李倩,杨晓明,罗衡峰,刘志祥
(工业和信息化部电子第五研究所,广东 广州 510610)
1994年国务院颁发《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),提出了计算机信息系统安全等级保护的具体实施方法,重点保护基础信息网络和关系国家安全、经济命脉和社会稳定等方面的管理办法和技术指南相继通过中办发 【2003】27号文 (《国家信息化领导小组关于加强信息安全保障工作的意见》)、公通字【2004】66号文 (《关于信息安全等级保护工作的实施意见》)、 公通字 【2007】43号文 (《信息安全等级保护管理办法》)等文件强调并推广,逐步明确信息安全等级保护是国家的一项基本制度。等级测评是整个等级保护工作中的重要一环,用于判断信息系统的安全保护能力与国家要求之间的符合程度,并在信息系统的不同建设周期作为安全需求而用于指导信息系统的安全建设或安全改造。
一个复杂的信息系统是由形形色色的因素构成的,如网络层面、物理层面、应用层面和数据层面等,各要素之间互相影响并保持着自身因素的独立性,主机安全是整个信息系统的最后一道防线,取决于各种型号和不同类型的计算机 (硬件和软件)、管理及使用计算机的人。具体来说,主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、Web、文件与通信等服务器。
国家标准《信息系统安全等级保护基本要求》(GB/T 22239-2008),下面简称要求,它将主机安全测评的内容分为9个控制点,包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制。随着每个等级的重要程度的区分,各等级的主机安全保护能力的要求也逐级增加,使每个主机安全防护能力能够最大限度地发挥在相应的等级要求之上。
要求提出了如何测试被测系统而使其不违背要求的本质,必须根据各自的要求梳理出被测对象的测评方式、方法和步骤。表1列出了主机安全9个控制点的测试手段,通过此表可以更清晰地了解现场测试的重点,提早合理地制定有关安全人员的计划。表1中举例出三级信息系统在测评实施过程中所采用的测评手段。
表1 主机测评方式
访谈是指测评人员通过与被测评单位的系统管理员、安全管理员、各个主机的使用者等进行交流、讨论等活动,以获取证据证明信息系统安全保障措施是否有效的一种方法。使用访谈方法进行测评的目的是为了了解信息系统的全局性 (包括局部,但不是细节)、方向/策略性和过程性信息,一般不涉及到具体的实现细节和技术措施。访谈的内容将九个控制点融合在一起,将访谈的流程连贯性地进行,通过一个访谈问卷来细化访谈内容。本文考虑到通用性,主机安全的测评实施均以三级信息系统为例。
a)身份鉴别访谈
第三级安全测评要求主机安全访谈测评项共有6项:
1)访谈系统管理员,询问操作系统的用户身份标识与鉴别机制采取了何种方式;
2)访谈数据库管理员,询问数据库系统的用户身份标识与鉴别机制采取了何种方式;
3)访谈系统管理员,询问操作系统的密码策略;
4)访谈数据库管理员,询问数据库系统的密码策略;
5)访谈系统管理员,询问远程管理的加密措施;
6)访谈系统管理员,询问系统有没有加固,除口令以外有无其它鉴别方式。
b)访问控制访谈
第三级安全测评要求主机安全访谈测评项共有4项:
1)访谈系统管理员和数据库管理员,询问操作系统和数据库系统是否实现了权限分离;
2)访谈系统管理员,询问是否更改了默认用户名;
3)访谈系统管理员,询问是否对重要的信息资源设置敏感标记;
4)访谈系统管理员,询问敏感标记策略的相关位置。
c)安全审计访谈
第三级安全测评要求主机安全访谈测评项共有4项:
1)访谈系统管理员,询问是否开启审计功能、安装第三方审计软件或系统;
2)访谈系统管理员,询问是否记录审计过程或开启审计报表功能;
3)访谈系统管理员,询问是否有第三方对审计记录进行监控以及所采取何种保护措施;
4)访谈系统管理员,询问审计记录的存储、备份和保护的措施。
d)入侵防范访谈
第三级安全测评要求主机安全访谈测评项共有3项:
1)访谈系统管理员,询问对日志的查看情况和入侵检测系统的安装和配置状况;
2)访谈系统管理员,询问是否对一些重要文件进行完整性检查,并对重要的配置文件进行备份;
3)访谈系统管理员,询问系统升级方式和加装最新的补丁。
e)资源控制访谈
第三级安全测评要求主机安全访谈测评项共有4项:
1)访谈系统管理员,询问系统是否开启了主机防火墙或TCP/IP筛选功能;
2)访谈系统管理员,询问是否查看系统资源控制器或者通过第三方软件实现系统资料的监控功能;
3)访谈系统管理员,询问对系统资源的控制管理措施;
4)访谈系统管理员,询问如何监控系统的服务水平。
现场测评的实施主要通过检查和测试两种方式交互进行。
检查是指测评人员通过对测评对象进行观察、查验、分析等活动,以获取证据证明信息系统安全保障措施是否有效的一种方法。使用检查方法进行测评的目的是需要确认信息系统当前的、具体的安全机制和运行的配置以及实现情况是否符合要求。因此, “检查”的内容应该是具体的、较为详细的机制配置和运行实现;检查的范围一般要覆盖测评项中的所有要求内容 (机制配置和运行实现)。
测试是指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为活动,查看输出结果与预期结果的差异,以获取证据证明信息系统安全保障措施是否有效的一种方法。使用测试方法进行测评的目的是需要验证信息系统当前的、具体的安全机制或运行的有效性或安全强度。因此,测试的内容应该是具体的、较为详细的机制配置或运行实现; “测试”的范围不需要覆盖测评项中的所有要求内容。
因此,检查和测试都是通过测评人员在现场通过手工的方式验证,相比较于访谈,更逼近于客观事实,是取证的重要途径。对于现场测评人员的实施而言,将检查和测试互补性的融合起来能更全面地收集现场证据。需要指出的是,对于大型信息系统而言,一般都拥有成百上千甚至数千台主机,因此,除非有特殊要求,一般情况下我们并不需要对所有的主机进行逐一检查,而是根据数学中的 “抽样理论”进行抽样检查,抽查比例将根据实际系统的复杂程度来综合考虑。国家标准中三级主机安全现场检查项共有7个工作单元,32个具体的测评要求。
主机测评的内容主要是针对配置项目的核查和确定,辅助命令的形式验证,因此,对于不同类型的主机对象,操作流程和中心思想应保持一致;而对于同一种类型的主机对象,检测步骤几乎雷同,于是在主机测评现场,检查这部分将采用以下流程图的形式展现,即清晰可见,又提高了检测效益和连贯性。
图1中现场测评的测试项共有30项,按照标准的要求依次从身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制逐级往下测试。在测试的过程中会出现同一测试命令,观测不同的测试结果,于是图1也将测试命令和结果查看连贯起来,避免了重复工作。例如:在身份鉴别工作单元中需要查看用户名的唯一性,而在访问控制单位中需要查看默认用户、多余用户等,但都是通过同一的测评命令来查看。特别需要指出的是,主机测评也不是完全独立于等级测评的其它层面的测评,例如:在资源控制工作单元中,也有与网络类测评结果的匹配。
图1 主机测评作业指导
主机系统是信息系统的重要成员之一,由硬件和软件系统两大部分组成,是信息存储、传输、处理和发布的重要载体和处理机,其自身又由硬件系统、操作系统、数据库管理系统和应用系统等组件构成,而市面上复杂多样的主机系统,增加了主机测评的难度。本文根据等保的要求,提出了三级要求的主机测评原理、手段、方法和测试思想,对《信息安全技术信息系统安全等级保护基本要求》中闷葫芦的语句进行了一些简单易懂的阐述,用工程化的思想阐述了标准的精髓,希望在形式多样的主机测评中起到抛砖引玉的作用。
[1]GB/T 22239-2008,信息系统安全等级保护基本要求[S].
[2]送审稿_修订版 v1.1,信息系统安全等级保护 测评准则[S].
[3]GB/T 20272-2006,信息安全技术 操作系统安全技术要求[S].
[4]GBT 21028-2007,信息安全技术 服务器安全技术要求[S].