安全基線與校園網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全問(wèn)題溯源

據(jù)有關(guān)資料統(tǒng)計(jì)，網(wǎng)絡(luò)安全事件中約有80%源自計(jì)算機(jī)終端問(wèn)題。終端已成為新的安全邊界，終端安全問(wèn)題已成為全球計(jì)算機(jī)用戶所面臨的新挑戰(zhàn)。

而由于各業(yè)務(wù)系統(tǒng)使用的開發(fā)技術(shù)及建立的時(shí)間不同，缺乏統(tǒng)一的安全標(biāo)準(zhǔn)和配置規(guī)范，使服務(wù)器的管理存在安全隱患。信息系統(tǒng)、設(shè)備自身配置的脆弱性，是安全事件發(fā)生的重要原因之一。

安全需要在安全風(fēng)險(xiǎn)和成本付出之間進(jìn)行平衡，而安全基線就是這個(gè)平衡點(diǎn)。不滿足系統(tǒng)最基本的安全需求,也就無(wú)法承受由此帶來(lái)的安全風(fēng)險(xiǎn)。而非基本安全需求的滿足同樣會(huì)帶來(lái)超額安全成本的付出,所以構(gòu)造信息系統(tǒng)安全基線己經(jīng)成為系統(tǒng)安全工程的首要步驟,同時(shí)也是進(jìn)行安全評(píng)估、解決信息系統(tǒng)安全性問(wèn)題的先決條件。

安全基線的提出與實(shí)施

安全基線 （Secruity Baseline）是最基本的安全要求，好比是安全“木桶理論”的最短板，對(duì)于一個(gè)信息系統(tǒng)來(lái)說(shuō)是最小安全保證，即該信息系統(tǒng)最需要滿足的基本安全要求。

安全基線由安全配置的概念逐漸演變進(jìn)化而來(lái)，源于微軟公司早期為美國(guó)空軍建議的Windows XP和Windows Vista操作系統(tǒng)安全配置方案，即標(biāo)準(zhǔn)桌面配置方案（Standard Desktop Configuration，SDC）。2007年，美國(guó)政府啟動(dòng)聯(lián)邦桌面核心配置項(xiàng)目（FDCC，F(xiàn)ederal Desktop Core Configuration），建立桌面系 統(tǒng)（Windows XP、Windows vista等）相關(guān)安全基線要求規(guī)范，并通過(guò)自動(dòng)化的工具進(jìn)行基線檢查，并明確規(guī)定，所有使用Windows操作系統(tǒng)的計(jì)算機(jī)，必須符合FDCC的配置要求。FDCC作為聯(lián)邦政府所有桌面計(jì)算機(jī)的安全配置標(biāo)準(zhǔn)，已經(jīng)成為美國(guó)國(guó)家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）的重要組成部分。

FDCC的提出為終端安全提供了可參考的標(biāo)準(zhǔn)，具有指導(dǎo)意義。通過(guò)實(shí)施FDCC，美國(guó)在整個(gè)桌面系統(tǒng)中提高一致性，從而起到簡(jiǎn)化部署和簡(jiǎn)化網(wǎng)絡(luò)管理和工具的復(fù)雜性的作用；減小了標(biāo)準(zhǔn)用戶的管理權(quán)限，增強(qiáng)了桌面系統(tǒng)安全性。通過(guò)標(biāo)準(zhǔn)化又降低了運(yùn)維成本，減少了信息技術(shù)支持人員數(shù)量，縮短系統(tǒng)更新的測(cè)試和安裝時(shí)間。安全配置的統(tǒng)一化和標(biāo)準(zhǔn)化，有利于信息安全策略的整體部署和提高防范措施的實(shí)施效率。

除美國(guó)政府機(jī)構(gòu)強(qiáng)制使用的安全基線之外，微軟的安全基線方案約有15種，涵蓋5類不同的微軟產(chǎn)品。OWASP基金會(huì)的開放式Web應(yīng)用程序安全項(xiàng)目目標(biāo)是推動(dòng)全球軟件安全的革新與發(fā)展，其安全基線子項(xiàng)目進(jìn)行了多種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用軟件、數(shù)據(jù)庫(kù)、移動(dòng)設(shè)備的安全配置的研究，形成了一系列的安全基線、安全檢查清單、安全加固指導(dǎo)等技術(shù)資料及工具。

我國(guó)國(guó)家信息中心于2008年提出了“政務(wù)終端安全核心配置”(CGDCC)，最終目標(biāo)是實(shí)現(xiàn)全國(guó)政府辦公網(wǎng)絡(luò)終端安全防護(hù)系統(tǒng)的統(tǒng)一規(guī)劃、統(tǒng)一管理，并為政務(wù)終端提供統(tǒng)一的安全策略配置、檢測(cè)的補(bǔ)丁分發(fā)、實(shí)時(shí)的安全狀態(tài)監(jiān)測(cè)等終端安全護(hù)理服務(wù)。對(duì)網(wǎng)絡(luò)安全要求較高的金融行業(yè)、通信運(yùn)營(yíng)商也紛紛采取了全方位的網(wǎng)絡(luò)安全管理措施，包括發(fā)布相關(guān)的安全基線規(guī)范，用以構(gòu)建最基本的安全防范壁壘與手段。

完整的安全基線內(nèi)容主要由系統(tǒng)存在的安全漏洞、系統(tǒng)配置的脆弱性、系統(tǒng)狀態(tài)的監(jiān)控三方面必須滿足的最低要求組成。

1.安全漏洞：漏洞通常是由于軟件或協(xié)議等系統(tǒng)自身存在缺陷引起的安全風(fēng)險(xiǎn)，如系統(tǒng)登錄漏洞、拒絕服務(wù)漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、惡意代碼執(zhí)行等，反映了系統(tǒng)自身的安全脆弱性；

2.安全配置：通常都是由于人為的疏忽造成，主要包括了賬號(hào)、口令、授權(quán)、日志、IP協(xié)議等方面的配置要求，配置不當(dāng)導(dǎo)致系統(tǒng)存在安全風(fēng)險(xiǎn)；

3.系統(tǒng)狀態(tài)：包含系統(tǒng)端口狀態(tài)、進(jìn)程、賬號(hào)、服務(wù)以及重要文件的變化。這些信息反映了系統(tǒng)當(dāng)前所處環(huán)境的動(dòng)態(tài)安全狀況，存在的安全隱患將威脅系統(tǒng)運(yùn)行安全。

圖1 安全基線標(biāo)準(zhǔn)內(nèi)容樣例

安全基線通過(guò)安全合規(guī)管理機(jī)制判斷用戶的應(yīng)用環(huán)境安全是否達(dá)標(biāo)，提供一個(gè)信息系統(tǒng)所需的最基本的安全保證。FDCC基于NVD、NCP等內(nèi)容進(jìn)行基線安全核查。NVD（National Vulnerability Database，國(guó)家漏洞數(shù)據(jù)庫(kù)）為自動(dòng)化漏洞管理、安全評(píng)估和合規(guī)性檢查提供數(shù)據(jù)支撐，包含安全核查名單、與安全相關(guān)的軟件漏洞、配置錯(cuò)誤以及量化影響等。NVD數(shù)據(jù)庫(kù)針對(duì)數(shù)據(jù)庫(kù)中的漏洞等提出了一整套核查名單（Checklist），劃歸到NCP（National Checklist Program）計(jì)劃中。

安全基線應(yīng)用于校園網(wǎng)絡(luò)安全管理

隨著校園網(wǎng)絡(luò)信息化的快速發(fā)展，網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)信息服務(wù)設(shè)施、信息應(yīng)用系統(tǒng)、用戶接入終端數(shù)量和規(guī)模都在不斷擴(kuò)張，使網(wǎng)絡(luò)安全管理工作量陡增，需要增加網(wǎng)絡(luò)安全設(shè)備和專業(yè)技術(shù)人員，管理成本逐步上升。如何實(shí)現(xiàn)增強(qiáng)管理力度、提高管理效率已成為高校面臨的重要問(wèn)題。而安全基線標(biāo)準(zhǔn)的建立，可強(qiáng)化管理依據(jù)，規(guī)范管理方法。因此，全面構(gòu)建網(wǎng)絡(luò)信息安全基線標(biāo)準(zhǔn)體系，形成長(zhǎng)效安全檢查機(jī)制，是保障校園網(wǎng)絡(luò)信息安全的基礎(chǔ)措施。

根據(jù)校園網(wǎng)等保定級(jí)的情況對(duì)服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)設(shè)備等分類建立標(biāo)準(zhǔn)安全配置規(guī)范，形成校園網(wǎng)安全基線，并制定針對(duì)不同系統(tǒng)設(shè)備的詳細(xì)檢查項(xiàng)目和核查方法，開展橫向的安全評(píng)估和管理。

安全基線標(biāo)準(zhǔn)的制定可參考微軟以及金融、通信行業(yè)的相關(guān)安全基線規(guī)范，還應(yīng)結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全的技術(shù)與管理要求，詳細(xì)編寫基線內(nèi)容說(shuō)明，并配套設(shè)置操作具體步驟和合規(guī)性檢查的依據(jù)。

圖2 使用MBSA2.3基線檢測(cè)的結(jié)果

圖3 Lynis2.6.6掃描Linux系統(tǒng)輸出的結(jié)果

具體來(lái)說(shuō)，安全基線標(biāo)準(zhǔn)的內(nèi)容應(yīng)包括：安全基線名稱、基線編號(hào)、基線說(shuō)明、設(shè)置操作步驟、符合性判定依據(jù)及備注六項(xiàng)內(nèi)容（如圖1所示）。

以Windows操作系統(tǒng)配置安全基線標(biāo)準(zhǔn)為例，總體包含的內(nèi)容主要有：賬戶管理、認(rèn)證授權(quán)（系統(tǒng)賬戶控制、密碼安全策略、操作授權(quán)）；日志配置操作（日志審核內(nèi)容、日志文件大小）；IP協(xié)議安全配置（SYN、ICMP、SNMP攻擊保護(hù)，IP路由控制，碎片攻擊保護(hù)）；其他安全功能要求（共享訪問(wèn)權(quán)限、惡意代碼與病毒防護(hù)、終端服務(wù)管理、網(wǎng)絡(luò)訪問(wèn)授權(quán)、啟動(dòng)項(xiàng)、系統(tǒng)服務(wù)管理）；系統(tǒng)更新（補(bǔ)丁更新）。

安全基線檢查工具種類較多，有商業(yè)化的工具設(shè)備，開源的工具軟件以及根據(jù)具體使用需要開發(fā)的檢測(cè)腳本程序、自動(dòng)化掃描程序等。

微軟基線安全分析器（MBSA）是微軟公司為IT專業(yè)人員設(shè)計(jì)的一個(gè)簡(jiǎn)單易用的免費(fèi)工具，可以檢測(cè)Windows系統(tǒng)常見的安全性錯(cuò)誤配置和遺漏的安全更新，改善安全管理流程，如圖2所示。

Lynis是針對(duì)Unix/Linux的開源安全檢查工具，可以發(fā)現(xiàn)潛在的系統(tǒng)安全威脅。通過(guò)這個(gè)工具可掃描系統(tǒng)信息，脆弱軟件包以及潛在的錯(cuò)誤配置。掃描完成后，Lynis還會(huì)生成一份包含所有掃描結(jié)果的安全報(bào)告，對(duì)存在的安全隱患進(jìn)行告警，提出加固建議，如圖3所示。

建立了網(wǎng)絡(luò)安全基線標(biāo)準(zhǔn)，確定了安全基線檢查的方法，為開展校園網(wǎng)絡(luò)安全自查、加固、檢查和整改工作打下基礎(chǔ)，使校園網(wǎng)絡(luò)安全管理朝著規(guī)范化、標(biāo)準(zhǔn)化方向發(fā)展。