■

引言

主機、網(wǎng)絡(luò)設(shè)備等配置不當一直以來都是造成信息安全問題的主要原因之一。這些配置存在于主機、網(wǎng)絡(luò)設(shè)備等各類設(shè)備中。涉及帳號、口令、認證、授權(quán)、日志配置、IP協(xié)議安全等諸多方面，覆蓋面極為廣泛。任何配置不當都會導致設(shè)備存在安全風險，進而給整個業(yè)務(wù)系統(tǒng)的正常運行帶來隱患。如果采用人工方式檢查安全配置會帶來很大的工作量。人工檢查方式對于知識的積累和延續(xù)有很大阻礙，而且還可能由于檢查人員對系統(tǒng)不熟悉造成誤操作。

主機、網(wǎng)絡(luò)設(shè)備等的安全配置建議是面向通用領(lǐng)域的，只從通用的角度描述相關(guān)的安全影響，其供應(yīng)商不能針對不同的使用場景進行擴展補充，導致安全建議不能完全符合實際場景，進而也就不能完全滿足實際使用中的安全配置要求。

以下描述一種可以實現(xiàn)高度自動化、可擴展性強的安全配置檢查系統(tǒng)。

同類產(chǎn)品對比

目前業(yè)內(nèi)的配置檢查系統(tǒng)數(shù)量眾多，但原理主要有兩種：

1.調(diào)用被查設(shè)備API，獲取所需配置信息。該方法通過調(diào)用系統(tǒng)API進行檢查，需要深入研究被查設(shè)備，配置項開發(fā)難度大。如基于SCAP規(guī)范的配置檢查系統(tǒng)。

2.通過命令行，獲取所需配置信息的回顯，再通過正則表達式匹配出所需字段。該方法相對簡單，配置項的開發(fā)難度也相對較低。

下文論述的配置檢查系統(tǒng)是基于第二種方式，并且在此基礎(chǔ)上，將檢查命令和配置檢查系統(tǒng)自身程序做了進一步剝離，使得配置項的新增、擴展更加方便、獨立。

系統(tǒng)概述

安全配置檢查系統(tǒng)實現(xiàn)了高度自動化、可擴展性強。主要體現(xiàn)在其模塊化，分布式的系統(tǒng)結(jié)構(gòu)。

從功能模塊角度考慮，安全配置檢查系統(tǒng)分為：被檢查設(shè)備信息管理模塊、配置項管理模塊、配置檢查任務(wù)制定、設(shè)備信息采集、設(shè)備配置信息分析模塊、數(shù)據(jù)存儲模塊等。

從系統(tǒng)部署角度，安全配置檢查的部署服務(wù)器分為三類：數(shù)據(jù)庫服務(wù)器、核心/WEB服務(wù)器、采集服務(wù)器等。數(shù)據(jù)庫服務(wù)器用于存儲安全配置檢查的所有數(shù)據(jù)，核心/WEB服務(wù)器為用戶提供維護配置項和制定配置檢查任務(wù)的圖形化Web頁面，以及配置項檢查結(jié)果分析、呈現(xiàn)等核心功能，采集服務(wù)器用于下發(fā)采集腳本，并獲取腳本回顯結(jié)果。

系統(tǒng)平臺功能實現(xiàn)

1.WEB服務(wù)器節(jié)點功能:提供安全配置項維護界面、檢查任務(wù)制定界面、檢查結(jié)果展示界面等。

2.核心服務(wù)器節(jié)點功能：核心服務(wù)器承擔的主要功能是訪問和存儲被檢查設(shè)備信息、向采集服務(wù)器發(fā)起采集分析指令、分析采集服務(wù)器返回的采集腳本回顯信息、并生成和導出配置檢查報表。主要由以下六個功能模塊組成：

（1）被檢查設(shè)備信息錄入模塊：負責錄入被檢查設(shè)備信息，并存入數(shù)據(jù)庫服務(wù)器中。包括設(shè)備類型、設(shè)備名稱、IP地址、登錄帳號、登錄密碼等信息。

（2）配置項管理模塊：配置項管理模塊用于管理檢查項，包括配置項管理、采集腳本管理、基準值管理、判斷邏輯定義等模塊，是該系統(tǒng)的核心功能模塊，其設(shè)計方案決定了該系統(tǒng)具有很強的易用性和擴展性。配置項管理用于描述該配置項的基本信息，如配置項名稱、編號、分類、檢查步驟、判斷條件、加固方案等；采集腳本管理用于管理采集被查設(shè)備信息的腳本文件；基準值管理用于設(shè)置配置項檢查結(jié)果是否合理的判斷基準；判斷邏輯定義用于定義從設(shè)備上采集的配置信息和基準值之間的邏輯關(guān)系，如大于、等于、存在等。

（3）檢查任務(wù)制定模塊：配置檢查任務(wù)制定部分用于制定配置檢查任務(wù)，檢查任務(wù)分三類，包括快捷檢查、調(diào)度檢查、離線檢查等?？旖輽z查只對保證檢查能夠正常執(zhí)行的基本信息進行設(shè)置，其他信息均采用默認設(shè)置；調(diào)度檢查可以對任務(wù)進行復雜配置，如只檢查該類型設(shè)備配置項的一部分、任務(wù)開始時間、任務(wù)執(zhí)行周期等；離線檢查采用導出離線檢查腳本的形式，對網(wǎng)絡(luò)不可達的設(shè)備采用手動登錄設(shè)備，執(zhí)行離線腳本的方法對其進行檢查。

（4）采集消息發(fā)送模塊：當用戶選定要檢查的設(shè)備之后，此模塊會根據(jù)其設(shè)備類型、設(shè)備ID等信息查找對應(yīng)的登錄信息、采集腳本等信息，組合成可識別的消息格式發(fā)送給采集服務(wù)器。

（5）結(jié)果解析模塊：采集服務(wù)器根據(jù)核心服務(wù)器發(fā)送的信息，登錄設(shè)備并執(zhí)行采集腳本，將采集腳本的執(zhí)行回顯返回給核心服務(wù)器進行解析，獲取檢查中必要的配置信息，進行邏輯判斷，完成解析，得到配置項是否配置正確的結(jié)果。

（6）報表展現(xiàn)及報表導出模塊：報表展現(xiàn)和導出模塊提供豐富、詳實的報表功能?？梢灾庇^的查看配置檢查任務(wù)的各個過程的中間數(shù)據(jù)及檢查結(jié)果。

3.數(shù)據(jù)庫服務(wù)器節(jié)點功能：為安全配置檢查系統(tǒng)提供數(shù)據(jù)存儲服務(wù)。主要存儲包括存儲被檢查設(shè)備信息、存儲安全配置檢查項信息、存儲檢查任務(wù)信息、存儲檢查結(jié)果信息等數(shù)據(jù)信息。

4.采集服務(wù)器節(jié)點功能：主要完成登錄設(shè)備和執(zhí)行腳本兩個功能。

總體流程

1.用戶登錄系統(tǒng)WEB界面。

2.在任務(wù)管理界面，新建檢查任務(wù)。

3.核心服務(wù)器根據(jù)新建任務(wù)的設(shè)置，獲取設(shè)備登錄信息（如用戶名、密碼、IP地址等）和配置項信息（如配置項名稱、檢查腳本等信息）。

4.將第3步獲取的基本信息構(gòu)建為采集服務(wù)器可識別的格式，生成消息。

5.將消息發(fā)送給采集服務(wù)器。

6.采集服務(wù)器根據(jù)消息中傳遞的信息，登錄設(shè)備。

7.判斷登錄是否成功，如果不成功，返回第2步，重新設(shè)置檢查任務(wù)；如果成功，繼續(xù)以下步驟。

8.執(zhí)行檢查腳本，得到設(shè)備回顯，獲取設(shè)備配置信息，返回給采集服務(wù)器。

9.采集服務(wù)器將第8步得到的配置信息發(fā)送給核心服務(wù)器進行解析、判斷，得到檢查結(jié)果。

10. 檢查結(jié)果存儲在數(shù)據(jù)庫服務(wù)器內(nèi)，在WEB頁面呈現(xiàn)。

11.結(jié)果報表支持導出成Word、Excel、PDF格式文檔。

優(yōu)勢

此安全配置檢查系統(tǒng)的優(yōu)勢主要體現(xiàn)在三方面。

1.自動化批量檢查

自動化批量檢查體現(xiàn)在制定檢查任務(wù)方面，用戶可以在制定檢查任務(wù)時，選擇多臺設(shè)備和多個配置檢查項，并且可以制定周期性任務(wù)。任務(wù)開始執(zhí)行后，系統(tǒng)會定時對任務(wù)所選設(shè)備進行安全配置檢查。做到了完全的自動化和批量化。

2.設(shè)備類型覆蓋面廣

檢查范圍可以覆蓋到主機類設(shè)備、路由交換設(shè)備、防火墻設(shè)備、數(shù)據(jù)庫設(shè)備、中間件設(shè)備、負載均衡設(shè)備。理論上，只要存在命令行管理界面的設(shè)備均可以納入檢查范圍。

3.可擴展性強

擴展性主要體現(xiàn)在配置項管理方面。配置項管理將配置項管理、采集腳本管理、基準值管理、判斷邏輯定義等模塊與后臺處理邏輯進行了隔離，使得配置項的增加不依賴于編程能力、也不依賴于對系統(tǒng)代碼的了解。以下舉例重點討論。

例如，需要增加AIX操作系統(tǒng)的配置項，檢查AIX口令鎖定策略是否滿足要求。該配置項的基本組成如下。

配置項描述：檢查AIX口令鎖定策略是否滿足要求。要求對于采用靜態(tài)口令認證技術(shù)的設(shè)備，應(yīng)配置當用戶連續(xù)認證失敗次數(shù)超過六次（不含六次），鎖定該用戶使用的賬號?？梢酝ㄟ^創(chuàng)建一個普通賬號，為其配置相應(yīng)的口令；并用新建的賬號通過錯誤的口令進行系統(tǒng)登錄六次以上（不含六次），帳戶被鎖定，不再提示讓再次登錄的方法來判斷是否正確配置。

采 集 腳 本：lssec-f/etc/security/usersdefault-aminlen-aminalpha-amindiffaminother-apwdwarntime-ahistexpire-ahistsize-aloginretries-amaxage

基準值：設(shè)置為6

判斷邏輯定義：如果NO1>=1并且NO1<=6則'正確'否則'不正確'

通過以上舉例可以看出，新增配置項時，用戶僅需要對被檢查設(shè)備的檢查命令有一定的了解，可以編寫采集腳本，然后自行定義判斷邏輯和基準值即可，并沒有涉及被檢查設(shè)備底層接口，也沒有涉及安全配置檢查系統(tǒng)后臺代碼。保證了系統(tǒng)具有極強的可擴展性。

結(jié)束語

隨著信息產(chǎn)業(yè)的發(fā)展，自動化替代人工方式，極大地提高了工作效率，帶來了巨大的經(jīng)濟收益。但是由于系統(tǒng)配置不當也造成了很大的損失。安全配置檢查，是保證系統(tǒng)正常運行的基礎(chǔ)手段之一。安全配置檢查系統(tǒng)，將原有依靠人工保障的工作采用自動化的方式實現(xiàn)，提高了工作效率，節(jié)省了人力投入，其廣泛的覆蓋面和良好的可擴展性，使得此系統(tǒng)具有很強的生命力，具有廣泛的市場價值。