校園網(wǎng)信息安全建設(shè)中安全基線的研究與應(yīng)用

黃志宏，巫莉莉，張 波，李西明

(華南農(nóng)業(yè)大學(xué)現(xiàn)代教育技術(shù)中心，廣州 510642)

黨中央、國務(wù)院一直十分重視教育信息化工作。自1994年啟動中國教育與科研網(wǎng)(CERNET)建設(shè)以來，經(jīng)過“211工程”、“985工程”等一系列重大工程建設(shè)，高校教育信息化得到了快速發(fā)展。教育信息化實現(xiàn)了信息技術(shù)與教育的全面深度融合，促進了教育公平并實現(xiàn)了優(yōu)質(zhì)教育資源的廣泛共享，提高了高校教育質(zhì)量、創(chuàng)新能力和競爭力。

教育信息化給高校的教育改革和發(fā)展帶來前所未有的機遇和挑戰(zhàn)。隨著高校教育信息化的深入開展，各種IT設(shè)備和應(yīng)用系統(tǒng)數(shù)量不斷增加，高校校園網(wǎng)已發(fā)展成為大型局域網(wǎng)甚至具備小型城域網(wǎng)規(guī)模［1］，不僅為教學(xué)科研提供服務(wù)，而且在全校師生的日常生活中也發(fā)揮著重要作用。但由于業(yè)務(wù)系統(tǒng)開發(fā)水平的不同以及用戶技術(shù)水平參差不齊，其安全問題日漸突出，使校園網(wǎng)運維人員面臨重大的安全挑戰(zhàn)。

為了提高校園網(wǎng)安全管理效率和水平，校園網(wǎng)管理人員可借鑒國內(nèi)大型網(wǎng)絡(luò)運營商的成功經(jīng)驗，并結(jié)合校園網(wǎng)業(yè)務(wù)特點和一些風險控制手段［2－3］，設(shè)計針對高校業(yè)務(wù)系統(tǒng)的安全基線模型。本文通過對安全基線管理的研究與分析，按照《計算機信息系統(tǒng)安全保護等級劃分準則》［4］及《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》［5］的要求，對校園網(wǎng)的各類業(yè)務(wù)系統(tǒng)制定安全配置規(guī)范和安全基線，設(shè)計和開發(fā)BVS配置核查工具對安全配置進行安全檢查，并使用漏洞攻擊工具檢測系統(tǒng)加固前后的安全性，從技術(shù)層面實現(xiàn)了自動化的安全評估。引入校園網(wǎng)安全基線管理填補了此類應(yīng)用在校園網(wǎng)信息安全建設(shè)中的空白，為校園網(wǎng)各類業(yè)務(wù)系統(tǒng)建立了安全基線，并加強和落實了設(shè)備生命周期各個階段的安全基線要求［6］，實現(xiàn)了對風險的度量和可控可管，完善了校園網(wǎng)安全管理體系。

1 安全基線

1.1 安全基線概念

安全基線是最基本的安全要求，類比于“木桶理論”，可以認為它是安全木桶的最短板。目前，安全基線被公認為是一個信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最需要滿足的基本安全要求［7］。

1.2 安全基線分類

安全基線按照信息系統(tǒng)的構(gòu)成可分為操作系統(tǒng)安全基線、應(yīng)用軟件安全基線、安全設(shè)備安全基線、網(wǎng)絡(luò)設(shè)備安全基線、中間件安全基線、數(shù)據(jù)庫安全基線等［8］。

①操作系統(tǒng)類:微軟的Windows及不同廠商的Unix類系統(tǒng)。

②安全設(shè)備類:網(wǎng)絡(luò)和應(yīng)用防火墻、入侵防御系統(tǒng)(IPS)、入侵檢測系統(tǒng)(IDS)、VPN、病毒防護系統(tǒng)、行為審計系統(tǒng)等。

③網(wǎng)絡(luò)設(shè)備類:路由器、交換機等，如Cisco、Ruijie等。

④ 數(shù)據(jù)庫類:MSSQL Server、Oracle、Sybase、MySQL等。

⑤ 中間件類:Apache、Nginx、Tomcat、WEB Logic等。

⑥應(yīng)用軟件類:各類應(yīng)用軟件由于應(yīng)用場景和等級保護級別的不同要求，必須制定各自的安全基線。

1.3 安全基線組成

安全基線主要由系統(tǒng)存在的安全漏洞、系統(tǒng)配置的脆弱性、系統(tǒng)狀態(tài)的監(jiān)控三方面必須滿足的最小要求組成［9］(如圖 1所示)。具體內(nèi)容如下:

1)安全漏洞:漏洞反映系統(tǒng)自身的脆弱性，包括軟件或協(xié)議等系統(tǒng)自身存在的信息泄漏、木馬后門、DDoS攻擊漏洞、登錄漏洞、緩沖區(qū)溢出、意外情況處置錯誤等缺陷引起的安全風險。

2)安全配置:反映系統(tǒng)自身的脆弱性，通常是因人為操作的疏忽造成。安全配置與系統(tǒng)有著很大的相關(guān)性，在不同安全級別的系統(tǒng)中，相同配置項的安全要求會有所區(qū)別。

3)系統(tǒng)狀態(tài):包含網(wǎng)絡(luò)端口狀態(tài)、系統(tǒng)運行狀態(tài)、進程、賬號以及重要日志文件的監(jiān)控等。這些內(nèi)容反映了業(yè)務(wù)系統(tǒng)當前所處環(huán)境的安全狀況，有助于了解業(yè)務(wù)系統(tǒng)運行的動態(tài)情況。由于系統(tǒng)狀態(tài)基線隨著業(yè)務(wù)應(yīng)用的不同而不同，必須和具體的業(yè)務(wù)應(yīng)用相關(guān)聯(lián)。

通過對校園網(wǎng)各業(yè)務(wù)系統(tǒng)安全基線的建設(shè)，可以形成針對不同系統(tǒng)的詳細漏洞要求、配置要求和狀態(tài)要求的檢查項，為標準化的技術(shù)安全操作提供框架和標準。

圖1 安全基線結(jié)構(gòu)

1.4 安全基線實施意義

近年來，隨著校園網(wǎng)信息安全建設(shè)的不斷深入，學(xué)校在信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全管理水平方面不斷提高。通過部署應(yīng)用防火墻、行為審計系統(tǒng)、漏洞掃描系統(tǒng)、入侵防御系統(tǒng)、防篡改系統(tǒng)等一系列的安全產(chǎn)品，安全管理體系得到不斷完善。但由于各業(yè)務(wù)系統(tǒng)使用的開發(fā)技術(shù)及建立的時間不同，缺乏統(tǒng)一的安全標準和配置規(guī)范，故服務(wù)器的安全管理仍存在安全隱患［10］。安全基線在校園網(wǎng)信息安全建設(shè)中的應(yīng)用將信息安全與校園網(wǎng)等級保護進行了緊密結(jié)合，學(xué)校按照《計算機信息系統(tǒng)安全保護等級劃分準則》及《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》的要求，根據(jù)校園網(wǎng)等保定級的情況對校園網(wǎng)的服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫及網(wǎng)絡(luò)設(shè)備建立統(tǒng)一的安全配置規(guī)范，形成校園網(wǎng)安全基線，并制定針對不同系統(tǒng)的詳細檢查表格和核查方法，對其進行橫向的安全評估［11］和管理，為校園網(wǎng)IT設(shè)備及業(yè)務(wù)系統(tǒng)的安裝調(diào)試、驗收、維護及安全核查等工作提供統(tǒng)一的標準和規(guī)范。

2 安全基線在校園網(wǎng)信息安全建設(shè)中的應(yīng)用

隨著校園網(wǎng)信息化建設(shè)的不斷深入推進，各類業(yè)務(wù)系統(tǒng)和IT設(shè)備數(shù)量不斷增加，校園網(wǎng)規(guī)模不斷擴大，正逐步發(fā)展成為一個小型的城域網(wǎng)。由于業(yè)務(wù)系統(tǒng)開發(fā)水平的不同以及用戶的技術(shù)水平參差不齊，其安全問題日漸突出，使校園網(wǎng)運維人員面臨重大的安全挑戰(zhàn)。通過借鑒國內(nèi)大型網(wǎng)絡(luò)運營商的成功經(jīng)驗，并按照《計算機信息系統(tǒng)安全保護等級劃分準則》及《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》的要求，將安全基線應(yīng)用到校園網(wǎng)信息安全建設(shè)中可提高校園網(wǎng)安全管理效率和水平。本文介紹了校園網(wǎng)各類業(yè)務(wù)系統(tǒng)安全基線建設(shè)的實施過程及實施效果，并結(jié)合實例進行了詳細說明。

安全基線的實施過程分為制定配置規(guī)范、進行基線檢查、不斷完善階段共3個階段進行，過程如圖2所示。

圖2 安全基線實施過程

學(xué)校目前有基于Windows和Linux平臺的各類業(yè)務(wù)系統(tǒng)70多個，三層以上核心交換機及路由器7臺，安全產(chǎn)品3臺。下面以關(guān)注度比較高的WEB網(wǎng)站安全為例對安全基線在校園網(wǎng)信息安全建設(shè)中的應(yīng)用進行詳細說明。

2.1 制定配置規(guī)范

本階段的任務(wù)是通過安全評估建立安全配置規(guī)范和安全檢查基線。建立安全配置規(guī)范首先是統(tǒng)計和識別校園網(wǎng)中正在使用的各類業(yè)務(wù)系統(tǒng);然后結(jié)合安全基線模型分析業(yè)務(wù)系統(tǒng)的功能和可能存在的安全威脅;再將功能和針對威脅的應(yīng)對措施細化分解到系統(tǒng)實現(xiàn)層。安全配置規(guī)范主要由系統(tǒng)實現(xiàn)層中不同模塊在安全漏洞方面、安全配置方面以及系統(tǒng)狀態(tài)等方面的脆弱性檢查項構(gòu)成。這些檢查項的覆蓋面和有效性是基線安全實現(xiàn)的關(guān)鍵。建立安全檢查基線是以安全配置規(guī)范為基礎(chǔ)，按照《計算機信息系統(tǒng)安全保護等級劃分準則》及《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》的要求，根據(jù)校園網(wǎng)的等保級別從安全配置規(guī)范中提取所需的檢查項并設(shè)定相應(yīng)狀態(tài)生成安全檢查基線。

通過對WEB網(wǎng)站的功能和存在的風險進行分析發(fā)現(xiàn):校園網(wǎng)中的WEB網(wǎng)站根據(jù)業(yè)務(wù)需要都會通過80、8080等網(wǎng)絡(luò)端口對公眾用戶提供服務(wù)，其本身會受到跨站腳本、網(wǎng)頁掛馬、網(wǎng)頁內(nèi)容篡改等各種網(wǎng)絡(luò)攻擊。此外，承載WEB網(wǎng)站的操作系統(tǒng)和存儲WEB網(wǎng)站數(shù)據(jù)信息的數(shù)據(jù)庫由于賬號管理、口令配置、認證授權(quán)等方面存在的漏洞，在網(wǎng)絡(luò)上也會受到惡意攻擊。因此，需要在不同的模塊中定義相應(yīng)的防范要求和脆弱性檢查項。這些檢查項構(gòu)成了WEB網(wǎng)站的安全配置規(guī)范。根據(jù)對應(yīng)的等保要求，定義了校園網(wǎng)中的WEB網(wǎng)站安全配置規(guī)范檢查項，部分檢查項如表1所示。

2.2 基線檢查

本階段針對不同操作系統(tǒng)、數(shù)據(jù)庫、中間件及網(wǎng)絡(luò)設(shè)備的安全配置規(guī)范設(shè)計開發(fā)專門的配置檢查工具，對系統(tǒng)的配置信息展開合規(guī)檢查，將結(jié)果與安全基線進行比對，找出不符合的項通過選擇和實施安全措施來加固系統(tǒng)，控制安全風險。

1)基線檢查

使用配置檢查工具對安全配置規(guī)范中的檢查項進行檢查。配置檢查工具的工作流程如圖3所示:

①通過Perl語言或Vbscript語言開發(fā)的腳本工具讀取系統(tǒng)配置文件信息。

②將系統(tǒng)配置文件信息中需要提取的檢查項及其對應(yīng)的狀態(tài)記錄到XML文件中。

③將記錄檢查項及其值的XML文件導(dǎo)入EXCEL表中。

④將檢測結(jié)果與之前定義的安全基線進行比對，查看一致性。

配置檢查工具的開發(fā)和使用在技術(shù)層面實現(xiàn)了安全基線檢查的自動化，提高了安全基線檢查的工作效率。

表1 配置規(guī)范檢查項

圖3 配置檢查工具工作流程

在對WEB網(wǎng)站進行安全基線檢查時，首先要參照WEB網(wǎng)站安全配置規(guī)范，按不同的操作系統(tǒng)平臺分類，結(jié)合不同的數(shù)據(jù)庫和中間件類型，做成不同類型的配置檢查腳本工具。目前已對校園網(wǎng)中廣泛應(yīng)用的 Linux平臺下的 Oracle+Apache Tomcat，MySQ+Apache Tomcat架構(gòu)網(wǎng)站以及Windows平臺下的 Oracle+Apache Tomcat，MSSQL+Apache Tomcat，MySQL+Apache Tomcat，Oracle+IIS，MSSQL+IIS，MySQL+IIS 架構(gòu)網(wǎng)站開發(fā)了相應(yīng)的配置檢查腳本工具。

下面以Windows平臺下的MySQL+Apache Tomcat為例，介紹檢查工具的開發(fā)和使用。

1)檢查工具的開發(fā)

配置檢查腳本工具主要實現(xiàn)2個功能:讀取Windows操作系統(tǒng)、MySQL數(shù)據(jù)庫和Apache Tomcat的配置文件信息;從配置信息中提取安全配置規(guī)范中定義的檢查項及其狀態(tài)值記錄到XML文件中。代碼如下:

①定義檢查項及查詢命令

這部分主要根據(jù)配置規(guī)范的要求，在程序中定義檢查項變量和獲取該檢查項狀態(tài)值的命令。Windows平臺下的腳本工具主要基于Vbscript［12］語言開發(fā)，程序中使用 CreateObject(“Scripting.Dictionary”)創(chuàng)建“是否重命名管理員帳號”，“是否禁用 Guest用戶”，“中間件是否存在默認口令”，“數(shù)據(jù)庫是否存在默認口令”等集合對象，將檢查項名稱及獲取該檢查項狀態(tài)值的命令存入類似二維數(shù)組的集合中。

②將檢查項及狀態(tài)值寫入XML文件

先創(chuàng)建 CreateObject(“wscript.shell”)對象，并使用該對象的exec方法調(diào)用獲取檢查項狀態(tài)值的命令讀取狀態(tài)值。接著創(chuàng)建 CreateObject(“ADODB.Stream”)對象，將檢查項及其狀態(tài)值依次寫入XML文件。

2)檢查工具的使用

使用WEB網(wǎng)站配置檢查腳本工具，首先獲取Windows操作系統(tǒng)、Apache Tomcat以及MySQL的配置信息，接著從以上配置信息中提取表1定義的安全檢查項及其狀態(tài)值并記錄到XML文件中，最后使用EXCEL工具將XML文件導(dǎo)入EXCEL表中生成最終的安全檢查結(jié)果。

2.3 實施效果及不斷完善

使用配置檢查腳本工具進行系統(tǒng)檢查的結(jié)果如表2所示。表2記錄了WEB網(wǎng)站安全檢查項及其對應(yīng)的系統(tǒng)加固前后的狀態(tài)值、WEB網(wǎng)站安全基線以及各檢查項的權(quán)重值。通過將各檢查項的權(quán)重值，代入相應(yīng)的計算公式可以得出WEB網(wǎng)站安全基線檢查的分值。將檢查結(jié)果進行量化，滿分為100分，合格分為80分，如下所示:

式(1)中:M為滿足安全基線要求的滿分值;Wi為各檢查項權(quán)重值;Mi為各檢查項所得分值;n為檢查項個數(shù)，其中當檢查項不滿足安全基線要求時得分為0。

表2 安全基線檢查結(jié)果

通過將定義的各檢查項的加固前狀態(tài)值與安全基線進行比對，發(fā)現(xiàn)中間件Tomcat以及MySQL數(shù)據(jù)庫都存在默認帳號密碼。使用式(1)可以算出系統(tǒng)加固前的檢查值為70分，未能達到安全基線的及格分。嘗試利用Metasploit［12］漏洞檢測工具對系統(tǒng)進行漏洞攻擊，如圖4所示。

圖4 系統(tǒng)加固前攻擊圖

由圖4可知:使用Metasploit軟件攻擊Windows系統(tǒng)成功，獲得一個 Meterpreter的 Shell，通過執(zhí)行ipconfig、Hashdump等命令，能夠查看到被攻擊機器的ip信息和導(dǎo)出系統(tǒng)SAM數(shù)據(jù)庫里的內(nèi)容。此外還可以使用其他系統(tǒng)命令、內(nèi)核命令、文件系統(tǒng)命令及網(wǎng)絡(luò)命令獲取更多的信息。由于目標主機已經(jīng)被成功進入，因此需要立刻修改Tomcat以及MySQL默認帳號密碼進行漏洞修補。

將Tomcat和MySQL默認帳號密碼修改后，使用式(1)可以算出系統(tǒng)加固后的檢查值為100分，達到安全基線要求。重新嘗試使用漏洞檢測工具對系統(tǒng)進行攻擊操作，結(jié)果如圖5所示。

圖5 系統(tǒng)加固后攻擊圖

由圖5可知:經(jīng)過加固后，該系統(tǒng)的安全缺陷已無法被利用，輸入exploit命令后，顯示滲透失敗，無法取得攻擊系統(tǒng)的入口，加固效果明顯，系統(tǒng)得到了更好的保障。

實施實例及效果表明:安全基線管理在校園網(wǎng)信息安全建設(shè)中發(fā)揮著重要作用，但同時也應(yīng)認識到追求規(guī)避WEB網(wǎng)站全部風險是不現(xiàn)實的。在達到基線水平之后，部分風險自然會被轉(zhuǎn)移或降低，同時隨著WEB網(wǎng)站應(yīng)用的不斷改變，可能出現(xiàn)新的風險。因此，需要找出基線檢查中不合規(guī)的檢查項，根據(jù)校園網(wǎng)等保級別的要求實施安全配置，完成系統(tǒng)安全加固工作，并使用漏洞掃描檢測軟件對加固前后的系統(tǒng)進行攻擊測試，比較系統(tǒng)加固前后的效果。在今后的管理過程中，需要通過增減檢查項及修改權(quán)重值等方法持續(xù)定義安全基線，并隨著系統(tǒng)安全配置的不斷變化對系統(tǒng)的安全基線做出動態(tài)調(diào)整。

3 結(jié)束語

校園網(wǎng)中引入安全基線管理雖然不能保證校園網(wǎng)環(huán)境百分之百安全，但為各業(yè)務(wù)系統(tǒng)建立統(tǒng)一的安全標準和配置規(guī)范后，降低了業(yè)務(wù)系統(tǒng)管理的安全隱患，提高了安全管理工作效率，完善了安全管理體系。安全基線在校園網(wǎng)信息安全建設(shè)中的應(yīng)用填補了高校在該領(lǐng)域的研究空白，是一次有益的探索，對其他高校開展安全基線建設(shè)工作具有指導(dǎo)意義。

［1］朱杰.智能流量管理構(gòu)建綠色校園網(wǎng)絡(luò)［N/OL］.中國教育和科研計算機網(wǎng)，2011－09－21.http://www.edu.cn/xt_6481/20110921/t20110921_686805.shtml.

［2］Javier Bajo，María L Borrajo，Juan F De Paz，et al.A multi－agent system for web－based risk management in small and medium business［J］.EXPERT SYSTEMS WITH APPLICATIONS，2012，39(8):6921 －6931.

［3］李剛，李川銀，蘇劍擎.計算機網(wǎng)絡(luò)系統(tǒng)的安全集成［J］.四川兵工學(xué)報，2012，33(2):104 －106.

［4］GB 17859—1999.計算機信息系統(tǒng)安全保護等級劃分準則［S］.

［5］教育部辦公廳.教辦廳函［2009］80號文件《教育部辦公廳關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》［R］.北京:教育部辦公廳，2009.

［6］馬文，江翰，彭秋霞.電力信息安全基線自動化核查［J］.云南電力技術(shù)，2013，41:89 －90.

［7］李小雪，皇甫濤，陳濤，等.電信運營商系統(tǒng)安全狀態(tài)基線研究及應(yīng)用［J］.電信工程技術(shù)與標準化，2012(12):31－35.

［8］諶志華.安全基線管理在企業(yè)中的應(yīng)用［J］.計算機安全，2013(3):19 －22.

［9］桂永宏.業(yè)務(wù)系統(tǒng)安全基線的研究及應(yīng)用［J］.計算機安全，2011(10):23 －27.

［10］王玉萍，段永紅，洪岢.安全基線在銀行業(yè)的應(yīng)用與實踐［J］.計算機安全，2011(8):30 －32，36.

［11］Jo Heasuk，Kim Seungjoo，Won Dongho.Advanced Information Security Management Evaluation System［J］.KSII TRANSACTIONS ON INTERNET AND INFORMATION SYSTEMS，2011，5(6):1192 －1213.

［12］Adrian Kingsley-Hughes，Kathie Kingsley-Hughes，Daniel Read.VBScript程序員參考手冊［M］.富弘毅，陳鋼，譯.北京:清華大學(xué)出版社，2009:383－434.

［13］David Kennedy.Metasploit滲透測試指南［M］.諸葛建偉，王珩，孫松柏，等，譯.北京:電子工業(yè)出版社，2012:75 －97，260 －262.