導(dǎo)語：解析電子政務(wù)體系信息安全檢測(cè)一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

l電子政務(wù)系統(tǒng)安全綜述

21世紀(jì)足信息化的時(shí)代，信息化覆蓋面廣、滲透力強(qiáng)、帶動(dòng)作用明顯，是推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展和變革的重要力量，已成衡量一個(gè)國(guó)家或地區(qū)經(jīng)濟(jì)發(fā)展和社會(huì)文明進(jìn)步的重要標(biāo)志。電子政務(wù)足社會(huì)信息化發(fā)展的必然，發(fā)展電子政務(wù)對(duì)加快轉(zhuǎn)變政府職能，提高行政效率，增強(qiáng)政府社會(huì)管理和公共服務(wù)能力，具有重大的推動(dòng)作用，同時(shí)也是全面貫徹黨的十七大精神，深入落實(shí)科學(xué)發(fā)展觀的重大舉措。隨著電子政務(wù)的發(fā)展和人們對(duì)信息依賴程度的逐步提高，電子政務(wù)的安全問題也越來越突出，電子政務(wù)系統(tǒng)中被發(fā)現(xiàn)的安全漏洞越來越多，針對(duì)政府電子政務(wù)系統(tǒng)的攻擊更是層出不窮。隨著經(jīng)濟(jì)的發(fā)展政府在電子政務(wù)系統(tǒng)的投入也在不斷增多，我國(guó)的電子政務(wù)發(fā)展口新月異，在軟硬件建設(shè)上已初具規(guī)模，但是大部分電子政務(wù)系統(tǒng)都是重建設(shè)、輕安全，系統(tǒng)建設(shè)完成后對(duì)系統(tǒng)的安全性還不能做到心中有數(shù)。進(jìn)行電子政務(wù)系統(tǒng)安全測(cè)評(píng)是掌握已投入使用的電子政務(wù)系統(tǒng)安全性的必要手段。那么如何系統(tǒng)科學(xué)地開展電子政務(wù)系統(tǒng)的安全測(cè)評(píng)工作呢?本文正是圍繞這個(gè)問題對(duì)電子政務(wù)系統(tǒng)安全測(cè)評(píng)的諸多方面進(jìn)行研究分析的。

2測(cè)評(píng)方法研究

在電子政務(wù)系統(tǒng)的安全測(cè)評(píng)中，擺在我們面前的測(cè)評(píng)對(duì)象往往是一個(gè)龐大的、錯(cuò)綜復(fù)雜的信息系統(tǒng)，因此采用解決系統(tǒng)復(fù)雜性的科學(xué)方法是做好電子政務(wù)系統(tǒng)安全測(cè)評(píng)的必然選擇。舉例來說，如果沒有當(dāng)年的系統(tǒng)科學(xué)工程都江堰，就不會(huì)有現(xiàn)。。在富饒的天府之國(guó)。都江堰水利工程在2008年經(jīng)歷了“5．12”汶川8級(jí)毀滅性的大地震之后，損失甚微，這非常值得我們深思。都江堰“治水”工程中的系統(tǒng)科學(xué)方法之思想，與我們今天的“治信息”的思想有著異曲同工之妙。

電子政務(wù)系統(tǒng)安全測(cè)評(píng)工作的最大特征就是要求瀾評(píng)工程師具有“系統(tǒng)科學(xué)”的視野和方法。在這里“系統(tǒng)科學(xué)”包括以下幾個(gè)方面的含義：

一是系統(tǒng)測(cè)評(píng)中要有嚴(yán)肅的科學(xué)精神、嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)和對(duì)標(biāo)準(zhǔn)嚴(yán)格遵守的精神。所有的測(cè)評(píng)工作都必須嚴(yán)格遵守國(guó)家有關(guān)標(biāo)準(zhǔn)規(guī)范并嚴(yán)格遵循鍘評(píng)工作流程，只有這樣才能體現(xiàn)測(cè)評(píng)結(jié)果的客觀性、科學(xué)性和公正性。

二是系統(tǒng)測(cè)評(píng)涉及到方方面面的技術(shù)，不是一個(gè)人就能完全駕馭的，從事測(cè)評(píng)工作的應(yīng)該是一個(gè)團(tuán)隊(duì)，而不是單獨(dú)的一個(gè)人，也就是說團(tuán)隊(duì)協(xié)作至關(guān)重要。

三是測(cè)評(píng)對(duì)象往往不是單一的軟件或硬件，而是一個(gè)龐大復(fù)雜而且處在不斷變化中的信息系統(tǒng)，這就決定了我們?cè)阱幵u(píng)過程中不可能僅僅使用一套軟件或是一種方法就能夠完成任務(wù)，我們需要使用系統(tǒng)科學(xué)的方法。

四是將安全測(cè)評(píng)系統(tǒng)科學(xué)的方法宣貫給被測(cè)評(píng)方的相關(guān)管理人員和技術(shù)人員，即在測(cè)評(píng)過程中要貫徹“人一機(jī)合一”的系統(tǒng)科學(xué)思想。

本文主要按照上述的系統(tǒng)科學(xué)思想對(duì)電子政務(wù)系統(tǒng)測(cè)評(píng)中標(biāo)準(zhǔn)遵守、“人一機(jī)合一”、安全控制項(xiàng)的安全測(cè)評(píng)和系統(tǒng)整體安全測(cè)評(píng)的方法進(jìn)行研究。

2．1遵守標(biāo)準(zhǔn)

標(biāo)準(zhǔn)往往只具有指導(dǎo)性而缺乏可操作性，因此要做到嚴(yán)格遵守標(biāo)準(zhǔn)就需要測(cè)評(píng)機(jī)構(gòu)應(yīng)該認(rèn)真研究信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》、《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》等信息安全測(cè)評(píng)方面的標(biāo)準(zhǔn)，將其項(xiàng)目逐一細(xì)化為可操作性強(qiáng)的作業(yè)指導(dǎo)書，并編寫各個(gè)安全測(cè)評(píng)控制項(xiàng)的安全檢查方法和測(cè)試用例。另外，溯評(píng)前應(yīng)制定測(cè)評(píng)計(jì)劃和測(cè)評(píng)實(shí)施方案等文件。

2．2安全控制測(cè)評(píng)

系統(tǒng)中的各種安全控制(如數(shù)據(jù)安全控制、主機(jī)安全控制、網(wǎng)絡(luò)安全控制以及應(yīng)用安全控制等方面的配置情況和其有效性進(jìn)行訪談、檢查和測(cè)試)，是電子政務(wù)系統(tǒng)安全的基石，對(duì)電子政務(wù)安全控制的溯評(píng)也是對(duì)系統(tǒng)整體測(cè)評(píng)的基礎(chǔ)。

安全控制測(cè)評(píng)的具體方法是訪談、檢查和測(cè)試。訪談是指測(cè)評(píng)工程師通過與被測(cè)評(píng)方的相關(guān)管理和技術(shù)人員進(jìn)行交流和討論，獲取能夠證明系統(tǒng)安全措施有效的證據(jù)。檢查是指測(cè)評(píng)工程師通過對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)和分析等活動(dòng)，獲取能夠證明系統(tǒng)安全措施有效的證據(jù)。測(cè)試是指測(cè)評(píng)工程師按照作業(yè)指導(dǎo)書和測(cè)試用例對(duì)測(cè)評(píng)對(duì)象進(jìn)行輸入的活動(dòng)，然后查看分析輸出結(jié)果，獲取能夠證明系統(tǒng)安全措施有效的證據(jù)。

測(cè)評(píng)工作完成后應(yīng)當(dāng)出具一個(gè)包括訪談、檢查和測(cè)試的整體測(cè)評(píng)技術(shù)報(bào)告。其中訪談部分的內(nèi)容可以貫穿到報(bào)告的其他方面檢查報(bào)告至少要包括檢查對(duì)象、檢查目標(biāo)、檢查環(huán)境、檢查方案、檢查步驟、檢查結(jié)論和檢查人員時(shí)間等內(nèi)容；測(cè)試報(bào)告應(yīng)該至少應(yīng)包括以下內(nèi)容：測(cè)試對(duì)象、測(cè)試目標(biāo)、測(cè)試環(huán)境、溯試方案、測(cè)試步驟、測(cè)試分析、測(cè)試結(jié)果和測(cè)試人員時(shí)間等。

2．2．1數(shù)據(jù)安全測(cè)評(píng)

數(shù)據(jù)安全測(cè)評(píng)主要從數(shù)據(jù)的完整性、保密性、可用性和數(shù)據(jù)備份與災(zāi)難恢復(fù)四個(gè)方面來考慮，在測(cè)評(píng)過程中應(yīng)盡可能的使用硬件或軟設(shè)備來輔助工作，這樣不僅可以提高測(cè)評(píng)效率，還有助于提高測(cè)評(píng)結(jié)果的準(zhǔn)確性。如我們可以使用Sentinel工具來幫助我們完成數(shù)據(jù)完整性檢查和測(cè)試，檢查主機(jī)足否配備了檢測(cè)程序完整性受到破壞的功能，并能夠在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施；可以使用Wireshark、Sniffer等軟件來進(jìn)行數(shù)據(jù)保密性測(cè)試。

2．2．2主機(jī)安全測(cè)評(píng)

根據(jù)相關(guān)國(guó)家標(biāo)準(zhǔn)主機(jī)安全測(cè)評(píng)包含8個(gè)主要環(huán)節(jié)，分別為身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制。主機(jī)安全測(cè)評(píng)的3種主要手段是安全訪談?wù){(diào)研、主機(jī)安全現(xiàn)場(chǎng)檢查、主機(jī)安全措施有效性測(cè)試。

2．2．3網(wǎng)絡(luò)安全測(cè)評(píng)

網(wǎng)絡(luò)安全測(cè)評(píng)的主要方面也可以歸結(jié)為8個(gè)環(huán)節(jié)，即結(jié)構(gòu)安全與網(wǎng)段劃分、網(wǎng)絡(luò)訪問控制、撥號(hào)訪問控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防范、惡意代碼防范、網(wǎng)絡(luò)設(shè)備防護(hù)。測(cè)評(píng)方法也是對(duì)上述8個(gè)方面，利用訪談、檢查和測(cè)試等手段進(jìn)行分析。

2．2．4應(yīng)用安全測(cè)評(píng)

從目前信息系統(tǒng)安全漏洞統(tǒng)計(jì)來看，應(yīng)用服務(wù)漏洞比例占據(jù)了80％。應(yīng)用服務(wù)是整個(gè)信息系統(tǒng)的靈魂。伴隨著應(yīng)用服務(wù)功能的多樣化，其存在的漏洞可能性就越多，因此應(yīng)用安全測(cè)評(píng)是整個(gè)系統(tǒng)安全測(cè)評(píng)的重中之重。應(yīng)用服務(wù)安全常規(guī)的測(cè)評(píng)對(duì)象主要由以下9個(gè)環(huán)節(jié)組成，分別是身份鑒別、訪問控制、安全審計(jì)、剩余信息保護(hù)、通信完整性、通信保密性、抗抵賴、軟件容錯(cuò)和資源控制。對(duì)于以上內(nèi)容的測(cè)評(píng)方式，可以采用前期訪談分析、現(xiàn)場(chǎng)檢查應(yīng)用配置安全和工具檢測(cè)測(cè)評(píng)等手段。

2．3系統(tǒng)整體測(cè)評(píng)

系統(tǒng)整體測(cè)評(píng)，以安全控制測(cè)評(píng)為基礎(chǔ)，主要測(cè)評(píng)分析信息系統(tǒng)的整體安傘性，系統(tǒng)整體測(cè)評(píng)涉及到信息系統(tǒng)的整體拓?fù)?、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個(gè)性。

安全控制間安全測(cè)評(píng)是指測(cè)評(píng)分析在同一區(qū)域和層面內(nèi)兩個(gè)或者兩個(gè)以上不同安全控制之間由于存在連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系而產(chǎn)生的安全功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用對(duì)信息系統(tǒng)整體安全保護(hù)能力的影響。

層面間安全測(cè)評(píng)是指測(cè)評(píng)分析在同一區(qū)域內(nèi)兩個(gè)或者兩個(gè)以上不同層面之間由于存在連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系而產(chǎn)生的安全功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用對(duì)信息系統(tǒng)安全保護(hù)能力的影響。

區(qū)域間安全測(cè)評(píng)是指測(cè)評(píng)分析兩個(gè)或者兩個(gè)以上不同物理邏輯區(qū)域之問由于存在連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系產(chǎn)生的安全功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用對(duì)信息系統(tǒng)安傘保護(hù)能力的影響。

全面地給出系統(tǒng)整體測(cè)評(píng)要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。測(cè)評(píng)工程師應(yīng)根據(jù)特定信息系統(tǒng)的具體情況，在安全控制測(cè)評(píng)的基礎(chǔ)上，重點(diǎn)考慮不同安全控制之間、安全層而之間以及不同安全區(qū)域之間的相互關(guān)聯(lián)關(guān)系，發(fā)掘這些因素之間相互影響和帶來的安全漏洞。在本文中我們以滲透測(cè)試為例來闡述系統(tǒng)整體測(cè)評(píng)。滲透測(cè)試可以通過某一個(gè)安全區(qū)域(或安全控制或安全層面)為立足點(diǎn)，通過獲取操作權(quán)限，占領(lǐng)主機(jī)并以此為跳板滲透到其他區(qū)域(或安全控制或安全層面)，因此滲透測(cè)試不失為系統(tǒng)整體測(cè)試的一種好方法。

滲透測(cè)試(penetrationtest)作為一種非常規(guī)測(cè)評(píng)方法，任得到授權(quán)后，以黑客使用的工具、技術(shù)和攻擊手段為主，對(duì)目標(biāo)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)等進(jìn)行非破壞性入侵，使用不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測(cè)試，從而發(fā)現(xiàn)系統(tǒng)存在的安全隱患，檢驗(yàn)業(yè)務(wù)系統(tǒng)的安全防護(hù)措施是否有效，各項(xiàng)安全策略是否得到貫徹落實(shí)。滲透測(cè)試的過程是一個(gè)層疊、循序漸進(jìn)的過程，其測(cè)試手段具備多樣化、偶然性、累積性、針對(duì)性強(qiáng)的特點(diǎn)。

滲透測(cè)試作為安全測(cè)評(píng)中的一項(xiàng)重要環(huán)節(jié)，其意義主要有如下兩種：

(1)凸現(xiàn)最嚴(yán)重的安傘問題。滲透測(cè)試通過各種手段搜集獲取的信息池，分析建立系統(tǒng)薄弱環(huán)節(jié)，通過利用漏洞達(dá)到入侵目的，驗(yàn)證了系統(tǒng)嚴(yán)重的安全問題。

(2)突出信息安全測(cè)評(píng)重要性。滲透測(cè)試以最直觀的形式，以即在事實(shí)證據(jù)向被評(píng)估單位提供安全漏洞的潛在威脅風(fēng)險(xiǎn)，起到震撼效果，消除了部分人員對(duì)安全測(cè)評(píng)工作重要性輕視和質(zhì)疑。

2．4“人一機(jī)合一”

我們?cè)跍y(cè)評(píng)過程中發(fā)現(xiàn)有些被測(cè)評(píng)方的管理人員和技術(shù)人員對(duì)操作系統(tǒng)安全配置不屑一顧，他們沒有認(rèn)識(shí)到信息安全遵循的“木桶原理”，即系統(tǒng)安全與否主要取決于“最短板”。不法人員往往就是利用系統(tǒng)的短板來進(jìn)行攻擊和滲透。因此在測(cè)評(píng)過程中應(yīng)該與被測(cè)評(píng)方進(jìn)行充分有效的溝通和交流，這樣我們的安全防范能力才能有所提高。

3結(jié)語

信息網(wǎng)絡(luò)安全技術(shù)測(cè)砰是電子政務(wù)系統(tǒng)安全測(cè)評(píng)的重要手段，許多安全控制項(xiàng)都必須借助于技術(shù)手段來實(shí)現(xiàn)，但是單獨(dú)依靠技術(shù)測(cè)評(píng)還不能全面系統(tǒng)的分析電子政務(wù)系統(tǒng)的安全。實(shí)踐經(jīng)驗(yàn)證明，僅有安全技術(shù)防范，而無嚴(yán)格的安全管理體系是難以保障系統(tǒng)的安全的。因此在測(cè)評(píng)中我們必須對(duì)被測(cè)評(píng)方制訂的一系列安全管理制度進(jìn)行測(cè)評(píng)。信息安全管理的測(cè)評(píng)可以單獨(dú)進(jìn)行也可以穿插到技術(shù)測(cè)評(píng)當(dāng)中。

隨著信息技術(shù)的發(fā)展，信息安全測(cè)評(píng)工程師面臨越來越多的挑戰(zhàn)，為提高測(cè)評(píng)能力和效率，應(yīng)充分的發(fā)揮主觀能動(dòng)性，利用各種現(xiàn)有的各種安全測(cè)試工具，開發(fā)安全測(cè)試工具、報(bào)告生成工具等。信息安全測(cè)評(píng)機(jī)構(gòu)以及電子政務(wù)系統(tǒng)的運(yùn)行、維護(hù)方必須共同努力，為我國(guó)的信息化發(fā)展保駕護(hù)航。