【IT168 信息化】

    一.  概述

    随着业务开展对IT系统依赖度的不断增强，业务人员的安全意识和安全技能也在逐步提高。最直接的体现为：传统以安全事件和新兴安全技术为主要驱动的安全建设模式，已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。从典型的信息安全建设过程来看，是由业务需求导出的安全需求在驱动着安全建设的全过程。所以，如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务，是每一个信息化主管所面临的共同挑战。以获取业务驱动的安全需求为主要目标的安全评估是一个行之有效的方法。

    安全评估从早期简单的漏洞扫描、人工检查、渗透测试等纯技术操作，逐步演进为以业务目标为出发点、以安全威胁为触发标志、以技术加管理和运营等多方面存在的安全脆弱性为主要诱因的综合评估方法及操作模型。当前安全评估在实施的过程中，实施质量比较依赖实施人员的经验，缺乏明确统一的操作衡量标准，技术操作过程需要投入大量的人员来进行实施。为解决衡量标准的问题，绿盟科技依据大量安全评估经验，结合行业标准规范，开展了针对基线安全的研究和实践，并成功地应用于运营商行业的日常安全运维工作中。

    本文从安全评估在整个安全体系建设中的重要性和发展趋势出发，探讨基于业务驱动的安全评估模式实施要点，通过分析提出业务系统的基线安全模型，并应用基线模型开展基线安全评估，使用创新型的基线安全评估工具来解决安全评估中的难题。

    二.  安全评估的重要意义

    安全评估是依据有关信息安全技术与管理标准，对信息系统以及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，并针对依据安全评估结果进行的后续风险管理措施提出具体的安全建议。

    对信息系统而言，存在风险并不意味着不安全，而安全体系的建设也不是为了安全而安全，只要把风险控制在可接受的范围内，就可以达到系统稳定运行的目的。安全评估的结果为保障信息系统的持续、稳定、高效运行提供了技术参考。

    安全评估是进行网络和系统安全建设的有力工具和手段，安全体系各阶段的建设都应在安全评估和风险分析的基础上进行。充分进行系统安全评估才能保证安全建设有的放矢、重点突出，才能达到以最小的成本获得最大安全保障，安全评估能保证安全控制措施应用在具有最大风险的区域。

    在系统的规划与设计阶段，安全评估的结果是安全需求的来源，为信息系统的安全建设提供依据；在系统运行维护阶段，由于信息系统的动态性，需要定期地进行安全评估，以了解、掌握系统安全状态，是保证系统安全的动态措施。同时，安全评估也是信息安全等级保护工作的一项不可或缺的工具和手段。

 

    三.  基于业务的安全评估

    全面、系统地分析业务系统面临的风险，能很好的为设计符合业务特点的安全方案打下良好基础，但基于业务实施安全评估历来是一个难点——如何将业务的安全需求转换为对技术、组织、管理方面的安全需求。而解决这个难点的关键就在于业务系统的识别，即对业务流程的梳理和分析。

    业务系统的识别，首先需要以业务系统为中心，梳理系统的架构，包括逻辑架构和物理架构，而物理架构还有可能是在多个地方分布，因此都需要进行考虑。接着是调研系统中的资产，分析组成架构，也就是我们常提的各种软件资产、硬件资产、数据资产等，再定位到各自资产的功能和作用，比如说有业务系统服务器、中间件服务器、后台数据库服务器、接口服务器、测试服务器、应用平台等，以及构建网络的路由器、交换机等。待分析完系统的组成架构和各自功能后，即可开始对系统的相关业务进行梳理和分析了。下面从业务系统的处理流程入手分析：

    第一，业务系统处理数据的获取。是来自于内部支撑网、各种生产网中的端局，还是来自于其他业务系统的数据库；这些数据的类型是什么，是基础数据，还是已经分析完成、格式化完成的数据等；采用什么方式输入数据，PUT OR GET；通过专网传输还是应用支撑网进行承载等。
    
    第二，业务系统完成的功能。是处理话单数据还是直接处理用户业务，数据输入以后是遵循怎样的流程在进行处理；系统获取数据以后是直接进入核心数据库系统，还是有对应的接口主机进行数据标准化、过滤再进入数据库；完成功能过程中是否需要跨区域或者网络进行数据交换等。

    第三，业务系统处理结果的输出。是通过UI界面直接呈现给业务用户，还是通过邮件发送给操作用户，或是直接提交给下一个中间应用系统等。输出的方式是什么，专网传输还是应用支撑网进行承载等；输出的数据是加密数据还是明文数据等。

    第四，业务系统处理流程中用户的角色。上面介绍了业务系统的功能、处理流程等内容，在这些过程中都有哪些用户参与的这些工作。是系统的维护管理用户、业务用户，还是第三方的代维用户等；这些用户是通过B/S、C/S，还是命令行进行控制，这些角色的用户是否为同一人；用户对系统的操作是本地操作还是远程跨公网进行；用户对系统可以执行哪些操作等。

    通过对业务系统的梳理和分析，能将业务系统的主要流程进行重现，然后对这个流程中存在的安全威胁进行识别，分析出在业务系统各个层面的安全风险。并以风险管理为核心、围绕业务系统，确定各个环节中的安全策略要求、人员岗位要求、技术手段要求，逐步形成网络与信息安全的运维体系、组织体系、技术体系，构建相适应的安全保障体系。

    安全保障体系中，组织体系、运维体系是安全工作全面落实的根本保证，不存在理论上的难点，重在扎扎实实的落实。在技术体系方面，根据业务系统的安全需求，选择合适的安全控制措施，防止系统的脆弱性被外部威胁所利用。那么，系统可能存在哪些脆弱性？如何为不同系统建立一个快速检查机制就成为一个关注的焦点，下面将针对业务系统的脆弱性展开对基线安全的讨论。

 

    四.  基线安全研究

    在基于业务的安全评估的基础上，参考国内外的标准、规范，可以设计出针对业务系统的基线安全模型。在这些参考内容中，最值得借鉴的是基于SCAP（Security Content Automation Protocol）框架的FDCC项目。

    FISMA（The Federal Information Security Management Act）提出了一个包含八个步骤的信息安全生命周期模型，这个模型的执行过程涉及面非常广泛且全面，但实施、落地的难度也非常大。由NIST牵头针对其中的技术安全问题提出了一套自动化的计划称为ISAP（information security automation program）来促进FISMA的执行，ISAP出来后延伸出SCAP框架（security content automation protocol），SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成（检查的标准，一致性标准等）。这6个支撑标准需要检查的内容、检查的方式由NVD和NCP来提供，由此SCAP框架就实现了标准化和自动化安全检查，及形成了一套针对系统的安全检查基线。

    FDCC（Federal Desktop Core Configuration，联邦桌面的核心配置）是在美国政府支持下建立的桌面系统（Windows XP、Windows vista等）相关安全基线要求规范，并通过自动化的工具进行检查。FDCC基于NVD、NCP等内容进行基线安全核查。NVD（National Vulnerability Database，国家漏洞数据库）为自动化漏洞管理、安全评估和合规性检查提供数据支撑，包含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。NVD数据库针对数据库中的漏洞等提出了一整套核查名单（Checklist），划归到NCP（National Checklist Program）计划中。简言之FDCC体现了两个方面的特性：

    1.标准化：在NVD、NCP的基础上，构建了一套针对桌面系统的安全基线（检查项），这些检查项由安全漏洞、安全配置等有关检查内容构成，为标准化的技术安全操作提供了框架。

    2.自动化：针对桌面系统的特性，采用标准化的检查内容和检查方法，通过自动化的工具来执行，为自动化的技术安全操作提供支持。

    在运营商行业中业务系统存在着较大的相似性，比如某运营商的智能网系统在各省级公司中的业务应用环境、网络连接情况、内部组网结构、内部系统构成等都存在很大的相似性，因此这就为构建一套运营商自身业务系统的“FDCC”计划提供了基础。
在基于业务的安全评估的基础上，充分考虑行业的现状和行业非常好的实践，并参考了运营商下发的各类安全政策文件，继承和吸收了国家等级保护、风险评估的经验成果，构建出基于业务系统的基线安全模型如下图：
 
    基线安全模型

    基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构：

    1.第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。

    2.第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。

    3.第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，如将操作系统可分解为Windows、Solaris等系统模块，网络设备分解为Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线、Cisco路由器安全基线等。

    下面以运营商的WAP系统为例对模型的应用进行说明：

    首先WAP系统要对互联网用户提供服务，存在互联网的接口，那么就会受到互联网中各种蠕虫的攻击威胁，在第一层中就定义需要防范蠕虫攻击的要求。蠕虫攻击的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在可能的影响，因此在这些不同的模块中需要定义相对应的防范要求，而针对这些防范要求，如何来实现呢？这就需要定义全面、有效的第三层模块要求了。针对不同类型蠕虫病毒的威胁，在Windows、Solaris等系统的具体防范要求是不一样的，第三层中就是针对各种安全威胁针对不同的模块定义不同的防护要求，这些不同模块的防护要求就统一称为WAP业务系统的安全基线。针对WAP业务系统安全基线的检查，就可以转化为针对Windows、网络设备等的脆弱性检查上面。

 

    五.  安全基线的建立和应用

    建立安全基线首先需要对业务系统进行识别和梳理，然后结合基线安全模型分析业务系统的功能架构，再将功能架构细化到系统层面的不同模块。在此基础上，就是针对业务系统特性，分析可能存在的安全威胁，并将针对威胁的应对措施逐层分解到系统实现层。系统实现层中安全基线要求主要是由安全漏洞方面、安全配置方面，以及异常事件等方面的脆弱性检查项构成，这些检查项的覆盖面、有效性就成为了基线安全实现的关键。
 
    基线安全的应用

    应用第三层面安全基线要求，可以对目标系统展开合规安全检查，以找出不符合的项并选择和实施安全措施来控制安全风险。

    1.安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，如在WEB系统边界防火墙中需要开启HTTP通信，但一个WAP网关边界就没有这样的需求，因此在设计业务系统安全基线的时候，安全配置是一个需要关注的重点。

    2.安全漏洞：通常是属于系统自身的问题引起的安全风险，一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性。

    3.安全异常活动：上面两个方面主要都是来自于设备或系统自身，而安全异常活动主要是来自于外部的各种因素导致，比如非法登陆尝试、木马后门、DDoS攻击等都属于安全异常活动，反映了系统当前所处环境的安全状况，有助于我们对安全配置基线和安全漏洞基线进行动态的改进。

业务系统的安全基线建立起来后，可以形成针对不同系统的详细checklist表格和操作指南，为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛，主要包括新业务系统的上线安全检查、第三方入网安全检查、合规性安全检查（上级检查）、日常安全检查等。

    在这方面，运营商行业中的需求是明确和具体的，各大运营商对于业务系统安全基线的重视程度也非常高。比如：中国移动就针对业务系统的安全特性，制订了相应的安全配置系列规范，规范的出台让运维人员有了检查默认风险的标准，是整个安全基线的重要一环。随着日常安全检查、合规性安全检查的开展，面对业务系统内种类繁多、数量众多的设备、系统，如何快速、有效的进行基线安全检查成为一个难题。