信息系統(tǒng)主機(jī)安全等級(jí)保護(hù)測(cè)評(píng)方法研究

司 群，劉育欣

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

信息系統(tǒng)主機(jī)安全等級(jí)保護(hù)測(cè)評(píng)方法研究

司 群，劉育欣

（中國(guó)鐵道科學(xué)研究院 電子計(jì)算技術(shù)研究所，北京 100081）

隨著等級(jí)保護(hù)在全國(guó)各個(gè)行業(yè)的推廣，對(duì)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》中的測(cè)評(píng)內(nèi)容對(duì)應(yīng)的測(cè)評(píng)方法和技術(shù)的研究越來(lái)越重視，本文針對(duì)主機(jī)測(cè)評(píng)技術(shù)進(jìn)行分析研究，通過(guò)分析測(cè)評(píng)項(xiàng)，提出符合標(biāo)準(zhǔn)的測(cè)評(píng)指標(biāo)、方法和實(shí)施步驟。

等級(jí)保護(hù)；主機(jī)測(cè)評(píng)；訪(fǎng)談；人工檢查；測(cè)試

1994 年國(guó)務(wù)院頒發(fā)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國(guó)務(wù)院147號(hào)令）明確了我國(guó)對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行分等級(jí)保護(hù)的要求。相繼2003年中辦發(fā)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（27號(hào)文）提出了重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)，制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南，2004年公通字《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》（66號(hào)文）及2007年《信息安全等級(jí)保護(hù)管理辦法》（43號(hào)文）等文件發(fā)布并推廣，逐步明確信息安全等級(jí)保護(hù)是國(guó)家的一項(xiàng)基本制度，等級(jí)測(cè)評(píng)是整個(gè)等級(jí)保護(hù)工作中的重要一環(huán)，各行業(yè)包括鐵路行業(yè)都十分重視，鐵公安2012年發(fā)布《關(guān)于進(jìn)一步做好鐵路信息安全等級(jí)保護(hù)工作的通知》（94號(hào)文）。

1 主機(jī)安全測(cè)評(píng)概述

信息系統(tǒng)等級(jí)測(cè)評(píng)技術(shù)層面由包括物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全5個(gè)方面，各個(gè)方面相互關(guān)聯(lián)并保持獨(dú)立性，主機(jī)安全測(cè)評(píng)主要是對(duì)服務(wù)器、終端/工作站等計(jì)算機(jī)設(shè)備的操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)層面的安全，其中終端/工作站是帶外設(shè)的臺(tái)式機(jī)和筆記本電腦，服務(wù)器則指包括應(yīng)用程序、網(wǎng)絡(luò)、Web、文件與通信等服務(wù)器。

國(guó)家標(biāo)準(zhǔn)GB/T 22239-2008《信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（簡(jiǎn)稱(chēng)：基本要求），以三級(jí)信息系統(tǒng)為例將主機(jī)安全測(cè)評(píng)內(nèi)容分為7個(gè)控制點(diǎn)，包括身份鑒別、訪(fǎng)問(wèn)控制、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制[1]，隨著信息系統(tǒng)等級(jí)降低，主機(jī)安全保護(hù)能力的要求逐級(jí)減少，相應(yīng)系統(tǒng)等級(jí)提升，保護(hù)能力的要求逐級(jí)增加，基本要求中提出了主機(jī)安全測(cè)評(píng)的基本要求項(xiàng)，《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》梳理出各個(gè)等級(jí)主機(jī)安全的測(cè)評(píng)實(shí)施過(guò)程包括測(cè)評(píng)內(nèi)容、測(cè)評(píng)實(shí)施及測(cè)評(píng)結(jié)果判定條件，但是均比較抽象，對(duì)于系統(tǒng)測(cè)試實(shí)際操作起來(lái)并不適用，必須根據(jù)基本要求和測(cè)評(píng)要求梳理出被測(cè)對(duì)象的測(cè)評(píng)方法和步驟，表1列出了三級(jí)信息系統(tǒng)主機(jī)安全7個(gè)控制點(diǎn)的測(cè)試方法，通過(guò)此表可以更清晰了解現(xiàn)場(chǎng)測(cè)試的重點(diǎn)，提早合理安排安全測(cè)試人員做好測(cè)試計(jì)劃。

表1 三級(jí)信息系統(tǒng)主機(jī)安全測(cè)評(píng)方法

2 主機(jī)安全測(cè)評(píng)實(shí)施

2.1 測(cè)評(píng)指標(biāo)確定

根據(jù)基本要求，詳細(xì)梳理出適合鐵路行業(yè)3級(jí)信息系統(tǒng)主機(jī)安全測(cè)評(píng)指標(biāo)，現(xiàn)僅以身份鑒別測(cè)評(píng)控制項(xiàng)為例，列出測(cè)評(píng)指標(biāo)內(nèi)容，主要包括：如標(biāo)識(shí)、鑒別、密碼復(fù)雜度、密碼長(zhǎng)度、密碼更換周期、弱口令、非法登錄次數(shù)、帳戶(hù)鎖定時(shí)間、加密傳輸、用戶(hù)名唯一及鑒別方式11個(gè)測(cè)評(píng)指標(biāo)項(xiàng)，并對(duì)其進(jìn)行了詳細(xì)的解釋?zhuān)用軅鬏敎y(cè)評(píng)指標(biāo)指采用SSH加密的遠(yuǎn)程管理軟件，對(duì)用戶(hù)名和口令進(jìn)行傳輸；鑒別方式指除用戶(hù)名口令外還需增加至少以下一種鑒別技術(shù)，包括：挑戰(zhàn)應(yīng)答、動(dòng)態(tài)口令、物理設(shè)備和生物識(shí)別技術(shù)。

2.2 前期訪(fǎng)談?wù){(diào)研

訪(fǎng)談是對(duì)信息系統(tǒng)主機(jī)安全使用情況進(jìn)行了解，依據(jù)測(cè)試指標(biāo)要求及實(shí)際測(cè)試場(chǎng)景，與系統(tǒng)管理員、安全管理員及安全審計(jì)員等主機(jī)的使用者舉行咨詢(xún)性和針對(duì)性的會(huì)談、交流，了解主機(jī)的安全策略配置、安全使用情況，對(duì)服務(wù)器和終端設(shè)備的全局情況進(jìn)行了解[5]。下面從主機(jī)安全的7個(gè)控制點(diǎn)分別介紹前期需訪(fǎng)談內(nèi)容。

2.2.1 身份鑒別訪(fǎng)談

（1）詢(xún)問(wèn)系統(tǒng)管理員操作系統(tǒng)的身份標(biāo)識(shí)和鑒別機(jī)制采取何種措施實(shí)現(xiàn)；

（2）詢(xún)問(wèn)數(shù)據(jù)庫(kù)管理員數(shù)據(jù)庫(kù)管理系統(tǒng)的身份標(biāo)識(shí)和鑒別機(jī)制采取何種措施實(shí)現(xiàn)；

（3）詢(xún)問(wèn)系統(tǒng)管理員操作系統(tǒng)用戶(hù)的口令策略；

（4）詢(xún)問(wèn)數(shù)據(jù)庫(kù)管理員數(shù)據(jù)庫(kù)管理系統(tǒng)用戶(hù)的口令策略；

（5）詢(xún)問(wèn)系統(tǒng)管理員服務(wù)器操作系統(tǒng)的遠(yuǎn)程管理方式和加密措施；

（6）詢(xún)問(wèn)系統(tǒng)管理員操作系統(tǒng)除采取用戶(hù)名/口令身份標(biāo)識(shí)和鑒別方式以外有無(wú)其他措施。

2.2.2 訪(fǎng)問(wèn)控制訪(fǎng)談

（1）詢(xún)問(wèn)系統(tǒng)管理員操作系統(tǒng)是否實(shí)現(xiàn)系統(tǒng)管理、安全審計(jì)和安全管理三權(quán)分立；

（2）詢(xún)問(wèn)數(shù)據(jù)庫(kù)管理員數(shù)據(jù)庫(kù)管理系統(tǒng)是否實(shí)現(xiàn)數(shù)據(jù)庫(kù)系統(tǒng)管理、安全審計(jì)和安全管理三權(quán)分立；

（3）詢(xún)問(wèn)系統(tǒng)管理員用戶(hù)列表中各個(gè)用戶(hù)的作用，是否存在多余的、過(guò)期的和共享帳戶(hù)；

（4）詢(xún)問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)管理員用戶(hù)列表中各個(gè)用戶(hù)的作用，是否存在多余的、過(guò)期的和共享帳戶(hù)；

（5）詢(xún)問(wèn)系統(tǒng)管理員是否對(duì)重要信息資源設(shè)置敏感標(biāo)記；

（6）詢(xún)問(wèn)系統(tǒng)管理員敏感標(biāo)記的策略設(shè)置情況。

2.2.3 安全審計(jì)訪(fǎng)談

（1）詢(xún)問(wèn)系統(tǒng)管理員服務(wù)器操作系統(tǒng)是否開(kāi)啟審計(jì)功能或安裝第三方審計(jì)工具；

（2）詢(xún)問(wèn)數(shù)據(jù)庫(kù)管理員數(shù)據(jù)庫(kù)管理系統(tǒng)是否開(kāi)啟日志功能或安裝第三方審計(jì)工具；

（3）詢(xún)問(wèn)安全審計(jì)員是否對(duì)日志記錄進(jìn)行分析生成審計(jì)報(bào)表的措施或工具；

（4）詢(xún)問(wèn)安全審計(jì)員對(duì)審計(jì)記錄的保護(hù)措施；

（5）詢(xún)問(wèn)安全審計(jì)員審計(jì)記錄的存儲(chǔ)、備份措施。

2.2.4 入侵防范訪(fǎng)談

（1）詢(xún)問(wèn)系統(tǒng)管理員是否部署入侵防范產(chǎn)品；

（2）詢(xún)問(wèn)系統(tǒng)管理員查看日志的周期；

（3）詢(xún)問(wèn)系統(tǒng)管理員程序完整性檢測(cè)措施及破壞后的恢復(fù)措施，是否對(duì)系統(tǒng)、程序等重要文件進(jìn)行備份；

（4）詢(xún)問(wèn)系統(tǒng)管理員系統(tǒng)升級(jí)方式和是否安裝了最新補(bǔ)丁。

2.2.5 惡意代碼防范訪(fǎng)談

詢(xún)問(wèn)系統(tǒng)管理員主機(jī)操作系統(tǒng)的惡意代碼產(chǎn)品的升級(jí)方式，是否采用統(tǒng)一的更新和查殺策略。

2.2.6 資源控制訪(fǎng)談

（1）詢(xún)問(wèn)系統(tǒng)管理員查看系統(tǒng)資源監(jiān)控器的頻率或使用第三方監(jiān)控軟件實(shí)現(xiàn)服務(wù)器系統(tǒng)的監(jiān)視；

（2）詢(xún)問(wèn)系統(tǒng)管理員日常監(jiān)控系統(tǒng)服務(wù)水平的措施。

2.3 主機(jī)安全現(xiàn)場(chǎng)評(píng)測(cè)

主機(jī)安全現(xiàn)場(chǎng)測(cè)評(píng)主要是通過(guò)檢查和測(cè)試兩種方式交互進(jìn)行。

檢查是主要的測(cè)評(píng)手段，通過(guò)對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)和分析得出符合性結(jié)論?？梢赃M(jìn)行文檔檢查（也就是證據(jù)類(lèi)信息的檢查）、實(shí)地察看（如機(jī)房選址、物理環(huán)境測(cè)評(píng)）、配置檢查（主要是檢查主機(jī)操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)交換設(shè)備與網(wǎng)絡(luò)安全設(shè)備的配置情況）。如測(cè)試人員欲對(duì)某應(yīng)用服務(wù)器身份鑒別功能進(jìn)行檢查，則需登錄該服務(wù)器，輸入相關(guān)命令對(duì)其進(jìn)行操作，按照操作結(jié)果對(duì)服務(wù)器的身份鑒別策略進(jìn)行檢查確認(rèn)，核實(shí)其密碼長(zhǎng)度、密碼復(fù)雜度、登陸失敗鎖定等配置項(xiàng)是否符合要求。

測(cè)試主要是測(cè)試人員采用專(zhuān)用的測(cè)試工具，搭建特定測(cè)試環(huán)境，按照預(yù)定的方法操作，使被測(cè)對(duì)象在測(cè)試環(huán)境中與測(cè)試工具進(jìn)行聯(lián)動(dòng)，產(chǎn)生特定的行為。依據(jù)測(cè)試工具記錄的信息，對(duì)待測(cè)設(shè)備的指標(biāo)進(jìn)行檢查分析，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施及策略是否有效，包括系統(tǒng)漏洞掃描和滲透性測(cè)試等。

檢查和測(cè)試是測(cè)試人員在現(xiàn)場(chǎng)采用手工的方式驗(yàn)證信息系統(tǒng)具體的安全配置機(jī)制和運(yùn)行的有效性，因此相比較訪(fǎng)談方法更逼近客觀事實(shí)，是取得測(cè)試證據(jù)的重要途徑，將檢查和測(cè)試融合起來(lái)更能全面的取證。但是，對(duì)于擁有成百上千甚至更多臺(tái)主機(jī)的大型信息系統(tǒng)而言，通常采取抽樣檢測(cè)的方式，選取典型測(cè)評(píng)對(duì)象主機(jī)進(jìn)行檢測(cè)，無(wú)特殊要求不需要逐一檢查所有主機(jī)。基本要求中，三級(jí)主機(jī)安全測(cè)評(píng)檢查項(xiàng)包括7個(gè)單元，32個(gè)測(cè)評(píng)要求點(diǎn)。主機(jī)層面現(xiàn)場(chǎng)檢查內(nèi)容和測(cè)試流程采用流程圖的方式展現(xiàn)，如圖1所示。

圖1 主機(jī)安全現(xiàn)場(chǎng)檢查作業(yè)指導(dǎo)手冊(cè)

如在身份鑒別單元中需要確定用戶(hù)名是否唯一與在訪(fǎng)問(wèn)控制單元中查看是否存在默認(rèn)帳戶(hù)、多余帳戶(hù)和共享帳戶(hù)等單元項(xiàng)需要同一個(gè)測(cè)試命令。

3 結(jié)束語(yǔ)

本文提出了三級(jí)主機(jī)安全測(cè)評(píng)的原理、方法和測(cè)評(píng)實(shí)施過(guò)程，對(duì)基本要求進(jìn)行了分析解讀，用簡(jiǎn)單易懂的形式闡述了標(biāo)準(zhǔn)的精髓，希望提出的測(cè)評(píng)實(shí)施方法及指導(dǎo)手冊(cè)對(duì)主機(jī)安全測(cè)評(píng)有所幫助。在后續(xù)的工作中會(huì)更詳細(xì)地總結(jié)其他等級(jí)主機(jī)安全測(cè)評(píng)流程，并提出更具體化的測(cè)評(píng)指標(biāo)體系。

[1] 中華人民共和國(guó)質(zhì)量監(jiān)督檢驗(yàn)檢疫局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T 22239-2008，信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S]. 北京：中國(guó)標(biāo)準(zhǔn)化出版社，2008.

[2] 中華人民共和國(guó)質(zhì)量監(jiān)督檢驗(yàn)檢疫局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T28448-2012，信息安全技術(shù)—信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求[S]. 北京：中國(guó)標(biāo)準(zhǔn)化出版社，2012.

[3] 中華人民共和國(guó)質(zhì)量監(jiān)督檢驗(yàn)檢疫局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T20272-2006, 操作系統(tǒng)安全技術(shù)要求[S]. 北京：中國(guó)標(biāo)準(zhǔn)化出版社，2006.

[4] 中華人民共和國(guó)質(zhì)量監(jiān)督檢驗(yàn)檢疫局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì).GB/T20273-2006,數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求[S].北京：中國(guó)標(biāo)準(zhǔn)化出版社，2006.

[5]李 倩，楊曉明，羅恒峰，等.級(jí)測(cè)評(píng)的主機(jī)安全檢測(cè)[J].電子產(chǎn)品可靠性與環(huán)境試驗(yàn)，2011，29（6）.

責(zé)任編輯 徐侃春

Security level protection evaluation methods for host of Information System

SI Qun, LIU Yuxin
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

With the popularization of level protection in various industries of countrywide, it was paid more and more attention on testing methods and techniques in the "information security technology - basic requirements of security level protection for Information System" and "information security technology - evaluation requirements of security level protection for Information System". This paper researched on the host evaluation technology, put forward the standard evaluation index, methods and implementation steps through analyzing evaluation items.

level protection; host evaluation; interview; manual inspection; test

U29-39

A

1005-8451（2015）02-0051-04

2014-10-08

司 群，工程師；劉育欣，助理研究員。