淺談等級安全保護安全計算環(huán)境操作系統(tǒng)現(xiàn)狀

◆張賞雪 亓澤瑜 孫蕊剛 張敏 趙首花

淺談等級安全保護安全計算環(huán)境操作系統(tǒng)現(xiàn)狀

◆張賞雪 亓澤瑜 孫蕊剛 張敏 趙首花

（陜西省網(wǎng)絡與信息安全測評中心 陜西 710065）

《中華人民共和國網(wǎng)絡安全法》明確我國實行網(wǎng)絡安全等級保護制度，等級保護越來越受到各級行政機關、企事業(yè)單位的重視，并積極邀請第三方測評機構對涉及重要資產(chǎn)的系統(tǒng)進行網(wǎng)絡安全等級測評。測評機構依據(jù)《網(wǎng)絡安全等級保護2.0》標準對信息系統(tǒng)進行測評，本文旨在討論《網(wǎng)絡安全等級保護2.0》標準中三級信息系統(tǒng)安全計算環(huán)境操作系統(tǒng)的實際情況，探討安全計算環(huán)境中操作系統(tǒng)與終端的現(xiàn)狀。

等級保護；安全計算環(huán)境；信息安全

1 Windows系統(tǒng)分類

目前，在三級信息系統(tǒng)中，常見的服務器操作系統(tǒng)包括：Windows server 2008、Windows server 2012、Windows server 2016，常見的操作終端包括：Windows、Windows7、Windows10。它們在《網(wǎng)絡安全等級保護2.0》標準的要求中，需要進行測評的項目基本一致，包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復、剩余信息保護與個人信息保護共計11個控制點34個控制項。測評人員需要針對每個控制項，結合測試方法，去核查該系統(tǒng)是否符合控制項要求，從而對該信息系統(tǒng)該條控制項進行打分。

2 Windows操作系統(tǒng)與終端的通用項核查

以Windows server 2008與Windows終端為例，會發(fā)現(xiàn)多數(shù)控制項基本通用，整理并總結通用控制項控制點如下表1所示：

表1 通用控制項控制點

針對通用項的核查，使用固定的操作方法，按順序對操作系統(tǒng)以及終端進行檢查，檢查結果符合相關要求。

3 Windows操作系統(tǒng)與終端的不通用項

目前，在實際的操作中，我們發(fā)現(xiàn)Windows操作系統(tǒng)與終端在安全計算環(huán)境中均有不適用項，還是以Windows server 2008與Windows終端為例：

（1）在入侵防范控制點應通過設定終端接入方式或網(wǎng)絡地址范圍對通過網(wǎng)絡進行管理的管理終端進行限制控制項中，Windows server 2008與Windows終端的測評方法就不相同，Windows server 2008分為三種情況：使用遠程桌面的、使用第三方工具的、不存在遠程管理的，而Windows終端沒有對相關情況進行分類。預期的實驗結果還是相同的：通過網(wǎng)絡防火墻、堡壘主機限制、ip段進行接入地址限制。

（2）在惡意代碼防范控制點應采用免受惡意代碼攻擊的技術措施或主動免疫可信驗證機制，以便及時識別入侵和病毒行為，并將其有效阻斷在控制項中，Windows server 2008與Windows終端的測評方法還是不同，Windows終端多出一個測評方法“查看系統(tǒng)中采取何種可信驗證機制，訪談管理員實現(xiàn)原理”，預期結果相同：查看系統(tǒng)中采取何種可信驗證機制，實現(xiàn)原理為基于可信根TPM技術。

（3）在數(shù)據(jù)完整性與數(shù)據(jù)保密性控制點中，Windows server 2008與Windows終端應由應用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等軟件使用https、ssh等安全協(xié)議傳輸數(shù)據(jù)實現(xiàn)傳輸過程中的完整性、保密性，故操作系統(tǒng)不適用此測評項；但是我們還是要知道其預期結果應該是：主機操作系統(tǒng)數(shù)據(jù)在傳輸過程采取校驗碼或密碼技術進行完整性保護；主機操作系統(tǒng)的鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)和重要個人信息等采用密碼技術實現(xiàn)存儲保密性。

4 結語

等級安全保護測評工作正依托《中華人民共和國網(wǎng)絡安全法》《網(wǎng)絡安全等級保護2.0》標準在我國各地、各個重要信息系統(tǒng)間如火如荼地進行，本文僅通過GB/T 28448-2019與實際等級保護現(xiàn)場Windows操作系統(tǒng)與終端相結合的經(jīng)驗，探討安全計算環(huán)境中操作系統(tǒng)與終端的現(xiàn)存狀況與需要注意的測評通用項，進而推動網(wǎng)絡安全等級保護工作的發(fā)展。

[1]GB/T 28448-2019，信息安全技術網(wǎng)絡安全等級保護測評要求[S].

[2]公安部信息安全等級保護評估中心.網(wǎng)絡安全等級測評師培訓教材（初級）2019版[M].