省数字政府服务中心开展信息系统网络安全测试

发布时间: 2021-07-14 02:37:42

2021年3月网络与信息安全部严格落实《网络安全法》,积极推进中心信息系统网络安全等级保护测评、安全性测试和应急演练等工作,并取得阶段性成果,具体工作进展情况如下:

一、等级保护测评

目前,“山西省电子政务外网省级网络平台”、“山西省政务信息资源数据共享交换平台(外网)”和“山西省电子政务外网RA系统”的等级保护测评工作正有序推进:3月完成了等保测评前期准备工作;4月完成了现场测评,该阶段的主要工作是由测评公司现场对信息系统各项配置进行初测,各系统按要求整改后再进行复测,直至问题清零。5月通过进入移动机房的方式对各系统进行漏洞扫描,目前初次漏洞扫描的整改工作已全部完成,现正在进行复测,待复测整改完成后将出具等级保护报告。

二、安全性测试

目前,“山西省政务信息资源数据共享交换平台(外网)”的安全测试工作已全部完成,具体情况如下:

(一)渗透测试。从主机、应用、中间件、业务逻辑多个维度对共享平台系统进行人工渗透测试,开展非破坏性的安全检测,检查是否存在漏洞。初次渗透测试完成后输出《渗透测试初测报告》,网络与信息安全部协调共享平台技术人员对中高危项进行修复,随后进行复测并形成《渗透测试复测报告》。

(二)代码审计。采取白盒方式对共享平台系统源代码采用工具审计和人工审计相结合的方式开展代码审计工作,通过对应用系统开发框架、应用程序、客户端程序、接口及第三方组件和应用配置进行深入的安全检测、审查和分析,从而发现应用系统源代码存在的安全缺陷和漏洞。初次代码审计后输出《代码审计初测报告》,网络与信息安全部协调共享平台技术人员对中高危项进行修复,随后进行复测并形成《代码审计复测报告》。

(三)风险评估。依据GB/T20984-2007《信息安全技术-信息安全风险评估规范》,通过风险评估手段,发现被评估目标存在的脆弱点,对共享平台的系统资产、系统所面临的威胁、系统的脆弱性赋值,对风险项进行整改后形成《风险评估报告》。

三、应急演练

本次演练选取了邮件钓鱼和APP敏感信息泄露这两个符合实际情况的业务场景,通过搭建模拟环境进行真实攻击和网络安全事件应急处置。

通过实战演练,检验了应急预案的可行性和实效性,进一步补充完善应急预案,提升应对网络和信息安全突发事件的组织指挥能力和应急处置能力,增进了协同合作能力,积累了应急实战经验,为网络安全稳定运行提供有力保障。