等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)的研究與設(shè)計(jì)

譚 可

（中國(guó)鐵路昆明局集團(tuán)有限公司 信息化處，昆明 650011）

信息安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種方式[1]。信息安全等級(jí)保護(hù)工作包括定級(jí)、備案、安全建設(shè)和整改、信息安全等級(jí)測(cè)評(píng)、信息安全檢查5個(gè)階段。近年來，國(guó)內(nèi)眾多從事網(wǎng)絡(luò)安全的工作人員及學(xué)者對(duì)等級(jí)保護(hù)測(cè)評(píng)工作進(jìn)行了廣泛研究，對(duì)測(cè)評(píng)平臺(tái)及測(cè)評(píng)指標(biāo)量化方法進(jìn)行了設(shè)計(jì)[2]，提出了一系列適用于不同行業(yè)的測(cè)評(píng)方法和工作模式建議[3-7]，但缺乏一套完整的測(cè)評(píng)全流程管理信息系統(tǒng)。本文結(jié)合中國(guó)鐵路昆明局集團(tuán)有限公司、某電網(wǎng)公司在等級(jí)保護(hù)測(cè)評(píng)工作中的經(jīng)驗(yàn)及前人所做研究，旨在設(shè)計(jì)一套集成度高、涵蓋面廣、功能齊備、標(biāo)準(zhǔn)統(tǒng)一、評(píng)判精準(zhǔn)、可自動(dòng)運(yùn)行的等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)。該系統(tǒng)可對(duì)等級(jí)保護(hù)測(cè)評(píng)工作提供全方位的過程管理，實(shí)現(xiàn)測(cè)評(píng)過程中標(biāo)準(zhǔn)統(tǒng)一、快速檢測(cè)、自動(dòng)評(píng)判等功能，有望應(yīng)用于各行業(yè)的信息安全等級(jí)保護(hù)工作中，提升等級(jí)保護(hù)測(cè)評(píng)的效率及質(zhì)量。

1 等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)的必要性

信息安全等級(jí)保護(hù)是我國(guó)規(guī)范信息安全管理工作的一項(xiàng)重要制度，而等級(jí)保護(hù)測(cè)評(píng)是整個(gè)等級(jí)保護(hù)工作中的重點(diǎn)和難點(diǎn)[8]。測(cè)評(píng)工作在開展過程中耗時(shí)、耗力，對(duì)測(cè)評(píng)人員專業(yè)技能要求較高，測(cè)評(píng)結(jié)果容易主觀化。學(xué)者專家及專業(yè)測(cè)評(píng)機(jī)構(gòu)研究設(shè)計(jì)了部分安全評(píng)估算法或測(cè)評(píng)工具箱，但測(cè)評(píng)結(jié)果及數(shù)據(jù)很大程度上難以共享及深度挖掘。研究設(shè)計(jì)等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)可有效節(jié)約人力、規(guī)范測(cè)評(píng)流程、統(tǒng)一測(cè)評(píng)標(biāo)準(zhǔn)，對(duì)數(shù)量眾多、規(guī)模龐大、結(jié)構(gòu)復(fù)雜的多個(gè)信息系統(tǒng)同時(shí)開展測(cè)評(píng)，兼顧測(cè)評(píng)的高效和全面細(xì)致，可極大地提升測(cè)評(píng)質(zhì)量。

2 等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)設(shè)計(jì)

2.1 架構(gòu)設(shè)計(jì)

移動(dòng)等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)主要包括安全信息收集平臺(tái)和測(cè)評(píng)系統(tǒng)[9]，系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)架構(gòu)

2.2 安全信息收集平臺(tái)

對(duì)信息系統(tǒng)進(jìn)行安全測(cè)試，必須借助第三方軟件，如漏洞掃描、基線掃描、等級(jí)保護(hù)工具箱、數(shù)據(jù)庫(kù)安全評(píng)估、中間件安全評(píng)估等工具。由于各測(cè)試工具及使用方法千差萬(wàn)別、測(cè)試結(jié)果格式不統(tǒng)一、使得測(cè)試結(jié)果數(shù)據(jù)難以共享，降低了工作效率。安全信息收集平臺(tái)通過按需、易擴(kuò)展的方式集成統(tǒng)一的相關(guān)安全工具，構(gòu)建一個(gè)可對(duì)安全配置、軟件漏洞、主機(jī)病毒與木馬檢測(cè)、網(wǎng)站惡意代碼檢查、安全代碼審計(jì)、安全日志分析等安全信息收集的平臺(tái)[10-11]。

平臺(tái)主要功能包括：測(cè)評(píng)工具管理、安全數(shù)據(jù)收集與存儲(chǔ)、安全信息分析、報(bào)表管理等，系統(tǒng)功能如圖2所示。

圖2 安全信息收集平臺(tái)系統(tǒng)功能

2.2.1 測(cè)評(píng)工具管理

對(duì)安全評(píng)估工具進(jìn)行統(tǒng)一管理并實(shí)現(xiàn)工具的自動(dòng)化調(diào)用，包含網(wǎng)站安全與惡意代碼檢查工具、數(shù)據(jù)庫(kù)安全檢查工具、網(wǎng)絡(luò)設(shè)備配置檢查工具、主機(jī)配置檢查工具、系統(tǒng)漏洞掃描工具、弱口令檢查工具、病毒與木馬檢查工具等。安全評(píng)估工具支持手動(dòng)導(dǎo)入和自動(dòng)采集安全配置信息兩種方式，采用科學(xué)的方法，對(duì)測(cè)評(píng)結(jié)果、風(fēng)險(xiǎn)等提供定量的安全評(píng)價(jià)，并能自定義評(píng)價(jià)算法。每個(gè)測(cè)評(píng)工具可對(duì)檢測(cè)出來的問題提供弱點(diǎn)或漏洞詳細(xì)描述、并提出修補(bǔ)及整改建議。

（1）網(wǎng)站安全與惡意代碼檢查工具

實(shí)現(xiàn)對(duì)信息系統(tǒng)的Web安全檢查，支持對(duì)SQL注入、XSS跨站腳本、偽造跨站點(diǎn)請(qǐng)求、網(wǎng)頁(yè)木馬、隱藏字段、表單繞過、AJAX注入、弱配置、敏感信息泄漏、HI-JACK 攻擊、弱口令、Xpath注入、LDAP 注入、框架注入、操作系統(tǒng)命令注入、Flash源代碼泄漏、Flash跨域攻擊、Cookies注入、敏感文件、第三方軟件、其他各類CGI等漏洞進(jìn)行掃描。對(duì)網(wǎng)站代碼的安全進(jìn)行檢查，支持.asp、.aspx、.php、.jsp、.css等文件格式檢查，支持自定義文件后綴格式，異性、變異WebShell后門代碼檢查，支持關(guān)鍵惡意特征碼定位等掃描策略。

（2）數(shù)據(jù)庫(kù)安全檢查工具

實(shí)現(xiàn)對(duì) Oracle、Sybase、DB2、Informix、My-SQL、SQL Server等主流數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全檢查，檢查的內(nèi)容主要包含了不安全配置、安全策略、補(bǔ)丁升級(jí)、權(quán)限分配、訪問控制、弱口令等。

（3）網(wǎng)絡(luò)設(shè)備配置檢查工具

支持檢查網(wǎng)絡(luò)設(shè)備賬戶的安全策略信息，包含口令長(zhǎng)度、復(fù)雜度、定期更換、登錄失敗、鎖定次數(shù)等，支持檢查安全審計(jì)策略，包含事件類型、SYSLOG服務(wù)器，支持檢查不必要的服務(wù)和端口（如TELNET、FTP、SNMP、HTTP），支持SNMP、SSH 服務(wù)、版本信息等檢查。

（4）主機(jī)配置檢查工具

實(shí)現(xiàn)對(duì)Linux系統(tǒng)信息、硬件信息、異常服務(wù)、安全策略、帳戶信息、服務(wù)信息、系統(tǒng)補(bǔ)丁、活動(dòng)端口、用戶權(quán)限、審計(jì)策略、SNMP信息、SSH信息、資源控制等配置項(xiàng)進(jìn)行安全檢查；對(duì)Windows系統(tǒng)信息、硬件信息、系統(tǒng)開機(jī)啟動(dòng)項(xiàng)、異常服務(wù)、安全策略、帳戶信息、審計(jì)策略、系統(tǒng)補(bǔ)丁、進(jìn)程掃描、軟件安裝、活動(dòng)端口、用戶權(quán)限、安全選項(xiàng)、組策略、運(yùn)行保護(hù)、瀏覽器上網(wǎng)記錄、USB使用記錄等眾多配置項(xiàng)進(jìn)行安全檢查。

（5）系統(tǒng)漏洞掃描工具

實(shí)現(xiàn)對(duì)Microsoft Windows XP/2003/Vista/2008/7、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等操作系統(tǒng)進(jìn)行漏洞掃描，以及Web、FTP、電子郵件等應(yīng)用系統(tǒng)，Office、Apache等常用軟件漏洞掃描。同時(shí)也可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描。可以自動(dòng)統(tǒng)計(jì)總體漏洞數(shù)量、統(tǒng)計(jì)不同操作系統(tǒng)類型的主機(jī)數(shù)量、統(tǒng)計(jì)所有開發(fā)端口、可用帳戶等信息。

（6）弱口令檢查工具

實(shí)現(xiàn)應(yīng)用程序協(xié)議的弱口令檢查，如SMB、RDP、TELNET、SSH、Pop3、FTP 、SQL Server、Oracle、My SQL等應(yīng)用程序協(xié)議。

（7）病毒與木馬檢查工具

實(shí)現(xiàn)對(duì)操作系統(tǒng)的關(guān)鍵機(jī)制，如系統(tǒng)服務(wù)、內(nèi)存、注冊(cè)表、啟動(dòng)進(jìn)程；檢測(cè)操作系統(tǒng)的安全模型，包括訪問控制、特權(quán)和審計(jì)；反饋系統(tǒng)安全配置、文件訪問，驅(qū)動(dòng)、引導(dǎo)等系統(tǒng)深度進(jìn)行流氓軟件、蠕蟲病毒、其它惡意程序的檢查工作。實(shí)現(xiàn)系統(tǒng)中的木馬程序、Rootkit、間諜程序等木馬檢查，提取操作系統(tǒng)的關(guān)鍵機(jī)制，如系統(tǒng)服務(wù)、內(nèi)存、注冊(cè)表、啟動(dòng)進(jìn)程；檢測(cè)操作系統(tǒng)的安全模型，包括訪問控制、特權(quán)和審計(jì)；反饋系統(tǒng)安全配置、文件訪問，驅(qū)動(dòng)、引導(dǎo)等系統(tǒng)深度信息進(jìn)行檢查。

2.2.2 安全數(shù)據(jù)收集與存儲(chǔ)

通過對(duì)測(cè)評(píng)工具的控制，對(duì)每個(gè)自動(dòng)化安全測(cè)評(píng)工具掃描的結(jié)果進(jìn)行解析，按類型存儲(chǔ)到數(shù)據(jù)庫(kù)。也可以手動(dòng)導(dǎo)入安全信息數(shù)據(jù)，并對(duì)數(shù)據(jù)進(jìn)行解析、分類存儲(chǔ)。

2.2.3 安全信息分析

安全信息收集平臺(tái)可將部分已收集的格式化安全信息數(shù)據(jù)進(jìn)行量化及綜合分析，得出更直觀準(zhǔn)確的測(cè)評(píng)結(jié)論，提供數(shù)據(jù)接口給測(cè)評(píng)系統(tǒng)使用。以安全風(fēng)險(xiǎn)量化分析為例：

風(fēng)險(xiǎn)值 = R（A，T，V）= R（L（Ta，Vb），F(xiàn)（Ia，Va））。

其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)，A表示資產(chǎn)，T表示威脅，V表示脆弱性，Ta表示威脅出現(xiàn)的頻率，Ia表示安全事件所作用的資產(chǎn)價(jià)值，Va表示脆弱性嚴(yán)重程度，Vb表示存在的脆弱性，L表示威脅利用資產(chǎn)存在的脆弱性導(dǎo)致安全事件發(fā)生的可能性，F(xiàn)表示安全事件發(fā)生后產(chǎn)生的損失。風(fēng)險(xiǎn)值計(jì)算包含以下3個(gè)關(guān)鍵環(huán)節(jié)。

（1）安全事件發(fā)生的可能性 = L（威脅出現(xiàn)頻率，脆弱性）= L（Ta，Vb）；在具體評(píng)估中，應(yīng)綜合攻擊者技術(shù)能力（專業(yè)技術(shù)程度、攻擊設(shè)備等）、脆弱性被利用的難易程度（可訪問時(shí)間、設(shè)計(jì)和操作知識(shí)公開程度等）、資產(chǎn)吸引力等因素來判斷安全事件發(fā)生的可能性。

（2）安全事件的損失 = F（資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度）= F（Ia，Va）；部分安全事件發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身，還可能影響其提供業(yè)務(wù)的連續(xù)性。不同安全事件對(duì)整體造成的影響也是不一樣的，在計(jì)算某個(gè)安全事件的損失時(shí)，應(yīng)將對(duì)整體的影響也考慮在內(nèi)。

（3）計(jì)算風(fēng)險(xiǎn)值：風(fēng)險(xiǎn)值 = R（安全事件發(fā)生的可能性，安全事件的損失）= R（L（Ta，Vb），F(xiàn)（Ia，Va））。

2.3 測(cè)評(píng)系統(tǒng)

系統(tǒng)主要包括項(xiàng)目管理、資產(chǎn)管理、測(cè)評(píng)指標(biāo)管理、移動(dòng)測(cè)評(píng)、等級(jí)保護(hù)測(cè)評(píng)管理、安全態(tài)勢(shì)分析、外部接口等模塊。

2.3.1 項(xiàng)目管理模塊

將等級(jí)保護(hù)測(cè)評(píng)工作流程固化，提供測(cè)評(píng)任務(wù)配置、測(cè)評(píng)跟蹤、測(cè)評(píng)結(jié)果統(tǒng)計(jì)、風(fēng)險(xiǎn)量化分析、報(bào)告編制等功能，實(shí)現(xiàn)測(cè)評(píng)任務(wù)從創(chuàng)建、實(shí)施到關(guān)閉的整個(gè)生命周期管理，將以往的人工審計(jì)工作轉(zhuǎn)變成自動(dòng)化的測(cè)試,并自動(dòng)生成各類報(bào)告。系統(tǒng)可按時(shí)間、機(jī)構(gòu)、類型等類別查看、跟蹤各測(cè)評(píng)項(xiàng)目的編號(hào)、名稱、負(fù)責(zé)人、狀態(tài)等相關(guān)屬性[9]。

2.3.2 資產(chǎn)管理模塊

對(duì)被測(cè)單位的信息系統(tǒng)資產(chǎn)進(jìn)行統(tǒng)一的類別劃分、登記等綜合管理；實(shí)現(xiàn)資產(chǎn)的登記和分類，支持手工錄入或自動(dòng)探測(cè)，或與第三方系統(tǒng)運(yùn)維機(jī)構(gòu)獲取資產(chǎn)管理的基礎(chǔ)信息。

2.3.3 測(cè)評(píng)指標(biāo)管理模塊

測(cè)評(píng)指標(biāo)隨著標(biāo)準(zhǔn)級(jí)別（國(guó)標(biāo)、行標(biāo)、企標(biāo)、測(cè)評(píng)單位內(nèi)部）變化所帶來的差異，可分為國(guó)家原創(chuàng)、行業(yè)增強(qiáng)、行業(yè)原創(chuàng)、企業(yè)增強(qiáng)、企業(yè)原創(chuàng)、測(cè)評(píng)機(jī)構(gòu)增強(qiáng)、測(cè)評(píng)機(jī)構(gòu)原創(chuàng)等7大類。測(cè)評(píng)指標(biāo)庫(kù)架構(gòu)如圖3所示。

圖3 測(cè)評(píng)指標(biāo)庫(kù)架構(gòu)

測(cè)評(píng)指標(biāo)內(nèi)容應(yīng)盡可能細(xì)化、詳盡，以身份鑒別指標(biāo)為例，測(cè)評(píng)內(nèi)容應(yīng)至少包括：標(biāo)識(shí)、鑒別、密碼復(fù)雜度、密碼長(zhǎng)度、密碼更換周期、弱口令、非法登錄次數(shù)及失敗處理、賬戶鎖定時(shí)間、加密傳輸、操作系統(tǒng)用戶唯一等多個(gè)測(cè)評(píng)指標(biāo)項(xiàng)。

測(cè)評(píng)指標(biāo)管理模塊可以對(duì)指標(biāo)進(jìn)行添加、刪除、導(dǎo)入導(dǎo)出、篩選查詢等,可對(duì)指標(biāo)屬性進(jìn)行橫向擴(kuò)展，對(duì)指標(biāo)層次進(jìn)行縱向擴(kuò)展。對(duì)不同行業(yè)、不同系統(tǒng)開展測(cè)評(píng)時(shí)，可以選取最匹配該行業(yè)標(biāo)準(zhǔn)的指標(biāo)進(jìn)行精準(zhǔn)測(cè)評(píng)。

2.3.4 移動(dòng)測(cè)評(píng)子系統(tǒng)

隨著便攜式移動(dòng)設(shè)備越來越廣泛的應(yīng)用，在等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)中使用移動(dòng)客戶端協(xié)助測(cè)評(píng)，可極大地提高測(cè)評(píng)效率、規(guī)范現(xiàn)評(píng)流程。測(cè)評(píng)人員通過移動(dòng)客戶端在等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)中領(lǐng)取相應(yīng)任務(wù)，并對(duì)測(cè)評(píng)工作和進(jìn)度進(jìn)行實(shí)時(shí)或離線同步，完成測(cè)評(píng)工作的全流程控制。移動(dòng)客戶端通過現(xiàn)場(chǎng)錄音、拍照取證等功能與人工測(cè)評(píng)緊密結(jié)合，完成現(xiàn)場(chǎng)測(cè)評(píng)；同時(shí)可控制安全信息收集平臺(tái)，發(fā)送指令進(jìn)行安全配置信息、安全漏洞收集，安全日志分析等操作。移動(dòng)測(cè)評(píng)完成后，移動(dòng)客戶端連接到等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)網(wǎng)絡(luò)，把數(shù)據(jù)同步到系統(tǒng)中。測(cè)評(píng)過程中，移動(dòng)客戶端通過加密等多種手段，對(duì)終端安全及數(shù)據(jù)安全進(jìn)行嚴(yán)格的控制。移動(dòng)測(cè)評(píng)子系統(tǒng)業(yè)務(wù)流程如圖4所示。

2.3.5 等級(jí)保護(hù)測(cè)評(píng)管理

圖4 移動(dòng)測(cè)評(píng)子系統(tǒng)業(yè)務(wù)流程

等級(jí)保護(hù)測(cè)評(píng)管理，可按照測(cè)評(píng)的標(biāo)準(zhǔn)流程，協(xié)助測(cè)評(píng)人員完成以下測(cè)評(píng)工作。

（1）信息收集與分析。包括：上傳收集資料，測(cè)評(píng)對(duì)象選取，測(cè)評(píng)方案編制，上傳測(cè)評(píng)方案，填寫分工信息等。

（2）現(xiàn)場(chǎng)測(cè)評(píng)實(shí)施。測(cè)評(píng)人員按安全域進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)，并將現(xiàn)場(chǎng)測(cè)評(píng)結(jié)果導(dǎo)入系統(tǒng)。

（3）測(cè)評(píng)報(bào)告編寫。建立信息系統(tǒng)安全測(cè)試歷史數(shù)據(jù)庫(kù),提供全方位的數(shù)據(jù)分析，按需求生成多樣化的報(bào)表，主要包括：總體技術(shù)指標(biāo)，管理水平，測(cè)評(píng)結(jié)果匯總表，匯總圖，問題匯總表，風(fēng)險(xiǎn)評(píng)價(jià)，測(cè)評(píng)結(jié)論，安全整改建議等。整個(gè)測(cè)評(píng)工作流程如圖5所示。

圖5 等級(jí)保護(hù)測(cè)評(píng)工作流程

2.3.6 安全態(tài)勢(shì)分析模塊

信息系統(tǒng)經(jīng)過多次安全測(cè)評(píng)、復(fù)測(cè)后，會(huì)產(chǎn)生大量信息安全數(shù)據(jù)，通過對(duì)這些數(shù)據(jù)進(jìn)行深入的挖掘和分析，研究安全態(tài)勢(shì)模型，可直觀展現(xiàn)信息系統(tǒng)運(yùn)行、單位安全管理等重要環(huán)節(jié)的安全態(tài)勢(shì)[12]。安全態(tài)勢(shì)分析模塊主要包含以下功能：對(duì)等級(jí)保護(hù)測(cè)評(píng)結(jié)果進(jìn)行數(shù)據(jù)清洗、規(guī)范和匯總，使其具備統(tǒng)一分析的基礎(chǔ)；對(duì)安全制度、人員管理、建設(shè)管理、運(yùn)維制度、網(wǎng)絡(luò)安全態(tài)勢(shì)、物理環(huán)境安全態(tài)勢(shì)、數(shù)據(jù)安全態(tài)勢(shì)、主機(jī)安全態(tài)勢(shì)、應(yīng)用系統(tǒng)安全態(tài)勢(shì)等重要安全指標(biāo)進(jìn)行綜合分析研判，通過圖表等形式直觀展示。

2.3.7 外部接口模塊

提供包括應(yīng)用安全掃描、主機(jī)系統(tǒng)漏洞掃描、數(shù)據(jù)庫(kù)安全掃描等工具的接口模塊,實(shí)現(xiàn)對(duì)外部工具的直接調(diào)用和對(duì)工具生成的報(bào)告的直接導(dǎo)入。通過外部掃描數(shù)據(jù)導(dǎo)入分析功能，提供一個(gè)漏洞驅(qū)動(dòng)的事件分析引擎,對(duì)等級(jí)保護(hù)的測(cè)評(píng)項(xiàng)與掃描結(jié)果作對(duì)比分析,有效地實(shí)現(xiàn)測(cè)評(píng)結(jié)果數(shù)據(jù)共享,極大地減少測(cè)評(píng)人員的工作量。

3 結(jié)束語(yǔ)

本文提出的等級(jí)保護(hù)測(cè)評(píng)管理系統(tǒng)利用安全信息自動(dòng)化采集技術(shù)，集成各類安全評(píng)估工具，可實(shí)現(xiàn)測(cè)評(píng)過程的有效管理、測(cè)評(píng)工作的有序開展、測(cè)試標(biāo)準(zhǔn)的高度統(tǒng)一、測(cè)評(píng)指標(biāo)的自動(dòng)判斷、測(cè)評(píng)結(jié)果的客觀分析、測(cè)評(píng)報(bào)告的自動(dòng)生成等。研究成果在某公安網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室、某電網(wǎng)信息安全實(shí)驗(yàn)室進(jìn)行應(yīng)用，達(dá)到了縮短項(xiàng)目管理、技術(shù)檢測(cè)、結(jié)果統(tǒng)計(jì)、報(bào)告生成等環(huán)節(jié)用時(shí)的目的，明顯地提高了測(cè)評(píng)質(zhì)量。