等級保護2.0中計算環(huán)境安全測評技術(shù)要求和測試方法分析

孟亞豪 李旋

摘 要：新修訂的網(wǎng)絡(luò)安全等級保護國標(biāo)相對前一版進行了較大幅度的改動，除了根據(jù)不同的應(yīng)用場景提出了不同的擴展要求之外，在通用安全要求的控制層面中使用計算環(huán)境安全替代了之前的主機安全和應(yīng)用安全。文章以CentOS7操作系統(tǒng)為例，對計算環(huán)境安全中的身份鑒別和訪問控制控制點進行了詳細(xì)的描述，并給出了不同控制項的檢查和測評方法，檢查和測評方法能夠準(zhǔn)確地對控制項進行符合性判定。

關(guān)鍵詞：計算環(huán)境安全；CentOS7；身份鑒別；訪問控制

中圖分類號：TP391 文獻標(biāo)識碼：A

Abstract： The newly revised network security protection national standard has undergone significant changes from the previous version. In addition to different extension requirements according to different application scenarios， the use of computing environment security in the control level of general security requirements has replaced Host security and application security. Taking the CentOS7 operating system as an example， this paper describes the control points of identity authentication and access control in the computing environment security in detail and gives the inspection and evaluation methods of different control items. The inspection and evaluation methods can accurately match the control items and make compliance determination.

Key words： computing environmental security； centOS7； identity authentication； access control

1 引言

隨著《網(wǎng)絡(luò)安全法》的不斷推進，網(wǎng)絡(luò)安全等級保護制度的不斷完善，網(wǎng)絡(luò)安全已經(jīng)滲透到了各行各業(yè)。待發(fā)布的網(wǎng)絡(luò)安全等級保護基本要求（簡稱等級保護2.0）從技術(shù)和管理兩個方面對網(wǎng)絡(luò)與信息系統(tǒng)安全保障進行了全面描述與規(guī)范，且在技術(shù)層面添加了云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)安全測評擴展要求，是一部完整的以技術(shù)保障為基礎(chǔ)、以管理運營為抓手、以監(jiān)測預(yù)警為中心、以協(xié)同響應(yīng)為目標(biāo)的網(wǎng)絡(luò)安全防御體系框架性指導(dǎo)標(biāo)準(zhǔn)與規(guī)劃建設(shè)指南。

等級保護2.0的技術(shù)保障體系雖然延續(xù)了信息系統(tǒng)安全等級保護基本要求（簡稱等級保護1.0）中的以資產(chǎn)（網(wǎng)絡(luò)與信息系統(tǒng)）防護為目標(biāo)的安全保障思路，但是在控制層面上進行了重新的劃分，尤其是等級保護1.0中的主機安全和應(yīng)用安全在等級保護2.0中已經(jīng)被計算環(huán)境安全替代，在變化上較為顯著。因此，本文以第三級系統(tǒng)為例，針對等級保護2.0中計算環(huán)境安全要求的基本要求，對其部分控制點進行介紹和測試方法分析[1]。

2 計算環(huán)境安全

2.1 身份鑒別

本項要求包括四項內(nèi)容：

a）應(yīng)對登錄的用戶進行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；

b）應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施；

c）當(dāng)進行遠程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

d）應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

其中，d）項為等級保護第三級系統(tǒng)增加的內(nèi)容。

本文以CentOS7為例，對每個測評控制點進行詳細(xì)介紹，以說明控制點的測試方法以及符合程度。

針對控制點a），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查用戶在登錄時是否采用了身份鑒別措施；

2） 應(yīng)核查用戶列表確認(rèn)用戶身份標(biāo)識是否具有唯一性；

3） 應(yīng)核查用戶配置信息或測試驗證是否不存在空口令用戶；

4） 應(yīng)核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換。

針對檢查項1）、2）和3），除了檢查登錄操作計算環(huán)境設(shè)備（主機、應(yīng)用系統(tǒng)等）的用戶是否需要輸入登錄口令或其他鑒別信息外，還應(yīng)該檢查系統(tǒng)的所有用戶，對于能夠登錄的或者其他程序調(diào)用的用戶，是否均需要提供口令才能夠登錄，如在CentOS7系統(tǒng)輸入cat /etc/shadow指令查看是否有無需身份鑒別即可登錄的空口令用戶，以及是否存在重名用戶，如圖1所示。從圖1中可以看到，除了Root以及Mctc用戶以外，其他用戶的密碼字段均為*或者！！號，標(biāo)識該用戶不可用于登錄或者已被鎖定，因此系統(tǒng)不存在不進行身份鑒別即可登錄的空口令賬戶，也沒用重名用戶。

針對檢查項4），需要查看計算設(shè)備的密碼策略，CentOS7的密碼策略有2處需要注意，第一處為指令cat /etc/login.defs下，如圖2所示，從該指令的提示信息可以看到，系統(tǒng)的認(rèn)證模塊被PAM管理或者替代了，因此此處生效的只有密碼最大使用期限99999天和最小可以更改的時間0天，控制密碼的定期更換。第二處為指令cat /etc/pam.d/system-auth下，如圖3所示，password requisite pam_cracklib.so try_first_pass retry=3 type= 這一條控制密碼的復(fù)雜度，此處并沒有限制口令復(fù)雜度，因此默認(rèn)是不符合的，可以把需要的配置參數(shù)，進行手動添加，添加后的結(jié)果如圖4所示，

password requisite pam_cracklib.so try_first_pass retry=3 type=后面添加minlen=10，表示密碼的最短長度必須為10位。difok=3表示允許新舊密碼相同的數(shù)量是3個，這個用不到。Dcredit=N表示至少有N個數(shù)字，ucredit=N至少有N個大寫字母，lcredit=N至少N個小寫字母，ocredit=N至少N個特殊字符。選擇是否對root用戶生效enforce_for_root而retry=3， retry=N改變輸入密碼的次數(shù)，第一行pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60，表示失敗3次鎖定用戶120s，這個配置對root用戶一樣生效，但是root用戶僅鎖定60s。

針對控制點b），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查是否配置并啟用了登錄失敗處理功能；

2） 應(yīng)核查是否配置并啟用了限制非法登錄功能，非法登錄達到一定次數(shù)后采取特定動作，如賬戶鎖定等；

3） 應(yīng)核查是否配置并啟用了登錄連接超時及自動退出功能。

針對檢查項1）和2）在控制點a）中已經(jīng)做了相關(guān)描述，對登錄失敗次數(shù)和處理措施做了相關(guān)的配置和測試說明。

針對檢查項3），在CentOS7中，查詢指令cat /etc/profile，如圖5所示，檢查超時退出的配置，查看是否具有TMOUT的配置，如果沒有，說明沒有超時退出機制，則不滿足要求，可以使在“HISTFILESIZE=”行的下面增加上，如TMOUT=300，即是超時5分鐘退出，則滿足要求。

針對控制點c），等級保護2.0測評要求中要求檢查：應(yīng)核查是否采用加密等安全方式對系統(tǒng)進行遠程管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。檢查遠程管理的使用方式，如果使用了Telnet等明文的遠程管理方式則不符合，文中在對CentOS7進行遠程管理時，使用Ssh的遠程管理方式，Ssh的遠程管理方式，雖然在傳輸層是加密的，但是還需要結(jié)合滲透測試，檢查Ssh使用的版本，確認(rèn)不存在弱加密算法等[2-3]。

針對控制點d），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查是否采用動態(tài)口令、數(shù)字證書、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對用戶身份進行鑒別；

2） 應(yīng)核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來實現(xiàn)。

針對檢查項1）和2），應(yīng)驗證是否使用了除用戶名和口令以外的鑒別技術(shù)，如標(biāo)準(zhǔn)中要求的幾種鑒別技術(shù)，在使用的密碼技術(shù)中，需要確認(rèn)使用的密碼算法是否滿足國家密碼算法。

2.2 訪問控制

本項要求包括：

a） 應(yīng)對登錄的用戶分配賬戶和權(quán)限；

b） 應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；

c） 應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

d） 應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離；

e） 應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則；

f） 訪問控制的粒度應(yīng)達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表級；

g） 應(yīng)對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問。

其中e）、f）和g）項為等級保護第三級系統(tǒng)增加的內(nèi)容，同樣以CentOS7為例，對每個測評控制點進行詳細(xì)介紹，以說明控制點的測試方法以及符合程度。

針對控制點a），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況；

2） 應(yīng)核查是否已禁用或限制匿名、默認(rèn)賬戶的訪問權(quán)限。

針對檢查項1）和2），檢測用戶所屬的組以及可以執(zhí)行的bash，是否對用戶所屬的組進行了合理的劃分，如使用cat /etc/passwd指令進行查看，如圖6所示；對關(guān)鍵文件目錄進行權(quán)限查看，如passwd、shadow、xinted.d、message等文件進行檢查，權(quán)限不應(yīng)大于644，如圖7所示。

針對控制點b），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查是否已經(jīng)重命名默認(rèn)賬戶或默認(rèn)賬戶已被刪除；

2） 應(yīng)核查是否已修改默認(rèn)賬戶的默認(rèn)口令。

針對檢查項1）和2），在CentOS7中默認(rèn)的可登錄賬戶為Root，應(yīng)將其重命名或者禁用，因為Root用戶在創(chuàng)建時會提供初始化口令的功能，因此應(yīng)修改初始口令。

針對控制點c），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查是否不存在多余或過期賬戶，管理員用戶與賬戶之間是否一一對應(yīng)；

2） 應(yīng)測試驗證多余的、過期的賬戶是否被刪除或停用。

針對檢查項1），需要詢問系統(tǒng)管理員系統(tǒng)賬戶與管理員的對應(yīng)關(guān)系，是否具有多余賬戶，即沒有再使用的賬戶。

針對檢查項2），需要首先查看用戶賬戶策略，是否會存在已過期的賬戶，即已經(jīng)超出用戶創(chuàng)建時的使用期限，如果存在過期賬戶，應(yīng)對其刪除或者停用。

針對控制點d），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查是否進行角色劃分；

2） 應(yīng)核查管理用戶的權(quán)限是否已進行分離；

3） 應(yīng)核查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。

針對檢查項1），需要檢查是否對用戶進行角色劃分，或者對用戶進行分組，即檢查用戶的分組。

針對檢查項2）和3），需要檢查是否對用戶進行權(quán)限劃分，即操作系統(tǒng)管理員不應(yīng)當(dāng)具有數(shù)據(jù)庫管理權(quán)限，反之亦然，使各用戶的權(quán)限滿足其工作范圍內(nèi)的最小權(quán)限[4-5]。

針對控制點e），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查是否由授權(quán)主體（如管理用戶）負(fù)責(zé)配置訪問控制策略；

2） 應(yīng)核查授權(quán)主體是否依據(jù)安全策略配置了主體對客體的訪問規(guī)則；

3） 應(yīng)測試驗證用戶是否有可越權(quán)訪問情形。

針對檢查項1）、2）和3），首先檢查是否對管理員（授權(quán)主體）可訪問的文件系統(tǒng)（客體）進行了訪問控制規(guī)則的劃分，如控制點a）中對文件的權(quán)限進行劃分，具有權(quán)限的管理員才能夠?qū)ζ溥M行讀、寫或者執(zhí)行，嘗試對管理員可供管理的文件目錄，或用戶可供訪問的以外的連接進行訪問，如普通用戶登錄時使用其他管理員的token或者sessionID進行登錄，查看是否存在越權(quán)的可能。

針對控制點f），等級保護2.0測評要求中要求檢查：應(yīng)核查訪問控制策略的控制粒度是否達到主體為用戶級或進程級，客體為文件、數(shù)據(jù)庫表、記錄或字段級。該檢查項要求將主體定義為用戶或者進程，課題定義為文件、數(shù)據(jù)表、記錄或者字段，如控制點a）中，主體為用戶，客體為文件，對主體訪問客體的行為進行訪問控制。

針對控制點g），等級保護2.0測評要求中要求檢查：

1） 應(yīng)核查是否對主體、客體設(shè)置了安全標(biāo)記；

2） 應(yīng)測試驗證是否依據(jù)主體、客體安全標(biāo)記控制主體對客體訪問的強制訪問控制策略。

針對檢查項1），檢查是否對主體和客體設(shè)置了敏感標(biāo)記，如對主、客體標(biāo)記了等級，一級、二級、三級的用戶和文件，針對用戶，具有一個標(biāo)記字段，針對文件在文件頭或其他位置具有等級標(biāo)記，則滿足檢查項1）。

針對檢查項2），檢查主、客體之間的訪問是否用到了標(biāo)記功能，基于標(biāo)記使用強制訪問控制策略進行主、客體之間的訪問，由于強制訪問控制具有多種模型，因此針對系統(tǒng)需要保護的資產(chǎn)（保密要求或完整性要求）可以使用不同的控制模型，然后根據(jù)安全等級對強制訪問控制模型的強度準(zhǔn)則（簡單準(zhǔn)則或者強準(zhǔn)則）進行定義，如一級用戶根據(jù)標(biāo)記只能訪問帶有一級標(biāo)記的文件，二級用戶既可以訪問帶有二級標(biāo)記的文件，又可以訪問帶有一級標(biāo)記的文件，而三級的用戶可以訪問帶有一、二、三級標(biāo)記的文件；或者一級用戶只能訪問帶有一級用戶的文件、二級用戶只能訪問帶有二級標(biāo)記的文件而三級用戶只能訪問帶有三級標(biāo)記的文件[6-10]。

3 結(jié)束語

等級保護2.0中通用要求安全層面中的計算環(huán)境安全控制層面包括了等級保護1.0中的主機安全和應(yīng)用安全，因此檢查和測試難度和復(fù)雜度都較以前進行了提高，本文從身份鑒別和訪問控制的控制點出發(fā)以CentOS7操作系統(tǒng)為例，對控制項進行了檢查和測試方法分析，給出了一種符合性判定的思路。針對其他操作、存儲、計算或者應(yīng)用系統(tǒng)以及其他諸如安全審計、入侵防范等安全層面，均可以使用類似的判定方法進行檢查和測試，以做到檢查和測試的可行和準(zhǔn)確。

基金項目：

本論文得到數(shù)據(jù)與個人信息保護安全技術(shù)與測評標(biāo)準(zhǔn)研究項目的資助（項目編號：2017LLYJGASS020）。

參考文獻

[1] 馬力，畢馬寧，任衛(wèi)紅.安全保護模型與等級保護安全要求關(guān)機的研究[J].等級保護， 2011， （6），1-3.

[2] 方玲，仲偉俊，梅.安全等級對信息系統(tǒng)安全技術(shù)策略的影響研究——以防火墻和IDS技術(shù)組合為例[J].系統(tǒng)工程理論與實踐， 2016，36 （5）1231-1238.

[3] 翁遲遲，齊法制，陳剛.基于層次分析法與云模型的主機安全風(fēng)險評估[J].計算機工程， 2016，42（2）1-6.

[4] 馬民虎，趙光.等級保護與關(guān)鍵信息基礎(chǔ)設(shè)施保護的競合及解決路徑[J].西安交通大學(xué)學(xué)報（社會科學(xué)版），2018，（4）1-10.

[5] 李安虎，崔愛菊，宋慶磊.802.1x訪問控制技術(shù)在信息安全等級保護建設(shè)中的應(yīng)用于分析[J].計算機應(yīng)用， 2014，34（S2）102-104.

[6] 江頡，顧祝燕，高俊驍.基于敏感等級的云租戶數(shù)據(jù)安全保護模型研究[J].系統(tǒng)工程理論與實踐， 2014， 34（9）2392-2400.

[7] 劉一丹，董碧丹，崔中杰，李永立.基于模糊評估的等級保護風(fēng)險評估模型[J].計算機工程與設(shè)計， 2013，34（2）452-457.

[8] 王君，石天義.基于信息安全等級保護的網(wǎng)絡(luò)模型分析[J].信息技術(shù)與信息化， 2015，10，51-55.

[9] 張鵬，張曉堯，基于云模型的信息系統(tǒng)測評安全結(jié)論判定[J].武漢大學(xué)學(xué)報（理學(xué)版）， 2014， 60（5）：429-433.

[10] 張大偉，沈昌祥，劉吉強，等.基于主動防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信技術(shù)保障體系[J] .中國工程學(xué)，2016，18（6）58-61.