陳軍+++饒婕+陳虹+萬亞平

摘 要： 研究了服務(wù)器安全基線，介紹目前通常使用的技術(shù)及檢查方式，針對(duì)目前工具導(dǎo)致安全配置工作覆蓋率難以保障，耗費(fèi)大量的人力，周期長(zhǎng)、效率低下等缺點(diǎn)，引入SCAP標(biāo)準(zhǔn)。采用基于Agent/Server架構(gòu)，通過在用戶服務(wù)器上部署Agent程序，與后臺(tái)聯(lián)動(dòng)來實(shí)現(xiàn)對(duì)大規(guī)模服務(wù)器環(huán)境操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)化安全基線（主要是安全配置）核查，對(duì)核查結(jié)果的科學(xué)性、準(zhǔn)確性起到促進(jìn)作用，同時(shí)加快了檢查的進(jìn)度，提高了工作效率。

關(guān)鍵詞： SCAP； 安全基線； 中間件； 設(shè)備發(fā)現(xiàn)

中圖分類號(hào)：TP319 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2016）04-28-04

Automated security baseline verification based on SCAP

Chen Jun， Rao Jie， Chen Hong， Wan Yaping

（School of Computer Science and Technology， University of South China， Hengyang， Hunan 421001， China）

Abstract： This paper studies the server security baseline， introduces the technology and inspection methods currently used. In view of the shortcomings resulted in by the current tool that security configuration coverage is difficult to guarantee， consuming a lot of manpower， long cycle， low efficiency and so on， SCAP（Security Content Automation Protocol） standard is introduced. Adopting agent/server architecture， by deploying agent program on the user's servers， realizes the automated security baseline （mainly security configuration） verification to the operating system， middleware and database in the large-scale server environment， promotes the scientificalness and accuracy of the verification result， and speeds up the progress of the inspection， improves work efficiency.

Key words： SCAP； security baseline； middleware； device discovery

0 引言

隨著計(jì)算機(jī)通信技術(shù)的飛速發(fā)展，由系統(tǒng)配置而導(dǎo)致的安全問題越來越多。安全內(nèi)容自動(dòng)化協(xié)議（SCAP）為系統(tǒng)配置的標(biāo)準(zhǔn)化以及對(duì)系統(tǒng)配置的脆弱性評(píng)估提供了一種統(tǒng)一的方法。越來越多的廠商、組織和社團(tuán)加入到SCAP的研究中，推動(dòng)SCAP成為真正意義的全球標(biāo)準(zhǔn)。2010年11月7日至16日，IETF79研討會(huì)在北京召開，全球數(shù)以千計(jì)的科研工作者參加了這次盛會(huì)，其中一個(gè)很重要的議題就是討論將安全內(nèi)容自動(dòng)化協(xié)議（SCAP： Security Content Automation Protocol）引入IETF（互聯(lián)網(wǎng)工程任務(wù)組：Internet EngineeringTask Force）標(biāo)準(zhǔn)化，使之成為真正意義上的全球標(biāo)準(zhǔn)[3]。

本文通過引入SCAP標(biāo)準(zhǔn)，建立安全基線檢查策略庫(kù)，同時(shí)研發(fā)安全基線檢查系統(tǒng)對(duì)目標(biāo)服務(wù)器展開合規(guī)安全檢查，找出不符合的項(xiàng)進(jìn)行告警以控制安全風(fēng)險(xiǎn)。同時(shí)監(jiān)控服務(wù)器的資源使用情況，通過對(duì)歷史數(shù)據(jù)的分析獲得業(yè)務(wù)系統(tǒng)安全狀態(tài)和變化趨勢(shì)，并以報(bào)表的形式展示給安全和管理人員，以解各個(gè)行業(yè)安全管理人員的燃眉之急。

1 安全基線的基本內(nèi)容

安全基線的定義并沒有一個(gè)統(tǒng)一的標(biāo)準(zhǔn)，根據(jù)業(yè)界常用的定義描述：安全基線是一個(gè)業(yè)務(wù)系統(tǒng)的最小安全保證，即該業(yè)務(wù)系統(tǒng)要滿足最基本的安全需求，構(gòu)造業(yè)務(wù)系統(tǒng)安全基線是系統(tǒng)安全工程的首要步驟，同時(shí)也是進(jìn)行安全評(píng)估、發(fā)現(xiàn)和解決業(yè)務(wù)系統(tǒng)安全問題的先決條件[2]?；窘M成如圖1所示。

從圖1可以看到，安全基線比安全配置的范圍更大，包括安全漏洞和系統(tǒng)狀態(tài)。在充分考慮行業(yè)現(xiàn)狀和行業(yè)最佳實(shí)踐，并參考運(yùn)營(yíng)商的相關(guān)安全政策文件，繼承和吸收國(guó)家等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)成果等基礎(chǔ)上，構(gòu)建出基于業(yè)務(wù)系統(tǒng)的安全基線模型[4]。如圖2所示。

業(yè)務(wù)系統(tǒng)的安全基線建立起來后，可以形成針對(duì)不同系統(tǒng)的詳細(xì)漏洞要求、配置要求和狀態(tài)要求的檢查項(xiàng)（ Checklist），為標(biāo)準(zhǔn)化和自動(dòng)化的技術(shù)安全操作提供可操作和可執(zhí)行的標(biāo)準(zhǔn)[5]。

2 目前主要安全配置核查方式

2.1 人工檢查方式

目前業(yè)內(nèi)大部分公司對(duì)服務(wù)器安全配置是通過人工檢查的方式進(jìn)行。人工檢查就意味著效率低下，一個(gè)人速度再快，檢查、記錄、分析一臺(tái)服務(wù)器上的一個(gè)服務(wù)器軟件的安全配置也需要10分鐘或更長(zhǎng)時(shí)間，現(xiàn)在一般企業(yè)單位的服務(wù)器數(shù)以百計(jì)，也有不少單位服務(wù)器數(shù)以千計(jì)，如果依靠人工檢查就意味著：①只能抽樣檢查，不能全部覆蓋；②檢查周期長(zhǎng)，一般為1～3個(gè)月檢查一次。

2.2 自定義腳本檢查

一些有開發(fā)能力的公司自己編寫檢查腳本來執(zhí)行服務(wù)器安全配置核查，腳本的執(zhí)行速度快，但也存在如下問題：

⑴ 腳本的編寫、測(cè)試、維護(hù)需要花費(fèi)大量時(shí)間，并需要有較強(qiáng)的技術(shù)能力支撐；

⑵ 腳本的執(zhí)行結(jié)果最終需要轉(zhuǎn)換為適合人類閱讀的格式，并且需要統(tǒng)計(jì)、分析、分發(fā)給各個(gè)部門等，這些工作需要通過手工進(jìn)行。

事實(shí)上，自定義腳本檢查在企業(yè)信息系統(tǒng)中使用較少，即使有部分企業(yè)采用這種方式，在堅(jiān)持一段時(shí)間之后往往也就停止了對(duì)自定義腳本的更新維護(hù)，最后退回到人工方式或采購(gòu)自動(dòng)化工具來執(zhí)行。

2.3 自動(dòng)化工具

一些安全公司注意到客戶企業(yè)的需求，就開發(fā)了遠(yuǎn)程配置核查系統(tǒng)來幫助用戶自動(dòng)化基線檢查，并自動(dòng)生成相關(guān)報(bào)表，從而大大提升工作效率。目前，很多公司都采購(gòu)了類似產(chǎn)品來執(zhí)行安全配置核查，包括中國(guó)移動(dòng)、電信行業(yè)公司等。目前此類工具市場(chǎng)上常見的有三家：綠盟遠(yuǎn)程安全配置核查系統(tǒng)、啟明星辰安全配置核查系統(tǒng)、安恒安全基線遠(yuǎn)程評(píng)估系統(tǒng)。

目前業(yè)內(nèi)的安全配置核查工具一次安全核查后將不符合項(xiàng)的報(bào)表發(fā)給相關(guān)人員，要求執(zhí)行修復(fù)加固，在間隔一段時(shí)間（數(shù)周～1個(gè)月）后再進(jìn)行下一次核查，并比對(duì)兩次核查結(jié)果來判斷上一次修復(fù)加固的結(jié)果。這種做法耗時(shí)太長(zhǎng)，不能滿足當(dāng)前安全威脅日益加劇的形勢(shì)下服務(wù)器安全的管理需要。

2.4 其他軟件接口擴(kuò)展定制

除了以上三種方式，還有一種方式，就是目前很多網(wǎng)管系統(tǒng)、配置管理系統(tǒng)雖然自身沒有安全配置核查的功能，但系統(tǒng)本身提供了很多接口可以和服務(wù)器進(jìn)行交換采集信息，因此有些公司會(huì)考慮在這些系統(tǒng)之上進(jìn)行定制開發(fā)來實(shí)現(xiàn)安全配置核查。

例如一款在互聯(lián)網(wǎng)公司很流行的開源網(wǎng)管系統(tǒng)Zabbix，它的客戶端就支持以下多種采集方法：TCP/UDP監(jiān)聽商品、進(jìn)程、服務(wù)、執(zhí)行腳本、文件屬性查詢（校驗(yàn)和、存在性、MD5、大小、時(shí)間戳、WMI查詢、文件內(nèi)容獲取（支持正則表達(dá)式）。

用戶可以基于這些方法來采集需要獲取的安全參數(shù)信息，并設(shè)定規(guī)則進(jìn)行分析相關(guān)參數(shù)是否符合安全配置核查的要求；但這種定制需要很高的二次開發(fā)成本，而日后的維護(hù)、升級(jí)都存在很大的限制，因此雖然理論上可行，并且可以充分利用現(xiàn)已使用的系統(tǒng)，但實(shí)際中這種情況存在的很少。

3 高效解決方案簡(jiǎn)介

針對(duì)目前的缺點(diǎn)及不足，設(shè)計(jì)出基于Agent/Server架構(gòu)，通過在用戶服務(wù)器上部署agent程序，并和后臺(tái)進(jìn)行聯(lián)動(dòng)來實(shí)現(xiàn)安全基線的管理功能。其設(shè)計(jì)架構(gòu)如圖3所示。

此設(shè)計(jì)將服務(wù)器信息資產(chǎn)管理作為安全基線管理的基礎(chǔ)，通過各種技術(shù)發(fā)現(xiàn)、識(shí)別、分析服務(wù)器信息資產(chǎn)變化，并以此為基礎(chǔ)，實(shí)現(xiàn)基線PDCA持續(xù)改進(jìn)的基線管理流程，如圖4所示。

此方案采用多種技術(shù)實(shí)現(xiàn)信息資產(chǎn)管理。

⑴ 設(shè)備發(fā)現(xiàn)：在一個(gè)網(wǎng)段內(nèi)如果有一臺(tái)服務(wù)器安裝了agent，可以將這臺(tái)agent作為網(wǎng)段內(nèi)的種子設(shè)備對(duì)同網(wǎng)段的其他設(shè)備進(jìn)行網(wǎng)絡(luò)發(fā)現(xiàn)，獲取設(shè)備的主機(jī)名（如有），IP地址，MAC地址等信息。

⑵ 網(wǎng)卡廠商識(shí)別：設(shè)備發(fā)現(xiàn)技術(shù)中發(fā)現(xiàn)的各類設(shè)備，系統(tǒng)會(huì)根據(jù)獲取到的MAC地址結(jié)合內(nèi)置MAC地址知識(shí)庫(kù)判斷對(duì)應(yīng)設(shè)備的廠商，以幫助用戶識(shí)別該設(shè)備是網(wǎng)絡(luò)設(shè)備還是服務(wù)器設(shè)備或是虛擬主機(jī)設(shè)備。

⑶ 本地軟硬件信息采集：服務(wù)器安裝agent之后，會(huì)自動(dòng)采集本地的硬件和軟件信息。

⑷ 服務(wù)器軟件識(shí)別：服務(wù)器安裝了agent之后，agent會(huì)基于系統(tǒng)內(nèi)置的知識(shí)庫(kù)識(shí)別出該服務(wù)器上運(yùn)行的中間件、數(shù)據(jù)庫(kù)等服務(wù)器軟件，并獲取安全核查可能需要的相關(guān)軟件參數(shù)，以便為安全基線任務(wù)檢查做準(zhǔn)備。

⑸ 應(yīng)用采集：本系統(tǒng)的一項(xiàng)重要功能，服務(wù)器上安裝了agent之后，如該服務(wù)器上有正在運(yùn)行的中間件軟件，agent會(huì)基于系統(tǒng)內(nèi)置的知識(shí)庫(kù)來分析中間件上部署了哪些web應(yīng)用和相關(guān)的配套信息。

⑹ 設(shè)備跟蹤技術(shù)：通過agent內(nèi)置的軟硬ID來識(shí)別設(shè)備有無發(fā)生變更，例如硬件變化、重裝操作系統(tǒng)，重裝agent等，以此來跟蹤設(shè)備的變化情況。

4 結(jié)束語

通過SCAP標(biāo)準(zhǔn)定義的方法和安全模型，可以做到：第一，普通用戶無需關(guān)心具體的采集方法，只需要通過勾選采集項(xiàng)即可完成對(duì)關(guān)心的安全配置信息的采集；第二，高級(jí)用戶可以通過調(diào)用上述采集方法來實(shí)現(xiàn)系統(tǒng)未直接提供的安全配置信息項(xiàng)的采集，通過這種機(jī)制，保證了系統(tǒng)在安全配置信息采集上的易用性和擴(kuò)展性。

通過對(duì)SCAP標(biāo)準(zhǔn)的支持，Agent僅允許使用上述采集方法來對(duì)服務(wù)器上的各類安全參數(shù)進(jìn)行檢查，根據(jù)SCAP標(biāo)準(zhǔn)規(guī)定，這些采集方法中又設(shè)置了嚴(yán)格的訪問控制模型，從而避免了Agent在執(zhí)行安全基線檢查時(shí)對(duì)服務(wù)器產(chǎn)生諸如：寫操作、修改操作等危險(xiǎn)性操作，從而保障了服務(wù)器運(yùn)行時(shí)的安全性。此研究能滿足對(duì)大規(guī)模服務(wù)器環(huán)境操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)化安全基線（主要是安全配置）核查，對(duì)核查結(jié)果的科學(xué)性、準(zhǔn)確性起到促進(jìn)作用，同時(shí)加快了檢查的進(jìn)度，提高了工作效率。

參考文獻(xiàn)（References）：

[1] 李晨，王偉.安全基線控制在風(fēng)險(xiǎn)管理過程中的應(yīng)用[J].網(wǎng)絡(luò)

安全技術(shù)與應(yīng)用，2009.9：4-7

[2] 桂永宏.業(yè)務(wù)系統(tǒng)安全基線的研究及應(yīng)用[J].計(jì)算機(jī)安全，

2011.10：11-15

[3] 艾特賽克（atsec），張力.SCAP標(biāo)準(zhǔn)簡(jiǎn)介[J].中國(guó)信息安全，

2011.5：82

[4] 諶志華.安全基線管理在企業(yè)中的應(yīng)用[J].計(jì)算機(jī)安全，

2013.3：19-21

[5] 王玉萍，段永紅，洪岢.安全基線在銀行業(yè)的應(yīng)用與實(shí)踐[J].計(jì)

算機(jī)安全，2011.8：30-36

[6] 羅朝宇，王福新，李宗濤.基于SCAP框架的信息系統(tǒng)安全基

線技術(shù)研究與應(yīng)用[J].電力信息與通信技術(shù)，2014.7：97-100

[7] 王珩，諸葛建偉.利用SCAP有效進(jìn)行主機(jī)安全管理（一）[J].中

國(guó)教育網(wǎng)絡(luò)，2012.12：75-78

[8] 王珩，諸葛建偉.利用SCAP有效進(jìn)行主機(jī)安全管理（二）[J].中

國(guó)教育網(wǎng)絡(luò)，2013.1：75-78

[9] 何勇亮，朱曦萍.信息安全等級(jí)保護(hù)的安全基線研究與實(shí)踐[J].

上海信息化，2014.10：56-58