王克明 馮方回

中國(guó)人口與發(fā)展研究中心 北京 100081

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，信息和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息與網(wǎng)絡(luò)涉及到國(guó)家的政治、軍事、經(jīng)濟(jì)等諸多領(lǐng)域，在計(jì)算機(jī)網(wǎng)絡(luò)中存儲(chǔ)、傳輸和處理的信息包括各種政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、高科技科研數(shù)據(jù)等重要信息，因此計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全是關(guān)系到國(guó)家安全和主權(quán)、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定的重要因素。

主機(jī)是信息應(yīng)用的核心，是絕大多數(shù)用戶應(yīng)用服務(wù)的運(yùn)行中心和數(shù)據(jù)處理中心，是信息系統(tǒng)中敏感信息的直接載體，也是各類應(yīng)用系統(tǒng)運(yùn)行的平臺(tái)，針對(duì)主機(jī)的攻擊事件層出不窮，攻擊手段多種多樣，從緩沖區(qū)溢出攻擊、系統(tǒng)管理員口令攻擊到惡意代碼攻擊，從因特網(wǎng)黑客外部攻擊到內(nèi)部人員攻擊，所以主機(jī)安全是保證整個(gè)信息系統(tǒng)安全的基礎(chǔ)，同時(shí)主機(jī)安全也是等級(jí)保護(hù)體系中安全建設(shè)的重要組成部分，研究如何在等級(jí)保護(hù)要求下科學(xué)有效部署主機(jī)安全保障系統(tǒng)，是當(dāng)前信息安全保障工作中迫在眉睫的任務(wù)。

1 主機(jī)安全風(fēng)險(xiǎn)分析

1.1 存在較多安全漏洞

主機(jī)系統(tǒng)存在較多安全漏洞，其中很多漏洞會(huì)被黑客利用，成為黑客攻擊的目標(biāo)或跳板。另外，每年都會(huì)發(fā)現(xiàn)新類型的漏洞，對(duì)于新類型漏洞的代碼實(shí)例分析常常導(dǎo)致數(shù)以百計(jì)的其他不同軟件漏洞的發(fā)現(xiàn)，入侵者往往能夠在軟件廠商更正這些漏洞之前首先發(fā)現(xiàn)這些漏洞。面對(duì)操作系統(tǒng)安全漏洞，用戶所能做的往往是以“打補(bǔ)丁”的方式為主機(jī)操作系統(tǒng)不斷的升級(jí)更新。這種方式最大的缺陷是系統(tǒng)補(bǔ)丁的滯后性：（1）從補(bǔ)丁測(cè)試到分發(fā)，需要較長(zhǎng)周期。在此期間，操作系統(tǒng)安全仍然無(wú)法得到保障；（2）補(bǔ)丁永遠(yuǎn)是在漏洞之后，且補(bǔ)丁永遠(yuǎn)“打不完”；（3）隨著發(fā)現(xiàn)漏洞的工具的自動(dòng)化趨勢(shì)，留給服務(wù)器管理員打補(bǔ)丁的時(shí)間越來(lái)越短。因此這種事后補(bǔ)救的方式存在著較大的安全隱患，往往在補(bǔ)丁沒(méi)有發(fā)布之前，黑客就已經(jīng)利用這些漏洞對(duì)服務(wù)器造成極大的破壞了。同時(shí)，主機(jī)上的第三方軟件也會(huì)存在或多或少的漏洞，這些漏洞中有不少可被利用，嚴(yán)重威脅主機(jī)安全。

1.2 操作系統(tǒng)完整性破壞

主機(jī)操作系統(tǒng)完整性破壞是當(dāng)前主機(jī)面臨的主要安全威脅。現(xiàn)有主機(jī)操作系統(tǒng)，從開(kāi)機(jī)啟動(dòng)到運(yùn)行服務(wù)過(guò)程中，對(duì)執(zhí)行代碼不做任何完整性檢查，導(dǎo)致病毒、木馬程序可以嵌入到執(zhí)行代碼程序或者直接替換原有程序，實(shí)現(xiàn)病毒、木馬等惡意代碼的傳播。這些惡意代碼一旦被激活，就會(huì)繼承當(dāng)前用戶的權(quán)限，從而肆無(wú)忌憚地進(jìn)行傳播，為所欲為地破壞主機(jī)操作系統(tǒng)的完整性，例如在服務(wù)器管理員毫不知情的情況下修改或刪除服務(wù)器中的重要信息，或者破壞服務(wù)器操作系統(tǒng)中的一些重要服務(wù)，導(dǎo)致服務(wù)器操作系統(tǒng)無(wú)法正常運(yùn)作等。

1.3 重要信息失竊密

主機(jī)中往往存放著大量的重要信息，而隨著信息化的高度發(fā)展，重要信息越來(lái)越容易被復(fù)制和傳播，從而導(dǎo)致重要信息的失竊密事件頻繁發(fā)生，嚴(yán)重?fù)p害相應(yīng)組織機(jī)構(gòu)的形象和利益，甚至威脅到了社會(huì)秩序、公共利益和國(guó)家安全。另外出于各種利益的驅(qū)使，信息系統(tǒng)中的一些合法用戶可能有意規(guī)避主機(jī)安全防護(hù)措施，利用現(xiàn)有主機(jī)防護(hù)技術(shù)的漏洞，通過(guò)網(wǎng)內(nèi)攻擊，惡意植入木馬等手段進(jìn)行非法操作，導(dǎo)致失竊密事件發(fā)生。

1.4 信息完整性破壞

信息完整性面臨的威脅主要指主機(jī)中的重要信息在存儲(chǔ)期間被惡意篡改，使得重要信息失去了原有的真實(shí)性，從而變得不可用或造成廣泛的負(fù)面影響，惡意用戶可以通過(guò)網(wǎng)絡(luò)或其他方式對(duì)沒(méi)有采取安全措施的主機(jī)上存放的重要信息進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。

1.5 缺乏內(nèi)部攻擊的防范措施

內(nèi)部人員攻擊是指獲得授權(quán)的合法用戶從信息系統(tǒng)內(nèi)部發(fā)起的攻擊。傳統(tǒng)的安全防護(hù)措施大多只對(duì)來(lái)自外部的攻擊進(jìn)行防范，但俗話說(shuō)家賊難防，由于內(nèi)部人員可直接接觸主機(jī)中的重要信息，并且了解主機(jī)的安全防御措施和管理手段，因此相對(duì)于外部用戶而言，其更容易規(guī)避防護(hù)措施，利用主機(jī)系統(tǒng)安全防御措施的漏洞或管理體系不完善的弱點(diǎn)，從內(nèi)部發(fā)起攻擊來(lái)破壞服務(wù)器系統(tǒng)的安全，從而達(dá)到某種不可告人的目的。據(jù)國(guó)際權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，80%的信息安全事故都是內(nèi)部工作人員或內(nèi)部工作人員與外部人員相互勾結(jié)所為，且這種現(xiàn)象呈上升趨勢(shì)，一系列的實(shí)際案例可以說(shuō)明，來(lái)自內(nèi)部的數(shù)據(jù)失竊和破壞，遠(yuǎn)遠(yuǎn)高于外部黑客的攻擊。

1.6 缺乏統(tǒng)一的身份管理

目前主機(jī)普遍存在的問(wèn)題就是管理員身份單一，致使管理員權(quán)限過(guò)大，這樣會(huì)對(duì)主機(jī)帶來(lái)一定的安全隱患，并且出于主機(jī)業(yè)務(wù)操作和運(yùn)行維護(hù)的需要，主機(jī)經(jīng)常是混用的，即多人可對(duì)同一臺(tái)主機(jī)進(jìn)行操作，多人共用主機(jī)賬戶和口令，這樣就造成主機(jī)用戶身份鑒別不明，難以根據(jù)用戶的身份和角色分配權(quán)限，無(wú)法進(jìn)行嚴(yán)格地訪問(wèn)控制，容易產(chǎn)生誤操作；另外，單純的用戶名/口令認(rèn)證方式容易受到字典攻擊等方式攻擊，導(dǎo)致黑客獲取口令執(zhí)行惡意操作。

1.7 缺乏統(tǒng)一的主機(jī)管理

目前大多數(shù)主機(jī)仍采用單機(jī)管理模式，即主機(jī)管理員對(duì)每一臺(tái)主機(jī)單獨(dú)進(jìn)行管理維護(hù)，這樣的管理模式會(huì)存在一定的安全滯后性。如果主機(jī)數(shù)量較多，那么這種管理模式必然造成效率低下，管理員疲于奔波，卻效果并不明顯，安全隱患眾多，卻無(wú)法及時(shí)解決安全突發(fā)事件，也無(wú)法徹底解決安全隱患，黑客或者病毒通過(guò)網(wǎng)絡(luò)，非常容易產(chǎn)生多個(gè)主機(jī)的交叉感染或者重復(fù)感染，導(dǎo)致整個(gè)系統(tǒng)的不穩(wěn)定性和安全事故頻發(fā)。

2 等級(jí)保護(hù)體系中對(duì)于主機(jī)安全的目標(biāo)與要求

對(duì)于不同保護(hù)等級(jí)的信息系統(tǒng)均有相應(yīng)的主機(jī)安全基本要求，等級(jí)愈高主機(jī)安全基本要求就越多。針對(duì)信息系統(tǒng)中的主機(jī)服務(wù)器，GB/ T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》從以下9個(gè)方面對(duì)主機(jī)安全進(jìn)行了基本保護(hù)要求：

（1）身份鑒別：從身份鑒別方式、口令復(fù)雜度、鑒別信息傳輸機(jī)密性、登錄失敗處理措施等方面對(duì)主機(jī)進(jìn)行了要求；

（2）安全標(biāo)記：所有主體和客體應(yīng)設(shè)置敏感標(biāo)記；

（3）訪問(wèn)控制：從訪問(wèn)控制主客體、訪問(wèn)控制策略、訪問(wèn)控制粒度等方面對(duì)主機(jī)進(jìn)行了要求；

（4）可信路徑：要求在主機(jī)與用戶之間建立一條安全的信息傳輸路徑；

（5）安全審計(jì)：從審計(jì)策略、審計(jì)范圍、審計(jì)內(nèi)容、審計(jì)記錄、審計(jì)進(jìn)程保護(hù)、審計(jì)日志保護(hù)等方面對(duì)主機(jī)進(jìn)行了要求；

（6）剩余信息保護(hù)：要求對(duì)鑒別信息、系統(tǒng)文件、目錄和數(shù)據(jù)庫(kù)記錄等客體的存儲(chǔ)空間進(jìn)行剩余信息保護(hù)；

（7）入侵防范：要求主機(jī)具備一定的入侵防范措施，同時(shí)確保系統(tǒng)補(bǔ)丁及時(shí)得到更新；

（8）惡意代碼防范：要求主機(jī)具備一定的惡意代碼防護(hù)措施；

（9）資源控制：要求對(duì)系統(tǒng)資源進(jìn)行監(jiān)控，防止出現(xiàn)無(wú)法使用系統(tǒng)資源的情況。

3 基于等級(jí)保護(hù)部署主機(jī)安全防護(hù)系統(tǒng)

在由信息和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)構(gòu)成的信息系統(tǒng)中，最薄弱、易受攻擊、而保護(hù)力度又相對(duì)缺乏的就是對(duì)主機(jī)的保護(hù)。主機(jī)是信息系統(tǒng)中敏感信息的直接載體，也是各類應(yīng)用運(yùn)行的平臺(tái)，因此對(duì)主機(jī)的保護(hù)是保證整個(gè)信息系統(tǒng)安全的基礎(chǔ)。同時(shí)，主機(jī)安全防護(hù)要符合信息安全等級(jí)保護(hù)的要求，根據(jù)不同的信息安全等級(jí)保護(hù)的要求制定切合實(shí)際的主機(jī)安全防護(hù)策略。按照信息安全等級(jí)保護(hù)的基本思想和技術(shù)要求，要做到科學(xué)有效的部署主機(jī)安全保障體系，筆者認(rèn)為應(yīng)在以下幾個(gè)方面加以注意：

（1）主機(jī)統(tǒng)一安全管理。目前大多數(shù)服務(wù)器仍采用單機(jī)管理模式，即主機(jī)管理員對(duì)每一臺(tái)服務(wù)器單獨(dú)進(jìn)行管理維護(hù)，這樣的管理模式會(huì)存在一定的安全滯后性。要實(shí)現(xiàn)真正有效的安全管理，必須對(duì)所有服務(wù)器實(shí)施統(tǒng)一集中管理、統(tǒng)一安全策略下發(fā)，以及安全事件的統(tǒng)一監(jiān)控和協(xié)同處理，構(gòu)建健康的服務(wù)器安全管理體系。

（2）身份鑒別。身份認(rèn)證是主機(jī)安全的“大門”，進(jìn)入“大門”就可以獲得主機(jī)系統(tǒng)的資源?，F(xiàn)有的主機(jī)操作系統(tǒng)日常管理中仍存在采用單一口令認(rèn)證方式對(duì)用戶身份進(jìn)行鑒別，容易受到字典攻擊等方式攻擊。首先，要對(duì)主機(jī)用戶身份進(jìn)行統(tǒng)一管理，根據(jù)用戶的身份和角色分配權(quán)限。其次，需要對(duì)主機(jī)用戶采取強(qiáng)認(rèn)證方式進(jìn)行身份認(rèn)證，比如可以采用雙因子認(rèn)證方式進(jìn)行身份驗(yàn)證，用戶只有擁有合法的USB-KEY，并且輸入正確的服務(wù)器操作系統(tǒng)口令+ USB-KEY口令，才能登錄服務(wù)器；通過(guò)雙因子的身份鑒別，將用戶身份與USB-KEY綁定，可有效防止用戶身份偽造事件的發(fā)生；同時(shí)，對(duì)于一個(gè)已標(biāo)識(shí)和鑒別的用戶，將該用戶的身份與該用戶的所有可審計(jì)行為相關(guān)聯(lián)，以實(shí)現(xiàn)用戶行為的可查性。再者，對(duì)主機(jī)進(jìn)行遠(yuǎn)程維護(hù)時(shí)，盡量不要采用明文方式進(jìn)行操作，如TELNET、遠(yuǎn)程桌面連接（MSTSC）等方式，我們知道這些管理方式默認(rèn)情況下是不加密的，容易造成黑客通過(guò)嗅探工具獲取諸如賬戶、密碼等敏感信息，基于此需要采取安全的加密方式進(jìn)行遠(yuǎn)程管理，比如SSH、SSL。

（3）安全標(biāo)記。通過(guò)對(duì)服務(wù)器系統(tǒng)中的主體（用戶、進(jìn)程）及客體（文件、執(zhí)行程序、外部設(shè)備等）進(jìn)行安全標(biāo)識(shí)，根據(jù)客體類型的不同，分別制定不同的訪問(wèn)控制規(guī)則，嚴(yán)格控制用戶行為，保證用戶的任何行為都在安全策略的監(jiān)控下，嚴(yán)格控制“誰(shuí)”可以“做什么”，從而全方位地確保服務(wù)器中的重要數(shù)據(jù)“拿不走”，保護(hù)服務(wù)器系統(tǒng)的機(jī)密性。同時(shí)，通過(guò)全路徑名對(duì)服務(wù)器系統(tǒng)中的重要客體進(jìn)行標(biāo)記，設(shè)置用戶或進(jìn)程對(duì)文件/目錄強(qiáng)制訪問(wèn)控制規(guī)則，任何用戶及其調(diào)用的進(jìn)程對(duì)服務(wù)器敏感文件或目錄進(jìn)行操作行為時(shí)都要進(jìn)行嚴(yán)格的訪問(wèn)控制，從而杜絕用戶數(shù)據(jù)被篡改、刪除、插入等情況的發(fā)生，確保主機(jī)重要資源的完整性。

（4）訪問(wèn)控制。通過(guò)對(duì)訪問(wèn)服務(wù)器的身份進(jìn)行鑒別，防止非授權(quán)用戶接入服務(wù)器，通過(guò)可信互聯(lián)機(jī)制，實(shí)現(xiàn)對(duì)接入的有效控制。主機(jī)管理員應(yīng)規(guī)定哪些用戶可以接入服務(wù)器系統(tǒng)，只有認(rèn)證檢驗(yàn)通過(guò)后，該用戶方能與服務(wù)器進(jìn)行網(wǎng)絡(luò)通信。同時(shí)對(duì)于主機(jī)本地服務(wù)所提供的遠(yuǎn)程訪問(wèn)，實(shí)行連接限制，制訂可信訪問(wèn)列表，對(duì)于可信地址則允許其接入服務(wù)，非法地址進(jìn)行連接限制。

（5）安全審計(jì)。針對(duì)受控服務(wù)器，根據(jù)審計(jì)需求，制定詳盡的審計(jì)策略，其中包括用戶登錄、資源訪問(wèn)、進(jìn)程啟動(dòng)等；對(duì)已收集的審計(jì)信息，進(jìn)行詳細(xì)的分類審計(jì)查詢，包括用戶ID查詢、操作類型查詢、操作結(jié)果查詢等；另外，只有安全審計(jì)員可以修改或者刪除審計(jì)日志，對(duì)審計(jì)日志應(yīng)及時(shí)進(jìn)行備份。

（6）系統(tǒng)加固、入侵防范。要建立全網(wǎng)統(tǒng)一的補(bǔ)丁管理和防病毒系統(tǒng)，及時(shí)向主機(jī)分發(fā)經(jīng)過(guò)安全測(cè)評(píng)的漏洞補(bǔ)丁和更新、升級(jí)病毒庫(kù)，主機(jī)系統(tǒng)還應(yīng)安裝部署惡意代碼防護(hù)系統(tǒng)，及時(shí)升級(jí)惡意代碼庫(kù)，定期掃描和清除病毒、木馬、后門、網(wǎng)頁(yè)掛馬等惡意程序。

4 結(jié)束語(yǔ)

無(wú)論是信息中心、數(shù)據(jù)中心還是計(jì)算機(jī)機(jī)房的主機(jī)即服務(wù)器都是等級(jí)保護(hù)的重要對(duì)象。主機(jī)中的各種軟件、程序擔(dān)負(fù)著業(yè)務(wù)的繁忙的計(jì)算量，幾乎不可中斷；主機(jī)中存儲(chǔ)著大量核心數(shù)據(jù)，關(guān)系到企業(yè)的發(fā)展和收益，甚至影響到企業(yè)的生存，它們的安全極為重要。因此按照等級(jí)保護(hù)的要求，嚴(yán)格履行各項(xiàng)安全措施，制定符合企業(yè)和事業(yè)發(fā)展的安全條例就顯得極為重要。要落實(shí)等級(jí)保護(hù)的安全要求，不能只是泛泛地按照條文辦事，還要制定對(duì)本企業(yè)本單位非常具有針對(duì)性的具體措施，把安全措施落實(shí)到實(shí)處。

[1]GBT22239-2008_信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)基本要求.2008.

[2]GB/T25058-2010_信息安全技術(shù)_信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南.2010.

[3]邱梓華，宋好好，張笑笑，顧健.主機(jī)安全等級(jí)保護(hù)配置指南[J].信息網(wǎng)絡(luò)安全.2011.