基于SCAP的自動化安全基線核查研究

陳軍+++饒婕+陳虹+萬亞平

摘 要： 研究了服務器安全基線，介紹目前通常使用的技術及檢查方式，針對目前工具導致安全配置工作覆蓋率難以保障，耗費大量的人力，周期長、效率低下等缺點，引入SCAP標準。采用基于Agent/Server架構，通過在用戶服務器上部署Agent程序，與后臺聯動來實現對大規模服務器環境操作系統、中間件、數據庫進行自動化安全基線（主要是安全配置）核查，對核查結果的科學性、準確性起到促進作用，同時加快了檢查的進度，提高了工作效率。

關鍵詞： SCAP； 安全基線； 中間件； 設備發現

中圖分類號：TP319 文獻標志碼：A 文章編號：1006-8228（2016）04-28-04

Automated security baseline verification based on SCAP

Chen Jun， Rao Jie， Chen Hong， Wan Yaping

（School of Computer Science and Technology， University of South China， Hengyang， Hunan 421001， China）

Abstract： This paper studies the server security baseline， introduces the technology and inspection methods currently used. In view of the shortcomings resulted in by the current tool that security configuration coverage is difficult to guarantee， consuming a lot of manpower， long cycle， low efficiency and so on， SCAP（Security Content Automation Protocol） standard is introduced. Adopting agent/server architecture， by deploying agent program on the user's servers， realizes the automated security baseline （mainly security configuration） verification to the operating system， middleware and database in the large-scale server environment， promotes the scientificalness and accuracy of the verification result， and speeds up the progress of the inspection， improves work efficiency.

Key words： SCAP； security baseline； middleware； device discovery

0 引言

隨著計算機通信技術的飛速發展，由系統配置而導致的安全問題越來越多。安全內容自動化協議（SCAP）為系統配置的標準化以及對系統配置的脆弱性評估提供了一種統一的方法。越來越多的廠商、組織和社團加入到SCAP的研究中，推動SCAP成為真正意義的全球標準。2010年11月7日至16日，IETF79研討會在北京召開，全球數以千計的科研工作者參加了這次盛會，其中一個很重要的議題就是討論將安全內容自動化協議（SCAP： Security Content Automation Protocol）引入IETF（互聯網工程任務組：Internet EngineeringTask Force）標準化，使之成為真正意義上的全球標準[3]。

本文通過引入SCAP標準，建立安全基線檢查策略庫，同時研發安全基線檢查系統對目標服務器展開合規安全檢查，找出不符合的項進行告警以控制安全風險。同時監控服務器的資源使用情況，通過對歷史數據的分析獲得業務系統安全狀態和變化趨勢，并以報表的形式展示給安全和管理人員，以解各個行業安全管理人員的燃眉之急。

1 安全基線的基本內容

安全基線的定義并沒有一個統一的標準，根據業界常用的定義描述：安全基線是一個業務系統的最小安全保證，即該業務系統要滿足最基本的安全需求，構造業務系統安全基線是系統安全工程的首要步驟，同時也是進行安全評估、發現和解決業務系統安全問題的先決條件[2]?；窘M成如圖1所示。

從圖1可以看到，安全基線比安全配置的范圍更大，包括安全漏洞和系統狀態。在充分考慮行業現狀和行業最佳實踐，并參考運營商的相關安全政策文件，繼承和吸收國家等級保護、風險評估的經驗成果等基礎上，構建出基于業務系統的安全基線模型[4]。如圖2所示。

業務系統的安全基線建立起來后，可以形成針對不同系統的詳細漏洞要求、配置要求和狀態要求的檢查項（ Checklist），為標準化和自動化的技術安全操作提供可操作和可執行的標準[5]。

2 目前主要安全配置核查方式

2.1 人工檢查方式

目前業內大部分公司對服務器安全配置是通過人工檢查的方式進行。人工檢查就意味著效率低下，一個人速度再快，檢查、記錄、分析一臺服務器上的一個服務器軟件的安全配置也需要10分鐘或更長時間，現在一般企業單位的服務器數以百計，也有不少單位服務器數以千計，如果依靠人工檢查就意味著：①只能抽樣檢查，不能全部覆蓋；②檢查周期長，一般為1～3個月檢查一次。

2.2 自定義腳本檢查

一些有開發能力的公司自己編寫檢查腳本來執行服務器安全配置核查，腳本的執行速度快，但也存在如下問題：

⑴ 腳本的編寫、測試、維護需要花費大量時間，并需要有較強的技術能力支撐；

⑵ 腳本的執行結果最終需要轉換為適合人類閱讀的格式，并且需要統計、分析、分發給各個部門等，這些工作需要通過手工進行。

事實上，自定義腳本檢查在企業信息系統中使用較少，即使有部分企業采用這種方式，在堅持一段時間之后往往也就停止了對自定義腳本的更新維護，最后退回到人工方式或采購自動化工具來執行。

2.3 自動化工具

一些安全公司注意到客戶企業的需求，就開發了遠程配置核查系統來幫助用戶自動化基線檢查，并自動生成相關報表，從而大大提升工作效率。目前，很多公司都采購了類似產品來執行安全配置核查，包括中國移動、電信行業公司等。目前此類工具市場上常見的有三家：綠盟遠程安全配置核查系統、啟明星辰安全配置核查系統、安恒安全基線遠程評估系統。

目前業內的安全配置核查工具一次安全核查后將不符合項的報表發給相關人員，要求執行修復加固，在間隔一段時間（數周～1個月）后再進行下一次核查，并比對兩次核查結果來判斷上一次修復加固的結果。這種做法耗時太長，不能滿足當前安全威脅日益加劇的形勢下服務器安全的管理需要。

2.4 其他軟件接口擴展定制

除了以上三種方式，還有一種方式，就是目前很多網管系統、配置管理系統雖然自身沒有安全配置核查的功能，但系統本身提供了很多接口可以和服務器進行交換采集信息，因此有些公司會考慮在這些系統之上進行定制開發來實現安全配置核查。

例如一款在互聯網公司很流行的開源網管系統Zabbix，它的客戶端就支持以下多種采集方法：TCP/UDP監聽商品、進程、服務、執行腳本、文件屬性查詢（校驗和、存在性、MD5、大小、時間戳、WMI查詢、文件內容獲取（支持正則表達式）。

用戶可以基于這些方法來采集需要獲取的安全參數信息，并設定規則進行分析相關參數是否符合安全配置核查的要求；但這種定制需要很高的二次開發成本，而日后的維護、升級都存在很大的限制，因此雖然理論上可行，并且可以充分利用現已使用的系統，但實際中這種情況存在的很少。

3 高效解決方案簡介

針對目前的缺點及不足，設計出基于Agent/Server架構，通過在用戶服務器上部署agent程序，并和后臺進行聯動來實現安全基線的管理功能。其設計架構如圖3所示。

此設計將服務器信息資產管理作為安全基線管理的基礎，通過各種技術發現、識別、分析服務器信息資產變化，并以此為基礎，實現基線PDCA持續改進的基線管理流程，如圖4所示。

此方案采用多種技術實現信息資產管理。

⑴ 設備發現：在一個網段內如果有一臺服務器安裝了agent，可以將這臺agent作為網段內的種子設備對同網段的其他設備進行網絡發現，獲取設備的主機名（如有），IP地址，MAC地址等信息。

⑵ 網卡廠商識別：設備發現技術中發現的各類設備，系統會根據獲取到的MAC地址結合內置MAC地址知識庫判斷對應設備的廠商，以幫助用戶識別該設備是網絡設備還是服務器設備或是虛擬主機設備。

⑶ 本地軟硬件信息采集：服務器安裝agent之后，會自動采集本地的硬件和軟件信息。

⑷ 服務器軟件識別：服務器安裝了agent之后，agent會基于系統內置的知識庫識別出該服務器上運行的中間件、數據庫等服務器軟件，并獲取安全核查可能需要的相關軟件參數，以便為安全基線任務檢查做準備。

⑸ 應用采集：本系統的一項重要功能，服務器上安裝了agent之后，如該服務器上有正在運行的中間件軟件，agent會基于系統內置的知識庫來分析中間件上部署了哪些web應用和相關的配套信息。

⑹ 設備跟蹤技術：通過agent內置的軟硬ID來識別設備有無發生變更，例如硬件變化、重裝操作系統，重裝agent等，以此來跟蹤設備的變化情況。

4 結束語

通過SCAP標準定義的方法和安全模型，可以做到：第一，普通用戶無需關心具體的采集方法，只需要通過勾選采集項即可完成對關心的安全配置信息的采集；第二，高級用戶可以通過調用上述采集方法來實現系統未直接提供的安全配置信息項的采集，通過這種機制，保證了系統在安全配置信息采集上的易用性和擴展性。

通過對SCAP標準的支持，Agent僅允許使用上述采集方法來對服務器上的各類安全參數進行檢查，根據SCAP標準規定，這些采集方法中又設置了嚴格的訪問控制模型，從而避免了Agent在執行安全基線檢查時對服務器產生諸如：寫操作、修改操作等危險性操作，從而保障了服務器運行時的安全性。此研究能滿足對大規模服務器環境操作系統、中間件、數據庫進行自動化安全基線（主要是安全配置）核查，對核查結果的科學性、準確性起到促進作用，同時加快了檢查的進度，提高了工作效率。

參考文獻（References）：

[1] 李晨，王偉.安全基線控制在風險管理過程中的應用[J].網絡

安全技術與應用，2009.9：4-7

[2] 桂永宏.業務系統安全基線的研究及應用[J].計算機安全，

2011.10：11-15

[3] 艾特賽克（atsec），張力.SCAP標準簡介[J].中國信息安全，

2011.5：82

[4] 諶志華.安全基線管理在企業中的應用[J].計算機安全，

2013.3：19-21

[5] 王玉萍，段永紅，洪岢.安全基線在銀行業的應用與實踐[J].計

算機安全，2011.8：30-36

[6] 羅朝宇，王福新，李宗濤.基于SCAP框架的信息系統安全基

線技術研究與應用[J].電力信息與通信技術，2014.7：97-100

[7] 王珩，諸葛建偉.利用SCAP有效進行主機安全管理（一）[J].中

國教育網絡，2012.12：75-78

[8] 王珩，諸葛建偉.利用SCAP有效進行主機安全管理（二）[J].中

國教育網絡，2013.1：75-78

[9] 何勇亮，朱曦萍.信息安全等級保護的安全基線研究與實踐[J].

上海信息化，2014.10：56-58