一種融合CVSS的信息安全終端安全評估模型*

王　強(qiáng)　孟浩華

(1.華中電網(wǎng)有限公司　武漢　430077)(2.湖北電力公司信息通信部　武漢　430077)

?

一種融合CVSS的信息安全終端安全評估模型*

王強(qiáng)1孟浩華2

(1.華中電網(wǎng)有限公司武漢430077)(2.湖北電力公司信息通信部武漢430077)

摘要針對目前電力行業(yè)對于安全防護(hù)較弱、可控性較低的桌面終端、操作終端沒有能夠反映電力行業(yè)信息安全終端特征的評估方法,論文根據(jù)電力行業(yè)信息系統(tǒng)安全要求,以及桌面終端、操作終端所面臨的安全威脅,提出一種融入CVSS的信息安全終端安全評估模型,對安全評估體系和評分標(biāo)準(zhǔn)進(jìn)行了研究和探討。該模型能夠滿足電力行業(yè)桌面終端安全評估的需求和目標(biāo),包括詳細(xì)的評估項(xiàng)目以及可量化的評價體系;最后在該評估模型的基礎(chǔ)上實(shí)現(xiàn)了對電力行業(yè)信息安全終端進(jìn)行自動化安全評估的工具。

關(guān)鍵詞桌面終端; 操作終端; CVSS; 脆弱性量化; 威脅量化

Class NumberTP393

1　引言

隨著國家電網(wǎng)公司覆蓋面更廣、集成度更深的SG-ERP建設(shè),信息安全需求也隨之增加,國家電網(wǎng)公司采取了以信息安全技術(shù)督查為抓手的一系列安全工作,其是一個技術(shù)和管理兩個方面結(jié)合非常緊密的工作,兩方面必須深度融合才能達(dá)到安全目標(biāo)。如何制定電網(wǎng)系統(tǒng)信息安全評估模型、規(guī)范信息安全評價體系,指導(dǎo)和優(yōu)化信息安全技術(shù)督查工作,已經(jīng)成為事關(guān)國家安全的急迫問題[1]。

現(xiàn)有信息安全評估方法[2]如CERT/CC[3]、SANS[4]等,它們主要關(guān)注的是企業(yè)核心網(wǎng)絡(luò)、核心系統(tǒng)的安全評估,而對于安全防護(hù)較弱、可控性更低的桌面終端、操作終端沒有制定能反映電力行業(yè)信息安全終端特征、滿足電力行業(yè)信息系統(tǒng)安全要求的評估方法。目前電力行業(yè)桌面終端安全評估的主要手段是安全漏洞檢測和安全配置檢測,針對安全漏洞檢測主要依靠漏洞管理和補(bǔ)丁分發(fā)系統(tǒng);對于安全配置檢測,主要是根據(jù)安全檢測規(guī)范要求,依靠人工方式進(jìn)行定期安全檢測,同時也沒有相應(yīng)完整的評價體系和評分算法。美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(National Institute of Standards and Technology,NIST)于2007年提出了信息安全自動化計(jì)劃(Information Security Automation Program,ISAP),該計(jì)劃的目標(biāo)是讓W(xué)indows系統(tǒng)[5]以及其他操作系統(tǒng)、數(shù)據(jù)庫、中間件等的漏洞、配置的管理和安全測試及符合性能夠自動化,NIST同時也提出了一個配套的安全內(nèi)容自動化協(xié)議(Security Content Automation Protocol,SCAP)[6],該協(xié)議通過明確的、標(biāo)準(zhǔn)化的模式使得漏洞管理、安全檢測和政策符合性與信息安全管理辦法的要求一致起來。同時,在安全評估框架研究方面,文獻(xiàn)[7]提出了根據(jù)脆弱性影響的嚴(yán)重程度和脆弱性可利用性來評佑脆弱性危險程度的分析框架,文獻(xiàn)[8]提出了一個基于模糊評估分層模型的構(gòu)件可測試性評價方法。

本文根據(jù)電力行業(yè)桌面終端、操作終端的特點(diǎn),提出一種融合CVSS[1]的信息安全終端安全評估模型,對安全評估的整體機(jī)制進(jìn)行了研究和探討,并根據(jù)安全評估模型實(shí)現(xiàn)了自動化評估工具。

目前電力行業(yè)內(nèi)對桌面終端、操作終端尚無可成熟的評估模型和評價體系。電力行業(yè)桌面終端督查技術(shù)研究項(xiàng)目即是以期解決終端督查的體系化、標(biāo)準(zhǔn)化和自動化的問題。

2　融合CVSS的信息安全終端評估方法

2.1總體思路

根據(jù)ISO/IEC13335標(biāo)準(zhǔn),系統(tǒng)的風(fēng)險取決于以下因素:

1) 存在風(fēng)險的終端資產(chǎn)價值;

2) 能夠給信息安全終端帶來不利影響的威脅,以及威脅發(fā)生的可能性;

3) 信息安全終端所包含的各種脆弱點(diǎn);

4) 現(xiàn)有能夠降低信息安全終端風(fēng)險的防護(hù)措施。

在針對電力行業(yè)桌面終端、操作終端的安全評估中,資產(chǎn)價值的定義與傳統(tǒng)評估方法類似(包括機(jī)密性價值、完整性價值、可用性價值)進(jìn)行量化;終端所面臨威脅通過基于安全事件量化的方法;脆弱性部分可基于漏洞掃描、安全配置檢查、完整性檢查三部分的結(jié)果量化;對于能降低信息安全終端風(fēng)險的安全防護(hù)措施,該因素直接影響了威脅發(fā)生的可能性。例如對于某個buffer overflow攻擊,如果該攻擊被網(wǎng)絡(luò)邊界IDS設(shè)備檢測到了,而且目標(biāo)主機(jī)上確實(shí)存在有可被該攻擊利用的漏洞,但網(wǎng)絡(luò)邊界防火墻把這次攻擊drop了,那么該攻擊造成的風(fēng)險應(yīng)該仍然很小。

如果在信息安全終端評估方法中考慮安全防護(hù)措施,那就需要將不同設(shè)備的日志進(jìn)行關(guān)聯(lián)后再進(jìn)行風(fēng)險量化,這將會大大增加風(fēng)險量化的復(fù)雜度。本評估方法將不考慮安全防護(hù)措施的影響。這樣的話,本方案中涉及的安全要素包括:資產(chǎn)價值、威脅、脆弱性。各要素中包含的子要素如圖1所示。

圖1　信息安全終端安全評估方法所包含的因素

本方法的設(shè)計(jì)思路包括:風(fēng)險R。

1) 將信息安全終端評估結(jié)果R量化為0～100區(qū)間之間的數(shù)值。

2) 對資產(chǎn)價值M和脆弱性V分別進(jìn)行量化,將各個要素均量化到0～100的區(qū)間,再進(jìn)行風(fēng)險的量化。這樣對于任何一個單獨(dú)的要素,例如脆弱性等,均可以進(jìn)行展示和比較。

3) 在進(jìn)行資產(chǎn)風(fēng)險的量化時,將影響資產(chǎn)風(fēng)險的因素分為兩部分:

R=M*T

其中:M為資產(chǎn)價值量化值,取值范圍0～100;T為針對資產(chǎn)的威脅嚴(yán)重程度及發(fā)生的可能性的綜合判斷,與具體的威脅和脆弱性相關(guān),即T=f(Evt,Vul)。取值范圍為0～1。

2.2資產(chǎn)價值量化方法

本方法中對于資產(chǎn)價值的定義與傳統(tǒng)評估方法類似,通過對資產(chǎn)機(jī)密性C、完整性I、可用性A的定義來綜合計(jì)算,其中各個屬性均分為五個等級:無關(guān)、普通、中等、較高、極高,分別用1～5來表示。一個可供參考的原則是:對于重要業(yè)務(wù)系統(tǒng)的維護(hù)終端,其資產(chǎn)價值要遠(yuǎn)高于普通桌面終端;行政級別高的領(lǐng)導(dǎo)桌面終端,其資產(chǎn)價值遠(yuǎn)高于普通員工桌面終端(因?yàn)椴煌姓墑e人員所能接觸到的公司敏感信息不一樣);因此最重要資產(chǎn)的價值,大約是最不重要的資產(chǎn)價值的1000倍。為此可設(shè)計(jì)資產(chǎn)價值為

其中:M為資產(chǎn)價值量化值;round()為四舍五入的取整函數(shù);C、I、A為資產(chǎn)機(jī)密性、完整性、可用性等級量化值。

結(jié)合以上公式進(jìn)行計(jì)算,如果一個資產(chǎn)CIA均為極高(數(shù)值為5),則量化后為100;如果均為無關(guān)(數(shù)值為1),則量化后為0.1;如果均為中等(數(shù)值為3),則量化后為3.1。也就是說,一個最重要資產(chǎn)的價值,大約相當(dāng)于30個普通資產(chǎn)、1000個最不重要資產(chǎn)的價值,與經(jīng)驗(yàn)基本相符。

2.3資產(chǎn)脆弱性量化方法

資產(chǎn)的脆弱性與漏洞掃描結(jié)果、安全配置檢查結(jié)果、完整性檢查結(jié)果均相關(guān)。在本方案中,漏洞掃描vul、基線bas和完整性Int均被量化為0～100的數(shù)值,資產(chǎn)總的脆弱性為

在完成資產(chǎn)脆弱性量化后,可按脆弱性的不同將資產(chǎn)分為五個等級:

0

20

40

60

V>80:高風(fēng)險。

下面詳細(xì)介紹信息安全終端漏洞評估、安全配置評估以及完整性評估結(jié)果量化方法。

2.3.1信息安全終端漏洞評估量化方法

對系統(tǒng)漏洞的量化需要從兩個方面衡量:一是主機(jī)上所存在漏洞能夠被利用的難易程度;二是這些漏洞若被利用,對主機(jī)的機(jī)密性、完整性和可用性造成的破壞程度。對信息安全終端上通過補(bǔ)丁管理系統(tǒng)發(fā)現(xiàn)的每一個漏洞,都要從以上兩個方面進(jìn)行衡量。

本評估方法中融入了CVSS(通用弱點(diǎn)評價體系),CVSS是由NIAC開發(fā)、FIRST維護(hù)的一個開放并且能夠被免費(fèi)采用的標(biāo)準(zhǔn)。利用該標(biāo)準(zhǔn),可以對資產(chǎn)脆弱性(vulnerabilities)包括補(bǔ)丁管理、防病毒等進(jìn)行評價,進(jìn)而幫助判斷修復(fù)不同弱點(diǎn)的優(yōu)先等級。CVSS評價體系的基礎(chǔ)是CVSS評分因素,如圖2所示。

表1　CVSS評分因素

其中基本評價指的是該漏洞本身固有的一些特點(diǎn)及這些特點(diǎn)可能造成的影響的評價分值,該分值取值如下:BaseScore=round_to_1_decimal(10*AccessVector

*AccessComplexity*Authentication

*((ConfImpact*ConfImpactBias)

+(IntegImpact*IntegImpactBias)

+(AvailImpact*AvailImpactBias)))

因?yàn)槁┒赐瑫r間是有緊密關(guān)聯(lián)的,因此這里也列舉出三個與時間緊密關(guān)聯(lián)的要素如下

TemporalScore=round_to_1_decimal(BaseScore*Exploitability*RemediationLevel

*ReportConfidence)

每個漏洞會造成的影響大小都與用戶自身的實(shí)際環(huán)境密不可分,因此可選項(xiàng)中也包括了環(huán)境評價,這可以由用戶自評:

EnvironmentalScore=round_to_1_decimal

((TemporalScore+((10-TemporalScore)

*CollateralDamagePotential))

*TargetDistribution)

總分=BaseScore如果不考慮時效性和環(huán)境因素

總分=TemporalScore如果不考慮環(huán)境因素

總分=EnvironmentalScore

如上所述,現(xiàn)有的CVSS評分系統(tǒng)較好地考慮了這兩個方面,在計(jì)算Base分值時,將攻擊途徑、攻擊復(fù)雜度、認(rèn)證機(jī)制、(機(jī)密,完整,可用)影響程度幾個因素相乘,得到了一個漏洞的基本分值。最終的分值是在基本分值上考慮了生命周期、環(huán)境因素后的一個綜合值,取值范圍為1～10。

在得到信息安全終端上所有漏洞的綜合分值后,設(shè)計(jì)了一種基于概率模型的量化方案。對每個漏洞給系統(tǒng)帶來的風(fēng)險值,將其轉(zhuǎn)換為一個脆弱概率值:

其中:Pi為漏洞i的脆弱概率值,0～0.8。Spi為漏洞i的CVSS分值四舍五入后的整數(shù),0～10。

脆弱概率值的意義為:主機(jī)上因存在某個漏洞,導(dǎo)致該主機(jī)的安全性受到影響的概率?？梢钥吹?由于Spi的取值范圍為0～10的整數(shù),Pi的取值范圍為0.001～0.8。這里將CVSS評分為10的漏洞的脆弱概率值設(shè)為0.8,是為了避免當(dāng)某臺主機(jī)上出現(xiàn)了一個漏洞為10的漏洞時,整個主機(jī)的脆弱性被量化為1(見下一步的主機(jī)脆弱性量化算法)。另外,0.8的取值是一個經(jīng)驗(yàn)值,其含義為一個評分為10的漏洞的脆弱性比兩個評分為9的漏洞高,比三個評分為9的漏洞低。

若一臺主機(jī)上包含n個漏洞,則該主機(jī)上所有漏洞的總體脆弱概率值,可以這么考慮:攻擊者利用任意一個漏洞,對主機(jī)進(jìn)行攻擊,造成主機(jī)的CIA屬性受到破壞的概率,這就轉(zhuǎn)化為概率求和的問題。根據(jù)概率論的算法,并將其值量化到0～100之間,具體計(jì)算公式為

其中:Vul為主機(jī)漏掃結(jié)果量化值,0～100。Pi為漏洞i的脆弱概率值,0～0.8。

2.3.2信息安全終端安全配置評估量化方法

安全配置評估主要是針對操作系統(tǒng)的安全策略配置進(jìn)行檢測,還包括空、弱口令、涉密文件、違規(guī)外聯(lián)的檢測。檢測方法是通過程序自動化的獲取,并分析主機(jī)的注冊表信息以及關(guān)鍵配置文件信息實(shí)現(xiàn)的。安全配置評估分值res取值為0～100,分?jǐn)?shù)越高表示該主機(jī)越安全。那么從脆弱性的角度考慮,采用以下方法量化安全配置的脆弱性:

bas=100-res

其中:bas為主機(jī)安全配置檢查結(jié)果量化值,0～100;res為主機(jī)安全配置檢查后得到的分值,0～100。

2.3.3信息安全終端完整性評估量化方法

完整性檢查中,不給出量化的分值和安全等級,將給完整性檢查結(jié)果的量化帶來很大困難。因此本方法中的處理方法如下:

1) 根據(jù)完整性檢查項(xiàng)(包括端口、進(jìn)程、文件、關(guān)鍵啟動項(xiàng))等,每項(xiàng)100分,設(shè)定每項(xiàng)的權(quán)重;

2) 基于每個檢查項(xiàng)的具體檢查條目,判斷每個檢查項(xiàng)通過的百分比,得到每個檢查項(xiàng)自己的分?jǐn)?shù);

3) 加權(quán)計(jì)算完整性的量化值。

2.3.4信息安全終端脆弱性等計(jì)劃方法

在完成了資產(chǎn)脆弱性的量化后,需要根據(jù)量化值為其賦予一定的安全級別。本評估方法中采用了5級的等級化方案,在將資產(chǎn)脆弱性量化為0～100的數(shù)值后,需要根據(jù)量化結(jié)果為其賦予一定的級別。由于本方案采用的是指數(shù)形式的量化方法,所以采用如下非等間距量化方案。對于不同級別的漏洞,在不考慮完整性、安全配置評估結(jié)果的情況下,其脆弱性量化值如表2所示。

表2　資產(chǎn)脆弱性量化值

根據(jù)表2量化結(jié)果,本評估方法采用如下的脆弱性量化方案:

低:0

中:5≤V<10;

中高:10≤V<25;

高:V≥25。

采用這種非等間距劃分的優(yōu)點(diǎn)是:將漏洞的綜合分值劃分為五個區(qū)間,即:

0

2≤Sp<4:較低危漏洞;

4≤Sp<6:中危漏洞;

6≤Sp<8:高危漏洞;

8≤Sp<10:極高危漏洞。

現(xiàn)在只要有一個相應(yīng)安全等級的漏洞出現(xiàn),就能將資產(chǎn)的脆弱性大致量化至相應(yīng)等級。例如如果有一個中危漏洞,則資產(chǎn)的脆弱性值將會是中等風(fēng)險;如果有一個高危漏洞,資產(chǎn)的脆弱性將會是高風(fēng)險。

2.4威脅量化方法

本評估方法中針對威脅的量化是基于威脅嚴(yán)重程度及發(fā)生可能性的綜合判斷。本方案中給出的量化方案為

T=Evt*f(Evt,Vul)*g(SIP)

其中:T為安全事件威脅量化值,0～1;Evt為安全事件威脅等級量化值,0～1;f()為事件-資產(chǎn)相關(guān)性判斷函數(shù),0.1～1;g()為攻擊源屬性判斷函數(shù),0～1。

2.4.1安全事件威脅等級量化

本系統(tǒng)對于安全事件的獲取是通過對系統(tǒng)日志進(jìn)行分析后獲得的,在本方法中將事件分為五個等級,具體如表3所示。

表3　安全事件分級

根據(jù)事件等級,本方案采用的量化方案為

其中:Evt為安全事件威脅等級量化值,0～1;Level為范式化后的事件等級,1～5。

2.4.2事件-資產(chǎn)相關(guān)性判斷函數(shù)

利用f表示事件-資產(chǎn)間的相關(guān)性判斷函數(shù),本方案基于如下原則判斷攻擊事件與資產(chǎn)的相關(guān)性:

f=1:目標(biāo)資產(chǎn)上存在可被攻擊利用的漏洞;

f=0.8:目標(biāo)資產(chǎn)上不存在可被攻擊利用的漏洞,但被攻擊端口開放;

f=0.4:漏洞、開放端口均不相符,但操作系統(tǒng)類型相符;

f=0.2:漏洞、開放端口、操作系統(tǒng)類型均不相符,且目標(biāo)資產(chǎn)存在漏掃結(jié)果;

f=0.1:漏洞、開放端口、操作系統(tǒng)類型均不相符,且系統(tǒng)中不存在目標(biāo)資產(chǎn)的漏掃結(jié)果。

2.4.3攻擊源屬性判斷函數(shù)

利用g表示攻擊源屬性判斷函數(shù),本方案采用如下原則:

g=1:如攻擊源IP地址為企業(yè)外部IP地址,則將該IP地址加入黑名單中。這個黑名單可以基于某個規(guī)則動態(tài)生成,例如檢測到某個IP曾經(jīng)發(fā)出過掃描、入侵類事件,就把該IP加入黑名單;

g=0.7:攻擊源既不在黑名單,也不在白名單中;

g=0:攻擊源位于白名單,是企業(yè)內(nèi)部完全信任的主機(jī)。這樣設(shè)置是為了保證執(zhí)行某個特定安全維護(hù)任務(wù)時(例如某臺由安全人員維護(hù)的主機(jī)上安裝了漏洞掃描工具,會定期對域內(nèi)所有主機(jī)進(jìn)行漏洞掃描,從而觸發(fā)IDS設(shè)備產(chǎn)生大量事件),產(chǎn)生大量安全報警導(dǎo)致風(fēng)險量化結(jié)果異常的場景出現(xiàn)。

2.5信息安全終端安全評價得分量化方法

在完成資產(chǎn)價值及威脅量化后,即可基于如下公式計(jì)算單個攻擊事件造成的資產(chǎn)風(fēng)險:

Re=M·T

本方法中資產(chǎn)的風(fēng)險都是基于一個時間段計(jì)算以及TopN排序的。在一個周期內(nèi),一個資產(chǎn)可能會遭受多次攻擊,那么對于多次攻擊造成的資產(chǎn)風(fēng)險可同樣采取概率求和的方式計(jì)算:

其中:Rei為單個事件i造成的風(fēng)險,0～100;n為單個觀測周期內(nèi)的事件總數(shù)。

考慮到在實(shí)際網(wǎng)絡(luò)環(huán)境中,一個觀測周期內(nèi)匯總的事件數(shù)量有可能會很大,這樣風(fēng)險計(jì)算會占用大量計(jì)算資源,影響整體性能。鑒于此,可將單個事件風(fēng)險計(jì)算與資產(chǎn)風(fēng)險合并進(jìn)行,具體方法為

其中:M為資產(chǎn)價值量化值;i、Evti為事件威脅等級量化值,由于只需要關(guān)心范式化后等級為2～5的事件,所以總共存在四種可能的量化值;j、fj為事件-資產(chǎn)相關(guān)性量化值,總共存在五種可能的量化值;k、gk為攻擊源屬性量化值,總共存在三種可能的量化值。nl為符合i、j、k類條件的事件數(shù)量。

采用該方法后,將所有的安全事件歸結(jié)為60類,每種類型的安全事件只需要關(guān)注一次。這在事件量大的情況下能減少運(yùn)算量,但在事件量小的情況下反而會增大運(yùn)算量。

2.6信息安全終端安全評價等級化方法

表4　終端風(fēng)險量化與評級

在完成了風(fēng)險值的量化時,需要根據(jù)量化值為其賦予一定的安全級別。本文采用五級的等級化方案,在將風(fēng)險量化為0～100的數(shù)值后,可供采用的量化方案包括:

· 基于等值區(qū)間的量化方案。將0～100的量化值每20分劃為一個等級,這種方法比較直觀,但由于本方案中的量化項(xiàng)大都是基于指數(shù)的,用這種方法得到的安全等級不一定科學(xué)。

· 基于經(jīng)驗(yàn)值的非等值區(qū)間量化方案。這種方法是依據(jù)經(jīng)驗(yàn)選取幾個場景,每個場景分別對應(yīng)1～5級的風(fēng)險等級,然后根據(jù)本方案的方法對每個場景的風(fēng)險進(jìn)行量化,依據(jù)量化結(jié)果制定各級風(fēng)險的閾值。

幾個場景的量化結(jié)果如表4所示。

根據(jù)以上經(jīng)驗(yàn)值,建議采用如下的風(fēng)險等級量化方案:

0

0.1≤R<1:二級風(fēng)險(中低);

1≤R<5:三級風(fēng)險(中);

5≤R<20:四級風(fēng)險(中高);

20≤R<100:五級風(fēng)險(高)。

3　敏感行業(yè)信息終端安全評估系統(tǒng)

3.1安全評估系統(tǒng)結(jié)構(gòu)

針對越來越嚴(yán)峻的信息安全現(xiàn)狀,國家電網(wǎng)公司近年來不斷加強(qiáng)信息安全督查工作,監(jiān)督和保障信息安全措施和管理要求落實(shí)到位。信息安全督查工作的主要目的就是監(jiān)督檢查、督促信息安全管理技術(shù)要求和措施落實(shí),采取有效手段督促隱患整改,持續(xù)提升信息安全防護(hù)能力,實(shí)現(xiàn)信息安全的可控、能控、再控。

信息安全技術(shù)督查范圍覆蓋信息系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、上線、運(yùn)行、廢棄等信息系統(tǒng)全生命周期各環(huán)節(jié)。督查對象包括信息內(nèi)外網(wǎng)絡(luò)、內(nèi)外網(wǎng)信息系統(tǒng)及其設(shè)備。公司要求各單位根據(jù)年度信息化工作情況,按照縱向到底、橫向到邊的原則對所有安全責(zé)任單位開展年度督查,對督查責(zé)任單位的物理環(huán)境、網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用、主機(jī)、數(shù)據(jù)和各項(xiàng)安全管理和技術(shù)措施進(jìn)行全面督查,并監(jiān)督督查整改。在國網(wǎng)公司安全督查要求的基礎(chǔ)上,充分考慮了華中分部以及湖北省公司的現(xiàn)狀和行業(yè)最佳實(shí)踐,形成一套信息安全終端區(qū)域督查系統(tǒng),結(jié)構(gòu)如圖2所示。

信息安全督查系統(tǒng)具體的功能包括:對信息內(nèi)外網(wǎng)絡(luò)、信息系統(tǒng)及設(shè)備漏洞及弱口令檢測;對信息內(nèi)外網(wǎng)桌面終端違規(guī)接入、安全策略部署、未注冊終端檢測,對信息內(nèi)網(wǎng)桌面終端的違規(guī)外聯(lián)檢測;對安全移動存儲介質(zhì)使用及內(nèi)容安全交換情況;對病毒木馬感染情況檢測;對責(zé)任范圍內(nèi)互聯(lián)網(wǎng)出口攻擊與非正常訪問檢測;對責(zé)任范圍內(nèi)信息內(nèi)外網(wǎng)網(wǎng)站的內(nèi)容安全、網(wǎng)站被篡改或被植入木馬檢測,檢測網(wǎng)站是否采用公司統(tǒng)一域名,檢測網(wǎng)站論壇是否關(guān)閉,檢測網(wǎng)站在外單位托管情況、網(wǎng)站備案情況、網(wǎng)站非辦公娛樂信息清理情況等;檢測責(zé)任范圍內(nèi)信息內(nèi)外網(wǎng)郵件系統(tǒng)疑似敏感信息內(nèi)容審計(jì)及阻截情況,檢測郵件內(nèi)容審計(jì)關(guān)鍵字動態(tài)更新情況;檢測責(zé)任范圍內(nèi)各單位隱患整改情況;每周負(fù)責(zé)對技術(shù)督查工作結(jié)果進(jìn)行匯總、統(tǒng)計(jì)、分析,并報督查管理部門和被督查單位。

圖2　信息安全終端區(qū)域督查系統(tǒng)結(jié)構(gòu)圖

終端安全督查工作是信息安全督查的基礎(chǔ)單元和重要組成部分,是實(shí)現(xiàn)信息安全督查任務(wù)在各檢查單位落地的有效途徑。終端安全督查工作是一個技術(shù)和管理兩個方面結(jié)合非常緊密的工作,兩方面必須深度融合才能達(dá)到安全工作目標(biāo)。如何將技術(shù)和管理緊密結(jié)合,搭建技術(shù)和管理之間的橋梁,進(jìn)而指導(dǎo)和優(yōu)化終端安全督查工作,行業(yè)內(nèi)尚無可參考的研究和成熟的系統(tǒng)。

3.2安全評估系統(tǒng)實(shí)現(xiàn)

信息安全終端區(qū)域督查系統(tǒng)是一個自動化的檢查工具,系統(tǒng)為服務(wù)器客戶端模式,服務(wù)器端為三層架構(gòu),系統(tǒng)實(shí)現(xiàn)模塊如圖3所示。

圖3　系統(tǒng)實(shí)現(xiàn)模塊圖

1) 展現(xiàn)層:展現(xiàn)層是人機(jī)交互的接口,主要用于督查模板的設(shè)置、督查任務(wù)的建立以及督查結(jié)果的查看,同時負(fù)責(zé)本系統(tǒng)和華中電力第三方系統(tǒng)的接口,包括與LDAP服務(wù)器的接口(用于獲取用戶信息),與北信源服務(wù)器的接口(用于將違規(guī)外聯(lián)信息納入本系統(tǒng)進(jìn)行統(tǒng)一呈現(xiàn))。

2) 應(yīng)用層:應(yīng)用層是用于客戶端程序和服務(wù)器端程序的連接和數(shù)據(jù)交互,設(shè)置應(yīng)用層,是從安全和性能方面的考慮,可以避免直接將服務(wù)器端數(shù)據(jù)庫暴露給客戶端。所有從客戶端發(fā)送來的督查結(jié)果數(shù)據(jù)會經(jīng)由應(yīng)用層寫入服務(wù)器端數(shù)據(jù)庫,同時服務(wù)器端下發(fā)的督查任務(wù)以及客戶端版本升級等數(shù)據(jù)也是由應(yīng)用層轉(zhuǎn)發(fā)給客戶端程序。

3) 數(shù)據(jù)庫層:本系統(tǒng)數(shù)據(jù)庫采用的是SQL SERVER 2008,數(shù)據(jù)庫中存放有督查相關(guān)所有信息,包括督查模板、督查任務(wù)、督查結(jié)果等,同時從第三方系統(tǒng)獲取的信息,如用戶信息和違規(guī)外聯(lián)告警信息等也存放在此數(shù)據(jù)庫中。數(shù)據(jù)庫與客戶端的數(shù)據(jù)交互需要通過應(yīng)用層轉(zhuǎn)發(fā),數(shù)據(jù)庫中相關(guān)信息由展現(xiàn)層來統(tǒng)一呈現(xiàn)。

客戶端采用C++開發(fā),客戶端界面如圖5所示,客戶端程序定期檢測服務(wù)器端生成的安全督查任務(wù),在發(fā)現(xiàn)有新督查任務(wù)后,通過客戶端和服務(wù)器端SSL加密通道,下載督查任務(wù)XML文件。并由客戶端對督查任務(wù)進(jìn)行解析執(zhí)行,客戶端通過以下三種方式獲得安全相關(guān)信息,并完成安全督查任務(wù):

1) Windows本地安全組策略數(shù)據(jù)庫檢查,使用secedit指令,對本地安全組策略數(shù)據(jù)庫(secedit.sdb)進(jìn)行檢查,獲取包含帳戶策略、審核策略、訪問權(quán)限以及登錄權(quán)限等策略。

2) WMI技術(shù)(Windows Management Instrumentation,Windows管理規(guī)范),WMI是一項(xiàng)核心的Windows管理技術(shù);用戶可以使用WMI管理本地和遠(yuǎn)程計(jì)算機(jī)。WMI是對Windows安全模板技術(shù)的有力補(bǔ)充,可以對終端網(wǎng)絡(luò)端口、進(jìn)程信息、網(wǎng)絡(luò)接口信息、自動啟動項(xiàng)信息、共享信息進(jìn)行檢查。

3) 注冊表檢查,對本地注冊表配置信息進(jìn)行檢查,獲取包含審核策略、訪問權(quán)限以及IP協(xié)議安全等策略配置信息。

圖4　客戶端界面

4　結(jié)語

針對電力行業(yè)桌面終端、操作終端安全評估的特點(diǎn),本文提出了一種融合CVSS的信息安全終端安全評估模型,本模型基于ISO/IEC13335[10]標(biāo)準(zhǔn)實(shí)現(xiàn)對電力行業(yè)桌面終端、操作終端的信息安全評估,并在ISO/IEC13335標(biāo)準(zhǔn)的基礎(chǔ)上融入CVSS評價體系。下一步的工作是融入CCSS標(biāo)準(zhǔn)對評估模型進(jìn)行優(yōu)化,使其能夠自動地適應(yīng)不同的敏感行業(yè)信息終端。

參 考 文 獻(xiàn)

[1] 汪生,孫樂昌.基于CVE的安全脆弱性數(shù)據(jù)庫系統(tǒng)的擴(kuò)展設(shè)計(jì)[J].微電子學(xué)與計(jì)算機(jī),2005,22(10):152-155.

WANG Sheng, SUN Lechang. Extended Design of a CVE Based on Security Vulnerability Database System[J]. Microelectronics & Computer,2005,22(10):152-155.

[2] 胡炎,董名垂,韓英鐸.電力工業(yè)信息安全的思考[J].電力系統(tǒng)自動化,2002,26(5):1-4.

HU Yan, DONG Mingchui, HAN Yingduo. Consideranon of information security for electric power industry[J]. Automation of Electric Power Systems,2002,26(5):1-4.

[3] United States Computer Emergency Readiness Team(us—CERT). US—CERT Vulnerability NoteField Descriptions[EB/OL]. 2006. http://kb.cert.org/vuls/html/fieldhelp.

[4] SANS Institute. SANS Critical vulnerability Analysis Archive[EB/OL]. http://www.sans.org/newsletters/cva/.

[5] Microsoft Corporation. Microsoft Security Response Center Security Bullet in Severity Rating System, 2002[EB/OL]. http://www.microsoft.com/technet/security/bulletin/rating.mspx.

[6] SCAP Homepage[EB/OL]. http://scap.nist.gov.

[7] 李藝,李新明,崔云飛.軟件脆弱性危險程度量化評估模型研究[J].計(jì)算機(jī)科學(xué),2011,38(6):169-172,216.

LI Yi, LI Xinming, CUI Yunfei. Research of Evaluating Model on the Criticality of Software Vulnerability[J]. Computer Science,2011,38(6):169-172,216.

[8] 劉哲,張為群,肖魏娜.一種基于模糊評估分層模型的構(gòu)件可測試性評價方法[J].計(jì)算機(jī)科學(xué),2011,38(5):113-115.

LIU Zhe, ZHANG Weiqun, XIAO Weina. Method Based on Fuzzy Evaluation Model of Layered Component Testability Evaluation[J]. Computer Science,2011,38(5):113-115.

[9] IRST. A Complete Guide to the Common Vulnerabil ity Scoring System Version 2.0[EB/OL]. http://www.first.org/CVSS/CVSS—guide.html.

[10] 國際標(biāo)準(zhǔn)化組織,國際電工委員會.信息技術(shù)安全管理指南ISO/IEC13335[S].

International Organization for Standardization, International Electrotechnical Commission. Information Technology Security Guide ISO/IEC13335[S].

收稿日期:2015年10月7日,修回日期:2015年11月22日

基金項(xiàng)目:國家自然科學(xué)青年基金(編號:61502438)資助。

作者簡介:王強(qiáng),男,碩士,高級工程師,研究方向:信息系統(tǒng)運(yùn)維與安全管理。孟浩華,男,碩士,高級工程師,研究方向:信息安全。

中圖分類號TP393

DOI:10.3969/j.issn.1672-9722.2016.04.026

Information Security Evaluation Model with CVSS

WANG Qiang1MENG Haohua2

(1. Central China Grid Company Limited, Wuhan430077)(2. Information and Communication Branch of Hubei Electric Power Company, Wuhan430077)

AbstractIn view that there isn’t evaluation method for desktop terminals and operation terminals with weak security protection and poor controlability to reflect the characteristics of power industry’s information security terminals, an information security terminals security evaluation model is prooposed according to requirements of information security in power industry and threats faced by desktop terminals and operation terminals to discuss the security evaluation system and evaluation criteria. The model can meet the requirements and objectives of destop terminals security evaluation, including detailed project assessment and quantitative evaluation system. Then based on the model, the automatic security evaluation for power industry’s information security terminals is realized.

Key Wordsdesktop terminal, operation terminal, CVSS, vulnerability quantification, threat quantification