孟亞豪 李旋
摘 要:新修訂的網(wǎng)絡安全等級保護國標相對前一版進行了較大幅度的改動,除了根據(jù)不同的應用場景提出了不同的擴展要求之外,在通用安全要求的控制層面中使用計算環(huán)境安全替代了之前的主機安全和應用安全。文章以CentOS7操作系統(tǒng)為例,對計算環(huán)境安全中的身份鑒別和訪問控制控制點進行了詳細的描述,并給出了不同控制項的檢查和測評方法,檢查和測評方法能夠準確地對控制項進行符合性判定。
關鍵詞:計算環(huán)境安全;CentOS7;身份鑒別;訪問控制
中圖分類號:TP391 文獻標識碼:A
Abstract: The newly revised network security protection national standard has undergone significant changes from the previous version. In addition to different extension requirements according to different application scenarios, the use of computing environment security in the control level of general security requirements has replaced Host security and application security. Taking the CentOS7 operating system as an example, this paper describes the control points of identity authentication and access control in the computing environment security in detail and gives the inspection and evaluation methods of different control items. The inspection and evaluation methods can accurately match the control items and make compliance determination.
Key words: computing environmental security; centOS7; identity authentication; access control
1 引言
隨著《網(wǎng)絡安全法》的不斷推進,網(wǎng)絡安全等級保護制度的不斷完善,網(wǎng)絡安全已經(jīng)滲透到了各行各業(yè)。待發(fā)布的網(wǎng)絡安全等級保護基本要求(簡稱等級保護2.0)從技術和管理兩個方面對網(wǎng)絡與信息系統(tǒng)安全保障進行了全面描述與規(guī)范,且在技術層面添加了云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)安全測評擴展要求,是一部完整的以技術保障為基礎、以管理運營為抓手、以監(jiān)測預警為中心、以協(xié)同響應為目標的網(wǎng)絡安全防御體系框架性指導標準與規(guī)劃建設指南。
等級保護2.0的技術保障體系雖然延續(xù)了信息系統(tǒng)安全等級保護基本要求(簡稱等級保護1.0)中的以資產(chǎn)(網(wǎng)絡與信息系統(tǒng))防護為目標的安全保障思路,但是在控制層面上進行了重新的劃分,尤其是等級保護1.0中的主機安全和應用安全在等級保護2.0中已經(jīng)被計算環(huán)境安全替代,在變化上較為顯著。因此,本文以第三級系統(tǒng)為例,針對等級保護2.0中計算環(huán)境安全要求的基本要求,對其部分控制點進行介紹和測試方法分析[1]。
2 計算環(huán)境安全
2.1 身份鑒別
本項要求包括四項內(nèi)容:
a)應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換;
b)應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數(shù)和當?shù)卿涍B接超時自動退出等相關措施;
c)當進行遠程管理時,應采取必要措施防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽;
d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現(xiàn)。
其中,d)項為等級保護第三級系統(tǒng)增加的內(nèi)容。
本文以CentOS7為例,對每個測評控制點進行詳細介紹,以說明控制點的測試方法以及符合程度。
針對控制點a),等級保護2.0測評要求中要求檢查:
1) 應核查用戶在登錄時是否采用了身份鑒別措施;
2) 應核查用戶列表確認用戶身份標識是否具有唯一性;
3) 應核查用戶配置信息或測試驗證是否不存在空口令用戶;
4) 應核查用戶鑒別信息是否具有復雜度要求并定期更換。
針對檢查項1)、2)和3),除了檢查登錄操作計算環(huán)境設備(主機、應用系統(tǒng)等)的用戶是否需要輸入登錄口令或其他鑒別信息外,還應該檢查系統(tǒng)的所有用戶,對于能夠登錄的或者其他程序調(diào)用的用戶,是否均需要提供口令才能夠登錄,如在CentOS7系統(tǒng)輸入cat /etc/shadow指令查看是否有無需身份鑒別即可登錄的空口令用戶,以及是否存在重名用戶,如圖1所示。從圖1中可以看到,除了Root以及Mctc用戶以外,其他用戶的密碼字段均為*或者??!號,標識該用戶不可用于登錄或者已被鎖定,因此系統(tǒng)不存在不進行身份鑒別即可登錄的空口令賬戶,也沒用重名用戶。
針對檢查項4),需要查看計算設備的密碼策略,CentOS7的密碼策略有2處需要注意,第一處為指令cat /etc/login.defs下,如圖2所示,從該指令的提示信息可以看到,系統(tǒng)的認證模塊被PAM管理或者替代了,因此此處生效的只有密碼最大使用期限99999天和最小可以更改的時間0天,控制密碼的定期更換。第二處為指令cat /etc/pam.d/system-auth下,如圖3所示,password requisite pam_cracklib.so try_first_pass retry=3 type= 這一條控制密碼的復雜度,此處并沒有限制口令復雜度,因此默認是不符合的,可以把需要的配置參數(shù),進行手動添加,添加后的結果如圖4所示,
password requisite pam_cracklib.so try_first_pass retry=3 type=后面添加minlen=10,表示密碼的最短長度必須為10位。difok=3表示允許新舊密碼相同的數(shù)量是3個,這個用不到。Dcredit=N表示至少有N個數(shù)字,ucredit=N至少有N個大寫字母,lcredit=N至少N個小寫字母,ocredit=N至少N個特殊字符。選擇是否對root用戶生效enforce_for_root而retry=3, retry=N改變輸入密碼的次數(shù),第一行pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60,表示失敗3次鎖定用戶120s,這個配置對root用戶一樣生效,但是root用戶僅鎖定60s。
針對控制點b),等級保護2.0測評要求中要求檢查:
1) 應核查是否配置并啟用了登錄失敗處理功能;
2) 應核查是否配置并啟用了限制非法登錄功能,非法登錄達到一定次數(shù)后采取特定動作,如賬戶鎖定等;
3) 應核查是否配置并啟用了登錄連接超時及自動退出功能。
針對檢查項1)和2)在控制點a)中已經(jīng)做了相關描述,對登錄失敗次數(shù)和處理措施做了相關的配置和測試說明。
針對檢查項3),在CentOS7中,查詢指令cat /etc/profile,如圖5所示,檢查超時退出的配置,查看是否具有TMOUT的配置,如果沒有,說明沒有超時退出機制,則不滿足要求,可以使在“HISTFILESIZE=”行的下面增加上,如TMOUT=300,即是超時5分鐘退出,則滿足要求。
針對控制點c),等級保護2.0測評要求中要求檢查:應核查是否采用加密等安全方式對系統(tǒng)進行遠程管理,防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。檢查遠程管理的使用方式,如果使用了Telnet等明文的遠程管理方式則不符合,文中在對CentOS7進行遠程管理時,使用Ssh的遠程管理方式,Ssh的遠程管理方式,雖然在傳輸層是加密的,但是還需要結合滲透測試,檢查Ssh使用的版本,確認不存在弱加密算法等[2-3]。
針對控制點d),等級保護2.0測評要求中要求檢查:
1) 應核查是否采用動態(tài)口令、數(shù)字證書、生物技術和設備指紋等兩種或兩種以上組合的鑒別技術對用戶身份進行鑒別;
2) 應核查其中一種鑒別技術是否使用密碼技術來實現(xiàn)。
針對檢查項1)和2),應驗證是否使用了除用戶名和口令以外的鑒別技術,如標準中要求的幾種鑒別技術,在使用的密碼技術中,需要確認使用的密碼算法是否滿足國家密碼算法。
2.2 訪問控制
本項要求包括:
a) 應對登錄的用戶分配賬戶和權限;
b) 應重命名或刪除默認賬戶,修改默認賬戶的默認口令;
c) 應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在;
d) 應授予管理用戶所需的最小權限,實現(xiàn)管理用戶的權限分離;
e) 應由授權主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則;
f) 訪問控制的粒度應達到主體為用戶級或進程級,客體為文件、數(shù)據(jù)庫表級;
g) 應對重要主體和客體設置安全標記,并控制主體對有安全標記信息資源的訪問。
其中e)、f)和g)項為等級保護第三級系統(tǒng)增加的內(nèi)容,同樣以CentOS7為例,對每個測評控制點進行詳細介紹,以說明控制點的測試方法以及符合程度。
針對控制點a),等級保護2.0測評要求中要求檢查:
1) 應核查是否為用戶分配了賬戶和權限及相關設置情況;
2) 應核查是否已禁用或限制匿名、默認賬戶的訪問權限。
針對檢查項1)和2),檢測用戶所屬的組以及可以執(zhí)行的bash,是否對用戶所屬的組進行了合理的劃分,如使用cat /etc/passwd指令進行查看,如圖6所示;對關鍵文件目錄進行權限查看,如passwd、shadow、xinted.d、message等文件進行檢查,權限不應大于644,如圖7所示。
針對控制點b),等級保護2.0測評要求中要求檢查:
1) 應核查是否已經(jīng)重命名默認賬戶或默認賬戶已被刪除;
2) 應核查是否已修改默認賬戶的默認口令。
針對檢查項1)和2),在CentOS7中默認的可登錄賬戶為Root,應將其重命名或者禁用,因為Root用戶在創(chuàng)建時會提供初始化口令的功能,因此應修改初始口令。
針對控制點c),等級保護2.0測評要求中要求檢查:
1) 應核查是否不存在多余或過期賬戶,管理員用戶與賬戶之間是否一一對應;
2) 應測試驗證多余的、過期的賬戶是否被刪除或停用。
針對檢查項1),需要詢問系統(tǒng)管理員系統(tǒng)賬戶與管理員的對應關系,是否具有多余賬戶,即沒有再使用的賬戶。
針對檢查項2),需要首先查看用戶賬戶策略,是否會存在已過期的賬戶,即已經(jīng)超出用戶創(chuàng)建時的使用期限,如果存在過期賬戶,應對其刪除或者停用。
針對控制點d),等級保護2.0測評要求中要求檢查:
1) 應核查是否進行角色劃分;
2) 應核查管理用戶的權限是否已進行分離;
3) 應核查管理用戶權限是否為其工作任務所需的最小權限。
針對檢查項1),需要檢查是否對用戶進行角色劃分,或者對用戶進行分組,即檢查用戶的分組。
針對檢查項2)和3),需要檢查是否對用戶進行權限劃分,即操作系統(tǒng)管理員不應當具有數(shù)據(jù)庫管理權限,反之亦然,使各用戶的權限滿足其工作范圍內(nèi)的最小權限[4-5]。
針對控制點e),等級保護2.0測評要求中要求檢查:
1) 應核查是否由授權主體(如管理用戶)負責配置訪問控制策略;
2) 應核查授權主體是否依據(jù)安全策略配置了主體對客體的訪問規(guī)則;
3) 應測試驗證用戶是否有可越權訪問情形。
針對檢查項1)、2)和3),首先檢查是否對管理員(授權主體)可訪問的文件系統(tǒng)(客體)進行了訪問控制規(guī)則的劃分,如控制點a)中對文件的權限進行劃分,具有權限的管理員才能夠?qū)ζ溥M行讀、寫或者執(zhí)行,嘗試對管理員可供管理的文件目錄,或用戶可供訪問的以外的連接進行訪問,如普通用戶登錄時使用其他管理員的token或者sessionID進行登錄,查看是否存在越權的可能。
針對控制點f),等級保護2.0測評要求中要求檢查:應核查訪問控制策略的控制粒度是否達到主體為用戶級或進程級,客體為文件、數(shù)據(jù)庫表、記錄或字段級。該檢查項要求將主體定義為用戶或者進程,課題定義為文件、數(shù)據(jù)表、記錄或者字段,如控制點a)中,主體為用戶,客體為文件,對主體訪問客體的行為進行訪問控制。
針對控制點g),等級保護2.0測評要求中要求檢查:
1) 應核查是否對主體、客體設置了安全標記;
2) 應測試驗證是否依據(jù)主體、客體安全標記控制主體對客體訪問的強制訪問控制策略。
針對檢查項1),檢查是否對主體和客體設置了敏感標記,如對主、客體標記了等級,一級、二級、三級的用戶和文件,針對用戶,具有一個標記字段,針對文件在文件頭或其他位置具有等級標記,則滿足檢查項1)。
針對檢查項2),檢查主、客體之間的訪問是否用到了標記功能,基于標記使用強制訪問控制策略進行主、客體之間的訪問,由于強制訪問控制具有多種模型,因此針對系統(tǒng)需要保護的資產(chǎn)(保密要求或完整性要求)可以使用不同的控制模型,然后根據(jù)安全等級對強制訪問控制模型的強度準則(簡單準則或者強準則)進行定義,如一級用戶根據(jù)標記只能訪問帶有一級標記的文件,二級用戶既可以訪問帶有二級標記的文件,又可以訪問帶有一級標記的文件,而三級的用戶可以訪問帶有一、二、三級標記的文件;或者一級用戶只能訪問帶有一級用戶的文件、二級用戶只能訪問帶有二級標記的文件而三級用戶只能訪問帶有三級標記的文件[6-10]。
3 結束語
等級保護2.0中通用要求安全層面中的計算環(huán)境安全控制層面包括了等級保護1.0中的主機安全和應用安全,因此檢查和測試難度和復雜度都較以前進行了提高,本文從身份鑒別和訪問控制的控制點出發(fā)以CentOS7操作系統(tǒng)為例,對控制項進行了檢查和測試方法分析,給出了一種符合性判定的思路。針對其他操作、存儲、計算或者應用系統(tǒng)以及其他諸如安全審計、入侵防范等安全層面,均可以使用類似的判定方法進行檢查和測試,以做到檢查和測試的可行和準確。
基金項目:
本論文得到數(shù)據(jù)與個人信息保護安全技術與測評標準研究項目的資助(項目編號:2017LLYJGASS020)。
參考文獻
[1] 馬力,畢馬寧,任衛(wèi)紅.安全保護模型與等級保護安全要求關機的研究[J].等級保護, 2011, (6),1-3.
[2] 方玲,仲偉俊,梅.安全等級對信息系統(tǒng)安全技術策略的影響研究——以防火墻和IDS技術組合為例[J].系統(tǒng)工程理論與實踐, 2016,36 (5)1231-1238.
[3] 翁遲遲,齊法制,陳剛.基于層次分析法與云模型的主機安全風險評估[J].計算機工程, 2016,42(2)1-6.
[4] 馬民虎,趙光.等級保護與關鍵信息基礎設施保護的競合及解決路徑[J].西安交通大學學報(社會科學版),2018,(4)1-10.
[5] 李安虎,崔愛菊,宋慶磊.802.1x訪問控制技術在信息安全等級保護建設中的應用于分析[J].計算機應用, 2014,34(S2)102-104.
[6] 江頡,顧祝燕,高俊驍.基于敏感等級的云租戶數(shù)據(jù)安全保護模型研究[J].系統(tǒng)工程理論與實踐, 2014, 34(9)2392-2400.
[7] 劉一丹,董碧丹,崔中杰,李永立.基于模糊評估的等級保護風險評估模型[J].計算機工程與設計, 2013,34(2)452-457.
[8] 王君,石天義.基于信息安全等級保護的網(wǎng)絡模型分析[J].信息技術與信息化, 2015,10,51-55.
[9] 張鵬,張曉堯,基于云模型的信息系統(tǒng)測評安全結論判定[J].武漢大學學報(理學版), 2014, 60(5):429-433.
[10] 張大偉,沈昌祥,劉吉強,等.基于主動防御的網(wǎng)絡安全基礎設施可信技術保障體系[J] .中國工程學,2016,18(6)58-61.