【交易技术前沿】信息系统安全配置基线管理体系建设初探 / 王玥
本文选自《交易技术前沿》第十六期 (2014年9月)。
系统运行部 王玥
1.引言
信息系统整体安全保障目标的实现依赖众多因素,包括系统架构设计、安全产品部署、系统安全配置、应用安全功能开发等等。对于系统整体安全而言,安全配置是其中一个非常关键而又相对容易被忽略的环节,根据OWASP发布的TOP 10漏洞统计,“安全配置不当”漏洞一直位列前十,并且由于安全配置不当造成的风险以及引发的信息安全事件正在呈逐年上升的趋势。因而,安全配置管理这块“短板”也日渐成为信息安全管理的重点关注对象。安全配置管理的核心内容就是制订系统安全配置规范,形成安全基线,并将规范要求有效的贯彻执行下去。2.安全基线理论概述
2.1.安全基线概念“基线”是一种在测量、计算或定位中的基本参照,在信息安全管理工作中,结合木桶理论,可以认为“基线”就是安全管理中木桶的最短板,因此“安全基线”可以理解为安全的最低要求。信息安全往往需要在成本与风险之间进行权衡, 而安全基线正是这个平衡的合理的分界线,它是根据可承受的安全风险水平定义出的最基本的安全需求。
2.2.安全基线的起源:FISMA
联邦信息安全管理法案(The Federal Information Security Management Act,FISMA)由美国国家标准和技术研究院(National Institute of Standards and Technology,NIST)牵头制定,是美国2002年颁布的电子政务法案中的第三章,该法案要求每个联邦机构必须开发、记录并实施机构范围内的信息安全规程,并为它的信息和支持运营和资产的信息系统提供信息安全支持。
FISMA最大的贡献是以立法的形式规定了联邦政府信息系统安全要求和各部门的责任,使得一直忽视计算机安全的联邦政府真正开始关注计算机安全,同时FISMA提出了一个包含九个步骤的风险管理框架,但这个框架的实施、落地的难度也很大,真正实施起来也非常复杂。
2.3.安全基线的发展:ISAP/SCAP
2007年5月,为了推动FISMA法案的落地,NIST牵头提出了信息安全自动化计划(Information Security Automation Program, ISAP),希望以自动化的、标准化的模式进行信息安全管理,确保信息系统安全管控与FISMA要求一致。NIST在ISAP中提出了安全内容自动化协议(Security Content Automation Protocol,SCAP)以解决三个棘手的问题:一是实现政策法规实施的落地,二是将信息安全所涉及的各个要素标准化(如统一漏洞的命名及严重性度量),三是将复杂的系统配置核查工作自动化,其标准化、自动化的思想对信息安全管理产生了深远的影响。
SCAP版本1.0包含以下六个SCAP元素:XCCDF、OVAL、CVE、CCE、CPE、CVSS。这些标准在SCAP产生之前都已经存在,并在各自的领域发挥着重要作用,通过SCAP将其整合后,整体标准化的优势变得十分明显:标准的输入数据格式、标准的处理方法和标准的输出数据格式,这非常有利于安全工具之间实现数据交换。
在实际的系统安全性检查中,OVAL实现了执行检查的技术细节,即自动化检查工具如何采集系统信息并做出检查结论的判定;XCCDF通过对OVAL定义列表进行剪裁或重新对OVAL变量进行赋值,实现可高度自定义的系统检查单;CVE、CCE、CPE实现了标准的漏洞、配置项、平台的枚举字典,这使得检查的结果具有统一性,增强安全检查工具间的互操作性;CVSS、CCSS则实现了标准的严重性度量标尺,为安全性检查的结果赋予量化的判定值,有利于安全风险的计算和统计。
图1. 安全内容自动化协议(SCAP)概览
安全基线的最成功案例当属联邦政府桌面配置项目(Federal Desktop Core Configuration,FDCC),FDCC是在美国政府支持下建立的桌面系统安全基线要求规范,并通过自动化的工具进行基线核查。在自动化基线核查中,需要检查的内容由NVD(National Vulnerability Database,国家漏洞数据库)提供,检查的方式由NCP National Checklist Program:美国国家检查单项目)来提供,由此SCAP框架就实现了标准化和自动化安全检查,及形成了一套针对系统的安全检查基线。FDCC项目充分体现了SCAP两个方面的特性:
标准化:构建了一套针对桌面系统的安全基线(检查项),这些检查项由安全漏洞、安全配置等有关检查内容构成,为标准化的技术安全操作提供了素材。
自动化:针对桌面系统的特性,采用标准化的检查内容和检查方法,通过自动化的工具来执行,为自动化的技术安全操作提供支持。
综上所述,安全基线的重要理论基础就是美国的SCAP体系,而NVD和NCP则为安全基线理论的落地提供了重要的基础参考数据。目前,NVD中所有的漏洞均使用SCAP标准中的OVAL、CVE与CCE描述,可以从其官方网站
http://nvd.nist.gov获取,由NIST主导的NCP也已积累了大量的用于系统安全性检查的数据,可以从
http://web.nvd.nist.gov/view/ncp/repository获取。
3. 安全配置基线体系建设
对于一个有效的信息安全管理体系而言,最大的挑战之一就是实现管理目标的有效落地执行,一方面技术必须成为管理的有效支撑,另一方面管理目标应尽量通过技术手段体现,从而避免技术、管理两层皮的现象。安全配置基线的理念可以很好的成为技术与管理之间的“粘合剂”,参照安全基线的理念将管理目标合理拆分成为目标明确、可操作性强的技术目标,从而在安全配置基线中用标准化的技术手段、指标体现管理要求。在实际工作中,安全配置管理对于发挥系统及产品的安全功能、保障系统整体安全起着至关重要的作用,安全配置不当造成的风险和漏洞比比皆是,如无关账户开启导致克隆管理员账号、默认及无关服务开启导致特权提升、口令过于简单造成暴力破解、 权限控制不严导致可执行非法操作等等。3.1. 安全配置基线管理的建设目标
安全配置基线的建立应以“安全合规、风险可控”为基本原则,以控制“配置不当”风险为目标,厘清安全配置管理条线涵盖的相关内容,明确需要落实的各项任务,制订相应的技术管理规范,提高安全基线配置管理效能。一套完整独立的安全配置基线管理应包含如下的任务内容:
•建立一套符合合规、风险管理要求的设备与软件配置规范文件集,为设备配置和软件配置制定技术标准;
•配合制订相应的管理办法,推动安全配置基线管理的执行与落实;
•建立一套有效的安全配置基线检测与控制机制,检查配置基线管理的执行情况。
•风险度量与输出
3.2. 安全配置基线管理体系文件制定
安全配置基线体系实际是一个“多方位、全流程、全覆盖的体系文件合集”,参考安全信息安全管理体系架构的设计思想,管理制度及技术规范按照不同用途可以分为四级文件结构:即第一级的策略、第二级的管理办法、第三级的操作指南以及第四级的表单,在安全配置基线管理体系中,我们设计成为包括:一级信息安全基线策略,二级安全基线管理办法,三级安全配置规范,四级安全配置检查表的四级体系文件合集,如图2所示。以安全配置基线管理为目标的体系文件合集覆盖了安全策略、技术规范与要求、以及技术操作命令表单,可以有效解决安全配置条线对于技术、工具的支撑要求,一、二级文件明确了基线管理的策略要求和各部门与岗位职责,有效规范并保障安全基线管理的落地实施,三级、四级文件可以帮助各级系统的系统/网络/安全管理人员完成设备的安全配置操作和检查,从而使得管理与技术相互配合,共同支撑安全配置基线管理的落地执行。
图2. 信息系统安全基线管理体系文件集
安全策略
安全策略是宏观方面的描述,描述了安全策略的总体目标和适用范围,目前我们按照Web服务器、应用服务器、数据库、操作系统、网络设备、安全编码分为六类,策略中简要、概括性的语言描述应该或者不应该做某事,可附加简短的补充性说明,策略不具有可操作性,具体操作内容应在配置规范中体现。例如:“应限制Web服务器额外模块的运行,对于在系统运行时不需要的模块,在编译时进行删除。
•
管理办法
制订安全配置基线管理办法是为了配置规范相关要求内容能够顺利得到贯彻执行,通过明确相关部门及人员对设备配置管理的职责,规定配置基线在什么场景下如何使用,以及对违反配置管理要求的责任追究等内容,配合配置基线要求的落地操作。管理办法的起草制订遵循了通用管理办法的框架结构。包括总则、责任部门及相关职责说明、操作及使用要求等五个章节。将配置基线的适用范围、使用场景、职责岗位、操作时间要求、特殊不符合基线要求情况的处理办法等若干问题做了明确说明。使配置基线管理执行能够做到有据可依。
•安全配置规范
安全配置规范是为各级系统管理人员的在测试阶段、设备入网阶段以及日常运维阶段提出安全配置操作要求,使其成为系统设备安全配置的标准和依据。由于系统的设备种类与数量较为庞大,我们将系统生产环境目前使用的主流的设备与系统归为六个大类,包括:Web服务器、应用服务器、数据库、操作系统、网络设备、安全编码,每个大类按照设备型号、软件版本等特征细分为多份规范,每份规范均包含账号管理、访问权限、日志管理、信息泄露、登录控制、安全增强等方面的基线配置项,目前针对各类设备的主流厂商提供的设备型号、版本等差异等信息已经制订了十五份配置基线规范。
表1 .配置规范样例:Apache-移除缺省的CGI测试脚本
配置项编号SSE_SEC_WEB_APACHE_15
配置项说明CGI的缺省默认脚本会输出系统信息,有信息泄露风险。
配置项命令删除相关CGI目录(缺省cgi-bin)下的测试或者未用文件
# rm $APACHE_PREFIX/cgi-bin/printenv
# rm $APACHE_PREFIX/cgi-bin/test-cgi
配置项要求必须
审计命令检查CGI目录的缺省文件是否删除。
备注
•检查表
相对于三级文件安全配置规范,制订四级的操作与检查表单的主旨是提供具体的操作配置与检查详细命令。四级文件对于设备系统的分类保持不变,在三级文件的要求基础上,列出详细的操作脚本执行命令,具体示例见表2。
表2.检查表样例:LINUX-为/etc/grub.conf设置正确的用户和组
序号18
检查点/etc/grub.conf配置文件是启动启动的配置文件,需要设置这个文件的用户和组均为root
实际值root root
匹配规则字符串包含
标准值root
配置方法chown root:root /etc/grub.conf
结果符合
备注
3.3. 安全配置基线的日常运行
3.3.1.安全配置规范的输入
安全基线要求体现在三级文件安全配置规范中,安全配置规范的制定,可考虑从以下几方面进行输入:
•
合规要求:重点考虑国家信息安全主管、行业监管机构颁布的各类信息安全要求,如《证券期货业信息系统安全等级保护基本要求》、《证券期货业信息安全保障管理办法》、《证券期货业信息系统运维管理规范》等。
•
风险控制要求:将内控与风险管理思想将作为安全配置基线管理的重要指导和依据,如信息安全管理体系风险评估报告、各类信息安全审计输出、各类信息安全检查发现的风险问题、漏洞扫描输出等。
•
已有的最佳实践:参考国际、国内的各类信息安全最佳实践,如NCP就提供了大量非常有价值的最佳安全实践。
安全配置规范应持续维护,在合规要求、风险控制水平发生变化的情况下须及时修订,同时还应考虑设备或系统的运行环境中安全威胁发生变化的情况,经评估有必要时,也应及时修订配置规范和检查表。
3.3.2.安全配置项检查
IT设备和业务系统在安全基线建立后,则可以利用这些规范要求进行安全检测,其应用范围非常广泛,主要包括新系统的上线安全检查、新购或更新设备接入检查、各种合规性安全检查、日常运维安全检查等。如果我们设定的某设备或系统的安全基线为S,在进行安全检测后所得的检测结果为T,则可以将S与T进行匹配,查看其是否一致。如果一致,则表明该设备或系统目前状态达到最低安全配置要求,如果二者结果不一致,则表示该设备或系统的安全配置发生了偏移,可能存在风险,则对与不符合的项进行再次评估。
通用型系统和设备的安全配置检查可采用自动化的方式进行,以Linux安全配置检查为例,我们将所有检查表写成Perl脚本,在商定的时间由系统管理员开通权限,远程登录并运行,脚本抓取的检查数据经预定义的解析文件进行解析,生成格式化xml文件,该文件可直接在浏览器中阅读点击,大大提高了配置检查的效率,核查效果如图3所示。经过安全基线的测试与验证,安全配置规范和自动化核查脚本没有给被测系统造成影响,印证了我们制订的配置基线规范的准确性和有效性。
图3. 测试环境RH Linux 6.3 配置核查展示
4. 总结
安全配置基线有效的推动了安全管理要求的落实,管理办法、配置规范的制订进一步明确了运维管理中针对设备配置管理条线的管理控制任务和责任,同时为一线信息化管理人员提供了安全配置的最低标准和操作指南依据,有效提高了信息系统的安全配置条线的安全保障水平。另一方面,安全配置基线通过工具化的配置表单及检查表单为运维人员及监督检查人员提供了可操作实施的命令工具集,结合可自动执行的配置核查脚本工具,实现漏洞管理的风险前移,从而在系统上线前就有效降低因配置不当而导致的安全风险。综上所述,在当前严峻而复杂的安全威胁形势下,建立一套覆盖组织重要系统的安全基线管理体系,并以其为基准进行持续迭代是一个行之有效的风险管理手段,通过安全基线管理,可以帮助我们将漏洞风险管理前移,协助我们坚守“安全底线”,从而提升安全保障的水平。
参考文献:
[1] SCAP中文社区,
http://www.scap.org.cn/index.html
[2] Federal Information Security Management Act.
http://iase.disa.mil/fisma/index.html
[3] The Security Content Automation Protocol.
http://scap.nist.gov/
[4] Federal Desktop Core Configuration.
http://nvd.nist.gov/fdcc/index.cfm
免责声明
本公众号内容仅供参考。对任何因直接或间接使用本公众号内容而造成的损失,包括但不限于因有关内容不准确、不完整而导致的损失,本公众号不承担任何法律责任。如有问题请反馈至tech_support@sse.com.cn。
--------------------------
上海证券交易所为证券公司、基金管理公司等市场参与者及相关行业机构提供交易技术支持与服务,包括日常交易技术支持、技术交流研讨、市场调查反馈、证券信息技术知识库、测试等服务。
点击"阅读全文"了解详情
关注 上交所技术服务
微信扫一扫关注公众号
