王克明 馮方回

中國人口與發(fā)展研究中心 北京 100081

0 引言

隨著計算機網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和信息技術(shù)的廣泛應(yīng)用，信息和計算機網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為社會發(fā)展的重要保證。信息與網(wǎng)絡(luò)涉及到國家的政治、軍事、經(jīng)濟等諸多領(lǐng)域，在計算機網(wǎng)絡(luò)中存儲、傳輸和處理的信息包括各種政府宏觀調(diào)控決策、商業(yè)經(jīng)濟信息、高科技科研數(shù)據(jù)等重要信息，因此計算機網(wǎng)絡(luò)系統(tǒng)的安全是關(guān)系到國家安全和主權(quán)、經(jīng)濟發(fā)展和社會穩(wěn)定的重要因素。

主機是信息應(yīng)用的核心，是絕大多數(shù)用戶應(yīng)用服務(wù)的運行中心和數(shù)據(jù)處理中心，是信息系統(tǒng)中敏感信息的直接載體，也是各類應(yīng)用系統(tǒng)運行的平臺，針對主機的攻擊事件層出不窮，攻擊手段多種多樣，從緩沖區(qū)溢出攻擊、系統(tǒng)管理員口令攻擊到惡意代碼攻擊，從因特網(wǎng)黑客外部攻擊到內(nèi)部人員攻擊，所以主機安全是保證整個信息系統(tǒng)安全的基礎(chǔ)，同時主機安全也是等級保護體系中安全建設(shè)的重要組成部分，研究如何在等級保護要求下科學有效部署主機安全保障系統(tǒng)，是當前信息安全保障工作中迫在眉睫的任務(wù)。

1 主機安全風險分析

1.1 存在較多安全漏洞

主機系統(tǒng)存在較多安全漏洞，其中很多漏洞會被黑客利用，成為黑客攻擊的目標或跳板。另外，每年都會發(fā)現(xiàn)新類型的漏洞，對于新類型漏洞的代碼實例分析常常導致數(shù)以百計的其他不同軟件漏洞的發(fā)現(xiàn)，入侵者往往能夠在軟件廠商更正這些漏洞之前首先發(fā)現(xiàn)這些漏洞。面對操作系統(tǒng)安全漏洞，用戶所能做的往往是以“打補丁”的方式為主機操作系統(tǒng)不斷的升級更新。這種方式最大的缺陷是系統(tǒng)補丁的滯后性：（1）從補丁測試到分發(fā)，需要較長周期。在此期間，操作系統(tǒng)安全仍然無法得到保障；（2）補丁永遠是在漏洞之后，且補丁永遠“打不完”；（3）隨著發(fā)現(xiàn)漏洞的工具的自動化趨勢，留給服務(wù)器管理員打補丁的時間越來越短。因此這種事后補救的方式存在著較大的安全隱患，往往在補丁沒有發(fā)布之前，黑客就已經(jīng)利用這些漏洞對服務(wù)器造成極大的破壞了。同時，主機上的第三方軟件也會存在或多或少的漏洞，這些漏洞中有不少可被利用，嚴重威脅主機安全。

1.2 操作系統(tǒng)完整性破壞

主機操作系統(tǒng)完整性破壞是當前主機面臨的主要安全威脅。現(xiàn)有主機操作系統(tǒng)，從開機啟動到運行服務(wù)過程中，對執(zhí)行代碼不做任何完整性檢查，導致病毒、木馬程序可以嵌入到執(zhí)行代碼程序或者直接替換原有程序，實現(xiàn)病毒、木馬等惡意代碼的傳播。這些惡意代碼一旦被激活，就會繼承當前用戶的權(quán)限，從而肆無忌憚地進行傳播，為所欲為地破壞主機操作系統(tǒng)的完整性，例如在服務(wù)器管理員毫不知情的情況下修改或刪除服務(wù)器中的重要信息，或者破壞服務(wù)器操作系統(tǒng)中的一些重要服務(wù)，導致服務(wù)器操作系統(tǒng)無法正常運作等。

1.3 重要信息失竊密

主機中往往存放著大量的重要信息，而隨著信息化的高度發(fā)展，重要信息越來越容易被復制和傳播，從而導致重要信息的失竊密事件頻繁發(fā)生，嚴重損害相應(yīng)組織機構(gòu)的形象和利益，甚至威脅到了社會秩序、公共利益和國家安全。另外出于各種利益的驅(qū)使，信息系統(tǒng)中的一些合法用戶可能有意規(guī)避主機安全防護措施，利用現(xiàn)有主機防護技術(shù)的漏洞，通過網(wǎng)內(nèi)攻擊，惡意植入木馬等手段進行非法操作，導致失竊密事件發(fā)生。

1.4 信息完整性破壞

信息完整性面臨的威脅主要指主機中的重要信息在存儲期間被惡意篡改，使得重要信息失去了原有的真實性，從而變得不可用或造成廣泛的負面影響，惡意用戶可以通過網(wǎng)絡(luò)或其他方式對沒有采取安全措施的主機上存放的重要信息進行修改或傳達一些虛假信息，從而影響工作的正常進行。

1.5 缺乏內(nèi)部攻擊的防范措施

內(nèi)部人員攻擊是指獲得授權(quán)的合法用戶從信息系統(tǒng)內(nèi)部發(fā)起的攻擊。傳統(tǒng)的安全防護措施大多只對來自外部的攻擊進行防范，但俗話說家賊難防，由于內(nèi)部人員可直接接觸主機中的重要信息，并且了解主機的安全防御措施和管理手段，因此相對于外部用戶而言，其更容易規(guī)避防護措施，利用主機系統(tǒng)安全防御措施的漏洞或管理體系不完善的弱點，從內(nèi)部發(fā)起攻擊來破壞服務(wù)器系統(tǒng)的安全，從而達到某種不可告人的目的。據(jù)國際權(quán)威機構(gòu)統(tǒng)計，80%的信息安全事故都是內(nèi)部工作人員或內(nèi)部工作人員與外部人員相互勾結(jié)所為，且這種現(xiàn)象呈上升趨勢，一系列的實際案例可以說明，來自內(nèi)部的數(shù)據(jù)失竊和破壞，遠遠高于外部黑客的攻擊。

1.6 缺乏統(tǒng)一的身份管理

目前主機普遍存在的問題就是管理員身份單一，致使管理員權(quán)限過大，這樣會對主機帶來一定的安全隱患，并且出于主機業(yè)務(wù)操作和運行維護的需要，主機經(jīng)常是混用的，即多人可對同一臺主機進行操作，多人共用主機賬戶和口令，這樣就造成主機用戶身份鑒別不明，難以根據(jù)用戶的身份和角色分配權(quán)限，無法進行嚴格地訪問控制，容易產(chǎn)生誤操作；另外，單純的用戶名/口令認證方式容易受到字典攻擊等方式攻擊，導致黑客獲取口令執(zhí)行惡意操作。

1.7 缺乏統(tǒng)一的主機管理

目前大多數(shù)主機仍采用單機管理模式，即主機管理員對每一臺主機單獨進行管理維護，這樣的管理模式會存在一定的安全滯后性。如果主機數(shù)量較多，那么這種管理模式必然造成效率低下，管理員疲于奔波，卻效果并不明顯，安全隱患眾多，卻無法及時解決安全突發(fā)事件，也無法徹底解決安全隱患，黑客或者病毒通過網(wǎng)絡(luò)，非常容易產(chǎn)生多個主機的交叉感染或者重復感染，導致整個系統(tǒng)的不穩(wěn)定性和安全事故頻發(fā)。

2 等級保護體系中對于主機安全的目標與要求

對于不同保護等級的信息系統(tǒng)均有相應(yīng)的主機安全基本要求，等級愈高主機安全基本要求就越多。針對信息系統(tǒng)中的主機服務(wù)器，GB/ T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》從以下9個方面對主機安全進行了基本保護要求：

（1）身份鑒別：從身份鑒別方式、口令復雜度、鑒別信息傳輸機密性、登錄失敗處理措施等方面對主機進行了要求；

（2）安全標記：所有主體和客體應(yīng)設(shè)置敏感標記；

（3）訪問控制：從訪問控制主客體、訪問控制策略、訪問控制粒度等方面對主機進行了要求；

（4）可信路徑：要求在主機與用戶之間建立一條安全的信息傳輸路徑；

（5）安全審計：從審計策略、審計范圍、審計內(nèi)容、審計記錄、審計進程保護、審計日志保護等方面對主機進行了要求；

（6）剩余信息保護：要求對鑒別信息、系統(tǒng)文件、目錄和數(shù)據(jù)庫記錄等客體的存儲空間進行剩余信息保護；

（7）入侵防范：要求主機具備一定的入侵防范措施，同時確保系統(tǒng)補丁及時得到更新；

（8）惡意代碼防范：要求主機具備一定的惡意代碼防護措施；

（9）資源控制：要求對系統(tǒng)資源進行監(jiān)控，防止出現(xiàn)無法使用系統(tǒng)資源的情況。

3 基于等級保護部署主機安全防護系統(tǒng)

在由信息和計算機網(wǎng)絡(luò)系統(tǒng)構(gòu)成的信息系統(tǒng)中，最薄弱、易受攻擊、而保護力度又相對缺乏的就是對主機的保護。主機是信息系統(tǒng)中敏感信息的直接載體，也是各類應(yīng)用運行的平臺，因此對主機的保護是保證整個信息系統(tǒng)安全的基礎(chǔ)。同時，主機安全防護要符合信息安全等級保護的要求，根據(jù)不同的信息安全等級保護的要求制定切合實際的主機安全防護策略。按照信息安全等級保護的基本思想和技術(shù)要求，要做到科學有效的部署主機安全保障體系，筆者認為應(yīng)在以下幾個方面加以注意：

（1）主機統(tǒng)一安全管理。目前大多數(shù)服務(wù)器仍采用單機管理模式，即主機管理員對每一臺服務(wù)器單獨進行管理維護，這樣的管理模式會存在一定的安全滯后性。要實現(xiàn)真正有效的安全管理，必須對所有服務(wù)器實施統(tǒng)一集中管理、統(tǒng)一安全策略下發(fā)，以及安全事件的統(tǒng)一監(jiān)控和協(xié)同處理，構(gòu)建健康的服務(wù)器安全管理體系。

（2）身份鑒別。身份認證是主機安全的“大門”，進入“大門”就可以獲得主機系統(tǒng)的資源。現(xiàn)有的主機操作系統(tǒng)日常管理中仍存在采用單一口令認證方式對用戶身份進行鑒別，容易受到字典攻擊等方式攻擊。首先，要對主機用戶身份進行統(tǒng)一管理，根據(jù)用戶的身份和角色分配權(quán)限。其次，需要對主機用戶采取強認證方式進行身份認證，比如可以采用雙因子認證方式進行身份驗證，用戶只有擁有合法的USB-KEY，并且輸入正確的服務(wù)器操作系統(tǒng)口令+ USB-KEY口令，才能登錄服務(wù)器；通過雙因子的身份鑒別，將用戶身份與USB-KEY綁定，可有效防止用戶身份偽造事件的發(fā)生；同時，對于一個已標識和鑒別的用戶，將該用戶的身份與該用戶的所有可審計行為相關(guān)聯(lián)，以實現(xiàn)用戶行為的可查性。再者，對主機進行遠程維護時，盡量不要采用明文方式進行操作，如TELNET、遠程桌面連接（MSTSC）等方式，我們知道這些管理方式默認情況下是不加密的，容易造成黑客通過嗅探工具獲取諸如賬戶、密碼等敏感信息，基于此需要采取安全的加密方式進行遠程管理，比如SSH、SSL。

（3）安全標記。通過對服務(wù)器系統(tǒng)中的主體（用戶、進程）及客體（文件、執(zhí)行程序、外部設(shè)備等）進行安全標識，根據(jù)客體類型的不同，分別制定不同的訪問控制規(guī)則，嚴格控制用戶行為，保證用戶的任何行為都在安全策略的監(jiān)控下，嚴格控制“誰”可以“做什么”，從而全方位地確保服務(wù)器中的重要數(shù)據(jù)“拿不走”，保護服務(wù)器系統(tǒng)的機密性。同時，通過全路徑名對服務(wù)器系統(tǒng)中的重要客體進行標記，設(shè)置用戶或進程對文件/目錄強制訪問控制規(guī)則，任何用戶及其調(diào)用的進程對服務(wù)器敏感文件或目錄進行操作行為時都要進行嚴格的訪問控制，從而杜絕用戶數(shù)據(jù)被篡改、刪除、插入等情況的發(fā)生，確保主機重要資源的完整性。

（4）訪問控制。通過對訪問服務(wù)器的身份進行鑒別，防止非授權(quán)用戶接入服務(wù)器，通過可信互聯(lián)機制，實現(xiàn)對接入的有效控制。主機管理員應(yīng)規(guī)定哪些用戶可以接入服務(wù)器系統(tǒng)，只有認證檢驗通過后，該用戶方能與服務(wù)器進行網(wǎng)絡(luò)通信。同時對于主機本地服務(wù)所提供的遠程訪問，實行連接限制，制訂可信訪問列表，對于可信地址則允許其接入服務(wù)，非法地址進行連接限制。

（5）安全審計。針對受控服務(wù)器，根據(jù)審計需求，制定詳盡的審計策略，其中包括用戶登錄、資源訪問、進程啟動等；對已收集的審計信息，進行詳細的分類審計查詢，包括用戶ID查詢、操作類型查詢、操作結(jié)果查詢等；另外，只有安全審計員可以修改或者刪除審計日志，對審計日志應(yīng)及時進行備份。

（6）系統(tǒng)加固、入侵防范。要建立全網(wǎng)統(tǒng)一的補丁管理和防病毒系統(tǒng)，及時向主機分發(fā)經(jīng)過安全測評的漏洞補丁和更新、升級病毒庫，主機系統(tǒng)還應(yīng)安裝部署惡意代碼防護系統(tǒng)，及時升級惡意代碼庫，定期掃描和清除病毒、木馬、后門、網(wǎng)頁掛馬等惡意程序。

4 結(jié)束語

無論是信息中心、數(shù)據(jù)中心還是計算機機房的主機即服務(wù)器都是等級保護的重要對象。主機中的各種軟件、程序擔負著業(yè)務(wù)的繁忙的計算量，幾乎不可中斷；主機中存儲著大量核心數(shù)據(jù)，關(guān)系到企業(yè)的發(fā)展和收益，甚至影響到企業(yè)的生存，它們的安全極為重要。因此按照等級保護的要求，嚴格履行各項安全措施，制定符合企業(yè)和事業(yè)發(fā)展的安全條例就顯得極為重要。要落實等級保護的安全要求，不能只是泛泛地按照條文辦事，還要制定對本企業(yè)本單位非常具有針對性的具體措施，把安全措施落實到實處。

[1]GBT22239-2008_信息安全技術(shù)_信息系統(tǒng)安全等級保護基本要求.2008.

[2]GB/T25058-2010_信息安全技術(shù)_信息系統(tǒng)安全等級保護實施指南.2010.

[3]邱梓華，宋好好，張笑笑，顧健.主機安全等級保護配置指南[J].信息網(wǎng)絡(luò)安全.2011.