基于广西动物防疫物资信息管理系统风险评估概述

韦芳 钟华训 甘海霞 赵子欣 周媛 郑敏

（广西壮族自治区动物疫病预防控制中心，广西 南宁 530001）

开展广西动物防疫物资信息管理系统风险评估（以下简称风险评估）是非常重要的，这是我中心信息安全防护工作的重要内容之一，与信息安全检查、信息系统等级保护测评内容相互关联，从风险管理的角度分析系统面临的威胁和脆弱性，根据可能造成的损害程度对风险类型评定相应等级，针对性地提出防护对策和整改措施，将风险级降低或控制在可接受范围内［1］。本文对风险评估方法、风险评估步骤、风险要素识别、风险评估关键内容进行叙述，提出安全防护建议，为后续开展信息管理系统等级保护测评提供参考。

广西动物防疫物资信息管理系统（简称动物防疫物资系统）是用于全区各级动物疫病防控机构管理动物疫苗、应急防护物资、动物标识、诊断试剂等动物防疫物资的信息化仓库管理平台。系统主要有疫苗模块和耳标模块。疫苗模块用于管理自治区、市、县/区、乡镇等各级间发放动物疫苗、应急物资、诊断试剂等防疫物资；耳标模块用于管理各县/区将政府采购标识入库、调拨出库给乡镇，乡镇向养殖企业、防疫员发放标识。动物防疫物资系统采用B/S架构，基于大型数据库系统和NET4.0技术开发，配有浏览器访问端和手机App用户端，两端数据可实时传送，共有2966用户。物资管理员在系统操作入库、出库、发放等工作流程即可生成相应的台账，减少出错率；同时方便管理部门实时检查动物防疫物资储备和下拨情况，提高整体的工作效率［2］。动物防疫物资系统的使用给工作带来便利的同时，系统安全也成为不可忽视的问题。一旦系统关键信息泄露或遭受恶意攻击可能会导致信息系统瘫痪、业务中断、数据丢失、数据泄露，造成严重社会影响及经济损失，严重损害公共利益。动物防疫物资系统风险评估主要从系统的建设、运行、维护等方面的安全保障情况进行评估，以准确了解机房物理环境、电源系统、网络设备、安全设备、终端设备、服务器系统、业务系统、管理制度等安全现状，分析系统潜在的安全风险，及时掌握已知的风险、预测未知的风险，以针对性地制定网络和系统的安全策略及安全解决方案，形成科学、规范、有效的网络信息安全管控体系。

1 风险评估概述

1.1 风险评估方法

选择适合的风险评估方法对正确评估系统风险至关重要［3］。按照描述方式的不同可将风险评估分为以下三种：一是定性评估法。在公认的理论基础上，以评估要素高低程度来评定等级。该方法的优点是无需精确量化具体数值，易于定位风险领域，相关操作简单易行。但其缺点在于对评估者要求较高，评估结论带有主观性，难以反映实际风险与安全情况。二是定量评估法。对标准的数值进行评估测算，将量化的数值进行加工处理、建立模型，测算量化后的风险数值，以确定风险发生的概率，最终综合评定得出结论。该方法的优点是通过直观数据进行评定，结果科学严谨、具有对比性。其不足体现在于被评估系统的复杂程度完全量化不易实现，数据来源可靠性不高。三是综合评估法。将定性评估法与定量评估法相结合的方法，按实际需求采用定性评估法与定量评估法中的要素进行赋值，综合测算分析评估内容，最终得出评估结论。常见的风险评估综合评估法有层次分析法、模糊综合评价法［4］。动物防疫物资系统风险评估内容比较复杂，有些评估要素可用量化分析，有些要素难以采用量化进行分析，单独采用定性评估法或定量评估法难以做到结果客观、科学、准确反映实际风险，因此评估小组确定采用的是综合评估法。

1.2 风险评估步骤

1.2.1 准备阶段

组建评估小组成员，为确保评估有效性进行系统前期调研等准备工作，制定方案确定评估依据、目标、范围、方法、周期等内容。

1.2.2 开展安全访谈

评估技术人员与动物防疫物资系统业务管理员、网络运维、系统运维、机房运维等进行信息安全相关的访谈，查阅信息系统安全设计方案、运行日志、管理制度及相关维护文件记录等材料，对信息系统安全管理进行综合了解以便分析和发现可能存在的管理缺陷、漏洞。

1.2.3 开展风险要素识别分析

进行资产调查，梳理系统相关资产并列明清单，围绕资产分析依存的威胁、脆弱性和风险，分析相关风险可能会对信息系统造成的影响和损失，确认是否进行降低风险或相关安全处置措施［5］。

1.2.4 开展渗透测试

通过渗透测试，检查主机、用户、网络和应用端等可能隐含的安全风险。

1.2.5 开展安全检查

检查用户、网络、主机和应用等是否存在的错误配置、登录弱口令、显示最后登录的用户名、无超时登录退出、无可信验证等问题。

1.2.6 编制风险评估报告

总结风险评估工作，详细说明评估过程、方法、步骤、风险结果分析、系统安全加固整改建议等内容。

1.3 风险要素识别

按照《信息安全技术 信息安全风险评估实施指南》（GB/T 31509—2015）［6］和相关风险评估流程，评估技术人员对评估范围内的信息系统相关资产的价值、脆弱性和面临的威胁、存在风险和安全防护措施等内容进行逐项分析与比对，结合动物防疫物资系统的运行现状进行识别分析，风险评估分析原理见图1。

图1 风险评估分析原理图

1.4 风险评估关键内容

1.4.1 资产分析

资产主要包括硬件、软件、维护、管理制度、管理人员五大类。（1）硬件类包括机房环境（机柜、UPS、门禁系统、监控系统、精密空调、消防设备等）、网络设备（光纤线路、路由器、交换机等）、安全设备（防火墙、入侵检测、入侵防范、安全审计服务器等）、存储设备（磁盘阵列、硬盘、移动硬盘等）、计算机设备（数据库服务器、电脑、打印机、其他终端等）；（2）软件类包括操作系统软件、数据库、安全控制软件（防病毒、中间件、补丁等）；（3）维护类包括设备保养维护服务、网络维护服务等；（4）管理制度类包括网络信息安全管理体系（含安全管理机构、安全管理制度、机房管理制度、设备安全管理制度、系统安全管理制度、人员管理制度等20项管理制度）、文档记录（运行维护文档、重要事项记录、安全培训资料等）；（5）管理人员主要是网络信息安全领导小组成员、业务系统管理员、网络管理员、安全管理员、审计管理员、其他具体负责信息的工作人员。

根据资产的保密性、完整性、可用性和重要性来划分，标识为很低、低、中等、高、很高五个等级，赋值1、2、3、4、5分别代表对应等级，分值代表该资产的重要性等级，级别越高代表该资产越重要［7］。评定分值见表1至表4。

表1 资产赋值及重要性等级评定表

表3 管理人员资产赋值及重要性等级评定表

表4 应用系统资产赋值及重要性等级评定表

1.4.2 威胁分析

威胁来源可能来自于环境、管理、人员、系统等方面。环境威胁可能是突发自然灾害造成电源、网络中断、设备运行异常等情况。管理威胁可能是制度体系不健全，安全管理人员疏忽大意，突发紧急情况没有应急预案措施造成业务长时中断或其他更严重的影响。人员威胁可能是非法入侵用户窃取信息、泄露数据、植入木马勒索病毒、篡改系统信息等直接或间接危害系统安全的情况，也可能是合法用户工作疏忽大意或责任心不足，滥用权限给非法用户可乘之机。系统威胁可能是未及时更新设备或组件，未及时修复漏洞、进行合规的安全配置导致安全隐患的发生。按照威胁出现从低到高的频率划分为很低、低、中等、高、很高，等级赋值对应是1、2、3、4、5，等级数值越大，代表该威胁发生的频率越高，等级数值越小代表威胁出现的频率较小或极小。

项目组人员采用了安全访谈、安全检查和安全测试进行数据采集。首先，使用信息安全访谈表进行信息安全访谈，并对访谈内容进行记录；其次，参考访谈的情况，有针对性地进行信息安全配置检查，并对问题进行记录；再次，进行主机网络、应用系统的扫描检测；最后，根据这些工作汇总得出威胁数据，并把威胁数据进行分类列出。评定赋值见表5。

表5 威胁赋值表

1.4.3 脆弱性分析

脆弱性识别主要体现在网络环境、机房环境、系统运行、管理等方面。（1）网络环境脆弱性在于没有部署可信验证的设备或组件，IP地址划分不合理，网络设备未关掉不必要的服务和相关参数配置不合理等。（2）机房环境分区不规范，门禁系统、消防系统、供电系统存在安全隐患等。（3）系统远程控制未采用SSL保证数据传输完整性，未设置登录口令周期与复杂性，没有登录失败处理功能，没有启用日志审计功能，没有定期扫描系统，不及时升级补丁、修复漏洞等。（4）管理制度不完善，日常维护不规范，操作过程无记录，没有定期举行安全培训和应急演练与灾难恢复。这些脆弱性很容易使系统资产安全受到威胁，导致信息安全事件的发生。脆弱性赋值标识分为五个级别：很低、低、中等、高、很高，等级赋值对应为1、2、3、4、5，等级数值越大，脆弱性严重程度越高。相关评定赋值见表6。

表6 资产脆弱性识别结果汇总表

1.5 漏洞扫描

使用绿盟科技“远程安全评估系统”专业漏洞扫描器分别对系统主机、网页应用端和网络进行扫描，从风险分布、漏洞风险类别、主机风险信息、站点风险信息、漏洞信息、配置信息、脆弱账号七个方面进行分类统计，将扫描获取的风险信息进一步分析测试，按照整改提示逐项修改、升级补丁、修复漏洞，将系统配置不合规的问题及时进行安全加固整改，最终扫描主机、应用端、网络的安全等级为非常安全。

1.6 风险分析

评估项目组采用定性与定量相结合的综合评估法进行风险评估测评，发现动物防疫物资系统存在的风险主要有安全管理、网络安全、系统软件方面的问题。（1）安全管理方面主要包括管理制度不完善，管理人员配备不足，重要操作无审批记录材料，无系统维护过程材料记录，缺乏对系统安全管理的规定，无系统维护手册和重要操作规程。（2）网络安全方面主要包括外联区、办公区、安全管理区防火墙存在部分访问控制没有明确目的端口，网络关键节点没有配置病毒防护策略，没有部署基于可信验证的设备和组件，无入侵防范对终端接入方式或网络地址范围进行限制。（3）系统软件方面主要包括无定期漏洞扫描，无安装恶意代码防范软件，未卸载或禁用非系统运行必需的软件，未关闭不需要的服务、默认共享和高危端口，无登录失败锁定功能，系统服务器、数据库、业务终端存在弱口令登录情况，未使用策略进行限制用户修改弱口令、密码使用周期。这些威胁与脆弱点很容易被非法入侵者攻击，导致数据丢失或者数据泄露，严重损害系统安全运行和网络秩序。

1.7 评估结论

本次动物防疫物资系统风险测评等级是低风险。开展信息系统风险评估是我中心信息安全管理工作建立过程中非常重要的决策参考依据，也是信息系统风险管控的重要环节。以开展本次风险评估为契机，我中心对动物防疫物资管理信息系统的安全需求、安全现状有了进一步认识，现已补充完善系统总体安全方针策略，制定涵盖系统安全规范、网络安全管理规范、网络与信息安全应急预案等20项管理制度的网络信息安全手册，发布正式文件成立网络与信息安全领导小组，任命信息系统相关管理人员，明确职责和工作划分；安装恶意代码防范软件，升级补丁、修复系统存在的漏洞，使用策略来强制限制密码长度和复杂性降低相关风险项，加强防范已知或未知的安全风险，在实践检验中逐步走向规范化。

2 动物防疫物资系统安全防护建议

定期开展系统风险评估和等级保护测评。根据测评结果修订总体安全策略等制度和相关配套文件，采取升级部署防护设备、修复系统漏洞、升级补丁等措施强化动物防疫物资系统的主动防御能力，提高防疫物资系统业务安全、信息安全。

定期开展学习与培训。每年至少组织一次重要信息系统开发工作人员、维护工作人员学习安全编码、恶意攻击防御等信息安全相关内容的培训，避免漏洞的引入。每年开展应急演练与网络信息安全培训，重点培训网络管理员、系统管理员、安全管理员等系统管理相关工作人员，提高技术人员应对紧急故障处置能力。

加强系统安全管理。在服务器上安装恶意代码防范软件和端口扫描软件，定期检查恶意代码库升级情况，使用策略强制限制密码长度、复杂性和使用周期，在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证系统安全。

开展源码安全审计。系统升级或新开发上线之前进行源码审计，编码要符合畜牧兽医行业信息化技术规范。