馬曉波

摘 要 隨著《網(wǎng)絡(luò)安全法》的推廣，各企事業(yè)單位對網(wǎng)絡(luò)安全的重視程度越來越高。為順應(yīng)多形態(tài)、多業(yè)態(tài)網(wǎng)絡(luò)安全新技術(shù)、新形勢，信息安全技術(shù)——網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T 22239-2019）和信息安全技術(shù)——網(wǎng)絡(luò)安全等級保護(hù)測評要求（GB/T 28448-2019）應(yīng)運而生。本文旨在針對上述標(biāo)準(zhǔn)中的重點條款進(jìn)行分析，提出具有可操作性的測評方法。

關(guān)鍵詞 網(wǎng)絡(luò)安全法;等級保護(hù);測評方法

引言

等級保護(hù)進(jìn)入 2.0 時代，2.0 的核心思想便是“一個中心、三重防護(hù)”的理念。三重防護(hù)重點強調(diào)由外及內(nèi)的保護(hù)，相對于邊界外不可控的安全風(fēng)險，邊界內(nèi)的安全計算環(huán)境包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和終端、應(yīng)用系統(tǒng)、移動終端管理、業(yè)務(wù)數(shù)據(jù)等等。

在實際測評現(xiàn)場環(huán)境，客戶遇到了標(biāo)準(zhǔn)條款無法理解、無法操作、無法落地的困惑，本文重點強調(diào)基本要求的解讀以及測評方法得案例說明。

1服務(wù)器的重點條款測評方法

（1）應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。

要求解讀：（以 linux 為例）

Linux 系統(tǒng)的用戶鑒別過程：系統(tǒng)管理員為用戶建立一個賬戶并為其指定一個口令，用戶使用指定的口令登錄后重新配置自己的口令，這樣用戶就具備了一個私有口令。etc/passwd 文件中記錄用戶的屬性信息，包括用戶名、密碼、用戶標(biāo)識、組標(biāo)識等信息?，F(xiàn)在的 Linux 系統(tǒng)中口令不再直接保存在/etc/passwd 文件中，通常將 passwd 文件中的口令字段使用一個“x”來代替，將/etc/shadow 作為真正的口令文件，用于保存包括個人口令在內(nèi)的數(shù)據(jù)。

Linux 中的/etc/login.defs 是登錄程序的配置文件。如果/etc/pam.d/system-auth 文件里有相同的選項，則以/etc/pam.d/system-auth 里的設(shè)置為準(zhǔn)，也就是說/etc/pam.d/system-auth 的配置優(yōu)先級高于/etc/login.defs。

Linux 系統(tǒng)具有調(diào)用 PAM 的應(yīng)用程序認(rèn)證用戶，其中一個重要的文件便是/etc/pam.d/system-auth（在 Redhat、CentOS 系統(tǒng)上）或/etc/pam.d/common-passwd（在 Debian、Ubuntu 系統(tǒng)上）。/etc/pam.d/system-auth 或/etc/pam.d/common-passwd 中的配置優(yōu)先級高于其他地方的配置。

測評方法：

1）訪談系統(tǒng)管理員系統(tǒng)用戶是否已設(shè)置密碼，并查看登錄過程中系統(tǒng)賬戶是否使用了密碼進(jìn)行驗證登錄。

2）以有權(quán)限的賬戶身份登錄操作系統(tǒng)后，使用命令 more 查看/etc/shadow 文件，核查系統(tǒng)是否存在空口令賬戶。

3）使用命令 more 查看/etc/login.defs 文件，查看是否設(shè)置密碼長度和定期更換要求。

#more /etc/login.defs 使用命令 more 查看/etc/pam.d/system-auth 文件，查看密碼長度和復(fù)雜度要求。

（2）應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

要求解讀：

對于第三級及以上的操作系統(tǒng)要求采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

測評方法：

訪談和核查系統(tǒng)管理員在登錄操作系統(tǒng)的過程中使用了哪些身份鑒別方法，是否采用了兩種或兩種以上組合的鑒別技術(shù)，如口令、數(shù)字證書 Ukey、令牌、指紋等，是否有一種鑒別方法在鑒別過程中使用了密碼技術(shù)。

具體案例如下：

符合要求的密碼技術(shù)鑒別技術(shù)，比如有基于 RSA 算法的數(shù)字證書，基于 SM2 算法的數(shù)字證書（安可環(huán)境適配的多），基于 keycenter 算法 AES-128 動態(tài)口令令牌等;算法并非只要求國密算法，國外算法也可以。

需要注意一點的是：符合要求的堡壘主機，這要看第二種具體什么鑒別機制，是軟證書，還有又一重靜態(tài)口令，還是用到密碼技術(shù)的鑒別方法[1]。

手機驗證碼，是隨機數(shù)發(fā)送，挑戰(zhàn)應(yīng)答還是OTP，OTP有的是基于密碼技術(shù)的，比如 keycenter，但可以肯定的是大多數(shù)驗證碼不符合要求。

（3）應(yīng)對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問。

要求解讀：

敏感標(biāo)記是由強認(rèn)證的安全管理員進(jìn)行設(shè)置的，通過對重要信息資源設(shè)置敏感標(biāo)記，決定主體以何種權(quán)限對客體進(jìn)行操作，實現(xiàn)強制訪問控制。安全增強型Linux（Security-Enhanced Linux）簡稱 SELinux，是一個 Linux 內(nèi)核模塊。2.6 及以上版本的 Linux 內(nèi)核都已經(jīng)集成了 SELinux 模塊，在使用 SELinux 的操作系統(tǒng)中，決定一個資源是否能夠被訪問的因素除了用戶的權(quán)限（讀、寫、執(zhí)行）外， 還需要判斷每一類進(jìn)程是否擁有對某一類資源的訪問權(quán)限，這種權(quán)限管理機制的主體是進(jìn)程，也稱為強制訪問控制（MAC）。

測評方法：

以有相應(yīng)權(quán)限的身份登錄進(jìn)入 Linux，使用 more 查看/etc/selinux/config 文件中的 SELINUX 參數(shù)的設(shè)定。

SELINUX 有三種工作模式，分別是：

enforcing：強制模式。違反 SELinux 規(guī)則的行為將阻止并記錄到日志中，表示使用 SELinux。

permissive：寬容模式。違反 SELinux 規(guī)則的行為只會記錄到日志中，一般為調(diào)試用，表示使用 SELinux。

disabled：關(guān)閉 SELinux，使用 SELinux。

2結(jié)束語

在面對等保保護(hù)2.0標(biāo)準(zhǔn)時，著重強調(diào)了一個中心三重防護(hù)的理念，重視技術(shù)，補充短板，更加接近用戶生產(chǎn)環(huán)境，將好的實際案例和方法帶進(jìn)等級保護(hù)基本要求中來，而反過來等級保護(hù)基本要求也在一定程度上引領(lǐng)行業(yè)發(fā)展方向。

參考文獻(xiàn)

[1] 吳齊躍，王永琦.云計算環(huán)境下信息安全等級保護(hù)測評研究[J].中國教育信息化，2016，（11）：13-17.