孟亞豪 李旋

摘 要：新修訂的網(wǎng)絡(luò)安全等級(jí)保護(hù)國(guó)標(biāo)相對(duì)前一版進(jìn)行了較大幅度的改動(dòng)，除了根據(jù)不同的應(yīng)用場(chǎng)景提出了不同的擴(kuò)展要求之外，在通用安全要求的控制層面中使用計(jì)算環(huán)境安全替代了之前的主機(jī)安全和應(yīng)用安全。文章以CentOS7操作系統(tǒng)為例，對(duì)計(jì)算環(huán)境安全中的身份鑒別和訪問控制控制點(diǎn)進(jìn)行了詳細(xì)的描述，并給出了不同控制項(xiàng)的檢查和測(cè)評(píng)方法，檢查和測(cè)評(píng)方法能夠準(zhǔn)確地對(duì)控制項(xiàng)進(jìn)行符合性判定。

關(guān)鍵詞：計(jì)算環(huán)境安全；CentOS7；身份鑒別；訪問控制

中圖分類號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The newly revised network security protection national standard has undergone significant changes from the previous version. In addition to different extension requirements according to different application scenarios， the use of computing environment security in the control level of general security requirements has replaced Host security and application security. Taking the CentOS7 operating system as an example， this paper describes the control points of identity authentication and access control in the computing environment security in detail and gives the inspection and evaluation methods of different control items. The inspection and evaluation methods can accurately match the control items and make compliance determination.

Key words： computing environmental security； centOS7； identity authentication； access control

1 引言

隨著《網(wǎng)絡(luò)安全法》的不斷推進(jìn)，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的不斷完善，網(wǎng)絡(luò)安全已經(jīng)滲透到了各行各業(yè)。待發(fā)布的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（簡(jiǎn)稱等級(jí)保護(hù)2.0）從技術(shù)和管理兩個(gè)方面對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全保障進(jìn)行了全面描述與規(guī)范，且在技術(shù)層面添加了云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求，是一部完整的以技術(shù)保障為基礎(chǔ)、以管理運(yùn)營(yíng)為抓手、以監(jiān)測(cè)預(yù)警為中心、以協(xié)同響應(yīng)為目標(biāo)的網(wǎng)絡(luò)安全防御體系框架性指導(dǎo)標(biāo)準(zhǔn)與規(guī)劃建設(shè)指南。

等級(jí)保護(hù)2.0的技術(shù)保障體系雖然延續(xù)了信息系統(tǒng)安全等級(jí)保護(hù)基本要求（簡(jiǎn)稱等級(jí)保護(hù)1.0）中的以資產(chǎn)（網(wǎng)絡(luò)與信息系統(tǒng)）防護(hù)為目標(biāo)的安全保障思路，但是在控制層面上進(jìn)行了重新的劃分，尤其是等級(jí)保護(hù)1.0中的主機(jī)安全和應(yīng)用安全在等級(jí)保護(hù)2.0中已經(jīng)被計(jì)算環(huán)境安全替代，在變化上較為顯著。因此，本文以第三級(jí)系統(tǒng)為例，針對(duì)等級(jí)保護(hù)2.0中計(jì)算環(huán)境安全要求的基本要求，對(duì)其部分控制點(diǎn)進(jìn)行介紹和測(cè)試方法分析[1]。

2 計(jì)算環(huán)境安全

2.1 身份鑒別

本項(xiàng)要求包括四項(xiàng)內(nèi)容：

a）應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換；

b）應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會(huì)話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動(dòng)退出等相關(guān)措施；

c）當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；

d）應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。

其中，d）項(xiàng)為等級(jí)保護(hù)第三級(jí)系統(tǒng)增加的內(nèi)容。

本文以CentOS7為例，對(duì)每個(gè)測(cè)評(píng)控制點(diǎn)進(jìn)行詳細(xì)介紹，以說明控制點(diǎn)的測(cè)試方法以及符合程度。

針對(duì)控制點(diǎn)a），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查用戶在登錄時(shí)是否采用了身份鑒別措施；

2） 應(yīng)核查用戶列表確認(rèn)用戶身份標(biāo)識(shí)是否具有唯一性；

3） 應(yīng)核查用戶配置信息或測(cè)試驗(yàn)證是否不存在空口令用戶；

4） 應(yīng)核查用戶鑒別信息是否具有復(fù)雜度要求并定期更換。

針對(duì)檢查項(xiàng)1）、2）和3），除了檢查登錄操作計(jì)算環(huán)境設(shè)備（主機(jī)、應(yīng)用系統(tǒng)等）的用戶是否需要輸入登錄口令或其他鑒別信息外，還應(yīng)該檢查系統(tǒng)的所有用戶，對(duì)于能夠登錄的或者其他程序調(diào)用的用戶，是否均需要提供口令才能夠登錄，如在CentOS7系統(tǒng)輸入cat /etc/shadow指令查看是否有無需身份鑒別即可登錄的空口令用戶，以及是否存在重名用戶，如圖1所示。從圖1中可以看到，除了Root以及Mctc用戶以外，其他用戶的密碼字段均為*或者??！號(hào)，標(biāo)識(shí)該用戶不可用于登錄或者已被鎖定，因此系統(tǒng)不存在不進(jìn)行身份鑒別即可登錄的空口令賬戶，也沒用重名用戶。

針對(duì)檢查項(xiàng)4），需要查看計(jì)算設(shè)備的密碼策略，CentOS7的密碼策略有2處需要注意，第一處為指令cat /etc/login.defs下，如圖2所示，從該指令的提示信息可以看到，系統(tǒng)的認(rèn)證模塊被PAM管理或者替代了，因此此處生效的只有密碼最大使用期限99999天和最小可以更改的時(shí)間0天，控制密碼的定期更換。第二處為指令cat /etc/pam.d/system-auth下，如圖3所示，password requisite pam_cracklib.so try_first_pass retry=3 type= 這一條控制密碼的復(fù)雜度，此處并沒有限制口令復(fù)雜度，因此默認(rèn)是不符合的，可以把需要的配置參數(shù)，進(jìn)行手動(dòng)添加，添加后的結(jié)果如圖4所示，

password requisite pam_cracklib.so try_first_pass retry=3 type=后面添加minlen=10，表示密碼的最短長(zhǎng)度必須為10位。difok=3表示允許新舊密碼相同的數(shù)量是3個(gè)，這個(gè)用不到。Dcredit=N表示至少有N個(gè)數(shù)字，ucredit=N至少有N個(gè)大寫字母，lcredit=N至少N個(gè)小寫字母，ocredit=N至少N個(gè)特殊字符。選擇是否對(duì)root用戶生效enforce_for_root而retry=3， retry=N改變輸入密碼的次數(shù)，第一行pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60，表示失敗3次鎖定用戶120s，這個(gè)配置對(duì)root用戶一樣生效，但是root用戶僅鎖定60s。

針對(duì)控制點(diǎn)b），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查是否配置并啟用了登錄失敗處理功能；

2） 應(yīng)核查是否配置并啟用了限制非法登錄功能，非法登錄達(dá)到一定次數(shù)后采取特定動(dòng)作，如賬戶鎖定等；

3） 應(yīng)核查是否配置并啟用了登錄連接超時(shí)及自動(dòng)退出功能。

針對(duì)檢查項(xiàng)1）和2）在控制點(diǎn)a）中已經(jīng)做了相關(guān)描述，對(duì)登錄失敗次數(shù)和處理措施做了相關(guān)的配置和測(cè)試說明。

針對(duì)檢查項(xiàng)3），在CentOS7中，查詢指令cat /etc/profile，如圖5所示，檢查超時(shí)退出的配置，查看是否具有TMOUT的配置，如果沒有，說明沒有超時(shí)退出機(jī)制，則不滿足要求，可以使在“HISTFILESIZE=”行的下面增加上，如TMOUT=300，即是超時(shí)5分鐘退出，則滿足要求。

針對(duì)控制點(diǎn)c），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：應(yīng)核查是否采用加密等安全方式對(duì)系統(tǒng)進(jìn)行遠(yuǎn)程管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。檢查遠(yuǎn)程管理的使用方式，如果使用了Telnet等明文的遠(yuǎn)程管理方式則不符合，文中在對(duì)CentOS7進(jìn)行遠(yuǎn)程管理時(shí)，使用Ssh的遠(yuǎn)程管理方式，Ssh的遠(yuǎn)程管理方式，雖然在傳輸層是加密的，但是還需要結(jié)合滲透測(cè)試，檢查Ssh使用的版本，確認(rèn)不存在弱加密算法等[2-3]。

針對(duì)控制點(diǎn)d），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查是否采用動(dòng)態(tài)口令、數(shù)字證書、生物技術(shù)和設(shè)備指紋等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別；

2） 應(yīng)核查其中一種鑒別技術(shù)是否使用密碼技術(shù)來實(shí)現(xiàn)。

針對(duì)檢查項(xiàng)1）和2），應(yīng)驗(yàn)證是否使用了除用戶名和口令以外的鑒別技術(shù)，如標(biāo)準(zhǔn)中要求的幾種鑒別技術(shù)，在使用的密碼技術(shù)中，需要確認(rèn)使用的密碼算法是否滿足國(guó)家密碼算法。

2.2 訪問控制

本項(xiàng)要求包括：

a） 應(yīng)對(duì)登錄的用戶分配賬戶和權(quán)限；

b） 應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令；

c） 應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；

d） 應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離；

e） 應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對(duì)客體的訪問規(guī)則；

f） 訪問控制的粒度應(yīng)達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表級(jí)；

g） 應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問。

其中e）、f）和g）項(xiàng)為等級(jí)保護(hù)第三級(jí)系統(tǒng)增加的內(nèi)容，同樣以CentOS7為例，對(duì)每個(gè)測(cè)評(píng)控制點(diǎn)進(jìn)行詳細(xì)介紹，以說明控制點(diǎn)的測(cè)試方法以及符合程度。

針對(duì)控制點(diǎn)a），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查是否為用戶分配了賬戶和權(quán)限及相關(guān)設(shè)置情況；

2） 應(yīng)核查是否已禁用或限制匿名、默認(rèn)賬戶的訪問權(quán)限。

針對(duì)檢查項(xiàng)1）和2），檢測(cè)用戶所屬的組以及可以執(zhí)行的bash，是否對(duì)用戶所屬的組進(jìn)行了合理的劃分，如使用cat /etc/passwd指令進(jìn)行查看，如圖6所示；對(duì)關(guān)鍵文件目錄進(jìn)行權(quán)限查看，如passwd、shadow、xinted.d、message等文件進(jìn)行檢查，權(quán)限不應(yīng)大于644，如圖7所示。

針對(duì)控制點(diǎn)b），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查是否已經(jīng)重命名默認(rèn)賬戶或默認(rèn)賬戶已被刪除；

2） 應(yīng)核查是否已修改默認(rèn)賬戶的默認(rèn)口令。

針對(duì)檢查項(xiàng)1）和2），在CentOS7中默認(rèn)的可登錄賬戶為Root，應(yīng)將其重命名或者禁用，因?yàn)镽oot用戶在創(chuàng)建時(shí)會(huì)提供初始化口令的功能，因此應(yīng)修改初始口令。

針對(duì)控制點(diǎn)c），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查是否不存在多余或過期賬戶，管理員用戶與賬戶之間是否一一對(duì)應(yīng)；

2） 應(yīng)測(cè)試驗(yàn)證多余的、過期的賬戶是否被刪除或停用。

針對(duì)檢查項(xiàng)1），需要詢問系統(tǒng)管理員系統(tǒng)賬戶與管理員的對(duì)應(yīng)關(guān)系，是否具有多余賬戶，即沒有再使用的賬戶。

針對(duì)檢查項(xiàng)2），需要首先查看用戶賬戶策略，是否會(huì)存在已過期的賬戶，即已經(jīng)超出用戶創(chuàng)建時(shí)的使用期限，如果存在過期賬戶，應(yīng)對(duì)其刪除或者停用。

針對(duì)控制點(diǎn)d），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查是否進(jìn)行角色劃分；

2） 應(yīng)核查管理用戶的權(quán)限是否已進(jìn)行分離；

3） 應(yīng)核查管理用戶權(quán)限是否為其工作任務(wù)所需的最小權(quán)限。

針對(duì)檢查項(xiàng)1），需要檢查是否對(duì)用戶進(jìn)行角色劃分，或者對(duì)用戶進(jìn)行分組，即檢查用戶的分組。

針對(duì)檢查項(xiàng)2）和3），需要檢查是否對(duì)用戶進(jìn)行權(quán)限劃分，即操作系統(tǒng)管理員不應(yīng)當(dāng)具有數(shù)據(jù)庫(kù)管理權(quán)限，反之亦然，使各用戶的權(quán)限滿足其工作范圍內(nèi)的最小權(quán)限[4-5]。

針對(duì)控制點(diǎn)e），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查是否由授權(quán)主體（如管理用戶）負(fù)責(zé)配置訪問控制策略；

2） 應(yīng)核查授權(quán)主體是否依據(jù)安全策略配置了主體對(duì)客體的訪問規(guī)則；

3） 應(yīng)測(cè)試驗(yàn)證用戶是否有可越權(quán)訪問情形。

針對(duì)檢查項(xiàng)1）、2）和3），首先檢查是否對(duì)管理員（授權(quán)主體）可訪問的文件系統(tǒng)（客體）進(jìn)行了訪問控制規(guī)則的劃分，如控制點(diǎn)a）中對(duì)文件的權(quán)限進(jìn)行劃分，具有權(quán)限的管理員才能夠?qū)ζ溥M(jìn)行讀、寫或者執(zhí)行，嘗試對(duì)管理員可供管理的文件目錄，或用戶可供訪問的以外的連接進(jìn)行訪問，如普通用戶登錄時(shí)使用其他管理員的token或者sessionID進(jìn)行登錄，查看是否存在越權(quán)的可能。

針對(duì)控制點(diǎn)f），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：應(yīng)核查訪問控制策略的控制粒度是否達(dá)到主體為用戶級(jí)或進(jìn)程級(jí)，客體為文件、數(shù)據(jù)庫(kù)表、記錄或字段級(jí)。該檢查項(xiàng)要求將主體定義為用戶或者進(jìn)程，課題定義為文件、數(shù)據(jù)表、記錄或者字段，如控制點(diǎn)a）中，主體為用戶，客體為文件，對(duì)主體訪問客體的行為進(jìn)行訪問控制。

針對(duì)控制點(diǎn)g），等級(jí)保護(hù)2.0測(cè)評(píng)要求中要求檢查：

1） 應(yīng)核查是否對(duì)主體、客體設(shè)置了安全標(biāo)記；

2） 應(yīng)測(cè)試驗(yàn)證是否依據(jù)主體、客體安全標(biāo)記控制主體對(duì)客體訪問的強(qiáng)制訪問控制策略。

針對(duì)檢查項(xiàng)1），檢查是否對(duì)主體和客體設(shè)置了敏感標(biāo)記，如對(duì)主、客體標(biāo)記了等級(jí)，一級(jí)、二級(jí)、三級(jí)的用戶和文件，針對(duì)用戶，具有一個(gè)標(biāo)記字段，針對(duì)文件在文件頭或其他位置具有等級(jí)標(biāo)記，則滿足檢查項(xiàng)1）。

針對(duì)檢查項(xiàng)2），檢查主、客體之間的訪問是否用到了標(biāo)記功能，基于標(biāo)記使用強(qiáng)制訪問控制策略進(jìn)行主、客體之間的訪問，由于強(qiáng)制訪問控制具有多種模型，因此針對(duì)系統(tǒng)需要保護(hù)的資產(chǎn)（保密要求或完整性要求）可以使用不同的控制模型，然后根據(jù)安全等級(jí)對(duì)強(qiáng)制訪問控制模型的強(qiáng)度準(zhǔn)則（簡(jiǎn)單準(zhǔn)則或者強(qiáng)準(zhǔn)則）進(jìn)行定義，如一級(jí)用戶根據(jù)標(biāo)記只能訪問帶有一級(jí)標(biāo)記的文件，二級(jí)用戶既可以訪問帶有二級(jí)標(biāo)記的文件，又可以訪問帶有一級(jí)標(biāo)記的文件，而三級(jí)的用戶可以訪問帶有一、二、三級(jí)標(biāo)記的文件；或者一級(jí)用戶只能訪問帶有一級(jí)用戶的文件、二級(jí)用戶只能訪問帶有二級(jí)標(biāo)記的文件而三級(jí)用戶只能訪問帶有三級(jí)標(biāo)記的文件[6-10]。

3 結(jié)束語(yǔ)

等級(jí)保護(hù)2.0中通用要求安全層面中的計(jì)算環(huán)境安全控制層面包括了等級(jí)保護(hù)1.0中的主機(jī)安全和應(yīng)用安全，因此檢查和測(cè)試難度和復(fù)雜度都較以前進(jìn)行了提高，本文從身份鑒別和訪問控制的控制點(diǎn)出發(fā)以CentOS7操作系統(tǒng)為例，對(duì)控制項(xiàng)進(jìn)行了檢查和測(cè)試方法分析，給出了一種符合性判定的思路。針對(duì)其他操作、存儲(chǔ)、計(jì)算或者應(yīng)用系統(tǒng)以及其他諸如安全審計(jì)、入侵防范等安全層面，均可以使用類似的判定方法進(jìn)行檢查和測(cè)試，以做到檢查和測(cè)試的可行和準(zhǔn)確。

基金項(xiàng)目：

本論文得到數(shù)據(jù)與個(gè)人信息保護(hù)安全技術(shù)與測(cè)評(píng)標(biāo)準(zhǔn)研究項(xiàng)目的資助（項(xiàng)目編號(hào)：2017LLYJGASS020）。

參考文獻(xiàn)

[1] 馬力，畢馬寧，任衛(wèi)紅.安全保護(hù)模型與等級(jí)保護(hù)安全要求關(guān)機(jī)的研究[J].等級(jí)保護(hù)， 2011， （6），1-3.

[2] 方玲，仲偉俊，梅.安全等級(jí)對(duì)信息系統(tǒng)安全技術(shù)策略的影響研究——以防火墻和IDS技術(shù)組合為例[J].系統(tǒng)工程理論與實(shí)踐， 2016，36 （5）1231-1238.

[3] 翁遲遲，齊法制，陳剛.基于層次分析法與云模型的主機(jī)安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)工程， 2016，42（2）1-6.

[4] 馬民虎，趙光.等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的競(jìng)合及解決路徑[J].西安交通大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2018，（4）1-10.

[5] 李安虎，崔愛菊，宋慶磊.802.1x訪問控制技術(shù)在信息安全等級(jí)保護(hù)建設(shè)中的應(yīng)用于分析[J].計(jì)算機(jī)應(yīng)用， 2014，34（S2）102-104.

[6] 江頡，顧祝燕，高俊驍.基于敏感等級(jí)的云租戶數(shù)據(jù)安全保護(hù)模型研究[J].系統(tǒng)工程理論與實(shí)踐， 2014， 34（9）2392-2400.

[7] 劉一丹，董碧丹，崔中杰，李永立.基于模糊評(píng)估的等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估模型[J].計(jì)算機(jī)工程與設(shè)計(jì)， 2013，34（2）452-457.

[8] 王君，石天義.基于信息安全等級(jí)保護(hù)的網(wǎng)絡(luò)模型分析[J].信息技術(shù)與信息化， 2015，10，51-55.

[9] 張鵬，張曉堯，基于云模型的信息系統(tǒng)測(cè)評(píng)安全結(jié)論判定[J].武漢大學(xué)學(xué)報(bào)（理學(xué)版）， 2014， 60（5）：429-433.

[10] 張大偉，沈昌祥，劉吉強(qiáng)，等.基于主動(dòng)防御的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施可信技術(shù)保障體系[J] .中國(guó)工程學(xué)，2016，18（6）58-61.