馬曉波

摘 要 隨著《網(wǎng)絡(luò)安全法》的推廣，各企事業(yè)單位對(duì)網(wǎng)絡(luò)安全的重視程度越來(lái)越高。為順應(yīng)多形態(tài)、多業(yè)態(tài)網(wǎng)絡(luò)安全新技術(shù)、新形勢(shì)，信息安全技術(shù)——網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T 22239-2019）和信息安全技術(shù)——網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求（GB/T 28448-2019）應(yīng)運(yùn)而生。本文旨在針對(duì)上述標(biāo)準(zhǔn)中的重點(diǎn)條款進(jìn)行分析，提出具有可操作性的測(cè)評(píng)方法。

關(guān)鍵詞 網(wǎng)絡(luò)安全法;等級(jí)保護(hù);測(cè)評(píng)方法

引言

等級(jí)保護(hù)進(jìn)入 2.0 時(shí)代，2.0 的核心思想便是“一個(gè)中心、三重防護(hù)”的理念。三重防護(hù)重點(diǎn)強(qiáng)調(diào)由外及內(nèi)的保護(hù)，相對(duì)于邊界外不可控的安全風(fēng)險(xiǎn)，邊界內(nèi)的安全計(jì)算環(huán)境包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器和終端、應(yīng)用系統(tǒng)、移動(dòng)終端管理、業(yè)務(wù)數(shù)據(jù)等等。

在實(shí)際測(cè)評(píng)現(xiàn)場(chǎng)環(huán)境，客戶(hù)遇到了標(biāo)準(zhǔn)條款無(wú)法理解、無(wú)法操作、無(wú)法落地的困惑，本文重點(diǎn)強(qiáng)調(diào)基本要求的解讀以及測(cè)評(píng)方法得案例說(shuō)明。

1服務(wù)器的重點(diǎn)條款測(cè)評(píng)方法

（1）應(yīng)對(duì)登錄的用戶(hù)進(jìn)行身份標(biāo)識(shí)和鑒別，身份標(biāo)識(shí)具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。

要求解讀：（以 linux 為例）

Linux 系統(tǒng)的用戶(hù)鑒別過(guò)程：系統(tǒng)管理員為用戶(hù)建立一個(gè)賬戶(hù)并為其指定一個(gè)口令，用戶(hù)使用指定的口令登錄后重新配置自己的口令，這樣用戶(hù)就具備了一個(gè)私有口令。etc/passwd 文件中記錄用戶(hù)的屬性信息，包括用戶(hù)名、密碼、用戶(hù)標(biāo)識(shí)、組標(biāo)識(shí)等信息?，F(xiàn)在的 Linux 系統(tǒng)中口令不再直接保存在/etc/passwd 文件中，通常將 passwd 文件中的口令字段使用一個(gè)“x”來(lái)代替，將/etc/shadow 作為真正的口令文件，用于保存包括個(gè)人口令在內(nèi)的數(shù)據(jù)。

Linux 中的/etc/login.defs 是登錄程序的配置文件。如果/etc/pam.d/system-auth 文件里有相同的選項(xiàng)，則以/etc/pam.d/system-auth 里的設(shè)置為準(zhǔn)，也就是說(shuō)/etc/pam.d/system-auth 的配置優(yōu)先級(jí)高于/etc/login.defs。

Linux 系統(tǒng)具有調(diào)用 PAM 的應(yīng)用程序認(rèn)證用戶(hù)，其中一個(gè)重要的文件便是/etc/pam.d/system-auth（在 Redhat、CentOS 系統(tǒng)上）或/etc/pam.d/common-passwd（在 Debian、Ubuntu 系統(tǒng)上）。/etc/pam.d/system-auth 或/etc/pam.d/common-passwd 中的配置優(yōu)先級(jí)高于其他地方的配置。

測(cè)評(píng)方法：

1）訪談系統(tǒng)管理員系統(tǒng)用戶(hù)是否已設(shè)置密碼，并查看登錄過(guò)程中系統(tǒng)賬戶(hù)是否使用了密碼進(jìn)行驗(yàn)證登錄。

2）以有權(quán)限的賬戶(hù)身份登錄操作系統(tǒng)后，使用命令 more 查看/etc/shadow 文件，核查系統(tǒng)是否存在空口令賬戶(hù)。

3）使用命令 more 查看/etc/login.defs 文件，查看是否設(shè)置密碼長(zhǎng)度和定期更換要求。

#more /etc/login.defs 使用命令 more 查看/etc/pam.d/system-auth 文件，查看密碼長(zhǎng)度和復(fù)雜度要求。

（2）應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

要求解讀：

對(duì)于第三級(jí)及以上的操作系統(tǒng)要求采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶(hù)進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

測(cè)評(píng)方法：

訪談和核查系統(tǒng)管理員在登錄操作系統(tǒng)的過(guò)程中使用了哪些身份鑒別方法，是否采用了兩種或兩種以上組合的鑒別技術(shù)，如口令、數(shù)字證書(shū) Ukey、令牌、指紋等，是否有一種鑒別方法在鑒別過(guò)程中使用了密碼技術(shù)。

具體案例如下：

符合要求的密碼技術(shù)鑒別技術(shù)，比如有基于 RSA 算法的數(shù)字證書(shū)，基于 SM2 算法的數(shù)字證書(shū)（安可環(huán)境適配的多），基于 keycenter 算法 AES-128 動(dòng)態(tài)口令令牌等;算法并非只要求國(guó)密算法，國(guó)外算法也可以。

需要注意一點(diǎn)的是：符合要求的堡壘主機(jī)，這要看第二種具體什么鑒別機(jī)制，是軟證書(shū)，還有又一重靜態(tài)口令，還是用到密碼技術(shù)的鑒別方法[1]。

手機(jī)驗(yàn)證碼，是隨機(jī)數(shù)發(fā)送，挑戰(zhàn)應(yīng)答還是OTP，OTP有的是基于密碼技術(shù)的，比如 keycenter，但可以肯定的是大多數(shù)驗(yàn)證碼不符合要求。

（3）應(yīng)對(duì)重要主體和客體設(shè)置安全標(biāo)記，并控制主體對(duì)有安全標(biāo)記信息資源的訪問(wèn)。

要求解讀：

敏感標(biāo)記是由強(qiáng)認(rèn)證的安全管理員進(jìn)行設(shè)置的，通過(guò)對(duì)重要信息資源設(shè)置敏感標(biāo)記，決定主體以何種權(quán)限對(duì)客體進(jìn)行操作，實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制。安全增強(qiáng)型Linux（Security-Enhanced Linux）簡(jiǎn)稱(chēng) SELinux，是一個(gè) Linux 內(nèi)核模塊。2.6 及以上版本的 Linux 內(nèi)核都已經(jīng)集成了 SELinux 模塊，在使用 SELinux 的操作系統(tǒng)中，決定一個(gè)資源是否能夠被訪問(wèn)的因素除了用戶(hù)的權(quán)限（讀、寫(xiě)、執(zhí)行）外， 還需要判斷每一類(lèi)進(jìn)程是否擁有對(duì)某一類(lèi)資源的訪問(wèn)權(quán)限，這種權(quán)限管理機(jī)制的主體是進(jìn)程，也稱(chēng)為強(qiáng)制訪問(wèn)控制（MAC）。

測(cè)評(píng)方法：

以有相應(yīng)權(quán)限的身份登錄進(jìn)入 Linux，使用 more 查看/etc/selinux/config 文件中的 SELINUX 參數(shù)的設(shè)定。

SELINUX 有三種工作模式，分別是：

enforcing：強(qiáng)制模式。違反 SELinux 規(guī)則的行為將阻止并記錄到日志中，表示使用 SELinux。

permissive：寬容模式。違反 SELinux 規(guī)則的行為只會(huì)記錄到日志中，一般為調(diào)試用，表示使用 SELinux。

disabled：關(guān)閉 SELinux，使用 SELinux。

2結(jié)束語(yǔ)

在面對(duì)等保保護(hù)2.0標(biāo)準(zhǔn)時(shí)，著重強(qiáng)調(diào)了一個(gè)中心三重防護(hù)的理念，重視技術(shù)，補(bǔ)充短板，更加接近用戶(hù)生產(chǎn)環(huán)境，將好的實(shí)際案例和方法帶進(jìn)等級(jí)保護(hù)基本要求中來(lái)，而反過(guò)來(lái)等級(jí)保護(hù)基本要求也在一定程度上引領(lǐng)行業(yè)發(fā)展方向。

參考文獻(xiàn)

[1] 吳齊躍，王永琦.云計(jì)算環(huán)境下信息安全等級(jí)保護(hù)測(cè)評(píng)研究[J].中國(guó)教育信息化，2016，（11）：13-17.