等級測評的主機(jī)安全檢測

李倩，楊曉明，羅衡峰，劉志祥

（工業(yè)和信息化部電子第五研究所，廣東 廣州 510610）

1 引言

1994年國務(wù)院頒發(fā)《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（國務(wù)院147號令），提出了計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)的具體實(shí)施方法，重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈和社會穩(wěn)定等方面的管理辦法和技術(shù)指南相繼通過中辦發(fā) 【2003】27號文 （《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》）、公通字【2004】66號文 （《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》）、 公通字 【2007】43號文 （《信息安全等級保護(hù)管理辦法》）等文件強(qiáng)調(diào)并推廣，逐步明確信息安全等級保護(hù)是國家的一項(xiàng)基本制度。等級測評是整個(gè)等級保護(hù)工作中的重要一環(huán)，用于判斷信息系統(tǒng)的安全保護(hù)能力與國家要求之間的符合程度，并在信息系統(tǒng)的不同建設(shè)周期作為安全需求而用于指導(dǎo)信息系統(tǒng)的安全建設(shè)或安全改造。

2 主機(jī)系統(tǒng)測評概述

一個(gè)復(fù)雜的信息系統(tǒng)是由形形色色的因素構(gòu)成的，如網(wǎng)絡(luò)層面、物理層面、應(yīng)用層面和數(shù)據(jù)層面等，各要素之間互相影響并保持著自身因素的獨(dú)立性，主機(jī)安全是整個(gè)信息系統(tǒng)的最后一道防線，取決于各種型號和不同類型的計(jì)算機(jī) （硬件和軟件）、管理及使用計(jì)算機(jī)的人。具體來說，主機(jī)系統(tǒng)安全是包括服務(wù)器、終端/工作站等在內(nèi)的計(jì)算機(jī)設(shè)備在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全。終端/工作站是帶外設(shè)的臺式機(jī)與筆記本計(jì)算機(jī)，服務(wù)器則包括應(yīng)用程序、網(wǎng)絡(luò)、Web、文件與通信等服務(wù)器。

國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239-2008)，下面簡稱要求，它將主機(jī)安全測評的內(nèi)容分為9個(gè)控制點(diǎn)，包括：身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制。隨著每個(gè)等級的重要程度的區(qū)分，各等級的主機(jī)安全保護(hù)能力的要求也逐級增加，使每個(gè)主機(jī)安全防護(hù)能力能夠最大限度地發(fā)揮在相應(yīng)的等級要求之上。

要求提出了如何測試被測系統(tǒng)而使其不違背要求的本質(zhì)，必須根據(jù)各自的要求梳理出被測對象的測評方式、方法和步驟。表1列出了主機(jī)安全9個(gè)控制點(diǎn)的測試手段，通過此表可以更清晰地了解現(xiàn)場測試的重點(diǎn)，提早合理地制定有關(guān)安全人員的計(jì)劃。表1中舉例出三級信息系統(tǒng)在測評實(shí)施過程中所采用的測評手段。

表1 主機(jī)測評方式

3 主機(jī)安全測評的實(shí)施

3.1 主機(jī)安全訪談的調(diào)研

訪談是指測評人員通過與被測評單位的系統(tǒng)管理員、安全管理員、各個(gè)主機(jī)的使用者等進(jìn)行交流、討論等活動，以獲取證據(jù)證明信息系統(tǒng)安全保障措施是否有效的一種方法。使用訪談方法進(jìn)行測評的目的是為了了解信息系統(tǒng)的全局性 (包括局部，但不是細(xì)節(jié))、方向/策略性和過程性信息，一般不涉及到具體的實(shí)現(xiàn)細(xì)節(jié)和技術(shù)措施。訪談的內(nèi)容將九個(gè)控制點(diǎn)融合在一起，將訪談的流程連貫性地進(jìn)行，通過一個(gè)訪談問卷來細(xì)化訪談內(nèi)容。本文考慮到通用性，主機(jī)安全的測評實(shí)施均以三級信息系統(tǒng)為例。

a）身份鑒別訪談

第三級安全測評要求主機(jī)安全訪談測評項(xiàng)共有6項(xiàng)：

1）訪談系統(tǒng)管理員，詢問操作系統(tǒng)的用戶身份標(biāo)識與鑒別機(jī)制采取了何種方式；

2）訪談數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫系統(tǒng)的用戶身份標(biāo)識與鑒別機(jī)制采取了何種方式；

3）訪談系統(tǒng)管理員，詢問操作系統(tǒng)的密碼策略；

4）訪談數(shù)據(jù)庫管理員，詢問數(shù)據(jù)庫系統(tǒng)的密碼策略；

5）訪談系統(tǒng)管理員，詢問遠(yuǎn)程管理的加密措施；

6）訪談系統(tǒng)管理員，詢問系統(tǒng)有沒有加固，除口令以外有無其它鑒別方式。

b）訪問控制訪談

第三級安全測評要求主機(jī)安全訪談測評項(xiàng)共有4項(xiàng)：

1）訪談系統(tǒng)管理員和數(shù)據(jù)庫管理員，詢問操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)是否實(shí)現(xiàn)了權(quán)限分離；

2）訪談系統(tǒng)管理員，詢問是否更改了默認(rèn)用戶名；

3）訪談系統(tǒng)管理員，詢問是否對重要的信息資源設(shè)置敏感標(biāo)記；

4）訪談系統(tǒng)管理員，詢問敏感標(biāo)記策略的相關(guān)位置。

c）安全審計(jì)訪談

第三級安全測評要求主機(jī)安全訪談測評項(xiàng)共有4項(xiàng)：

1）訪談系統(tǒng)管理員，詢問是否開啟審計(jì)功能、安裝第三方審計(jì)軟件或系統(tǒng)；

2）訪談系統(tǒng)管理員，詢問是否記錄審計(jì)過程或開啟審計(jì)報(bào)表功能；

3）訪談系統(tǒng)管理員，詢問是否有第三方對審計(jì)記錄進(jìn)行監(jiān)控以及所采取何種保護(hù)措施；

4）訪談系統(tǒng)管理員，詢問審計(jì)記錄的存儲、備份和保護(hù)的措施。

d）入侵防范訪談

第三級安全測評要求主機(jī)安全訪談測評項(xiàng)共有3項(xiàng)：

1)訪談系統(tǒng)管理員，詢問對日志的查看情況和入侵檢測系統(tǒng)的安裝和配置狀況；

2)訪談系統(tǒng)管理員，詢問是否對一些重要文件進(jìn)行完整性檢查，并對重要的配置文件進(jìn)行備份；

3)訪談系統(tǒng)管理員，詢問系統(tǒng)升級方式和加裝最新的補(bǔ)丁。

e）資源控制訪談

第三級安全測評要求主機(jī)安全訪談測評項(xiàng)共有4項(xiàng)：

1)訪談系統(tǒng)管理員，詢問系統(tǒng)是否開啟了主機(jī)防火墻或TCP/IP篩選功能；

2)訪談系統(tǒng)管理員，詢問是否查看系統(tǒng)資源控制器或者通過第三方軟件實(shí)現(xiàn)系統(tǒng)資料的監(jiān)控功能；

3)訪談系統(tǒng)管理員，詢問對系統(tǒng)資源的控制管理措施；

4)訪談系統(tǒng)管理員，詢問如何監(jiān)控系統(tǒng)的服務(wù)水平。

3.2 主機(jī)安全現(xiàn)場檢查

現(xiàn)場測評的實(shí)施主要通過檢查和測試兩種方式交互進(jìn)行。

檢查是指測評人員通過對測評對象進(jìn)行觀察、查驗(yàn)、分析等活動，以獲取證據(jù)證明信息系統(tǒng)安全保障措施是否有效的一種方法。使用檢查方法進(jìn)行測評的目的是需要確認(rèn)信息系統(tǒng)當(dāng)前的、具體的安全機(jī)制和運(yùn)行的配置以及實(shí)現(xiàn)情況是否符合要求。因此， “檢查”的內(nèi)容應(yīng)該是具體的、較為詳細(xì)的機(jī)制配置和運(yùn)行實(shí)現(xiàn)；檢查的范圍一般要覆蓋測評項(xiàng)中的所有要求內(nèi)容 （機(jī)制配置和運(yùn)行實(shí)現(xiàn)）。

測試是指測評人員通過對測評對象按照預(yù)定的方法/工具使其產(chǎn)生特定的行為活動，查看輸出結(jié)果與預(yù)期結(jié)果的差異，以獲取證據(jù)證明信息系統(tǒng)安全保障措施是否有效的一種方法。使用測試方法進(jìn)行測評的目的是需要驗(yàn)證信息系統(tǒng)當(dāng)前的、具體的安全機(jī)制或運(yùn)行的有效性或安全強(qiáng)度。因此，測試的內(nèi)容應(yīng)該是具體的、較為詳細(xì)的機(jī)制配置或運(yùn)行實(shí)現(xiàn)； “測試”的范圍不需要覆蓋測評項(xiàng)中的所有要求內(nèi)容。

因此，檢查和測試都是通過測評人員在現(xiàn)場通過手工的方式驗(yàn)證，相比較于訪談，更逼近于客觀事實(shí)，是取證的重要途徑。對于現(xiàn)場測評人員的實(shí)施而言，將檢查和測試互補(bǔ)性的融合起來能更全面地收集現(xiàn)場證據(jù)。需要指出的是，對于大型信息系統(tǒng)而言，一般都擁有成百上千甚至數(shù)千臺主機(jī)，因此，除非有特殊要求，一般情況下我們并不需要對所有的主機(jī)進(jìn)行逐一檢查，而是根據(jù)數(shù)學(xué)中的 “抽樣理論”進(jìn)行抽樣檢查，抽查比例將根據(jù)實(shí)際系統(tǒng)的復(fù)雜程度來綜合考慮。國家標(biāo)準(zhǔn)中三級主機(jī)安全現(xiàn)場檢查項(xiàng)共有7個(gè)工作單元，32個(gè)具體的測評要求。

主機(jī)測評的內(nèi)容主要是針對配置項(xiàng)目的核查和確定，輔助命令的形式驗(yàn)證，因此，對于不同類型的主機(jī)對象，操作流程和中心思想應(yīng)保持一致；而對于同一種類型的主機(jī)對象，檢測步驟幾乎雷同，于是在主機(jī)測評現(xiàn)場，檢查這部分將采用以下流程圖的形式展現(xiàn)，即清晰可見，又提高了檢測效益和連貫性。

圖1中現(xiàn)場測評的測試項(xiàng)共有30項(xiàng)，按照標(biāo)準(zhǔn)的要求依次從身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計(jì)、剩余信息保護(hù)、入侵防范、惡意代碼防范和資源控制逐級往下測試。在測試的過程中會出現(xiàn)同一測試命令，觀測不同的測試結(jié)果，于是圖1也將測試命令和結(jié)果查看連貫起來，避免了重復(fù)工作。例如：在身份鑒別工作單元中需要查看用戶名的唯一性，而在訪問控制單位中需要查看默認(rèn)用戶、多余用戶等，但都是通過同一的測評命令來查看。特別需要指出的是，主機(jī)測評也不是完全獨(dú)立于等級測評的其它層面的測評，例如：在資源控制工作單元中，也有與網(wǎng)絡(luò)類測評結(jié)果的匹配。

圖1 主機(jī)測評作業(yè)指導(dǎo)

4 結(jié)束語

主機(jī)系統(tǒng)是信息系統(tǒng)的重要成員之一，由硬件和軟件系統(tǒng)兩大部分組成，是信息存儲、傳輸、處理和發(fā)布的重要載體和處理機(jī)，其自身又由硬件系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用系統(tǒng)等組件構(gòu)成，而市面上復(fù)雜多樣的主機(jī)系統(tǒng)，增加了主機(jī)測評的難度。本文根據(jù)等保的要求，提出了三級要求的主機(jī)測評原理、手段、方法和測試思想，對《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》中悶葫蘆的語句進(jìn)行了一些簡單易懂的闡述，用工程化的思想闡述了標(biāo)準(zhǔn)的精髓，希望在形式多樣的主機(jī)測評中起到拋磚引玉的作用。

[1]GB/T 22239-2008，信息系統(tǒng)安全等級保護(hù)基本要求[S].

[2]送審稿_修訂版 v1.1，信息系統(tǒng)安全等級保護(hù) 測評準(zhǔn)則[S].

[3]GB/T 20272-2006，信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求[S].

[4]GBT 21028-2007，信息安全技術(shù) 服務(wù)器安全技術(shù)要求[S].