中国软件评测中心信息系统安全测评报告

中国软件评测中心信息系统安全测评报告本次测评依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）等国家法律法规与国家标准，受XX省政务服务数据管理局委托，对其省级政务服务一体化信息系统开展信息系统安全等级保护第三级测评，测评范围覆盖系统全生命周期的技术管控、管理体系与数据安全保护能力，测评工作周期为2024年3月10日至2024年4月15日。本次被测的省级政务服务一体化信息系统是XX省数字政府建设的核心支撑系统，承担全省政务服务事项“一网通办”“跨省通办”“一网统管”的技术支撑职能，面向全省企业群众、政务工作人员提供线上办事咨询、事项申报、进度查询、结果送达、审批流转等全流程服务，截至2024年2月，系统累计注册用户达1217万，累计办理业务超过1.6亿件，日均活跃访问量超过16.2万次，承载全省32个省级党政机关、13个地市、128个县（区）共1472项政务服务事项的在线运行。系统整体部署在XX省政务云平台，采用云原生分布式架构，从逻辑上划分为用户接入层、业务接入层、核心应用层、数据层、基础设施层五个层级：用户接入层覆盖互联网Web门户、移动端APP、小程序、线下自助终端四类接入渠道，通过省级政务外网实现与各级政务部门业务系统的互联互通；业务接入层部署在DMZ安全域，承担流量清洗、身份认证、请求转发功能；核心应用层部署在业务安全域，承载事项管理、申报受理、审批流转、电子证照、好差评等核心业务模块；数据层部署在数据安全域，承载业务数据库、用户信息数据库、电子证照库的数据存储与管理任务；基础设施层由政务云服务商提供计算、存储、网络资源。该系统于2022年完成等级保护定级备案，定级为第三级信息系统，本次测评为定级后的第一次定期测评，同时同步开展数据安全与个人信息保护专项测评。本次测评严格遵循《信息安全技术网络安全等级保护测评过程指南》（GB/T28447-2012）规定的流程实施，分为项目准备、方案编制、现场测评、结果分析、报告编制五个阶段：项目准备阶段完成了委托协议签订、测评人员组建、测评工具校准、前期资料收集工作，累计收集委托单位提供的系统拓扑图、资产清单、定级备案证明、安全管理制度、运维日志、应急演练记录等各类资料92份；方案编制阶段根据系统定级、架构特点编制了针对性测评方案，明确了测评指标、测评方法、人员分工与时间计划，方案通过了中心内部技术评审；现场测评阶段组织4名测评工程师开展了为期7天的现场测评工作，综合采用文档审查、现场勘查、工具扫描、人工核查、渗透测试、漏洞验证、人员访谈七种测评方法，累计完成了146项测评指标的核查，开展了3轮全资产漏洞扫描，扫描覆盖系统全量127台云主机、23台网络安全设备、57个核心业务接口，针对系统登录模块、事项申报模块、用户信息管理模块、后台管理模块开展了深度渗透测试，累计发现可利用漏洞17个，访谈了系统建设单位、运维单位、安全管理部门的12名相关岗位人员，核实安全管理制度的落地执行情况；结果分析阶段对所有测评发现的问题进行了交叉验证，按照风险等级划分标准完成了风险定级，形成了测评结论与整改建议；报告编制阶段完成了报告初稿编制与内部审核，最终形成本测评报告。技术安全测评结果技术安全层面按照等级保护要求分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个维度开展测评：安全物理环境本次被测系统部署在政务云平台，物理安全由云服务商提供保障，本次测评核查了云服务商提供的物理机房安全资质、机房安全管控记录，现场抽查了机房出入口管控、环境监控、电力供应、防火防水等管控措施。测评结果显示：云服务商的物理机房符合国家A级机房标准，配备了双回路供电、UPS冗余备份、自动灭火系统、温湿度自动调控系统，机房区域划分清晰，核心存储区域与非核心区域物理隔离，访客进入机房需要全程陪同、身份登记，仅存在一项不符合项：机房出入口人脸识别身份验证系统留存的访客身份信息与访问记录仅保存30天，不符合等级保护三级要求中访客记录留存不少于6个月的要求，风险等级为低危。安全通信网络本次测评核查了网络架构设计、通信传输加密、可信验证机制三个方面的管控措施。测评结果显示：系统核心骨干网络采用双冗余链路设计，核心交换机、核心路由器等关键网络设备均采用冗余部署，不存在单点故障风险，网络带宽满足当前业务峰值需求，预留了至少30%的冗余容量应对业务增长需求，对所有互联网接入的业务访问都采用HTTPS加密传输，对核心业务数据传输采用了完整性校验机制，防止数据在传输过程中被篡改，共存在两项不符合项：一是13个地市接入政务服务的前置机链路中，有3个地市的前置机仅采用软件加密方式实现传输加密，未按要求启用省级政务网统一配置的硬件加密模块，加密强度不符合要求，存在传输过程中数据被窃取的风险，风险等级为中危；二是部分老旧的网络设备未开启可信验证机制，无法对设备系统镜像的完整性进行启动前校验，存在被篡改后无法发现的风险，风险等级为低危。安全区域边界本次测评核查了边界防护、访问控制、入侵防范、恶意代码防范、可信验证五个方面的管控措施。测评结果显示：系统已经按照最小权限原则划分了互联网接入区、DMZ区、业务应用区、数据存储区、运维管理区五个安全域，不同安全域之间部署了下一代防火墙实现逻辑隔离，边界访问控制策略按照业务需求配置，边界部署了入侵防御系统、防病毒网关，能够对网络攻击、恶意代码进行检测和阻断，共存在三项不符合项：一是DMZ区到业务应用区的访问控制策略权限过大，累计开放了12个非业务必要的高位端口，存在3条过期的访问控制策略未及时清理，攻击者可利用开放端口入侵核心业务区域，风险等级为高危；二是入侵防御系统的规则库与病毒库更新周期为15天，不符合等级保护要求中至少每周更新一次安全规则库的要求，无法检测最新出现的攻击与病毒，风险等级为中危；三是部分边界安全设备未开启可信验证机制，无法对自身系统固件进行完整性校验，风险等级为低危。安全计算环境本次测评覆盖所有核心云主机、业务应用、数据库的安全管控措施，从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性保密性、剩余信息保护、可信验证八个维度开展测评。测评结果显示：系统对所有管理员账户都要求采用双因素身份鉴别，对普通用户采用密码加短信验证码的组合鉴别方式，对重要操作采用二次鉴别，访问控制按照最小权限原则分配权限，禁止超权限访问，核心服务器都部署了主机杀毒软件与入侵检测软件，核心数据都采用加密存储，定期开展数据备份，共存在9项不符合项，其中高危3项、中危4项、低危2项：高危问题分别为：1.有6台承载核心业务的云主机采用的CentOS7内核版本已经停止官方维护，存在2个CVSS评分分别为9.1和9.3的未修复远程代码执行高危漏洞，攻击者可通过公网利用漏洞直接获取服务器最高权限，危害极大；2.3个2022年上线的试点业务子系统中，留存了5个开发测试账户未禁用，所有账户都使用了“123456”“test123”之类的弱密码，攻击者可通过暴力破解直接获取后台权限；3.系统用户历史查询日志存储在公开可访问的文件服务器中，日志明文存储了用户的身份证号、手机号、家庭住址等敏感个人信息，未做脱敏处理，未限制访问权限，任意内部用户都可下载查看，存在大规模个人信息泄露风险。中危问题分别为：部分中间件服务器未开启用户操作行为审计，仅记录系统运行日志，发生异常操作后无法溯源；部分数据库账户权限配置过大，业务应用账户直接拥有数据库的最高读写权限，被入侵后可直接篡改或删除全库数据；云主机的操作系统未开启密码强度校验，允许用户设置8位以下的纯数字弱密码；剩余信息保护机制不到位，云主机释放存储资源时，未对残留数据进行彻底清除，存在数据残留泄露风险。低危问题为：少量终端设备未开启可信验证机制，部分核心业务应用未对会话超时退出做强制配置，存在一定风险。安全管理中心本次测评核查了系统管理、审计管理、监控管理、集中管控四个方面的管控措施。测评结果显示：委托单位已经部署了统一的政务安全运营平台，实现了对所有网络设备、安全设备、云主机的集中监控与管理，能够统一收集各类安全告警与审计日志，实现了集中管控，共存在两项不符合项：一是安全运营平台的告警规则配置不合理，误报率达到22.7%，未配置告警分级处置机制，大量低危告警淹没了高危告警，运维人员无法及时发现真实的攻击行为，风险等级为中危；二是未实现对第三方远程运维接入的集中管控，第三方运维通过不同渠道接入系统，无法统一审计，风险等级为低危。管理安全测评结果管理安全层面分为安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理五个维度开展测评：安全管理制度委托单位已经制定了覆盖物理安全、网络安全、系统安全、数据安全、应急管理等方面的安全管理制度体系，明确了各类安全操作的规范要求，共存在两项不符合项：一是现有安全管理制度最近一次修订时间为2021年，未根据《数据安全法》《个人信息保护法》及最新等级保护要求更新制度内容，未纳入数据分类分级、个人信息保护、数据生命周期管理等相关要求，风险等级为中危；二是部分安全管理制度的执行记录留存不完整，漏洞扫描、漏洞修复的闭环管理记录缺失，无法验证制度的落地执行情况，风险等级为低危。安全管理机构委托单位已经成立了由单位主要负责人任组长的网络安全与数据安全领导小组，明确了各部门的安全职责，配备了1名专职网络安全管理员，共存在两项不符合项：一是专职安全管理员岗位仅配备1名工作人员，未配置AB岗，人员休假或离岗时会出现安全管理断档，风险等级为中危；二是部分地市派驻的安全联络员岗位变动后未及时更新信息，也未完成安全职责的交接，存在管理盲区，风险等级为低危。人员安全管理委托单位对新入职员工开展了安全背景审查，签订了保密协议，每年开展两次全员安全培训，对离岗员工及时回收了系统权限，共存在两项不符合项：一是第三方运维人员未单独签订保密协议，仅在运维服务总合同中简单提及安全要求，未明确数据安全责任，风险等级为中危；二是第三方运维人员的临时账号审批回收机制不完善，本次测评发现存在3个三个月前完成运维工作后未回收的临时账号，风险等级为中危。安全建设管理系统完成了正规的定级备案流程，上线前开展了安全测评，采购的安全产品都具备国家网络安全产品认证资质，共存在三项不符合项：一是系统近一年来迭代更新了11个新功能模块，所有新增功能上线前仅开展了功能测试，未开展第三方安全测试，导致本次测评发现了2个SQL注入漏洞，风险等级为中危；二是政府采购运维服务与安全产品时，未在采购合同中明确数据安全要求，未约定数据泄露后的责任划分与赔偿机制，风险等级为中危；三是系统上线前的安全整改记录部分缺失，无法验证上线前安全问题的整改情况，风险等级为低危。安全运维管理委托单位建立了日常运维巡检制度，定期开展漏洞扫描，每半年开展一次备份数据恢复测试，共存在三项不符合项：一是最近一次应急演练开展时间为2022年6月，演练间隔超过两年，不符合等级保护三级要求至少每年开展一次应急演练的要求，风险等级为中危；二是应急演练完成后未针对演练发现的问题制定整改计划，也未跟踪整改落实，演练没有形成闭环，风险等级为中危；三是所有核心数据备份都存储在同一政务云平台的不同存储节点，未落实异地灾备要求，发生区域性电力故障或自然灾害时，可能导致生产数据与备份数据同时丢失，风险等级为高危。数据安全与个人信息保护专项测评结果本次专项测评按照《信息安全技术数据安全能力成熟度模型》（GB/T37988-2012）《信息安全技术个人信息安全规范》（GB/T35273-2020）要求开展，围绕数据资产梳理、数据分类分级、数据生命周期安全保护、个人信息处理合规四个维度开展测评。结果显示：委托单位已经完成了第一轮数据分类分级工作，梳理出核心数据12类、重要数据38类，建立了初步的数据资产台账，对核心数据与重要数据采取了加密存储、权限管控等保护措施，收集个人信息符合最小必要原则，不存在过度收集个人信息的行为，也不存在未经授权向第三方提供个人信息的行为，系统不存在数据出境活动，符合相关要求，共存在五项不符合项：一是数据资产台账更新不及时，2023年以来新增的5类业务数据未纳入数据资产台账管理，也未完成分类分级，存在数据资产管理盲区，风险等级为中危；二是部分业务模块收集个人信息后，未在存储阶段开展脱敏处理，测试环境中直接使用了生产环境的真实个人信息，风险等级为中危；三是部分服务页面的个人信息处理告知书表述模糊，未明确告知个人信息的保存期限、共享范围、接收第三方主体信息，不符合《个人信息保护法》的要求，风险等级为中危；四是用户申请注销个人账户后，系统未在法定的15个工作日内完成个人信息的删除或匿名化处理，目前注销流程平均处理周期为27天，最长可达30天，不符合合规要求，风险等级为中危；五是未建立定期的个人信息保护合规审计制度，未按要求每年开展一次个人信息保护合规审计，风险等级为低危。风险汇总与整改建议本次测评共完成146项测评指标的核查，其中符合要求的指标为114项，部分符合的21项，不符合的11项，共梳理出安全问题32项，其中高危安全问题5项，中危安全问题19项，低危安全问题8项。高危安全问题分别为：1.核心业务云主机存在2个CVSS评分9.0以上的未修复高危漏洞，可被利用远程获取服务器权限；2.DMZ区到核心业务区开放过多非必要端口，存在过期访问控制策略；3.用户查询日志明文存储敏感个人信息，未做脱敏与访问控制；4.核心业务数据备份未落实异地灾备要求，存在整体丢失风险；5.开发测试弱密码账户未禁用，可被暴力破解获取后台权限。上述高危安全问题一旦被恶意攻击者利用，将导致核心业务数据泄露、系统被篡改控制、政务服务中断，严重损害企业群众合法权益，危害政务服务的公共利益，需要立即开展整改。中危安全问题主要为安全配置不合规、管理流程不完善，虽然不会直接导致系统被入侵，但会降低整体安全防护水平，给攻击者留下可乘之机，需要在规定期限内完成整改。低危安全问题为一般性不符合项，对整体安全影响较小，可结合日常运维逐步整改。针对不同等级的安全问题，提出以下整改建议：针对高危安全问题：1.针对核心云主机高危漏洞问题，立即开展全资产漏洞排查，对可以升级内核版本的云主机尽快完成内核升级与补丁安装，暂时无法升级的，立即调整防火墙访问控制策略，限制漏洞相关端口的公网访问，部署Web应用防火墙拦截漏洞利用请求，安排运维人员每日监控漏洞相关的告警信息，及时处置异常访问；2.针对访问控制策略问题，立即组织网络运维人员梳理所有安全域边界的访问控制策略，关闭所有非业务必要的开放端口，删除过期的策略规则，建立每季度一次的访问控制策略复盘机制，及时清理不合理配置；3.针对明文存储个人信息问题，立即对现有存储的所有日志进行脱敏处理，删除不必要的明文敏感信息，更新系统日志生成规则，自动对日志中的敏感个人信息字段做脱敏处理，调整文件服务器的访问控制权限，仅允许安全管理人员授权访问日志，禁止任意用户下载；4.针对异地灾备问题，尽快协调政务云服务商落实异地灾备存储资源，将核心业务数据与用户信息数据同步备份到异地灾备中心，定期开展异地备份数据的恢复测试，确保灾难发生时可快速恢复；5.针对未禁用开发测试弱密码账户问题，立即开展全系统账户排查，删除所有不必要的开发测试账户，对需要保留的账户强制修改为符合强度要求的密码，禁用所有