■

引言

主機(jī)、網(wǎng)絡(luò)設(shè)備等配置不當(dāng)一直以來都是造成信息安全問題的主要原因之一。這些配置存在于主機(jī)、網(wǎng)絡(luò)設(shè)備等各類設(shè)備中。涉及帳號(hào)、口令、認(rèn)證、授權(quán)、日志配置、IP協(xié)議安全等諸多方面，覆蓋面極為廣泛。任何配置不當(dāng)都會(huì)導(dǎo)致設(shè)備存在安全風(fēng)險(xiǎn)，進(jìn)而給整個(gè)業(yè)務(wù)系統(tǒng)的正常運(yùn)行帶來隱患。如果采用人工方式檢查安全配置會(huì)帶來很大的工作量。人工檢查方式對(duì)于知識(shí)的積累和延續(xù)有很大阻礙，而且還可能由于檢查人員對(duì)系統(tǒng)不熟悉造成誤操作。

主機(jī)、網(wǎng)絡(luò)設(shè)備等的安全配置建議是面向通用領(lǐng)域的，只從通用的角度描述相關(guān)的安全影響，其供應(yīng)商不能針對(duì)不同的使用場(chǎng)景進(jìn)行擴(kuò)展補(bǔ)充，導(dǎo)致安全建議不能完全符合實(shí)際場(chǎng)景，進(jìn)而也就不能完全滿足實(shí)際使用中的安全配置要求。

以下描述一種可以實(shí)現(xiàn)高度自動(dòng)化、可擴(kuò)展性強(qiáng)的安全配置檢查系統(tǒng)。

同類產(chǎn)品對(duì)比

目前業(yè)內(nèi)的配置檢查系統(tǒng)數(shù)量眾多，但原理主要有兩種：

1.調(diào)用被查設(shè)備API，獲取所需配置信息。該方法通過調(diào)用系統(tǒng)API進(jìn)行檢查，需要深入研究被查設(shè)備，配置項(xiàng)開發(fā)難度大。如基于SCAP規(guī)范的配置檢查系統(tǒng)。

2.通過命令行，獲取所需配置信息的回顯，再通過正則表達(dá)式匹配出所需字段。該方法相對(duì)簡(jiǎn)單，配置項(xiàng)的開發(fā)難度也相對(duì)較低。

下文論述的配置檢查系統(tǒng)是基于第二種方式，并且在此基礎(chǔ)上，將檢查命令和配置檢查系統(tǒng)自身程序做了進(jìn)一步剝離，使得配置項(xiàng)的新增、擴(kuò)展更加方便、獨(dú)立。

系統(tǒng)概述

安全配置檢查系統(tǒng)實(shí)現(xiàn)了高度自動(dòng)化、可擴(kuò)展性強(qiáng)。主要體現(xiàn)在其模塊化，分布式的系統(tǒng)結(jié)構(gòu)。

從功能模塊角度考慮，安全配置檢查系統(tǒng)分為：被檢查設(shè)備信息管理模塊、配置項(xiàng)管理模塊、配置檢查任務(wù)制定、設(shè)備信息采集、設(shè)備配置信息分析模塊、數(shù)據(jù)存儲(chǔ)模塊等。

從系統(tǒng)部署角度，安全配置檢查的部署服務(wù)器分為三類：數(shù)據(jù)庫(kù)服務(wù)器、核心/WEB服務(wù)器、采集服務(wù)器等。數(shù)據(jù)庫(kù)服務(wù)器用于存儲(chǔ)安全配置檢查的所有數(shù)據(jù)，核心/WEB服務(wù)器為用戶提供維護(hù)配置項(xiàng)和制定配置檢查任務(wù)的圖形化Web頁(yè)面，以及配置項(xiàng)檢查結(jié)果分析、呈現(xiàn)等核心功能，采集服務(wù)器用于下發(fā)采集腳本，并獲取腳本回顯結(jié)果。

系統(tǒng)平臺(tái)功能實(shí)現(xiàn)

1.WEB服務(wù)器節(jié)點(diǎn)功能:提供安全配置項(xiàng)維護(hù)界面、檢查任務(wù)制定界面、檢查結(jié)果展示界面等。

2.核心服務(wù)器節(jié)點(diǎn)功能：核心服務(wù)器承擔(dān)的主要功能是訪問和存儲(chǔ)被檢查設(shè)備信息、向采集服務(wù)器發(fā)起采集分析指令、分析采集服務(wù)器返回的采集腳本回顯信息、并生成和導(dǎo)出配置檢查報(bào)表。主要由以下六個(gè)功能模塊組成：

（1）被檢查設(shè)備信息錄入模塊：負(fù)責(zé)錄入被檢查設(shè)備信息，并存入數(shù)據(jù)庫(kù)服務(wù)器中。包括設(shè)備類型、設(shè)備名稱、IP地址、登錄帳號(hào)、登錄密碼等信息。

（2）配置項(xiàng)管理模塊：配置項(xiàng)管理模塊用于管理檢查項(xiàng)，包括配置項(xiàng)管理、采集腳本管理、基準(zhǔn)值管理、判斷邏輯定義等模塊，是該系統(tǒng)的核心功能模塊，其設(shè)計(jì)方案決定了該系統(tǒng)具有很強(qiáng)的易用性和擴(kuò)展性。配置項(xiàng)管理用于描述該配置項(xiàng)的基本信息，如配置項(xiàng)名稱、編號(hào)、分類、檢查步驟、判斷條件、加固方案等；采集腳本管理用于管理采集被查設(shè)備信息的腳本文件；基準(zhǔn)值管理用于設(shè)置配置項(xiàng)檢查結(jié)果是否合理的判斷基準(zhǔn)；判斷邏輯定義用于定義從設(shè)備上采集的配置信息和基準(zhǔn)值之間的邏輯關(guān)系，如大于、等于、存在等。

（3）檢查任務(wù)制定模塊：配置檢查任務(wù)制定部分用于制定配置檢查任務(wù)，檢查任務(wù)分三類，包括快捷檢查、調(diào)度檢查、離線檢查等。快捷檢查只對(duì)保證檢查能夠正常執(zhí)行的基本信息進(jìn)行設(shè)置，其他信息均采用默認(rèn)設(shè)置；調(diào)度檢查可以對(duì)任務(wù)進(jìn)行復(fù)雜配置，如只檢查該類型設(shè)備配置項(xiàng)的一部分、任務(wù)開始時(shí)間、任務(wù)執(zhí)行周期等；離線檢查采用導(dǎo)出離線檢查腳本的形式，對(duì)網(wǎng)絡(luò)不可達(dá)的設(shè)備采用手動(dòng)登錄設(shè)備，執(zhí)行離線腳本的方法對(duì)其進(jìn)行檢查。

（4）采集消息發(fā)送模塊：當(dāng)用戶選定要檢查的設(shè)備之后，此模塊會(huì)根據(jù)其設(shè)備類型、設(shè)備ID等信息查找對(duì)應(yīng)的登錄信息、采集腳本等信息，組合成可識(shí)別的消息格式發(fā)送給采集服務(wù)器。

（5）結(jié)果解析模塊：采集服務(wù)器根據(jù)核心服務(wù)器發(fā)送的信息，登錄設(shè)備并執(zhí)行采集腳本，將采集腳本的執(zhí)行回顯返回給核心服務(wù)器進(jìn)行解析，獲取檢查中必要的配置信息，進(jìn)行邏輯判斷，完成解析，得到配置項(xiàng)是否配置正確的結(jié)果。

（6）報(bào)表展現(xiàn)及報(bào)表導(dǎo)出模塊：報(bào)表展現(xiàn)和導(dǎo)出模塊提供豐富、詳實(shí)的報(bào)表功能?？梢灾庇^的查看配置檢查任務(wù)的各個(gè)過程的中間數(shù)據(jù)及檢查結(jié)果。

3.數(shù)據(jù)庫(kù)服務(wù)器節(jié)點(diǎn)功能：為安全配置檢查系統(tǒng)提供數(shù)據(jù)存儲(chǔ)服務(wù)。主要存儲(chǔ)包括存儲(chǔ)被檢查設(shè)備信息、存儲(chǔ)安全配置檢查項(xiàng)信息、存儲(chǔ)檢查任務(wù)信息、存儲(chǔ)檢查結(jié)果信息等數(shù)據(jù)信息。

4.采集服務(wù)器節(jié)點(diǎn)功能：主要完成登錄設(shè)備和執(zhí)行腳本兩個(gè)功能。

總體流程

1.用戶登錄系統(tǒng)WEB界面。

2.在任務(wù)管理界面，新建檢查任務(wù)。

3.核心服務(wù)器根據(jù)新建任務(wù)的設(shè)置，獲取設(shè)備登錄信息（如用戶名、密碼、IP地址等）和配置項(xiàng)信息（如配置項(xiàng)名稱、檢查腳本等信息）。

4.將第3步獲取的基本信息構(gòu)建為采集服務(wù)器可識(shí)別的格式，生成消息。

5.將消息發(fā)送給采集服務(wù)器。

6.采集服務(wù)器根據(jù)消息中傳遞的信息，登錄設(shè)備。

7.判斷登錄是否成功，如果不成功，返回第2步，重新設(shè)置檢查任務(wù)；如果成功，繼續(xù)以下步驟。

8.執(zhí)行檢查腳本，得到設(shè)備回顯，獲取設(shè)備配置信息，返回給采集服務(wù)器。

9.采集服務(wù)器將第8步得到的配置信息發(fā)送給核心服務(wù)器進(jìn)行解析、判斷，得到檢查結(jié)果。

10. 檢查結(jié)果存儲(chǔ)在數(shù)據(jù)庫(kù)服務(wù)器內(nèi)，在WEB頁(yè)面呈現(xiàn)。

11.結(jié)果報(bào)表支持導(dǎo)出成Word、Excel、PDF格式文檔。

優(yōu)勢(shì)

此安全配置檢查系統(tǒng)的優(yōu)勢(shì)主要體現(xiàn)在三方面。

1.自動(dòng)化批量檢查

自動(dòng)化批量檢查體現(xiàn)在制定檢查任務(wù)方面，用戶可以在制定檢查任務(wù)時(shí)，選擇多臺(tái)設(shè)備和多個(gè)配置檢查項(xiàng)，并且可以制定周期性任務(wù)。任務(wù)開始執(zhí)行后，系統(tǒng)會(huì)定時(shí)對(duì)任務(wù)所選設(shè)備進(jìn)行安全配置檢查。做到了完全的自動(dòng)化和批量化。

2.設(shè)備類型覆蓋面廣

檢查范圍可以覆蓋到主機(jī)類設(shè)備、路由交換設(shè)備、防火墻設(shè)備、數(shù)據(jù)庫(kù)設(shè)備、中間件設(shè)備、負(fù)載均衡設(shè)備。理論上，只要存在命令行管理界面的設(shè)備均可以納入檢查范圍。

3.可擴(kuò)展性強(qiáng)

擴(kuò)展性主要體現(xiàn)在配置項(xiàng)管理方面。配置項(xiàng)管理將配置項(xiàng)管理、采集腳本管理、基準(zhǔn)值管理、判斷邏輯定義等模塊與后臺(tái)處理邏輯進(jìn)行了隔離，使得配置項(xiàng)的增加不依賴于編程能力、也不依賴于對(duì)系統(tǒng)代碼的了解。以下舉例重點(diǎn)討論。

例如，需要增加AIX操作系統(tǒng)的配置項(xiàng)，檢查AIX口令鎖定策略是否滿足要求。該配置項(xiàng)的基本組成如下。

配置項(xiàng)描述：檢查AIX口令鎖定策略是否滿足要求。要求對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過六次（不含六次），鎖定該用戶使用的賬號(hào)?？梢酝ㄟ^創(chuàng)建一個(gè)普通賬號(hào)，為其配置相應(yīng)的口令；并用新建的賬號(hào)通過錯(cuò)誤的口令進(jìn)行系統(tǒng)登錄六次以上（不含六次），帳戶被鎖定，不再提示讓再次登錄的方法來判斷是否正確配置。

采 集 腳 本：lssec-f/etc/security/usersdefault-aminlen-aminalpha-amindiffaminother-apwdwarntime-ahistexpire-ahistsize-aloginretries-amaxage

基準(zhǔn)值：設(shè)置為6

判斷邏輯定義：如果NO1>=1并且NO1<=6則'正確'否則'不正確'

通過以上舉例可以看出，新增配置項(xiàng)時(shí)，用戶僅需要對(duì)被檢查設(shè)備的檢查命令有一定的了解，可以編寫采集腳本，然后自行定義判斷邏輯和基準(zhǔn)值即可，并沒有涉及被檢查設(shè)備底層接口，也沒有涉及安全配置檢查系統(tǒng)后臺(tái)代碼。保證了系統(tǒng)具有極強(qiáng)的可擴(kuò)展性。

結(jié)束語(yǔ)

隨著信息產(chǎn)業(yè)的發(fā)展，自動(dòng)化替代人工方式，極大地提高了工作效率，帶來了巨大的經(jīng)濟(jì)收益。但是由于系統(tǒng)配置不當(dāng)也造成了很大的損失。安全配置檢查，是保證系統(tǒng)正常運(yùn)行的基礎(chǔ)手段之一。安全配置檢查系統(tǒng)，將原有依靠人工保障的工作采用自動(dòng)化的方式實(shí)現(xiàn)，提高了工作效率，節(jié)省了人力投入，其廣泛的覆蓋面和良好的可擴(kuò)展性，使得此系統(tǒng)具有很強(qiáng)的生命力，具有廣泛的市場(chǎng)價(jià)值。