信息系統主機安全等級保護測評方法研究

司 群，劉育欣

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

信息系統主機安全等級保護測評方法研究

司 群，劉育欣

（中國鐵道科學研究院 電子計算技術研究所，北京 100081）

隨著等級保護在全國各個行業的推廣，對《信息安全技術信息系統安全等級保護基本要求》和《信息安全技術信息系統安全等級保護測評要求》中的測評內容對應的測評方法和技術的研究越來越重視，本文針對主機測評技術進行分析研究，通過分析測評項，提出符合標準的測評指標、方法和實施步驟。

等級保護；主機測評；訪談；人工檢查；測試

1994 年國務院頒發《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）明確了我國對計算機信息系統進行分等級保護的要求。相繼2003年中辦發《國家信息化領導小組關于加強信息安全保障工作的意見》（27號文）提出了重點保護基礎信息網絡和關系國家安全、經濟命脈和社會穩定等方面的重要信息系統，制定信息安全等級保護的管理辦法和技術指南，2004年公通字《關于信息安全等級保護工作的實施意見》（66號文）及2007年《信息安全等級保護管理辦法》（43號文）等文件發布并推廣，逐步明確信息安全等級保護是國家的一項基本制度，等級測評是整個等級保護工作中的重要一環，各行業包括鐵路行業都十分重視，鐵公安2012年發布《關于進一步做好鐵路信息安全等級保護工作的通知》（94號文）。

1 主機安全測評概述

信息系統等級測評技術層面由包括物理安全、主機安全、網絡安全、應用安全和數據安全5個方面，各個方面相互關聯并保持獨立性，主機安全測評主要是對服務器、終端/工作站等計算機設備的操作系統和數據庫系統層面的安全，其中終端/工作站是帶外設的臺式機和筆記本電腦，服務器則指包括應用程序、網絡、Web、文件與通信等服務器。

國家標準GB/T 22239-2008《信息安全技術—信息系統安全等級保護基本要求》（簡稱：基本要求），以三級信息系統為例將主機安全測評內容分為7個控制點，包括身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范和資源控制[1]，隨著信息系統等級降低，主機安全保護能力的要求逐級減少，相應系統等級提升，保護能力的要求逐級增加，基本要求中提出了主機安全測評的基本要求項，《信息系統安全等級保護測評要求》梳理出各個等級主機安全的測評實施過程包括測評內容、測評實施及測評結果判定條件，但是均比較抽象，對于系統測試實際操作起來并不適用，必須根據基本要求和測評要求梳理出被測對象的測評方法和步驟，表1列出了三級信息系統主機安全7個控制點的測試方法，通過此表可以更清晰了解現場測試的重點，提早合理安排安全測試人員做好測試計劃。

表1 三級信息系統主機安全測評方法

2 主機安全測評實施

2.1 測評指標確定

根據基本要求，詳細梳理出適合鐵路行業3級信息系統主機安全測評指標，現僅以身份鑒別測評控制項為例，列出測評指標內容，主要包括：如標識、鑒別、密碼復雜度、密碼長度、密碼更換周期、弱口令、非法登錄次數、帳戶鎖定時間、加密傳輸、用戶名唯一及鑒別方式11個測評指標項，并對其進行了詳細的解釋，加密傳輸測評指標指采用SSH加密的遠程管理軟件，對用戶名和口令進行傳輸；鑒別方式指除用戶名口令外還需增加至少以下一種鑒別技術，包括：挑戰應答、動態口令、物理設備和生物識別技術。

2.2 前期訪談調研

訪談是對信息系統主機安全使用情況進行了解，依據測試指標要求及實際測試場景，與系統管理員、安全管理員及安全審計員等主機的使用者舉行咨詢性和針對性的會談、交流，了解主機的安全策略配置、安全使用情況，對服務器和終端設備的全局情況進行了解[5]。下面從主機安全的7個控制點分別介紹前期需訪談內容。

2.2.1 身份鑒別訪談

（1）詢問系統管理員操作系統的身份標識和鑒別機制采取何種措施實現；

（2）詢問數據庫管理員數據庫管理系統的身份標識和鑒別機制采取何種措施實現；

（3）詢問系統管理員操作系統用戶的口令策略；

（4）詢問數據庫管理員數據庫管理系統用戶的口令策略；

（5）詢問系統管理員服務器操作系統的遠程管理方式和加密措施；

（6）詢問系統管理員操作系統除采取用戶名/口令身份標識和鑒別方式以外有無其他措施。

2.2.2 訪問控制訪談

（1）詢問系統管理員操作系統是否實現系統管理、安全審計和安全管理三權分立；

（2）詢問數據庫管理員數據庫管理系統是否實現數據庫系統管理、安全審計和安全管理三權分立；

（3）詢問系統管理員用戶列表中各個用戶的作用，是否存在多余的、過期的和共享帳戶；

（4）詢問數據庫系統管理員用戶列表中各個用戶的作用，是否存在多余的、過期的和共享帳戶；

（5）詢問系統管理員是否對重要信息資源設置敏感標記；

（6）詢問系統管理員敏感標記的策略設置情況。

2.2.3 安全審計訪談

（1）詢問系統管理員服務器操作系統是否開啟審計功能或安裝第三方審計工具；

（2）詢問數據庫管理員數據庫管理系統是否開啟日志功能或安裝第三方審計工具；

（3）詢問安全審計員是否對日志記錄進行分析生成審計報表的措施或工具；

（4）詢問安全審計員對審計記錄的保護措施；

（5）詢問安全審計員審計記錄的存儲、備份措施。

2.2.4 入侵防范訪談

（1）詢問系統管理員是否部署入侵防范產品；

（2）詢問系統管理員查看日志的周期；

（3）詢問系統管理員程序完整性檢測措施及破壞后的恢復措施，是否對系統、程序等重要文件進行備份；

（4）詢問系統管理員系統升級方式和是否安裝了最新補丁。

2.2.5 惡意代碼防范訪談

詢問系統管理員主機操作系統的惡意代碼產品的升級方式，是否采用統一的更新和查殺策略。

2.2.6 資源控制訪談

（1）詢問系統管理員查看系統資源監控器的頻率或使用第三方監控軟件實現服務器系統的監視；

（2）詢問系統管理員日常監控系統服務水平的措施。

2.3 主機安全現場評測

主機安全現場測評主要是通過檢查和測試兩種方式交互進行。

檢查是主要的測評手段，通過對測評對象進行觀察、查驗和分析得出符合性結論。可以進行文檔檢查（也就是證據類信息的檢查）、實地察看（如機房選址、物理環境測評）、配置檢查（主要是檢查主機操作系統、應用系統、網絡交換設備與網絡安全設備的配置情況）。如測試人員欲對某應用服務器身份鑒別功能進行檢查，則需登錄該服務器，輸入相關命令對其進行操作，按照操作結果對服務器的身份鑒別策略進行檢查確認，核實其密碼長度、密碼復雜度、登陸失敗鎖定等配置項是否符合要求。

測試主要是測試人員采用專用的測試工具，搭建特定測試環境，按照預定的方法操作，使被測對象在測試環境中與測試工具進行聯動，產生特定的行為。依據測試工具記錄的信息，對待測設備的指標進行檢查分析，獲取證據以證明信息系統安全保護措施及策略是否有效，包括系統漏洞掃描和滲透性測試等。

檢查和測試是測試人員在現場采用手工的方式驗證信息系統具體的安全配置機制和運行的有效性，因此相比較訪談方法更逼近客觀事實，是取得測試證據的重要途徑，將檢查和測試融合起來更能全面的取證。但是，對于擁有成百上千甚至更多臺主機的大型信息系統而言，通常采取抽樣檢測的方式，選取典型測評對象主機進行檢測，無特殊要求不需要逐一檢查所有主機。基本要求中，三級主機安全測評檢查項包括7個單元，32個測評要求點。主機層面現場檢查內容和測試流程采用流程圖的方式展現，如圖1所示。

圖1 主機安全現場檢查作業指導手冊

如在身份鑒別單元中需要確定用戶名是否唯一與在訪問控制單元中查看是否存在默認帳戶、多余帳戶和共享帳戶等單元項需要同一個測試命令。

3 結束語

本文提出了三級主機安全測評的原理、方法和測評實施過程，對基本要求進行了分析解讀，用簡單易懂的形式闡述了標準的精髓，希望提出的測評實施方法及指導手冊對主機安全測評有所幫助。在后續的工作中會更詳細地總結其他等級主機安全測評流程，并提出更具體化的測評指標體系。

[1] 中華人民共和國質量監督檢驗檢疫局，中國國家標準化管理委員會.GB/T 22239-2008，信息安全技術—信息系統安全等級保護基本要求[S]. 北京：中國標準化出版社，2008.

[2] 中華人民共和國質量監督檢驗檢疫局，中國國家標準化管理委員會.GB/T28448-2012，信息安全技術—信息系統安全等級保護測評要求[S]. 北京：中國標準化出版社，2012.

[3] 中華人民共和國質量監督檢驗檢疫局，中國國家標準化管理委員會.GB/T20272-2006, 操作系統安全技術要求[S]. 北京：中國標準化出版社，2006.

[4] 中華人民共和國質量監督檢驗檢疫局，中國國家標準化管理委員會.GB/T20273-2006,數據庫管理系統安全技術要求[S].北京：中國標準化出版社，2006.

[5]李 倩，楊曉明，羅恒峰，等.級測評的主機安全檢測[J].電子產品可靠性與環境試驗，2011，29（6）.

責任編輯 徐侃春

Security level protection evaluation methods for host of Information System

SI Qun, LIU Yuxin
( Institute of Computing Technologies, China Academy of Railway Sciences, Beijing 100081, China )

With the popularization of level protection in various industries of countrywide, it was paid more and more attention on testing methods and techniques in the "information security technology - basic requirements of security level protection for Information System" and "information security technology - evaluation requirements of security level protection for Information System". This paper researched on the host evaluation technology, put forward the standard evaluation index, methods and implementation steps through analyzing evaluation items.

level protection; host evaluation; interview; manual inspection; test

U29-39

A

1005-8451（2015）02-0051-04

2014-10-08

司 群，工程師；劉育欣，助理研究員。