定测评内容和测评工具、方法；最后开发测评指导书和编制测评方案[7]。

现场测评阶段：福建省网络与信息安全测评中心共来4个人，其中1人负责文档资料这一块的检查，其中1人负责门户网站系统和数据库检查，另外1人负责网络和安全设备的检查，最后1个组长负责协调整个测评过程，包括现场测评环境搭建，现场测评结果记录、测评结果记录的确认及相关资料归还等工作[8]。福建省地震局信息中心网络信息室也有4个人和网络与信息安全测评中心测评人员对接测评，从而在1 d内顺利完成了现场测评工作。

报告编制阶段：现场测评结束后，网络与信息安全测评中心测评人员会对单项测评结果进行判定及单元测试结果进行判定，而后对整体进行测评，系统安全保障评估、安全问题风险分析和主要存在的安全问题及整改意见，最后完成等级测评结论的形成及最终测评报告的编制。完成测评报告编制意味着整个测评过程的结束。

4 测评结果

通过对门户网站信息系统基本安全保护状态的分析，福建省地震局针对福建省地震局门户网站面临的主要安全威胁采取了相应的安全机制，以下方面基本达到了保护信息系统重要资产的作用。

（1）在安全责任制方面。福建省地震局成立了指导和管理网络安全工作的领导小组，领导小组的组长由单位负责人担任；设立网络安全管理工作的职能部门和各业务科室岗位人员，并设定各岗位负责人所承担的职责，针对重要系统变更、操作及系统接入等事项建立了审批流程[9]，同时积极参与内外部的沟通协作，共同解决信息安全问题，安全审查和检查工作也按照国家和行业标准对信息安全等级保护的要求顺利开展。

（2）在管理制度体系方面，福建省地震局制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等；在安全管理制度方面具备较为完善的规划，建立了日常操作的操作规程，构成了较为完整的安全管理制度体系。

（3）在基础设施与网络环境方面，提供了对登录操作系统和数据库系统的用户采用用户名与口令方式进行身份鉴别，且口令具有复杂度，具有登录失败处理功能；当对服务器进行远程管理时，采取了防止鉴别信息在网络传输过程中被窃听的措施，为操作系统和数据库系统的不同用户分配不同的用户名，不存在多余的、过期的账户，审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户，审计进程受保护不会中断。

（4）在安全控制措施方面，业务高峰期的流量值小于核心网络设备和边界网络设备的业务处理性能；在网络边界部署有访问控制设备，并根据系统的应用需求启用了相应的访问控制功能，控制粒度为端口级；网络边界处的入侵检测系统可以监视端口扫描、强力攻击、木马后面攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫等[10]。

（5）在系统边界方面，该单位保证跨越式边界的访问和数据流通过边界设备提供的受控接口进行通信；删除多余无效的访问控制规则并优化访问控制列表，从而保证访问控制规则尽量不重复多余；并在关键网络节点处检测、防止外部发起的网络攻击行为。

（6）在数据保护方面，设备配置更改时备份，每天进行备份，备份介质场外存放。

（7）在应用安全方面，基于榕基RJ-CMS内容管理系统V2.3设置了登录模块，且该登录模块对口令长度和复杂度做了相应要求，采用登录验证码等措施防止非法用户进行暴力破解；针对权限具有较好的控制措施，能够正确实施对资源的访问控制；系统的审计日志覆盖比较全面，审计内容较为完善，无法被删除、修改或覆盖，有专门的审计模块可以进行统计、查询、分析或生成报表；福建省地震局门户网站服务器系统采用多服务器集群部署的方式，能够较好地保障系统的稳定运行。

（8）在系统规划与建设方面，福建省地震局已对系统开展了定级备案工作并对信息系统开展等级测评工作；信息安全等级测评工作选择了具有合格资质的公司开展测评工作；根据系统的安全保护等级选择了基本安全措施，考虑了安全技术框架、安全策略、总体建设规划和详细设计方案，并形成相关文件；产品采购根据国家采购相关规定的工作流程方法进行，确保从产品选型、工程实施到系统交付工作符合信息安全保护的国家标准和行业标准。

（9）在系统运维管理方面，建立了机房安全管理制度，由机房安全管理人员对机房设备的运维、物品与人员的出入和环境安全等工作进行管理；信息处理设备不允许带离机房或办公地点，因工作需要确实需要带离的，需经过相关领导批准才可带离；网络设备在更新前都必须对设备的配置进行备份；对系统变更等重要操作，开展变更审批流程化管理，重要变更通过主管领导批准方可实施；相关领导部门还制定了安全事件报告和处置管理制度，明确安全事件的类型，确定事件的报告流程，根据安全事件制定了不同的应急预案，并定期对各类应急预案开展培训和演练。

通过对福建省地震局门户网站进行细致测评分析，也发现了一些其他问题，主要表现在如下几个方面。

（1）安全物理环境方面。机房窗户、屋顶和墙壁未采取防水或防潮措施，存在渗水安全隐患，不利于设备安全可靠稳定的运行，机房未配备防静电手环、静电鞋套或静电消除器防止静电的产生，静电未消除会给机房内设备、存储介质和线缆等带来不小的安全隐患。

（2）安全网络通信方面。网络拓扑结构存在单点故障，关键设备交换机、防火墙未采用双机冗余部署；应用系统未采用经国家密码管理局认可的密码技术进行通信保密性验证，网站管理后台通过明文传输，无加密措施。通信设备不具备可信验证能力。

（3）安全区域边界方面。系统中部署的Web应用防火墙，未设置通过邮件、短信等方式进行安全事件告警通知管理员；系统内对内网攻击行为不能很好地进行分析和检测；系统不具备基于可信根对边界设备的可信验证。

（4）安全计算环境方面。网络设备、安全设备和服务器等未对数据进行备份恢复测试；安全设备、网络设备和服务器等未限制终端管理接入地址；门户网站审计记录内容仅包含操作日志，未包含登录日志。

5 结束语

通过对信息系统基本安全保护状态分析，福建省地震局针对福建省地震局门户网站面临的主要安全威胁采取了相应的安全机制，使得信息系统重要资产得到有效的保护，福建省地震局门户网站三级等级保护测评结论为基本符合。测评符合率为78.70%，部分符合率为2.80%，不符合率为18.50%，不适用数为4，问题数总计61个，其中高风险问题数0个，中风险问题数45个，低风险问题数16个[11]；针对这些中低风险问题进行了逐一分析，能立即整改到位马上整改，暂时无法整改完成的就是相关工作人员今后工作努力的方向。通过此次等级保护测评了解了网站系统存在的薄弱环节，使福建省地震局门户网站防护水平有很大的提高，在系统防护上，特别是使事前的风险规避和事后恢复、溯源都有了很大的提高，为实现福建省地震局门户网站安全、稳定和可靠运行打下了坚实的基础。