◆張賞雪 亓澤瑜 孫蕊剛 張敏 趙首花

淺談等級(jí)安全保護(hù)安全計(jì)算環(huán)境操作系統(tǒng)現(xiàn)狀

◆張賞雪 亓澤瑜 孫蕊剛 張敏 趙首花

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確我國(guó)實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，等級(jí)保護(hù)越來(lái)越受到各級(jí)行政機(jī)關(guān)、企事業(yè)單位的重視，并積極邀請(qǐng)第三方測(cè)評(píng)機(jī)構(gòu)對(duì)涉及重要資產(chǎn)的系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。測(cè)評(píng)機(jī)構(gòu)依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行測(cè)評(píng)，本文旨在討論《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》標(biāo)準(zhǔn)中三級(jí)信息系統(tǒng)安全計(jì)算環(huán)境操作系統(tǒng)的實(shí)際情況，探討安全計(jì)算環(huán)境中操作系統(tǒng)與終端的現(xiàn)狀。

等級(jí)保護(hù)；安全計(jì)算環(huán)境；信息安全

1 Windows系統(tǒng)分類

目前，在三級(jí)信息系統(tǒng)中，常見(jiàn)的服務(wù)器操作系統(tǒng)包括：Windows server 2008、Windows server 2012、Windows server 2016，常見(jiàn)的操作終端包括：Windows、Windows7、Windows10。它們?cè)凇毒W(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》標(biāo)準(zhǔn)的要求中，需要進(jìn)行測(cè)評(píng)的項(xiàng)目基本一致，包括身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)與個(gè)人信息保護(hù)共計(jì)11個(gè)控制點(diǎn)34個(gè)控制項(xiàng)。測(cè)評(píng)人員需要針對(duì)每個(gè)控制項(xiàng)，結(jié)合測(cè)試方法，去核查該系統(tǒng)是否符合控制項(xiàng)要求，從而對(duì)該信息系統(tǒng)該條控制項(xiàng)進(jìn)行打分。

2 Windows操作系統(tǒng)與終端的通用項(xiàng)核查

以Windows server 2008與Windows終端為例，會(huì)發(fā)現(xiàn)多數(shù)控制項(xiàng)基本通用，整理并總結(jié)通用控制項(xiàng)控制點(diǎn)如下表1所示：

表1 通用控制項(xiàng)控制點(diǎn)

針對(duì)通用項(xiàng)的核查，使用固定的操作方法，按順序?qū)Σ僮飨到y(tǒng)以及終端進(jìn)行檢查，檢查結(jié)果符合相關(guān)要求。

3 Windows操作系統(tǒng)與終端的不通用項(xiàng)

目前，在實(shí)際的操作中，我們發(fā)現(xiàn)Windows操作系統(tǒng)與終端在安全計(jì)算環(huán)境中均有不適用項(xiàng)，還是以Windows server 2008與Windows終端為例：

（1）在入侵防范控制點(diǎn)應(yīng)通過(guò)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制控制項(xiàng)中，Windows server 2008與Windows終端的測(cè)評(píng)方法就不相同，Windows server 2008分為三種情況：使用遠(yuǎn)程桌面的、使用第三方工具的、不存在遠(yuǎn)程管理的，而Windows終端沒(méi)有對(duì)相關(guān)情況進(jìn)行分類。預(yù)期的實(shí)驗(yàn)結(jié)果還是相同的：通過(guò)網(wǎng)絡(luò)防火墻、堡壘主機(jī)限制、ip段進(jìn)行接入地址限制。

（2）在惡意代碼防范控制點(diǎn)應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制，以便及時(shí)識(shí)別入侵和病毒行為，并將其有效阻斷在控制項(xiàng)中，Windows server 2008與Windows終端的測(cè)評(píng)方法還是不同，Windows終端多出一個(gè)測(cè)評(píng)方法“查看系統(tǒng)中采取何種可信驗(yàn)證機(jī)制，訪談管理員實(shí)現(xiàn)原理”，預(yù)期結(jié)果相同：查看系統(tǒng)中采取何種可信驗(yàn)證機(jī)制，實(shí)現(xiàn)原理為基于可信根TPM技術(shù)。

（3）在數(shù)據(jù)完整性與數(shù)據(jù)保密性控制點(diǎn)中，Windows server 2008與Windows終端應(yīng)由應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等軟件使用https、ssh等安全協(xié)議傳輸數(shù)據(jù)實(shí)現(xiàn)傳輸過(guò)程中的完整性、保密性，故操作系統(tǒng)不適用此測(cè)評(píng)項(xiàng)；但是我們還是要知道其預(yù)期結(jié)果應(yīng)該是：主機(jī)操作系統(tǒng)數(shù)據(jù)在傳輸過(guò)程采取校驗(yàn)碼或密碼技術(shù)進(jìn)行完整性保護(hù)；主機(jī)操作系統(tǒng)的鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等采用密碼技術(shù)實(shí)現(xiàn)存儲(chǔ)保密性。

4 結(jié)語(yǔ)

等級(jí)安全保護(hù)測(cè)評(píng)工作正依托《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》標(biāo)準(zhǔn)在我國(guó)各地、各個(gè)重要信息系統(tǒng)間如火如荼地進(jìn)行，本文僅通過(guò)GB/T 28448-2019與實(shí)際等級(jí)保護(hù)現(xiàn)場(chǎng)Windows操作系統(tǒng)與終端相結(jié)合的經(jīng)驗(yàn)，探討安全計(jì)算環(huán)境中操作系統(tǒng)與終端的現(xiàn)存狀況與需要注意的測(cè)評(píng)通用項(xiàng)，進(jìn)而推動(dòng)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的發(fā)展。

[1]GB/T 28448-2019，信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求[S].

[2]公安部信息安全等級(jí)保護(hù)評(píng)估中心.網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)師培訓(xùn)教材（初級(jí)）2019版[M].