導語：解析電子政務體系信息安全檢測一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

l電子政務系統安全綜述

21世紀足信息化的時代，信息化覆蓋面廣、滲透力強、帶動作用明顯，是推動經濟社會發展和變革的重要力量，已成衡量一個國家或地區經濟發展和社會文明進步的重要標志。電子政務足社會信息化發展的必然，發展電子政務對加快轉變政府職能，提高行政效率，增強政府社會管理和公共服務能力，具有重大的推動作用，同時也是全面貫徹黨的十七大精神，深入落實科學發展觀的重大舉措。隨著電子政務的發展和人們對信息依賴程度的逐步提高，電子政務的安全問題也越來越突出，電子政務系統中被發現的安全漏洞越來越多，針對政府電子政務系統的攻擊更是層出不窮。隨著經濟的發展政府在電子政務系統的投入也在不斷增多，我國的電子政務發展口新月異，在軟硬件建設上已初具規模，但是大部分電子政務系統都是重建設、輕安全，系統建設完成后對系統的安全性還不能做到心中有數。進行電子政務系統安全測評是掌握已投入使用的電子政務系統安全性的必要手段。那么如何系統科學地開展電子政務系統的安全測評工作呢?本文正是圍繞這個問題對電子政務系統安全測評的諸多方面進行研究分析的。

2測評方法研究

在電子政務系統的安全測評中，擺在我們面前的測評對象往往是一個龐大的、錯綜復雜的信息系統，因此采用解決系統復雜性的科學方法是做好電子政務系統安全測評的必然選擇。舉例來說，如果沒有當年的系統科學工程都江堰，就不會有現。。在富饒的天府之國。都江堰水利工程在2008年經歷了“5．12”汶川8級毀滅性的大地震之后，損失甚微，這非常值得我們深思。都江堰“治水”工程中的系統科學方法之思想，與我們今天的“治信息”的思想有著異曲同工之妙。

電子政務系統安全測評工作的最大特征就是要求瀾評工程師具有“系統科學”的視野和方法。在這里“系統科學”包括以下幾個方面的含義：

一是系統測評中要有嚴肅的科學精神、嚴謹的工作作風和對標準嚴格遵守的精神。所有的測評工作都必須嚴格遵守國家有關標準規范并嚴格遵循鍘評工作流程，只有這樣才能體現測評結果的客觀性、科學性和公正性。

二是系統測評涉及到方方面面的技術，不是一個人就能完全駕馭的，從事測評工作的應該是一個團隊，而不是單獨的一個人，也就是說團隊協作至關重要。

三是測評對象往往不是單一的軟件或硬件，而是一個龐大復雜而且處在不斷變化中的信息系統，這就決定了我們在鍘評過程中不可能僅僅使用一套軟件或是一種方法就能夠完成任務，我們需要使用系統科學的方法。

四是將安全測評系統科學的方法宣貫給被測評方的相關管理人員和技術人員，即在測評過程中要貫徹“人一機合一”的系統科學思想。

本文主要按照上述的系統科學思想對電子政務系統測評中標準遵守、“人一機合一”、安全控制項的安全測評和系統整體安全測評的方法進行研究。

2．1遵守標準

標準往往只具有指導性而缺乏可操作性，因此要做到嚴格遵守標準就需要測評機構應該認真研究信息技術安全技術信息技術安全性評估準則》、《信息安全技術信息安全風險評估規范》、《信息系統安全等級保護基本要求》、《信息系統安全等級保護測評準則》等信息安全測評方面的標準，將其項目逐一細化為可操作性強的作業指導書，并編寫各個安全測評控制項的安全檢查方法和測試用例。另外，溯評前應制定測評計劃和測評實施方案等文件。

2．2安全控制測評

系統中的各種安全控制(如數據安全控制、主機安全控制、網絡安全控制以及應用安全控制等方面的配置情況和其有效性進行訪談、檢查和測試)，是電子政務系統安全的基石，對電子政務安全控制的溯評也是對系統整體測評的基礎。

安全控制測評的具體方法是訪談、檢查和測試。訪談是指測評工程師通過與被測評方的相關管理和技術人員進行交流和討論，獲取能夠證明系統安全措施有效的證據。檢查是指測評工程師通過對測評對象進行觀察、查驗和分析等活動，獲取能夠證明系統安全措施有效的證據。測試是指測評工程師按照作業指導書和測試用例對測評對象進行輸入的活動，然后查看分析輸出結果，獲取能夠證明系統安全措施有效的證據。

測評工作完成后應當出具一個包括訪談、檢查和測試的整體測評技術報告。其中訪談部分的內容可以貫穿到報告的其他方面檢查報告至少要包括檢查對象、檢查目標、檢查環境、檢查方案、檢查步驟、檢查結論和檢查人員時間等內容；測試報告應該至少應包括以下內容：測試對象、測試目標、測試環境、溯試方案、測試步驟、測試分析、測試結果和測試人員時間等。

2．2．1數據安全測評

數據安全測評主要從數據的完整性、保密性、可用性和數據備份與災難恢復四個方面來考慮，在測評過程中應盡可能的使用硬件或軟設備來輔助工作，這樣不僅可以提高測評效率，還有助于提高測評結果的準確性。如我們可以使用Sentinel工具來幫助我們完成數據完整性檢查和測試，檢查主機足否配備了檢測程序完整性受到破壞的功能，并能夠在檢測到完整性錯誤時采取必要的恢復措施；可以使用Wireshark、Sniffer等軟件來進行數據保密性測試。

2．2．2主機安全測評

根據相關國家標準主機安全測評包含8個主要環節，分別為身份鑒別、自主訪問控制、強制訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制。主機安全測評的3種主要手段是安全訪談調研、主機安全現場檢查、主機安全措施有效性測試。

2．2．3網絡安全測評

網絡安全測評的主要方面也可以歸結為8個環節，即結構安全與網段劃分、網絡訪問控制、撥號訪問控制、網絡安全審計、邊界完整性檢查、網絡入侵防范、惡意代碼防范、網絡設備防護。測評方法也是對上述8個方面，利用訪談、檢查和測試等手段進行分析。

2．2．4應用安全測評

從目前信息系統安全漏洞統計來看，應用服務漏洞比例占據了80％。應用服務是整個信息系統的靈魂。伴隨著應用服務功能的多樣化，其存在的漏洞可能性就越多，因此應用安全測評是整個系統安全測評的重中之重。應用服務安全常規的測評對象主要由以下9個環節組成，分別是身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信保密性、抗抵賴、軟件容錯和資源控制。對于以上內容的測評方式，可以采用前期訪談分析、現場檢查應用配置安全和工具檢測測評等手段。

2．3系統整體測評

系統整體測評，以安全控制測評為基礎，主要測評分析信息系統的整體安傘性，系統整體測評涉及到信息系統的整體拓撲、局部結構，也關系到信息系統的具體安全功能實現和安全控制配置，與特定信息系統的實際情況緊密相關，內容復雜且充滿系統個性。

安全控制間安全測評是指測評分析在同一區域和層面內兩個或者兩個以上不同安全控制之間由于存在連接、交互、依賴、協調、協同等相互關聯關系而產生的安全功能增強、補充或削弱等關聯作用對信息系統整體安全保護能力的影響。

層面間安全測評是指測評分析在同一區域內兩個或者兩個以上不同層面之間由于存在連接、交互、依賴、協調、協同等相互關聯關系而產生的安全功能增強、補充或削弱等關聯作用對信息系統安全保護能力的影響。

區域間安全測評是指測評分析兩個或者兩個以上不同物理邏輯區域之問由于存在連接、交互、依賴、協調、協同等相互關聯關系產生的安全功能增強、補充或削弱等關聯作用對信息系統安傘保護能力的影響。

全面地給出系統整體測評要求的完整內容、具體實施方法和明確的結果判定方法是很困難的。測評工程師應根據特定信息系統的具體情況，在安全控制測評的基礎上，重點考慮不同安全控制之間、安全層而之間以及不同安全區域之間的相互關聯關系，發掘這些因素之間相互影響和帶來的安全漏洞。在本文中我們以滲透測試為例來闡述系統整體測評。滲透測試可以通過某一個安全區域(或安全控制或安全層面)為立足點，通過獲取操作權限，占領主機并以此為跳板滲透到其他區域(或安全控制或安全層面)，因此滲透測試不失為系統整體測試的一種好方法。

滲透測試(penetrationtest)作為一種非常規測評方法，任得到授權后，以黑客使用的工具、技術和攻擊手段為主，對目標網絡和應用系統等進行非破壞性入侵，使用不影響業務系統正常運行的攻擊方法進行的測試，從而發現系統存在的安全隱患，檢驗業務系統的安全防護措施是否有效，各項安全策略是否得到貫徹落實。滲透測試的過程是一個層疊、循序漸進的過程，其測試手段具備多樣化、偶然性、累積性、針對性強的特點。

滲透測試作為安全測評中的一項重要環節，其意義主要有如下兩種：

(1)凸現最嚴重的安傘問題。滲透測試通過各種手段搜集獲取的信息池，分析建立系統薄弱環節，通過利用漏洞達到入侵目的，驗證了系統嚴重的安全問題。

(2)突出信息安全測評重要性。滲透測試以最直觀的形式，以即在事實證據向被評估單位提供安全漏洞的潛在威脅風險，起到震撼效果，消除了部分人員對安全測評工作重要性輕視和質疑。

2．4“人一機合一”

我們在測評過程中發現有些被測評方的管理人員和技術人員對操作系統安全配置不屑一顧，他們沒有認識到信息安全遵循的“木桶原理”，即系統安全與否主要取決于“最短板”。不法人員往往就是利用系統的短板來進行攻擊和滲透。因此在測評過程中應該與被測評方進行充分有效的溝通和交流，這樣我們的安全防范能力才能有所提高。

3結語

信息網絡安全技術測砰是電子政務系統安全測評的重要手段，許多安全控制項都必須借助于技術手段來實現，但是單獨依靠技術測評還不能全面系統的分析電子政務系統的安全。實踐經驗證明，僅有安全技術防范，而無嚴格的安全管理體系是難以保障系統的安全的。因此在測評中我們必須對被測評方制訂的一系列安全管理制度進行測評。信息安全管理的測評可以單獨進行也可以穿插到技術測評當中。

隨著信息技術的發展，信息安全測評工程師面臨越來越多的挑戰，為提高測評能力和效率，應充分的發揮主觀能動性，利用各種現有的各種安全測試工具，開發安全測試工具、報告生成工具等。信息安全測評機構以及電子政務系統的運行、維護方必須共同努力，為我國的信息化發展保駕護航。