關(guān)鍵詞：Linux；Windows；基線核查；基線加固；數(shù)據(jù)分析

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2024）28-0072-03

0 引言

目前國內(nèi)外電力系統(tǒng)針對主機(jī)操作系統(tǒng)的安全防護(hù)主要基于數(shù)據(jù)傳輸層面，即通過防火墻、縱向隔離等安防設(shè)備實(shí)現(xiàn)信息分區(qū)隔離、通信數(shù)據(jù)加密認(rèn)證或訪問端口控制，使風(fēng)險(xiǎn)事件發(fā)生在可控范圍，最大限度保障電力系統(tǒng)安全運(yùn)行[1]。

當(dāng)前電力系統(tǒng)主機(jī)操作系統(tǒng)基線核查與加固工作存在以下幾點(diǎn)問題。

1）主機(jī)操作系統(tǒng)核查及加固工作涉及知識面廣，專業(yè)性強(qiáng)，非專業(yè)人員運(yùn)維困難；

2）主機(jī)操作系統(tǒng)種類多，版本多，核查與加固方法不統(tǒng)一；

3）缺乏對所有主機(jī)操作系統(tǒng)安防狀態(tài)全面直觀掌控，不利于管理。

為解決以上問題，自主設(shè)計(jì)和研發(fā)一套自動(dòng)化電力系統(tǒng)主機(jī)操作系統(tǒng)基線核查及加固工具（后文簡稱自動(dòng)化工具），可實(shí)現(xiàn)多種類、多版本的主機(jī)操作系統(tǒng)核查、加固及管理，減輕運(yùn)維人員壓力，提升運(yùn)維效率，加強(qiáng)主機(jī)操作系統(tǒng)的安防能力[2]。

1 自動(dòng)化工具架構(gòu)設(shè)計(jì)

自動(dòng)化工具采用由界面操作層（UI） 、業(yè)務(wù)邏輯層（BLL） 和數(shù)據(jù)訪問層（DAL） 組成的三層架構(gòu)模式，如圖1所示。

界面操作層主要負(fù)責(zé)界面呈現(xiàn)以及與用戶的邏輯交互，包括接收用戶輸入的數(shù)據(jù)和命令，將其傳遞給業(yè)務(wù)邏輯層，并將下層返回的數(shù)據(jù)和結(jié)果展示到界面，供用戶瀏覽與操作。

業(yè)務(wù)邏輯層位于系統(tǒng)架構(gòu)的中間層，是系統(tǒng)的核心執(zhí)行層級，其主要負(fù)責(zé)基于SSH的遠(yuǎn)程連接、核查模板調(diào)用與執(zhí)行、符合性判斷與結(jié)果生成、報(bào)告生成、配置備份等關(guān)鍵功能。

數(shù)據(jù)庫層主要存儲安全基線知識庫、符合性判定規(guī)則庫、核查列表集合及其衍生出的安全配置核查、加固腳本，接收業(yè)務(wù)邏輯層的命令或請求，讀取并返回各種庫的數(shù)值和參數(shù)[3]。

2 自動(dòng)化工具模塊設(shè)計(jì)

自動(dòng)化工具包括核查模塊、加固模塊、數(shù)據(jù)分析模塊、界面操作模塊，如圖2所示。

核查模塊實(shí)現(xiàn)各版本操作系統(tǒng)識別，并據(jù)此進(jìn)行基線核查；加固模塊實(shí)現(xiàn)對不合規(guī)項(xiàng)的加固；數(shù)據(jù)分析模塊實(shí)現(xiàn)多維度對核查及加固結(jié)果的統(tǒng)計(jì)；界面操作模塊實(shí)現(xiàn)運(yùn)維人員和工具交互。

3 自動(dòng)化工具主要功能實(shí)現(xiàn)

3.1 基線核查及加固

開展基線核查工作的前提是明確待檢查的設(shè)備操作系統(tǒng)及版本，基于策略庫判斷其檢查項(xiàng)的合規(guī)性[4]。策略庫是開展核查的基礎(chǔ)，制定時(shí)通常要結(jié)合系統(tǒng)特點(diǎn)、行業(yè)標(biāo)準(zhǔn)，也可根據(jù)特定需求進(jìn)行定制化開發(fā)。本文依照《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)基本要求》，綜合考慮當(dāng)前電力系統(tǒng)網(wǎng)絡(luò)架構(gòu)上涵蓋的各類型網(wǎng)元，對常見操作系統(tǒng)的主機(jī)信息、賬戶與口令、主機(jī)配置、服務(wù)與應(yīng)用和日志與審計(jì)5個(gè)大類展開研究，其中64位Windows（10、11） 系統(tǒng)含13項(xiàng)（如表1所示），合計(jì)85 個(gè)核查點(diǎn)，其中69 個(gè)可加固；Linux（CentOs、Ubuntu、Red Hat、Ubuntu Kylin、Deepin） 系統(tǒng)含10 項(xiàng)（如表2所示），合計(jì)44個(gè)核查點(diǎn)，其中38個(gè)可加固[5]。

Windows和Linux系統(tǒng)各項(xiàng)核查和加固分別通過powershell和shell編程實(shí)現(xiàn)。以Windows系統(tǒng)賬戶與口令類口令策略管理項(xiàng)中的密碼最長使用期限為例，核查實(shí)現(xiàn)方式見圖3，最終得到目標(biāo)機(jī)密碼最長使用期限的數(shù)值及是否合規(guī)。

加固實(shí)現(xiàn)腳本如圖4所示，最終返回結(jié)果為目標(biāo)機(jī)密碼的最長使用期限項(xiàng)是否加固成功。

按照上述開發(fā)思路編寫了Windows和Linux系統(tǒng)的核查和加固腳本，在測試環(huán)境下分別對其進(jìn)行多次校驗(yàn)，校驗(yàn)結(jié)果見表3。

Windows和Linux系統(tǒng)核查及加固腳本的準(zhǔn)確率均在88%以上，說明自動(dòng)化工具已經(jīng)具備一定的實(shí)用價(jià)值?；厮莶⒎治鰷y試結(jié)果后發(fā)現(xiàn)，Windows系統(tǒng)核查及加固腳本失效的原因主要包括：腳本里的實(shí)現(xiàn)代碼編寫錯(cuò)誤；操作系統(tǒng)非專業(yè)版，無組策略功能；操作系統(tǒng)存在損壞，部分功能不可用等。Linux系統(tǒng)核查及加固腳本失效的原因主要包括：腳本里的實(shí)現(xiàn)代碼編寫錯(cuò)誤；操作系統(tǒng)版本低，缺少部分模塊；同一基線點(diǎn)核查或加固方式不一致等。后續(xù)研發(fā)重點(diǎn)應(yīng)該放在腳本代碼勘誤；豐富不同版本操作系統(tǒng)同一基線點(diǎn)核查或加固實(shí)現(xiàn)邏輯；優(yōu)化腳本異常處理；擴(kuò)大自動(dòng)化工具支持的操作系統(tǒng)等。

3.2 數(shù)據(jù)分析

自動(dòng)化工具對基線核查及加固結(jié)果進(jìn)行規(guī)范化處理，經(jīng)過合并去重等操作后將所有結(jié)果存儲在數(shù)據(jù)庫中。完成某一場站的核查及加固工作后，不僅可以了解某單一目標(biāo)機(jī)核查及加固情況，還可以直觀查詢到廠站所有目標(biāo)機(jī)核查及加固、各類型操作系統(tǒng)占比等信息，即通過數(shù)據(jù)集中化管理，全面了解場站內(nèi)主機(jī)安全配置情況。資產(chǎn)加固統(tǒng)計(jì)界面如圖5所示，操作系統(tǒng)統(tǒng)計(jì)界面如圖6所示。

4 結(jié)束語

本文分析了電力系統(tǒng)主機(jī)安現(xiàn)狀與隱患，設(shè)計(jì)并研發(fā)了一套自動(dòng)化工具，可實(shí)現(xiàn)基于Windows和Linux的多種主機(jī)操作系統(tǒng)的基線核查與加固，解決了長久以來人工巡檢的弊端，能及時(shí)發(fā)現(xiàn)主機(jī)上的各種配置問題及安全風(fēng)險(xiǎn)。本工具適用于當(dāng)下和以后日新月異主機(jī)網(wǎng)絡(luò)安全運(yùn)維需求，有效提升了電力系統(tǒng)安全保障能力和運(yùn)維水平，達(dá)到了維護(hù)國家安全、社會穩(wěn)定和公共利益，保障和促進(jìn)信息化建設(shè)健康發(fā)展的目的。