等级保护安全计算环境下的测评方法研究

马晓波

摘 要 随着《网络安全法》的推广，各企事业单位对网络安全的重视程度越来越高。为顺应多形态、多业态网络安全新技术、新形势，信息安全技术——网络安全等级保护基本要求（GB/T 22239-2019）和信息安全技术——网络安全等级保护测评要求（GB/T 28448-2019）应运而生。本文旨在针对上述标准中的重点条款进行分析，提出具有可操作性的测评方法。

关键词 网络安全法;等级保护;测评方法

引言

等级保护进入 2.0 时代，2.0 的核心思想便是“一个中心、三重防护”的理念。三重防护重点强调由外及内的保护，相对于边界外不可控的安全风险，边界内的安全计算环境包括网络设备、安全设备、服务器和终端、应用系统、移动终端管理、业务数据等等。

在实际测评现场环境，客户遇到了标准条款无法理解、无法操作、无法落地的困惑，本文重点强调基本要求的解读以及测评方法得案例说明。

1服务器的重点条款测评方法

（1）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

要求解读：（以 linux 为例）

Linux 系统的用户鉴别过程：系统管理员为用户建立一个账户并为其指定一个口令，用户使用指定的口令登录后重新配置自己的口令，这样用户就具备了一个私有口令。etc/passwd 文件中记录用户的属性信息，包括用户名、密码、用户标识、组标识等信息。现在的 Linux 系统中口令不再直接保存在/etc/passwd 文件中，通常将 passwd 文件中的口令字段使用一个“x”来代替，将/etc/shadow 作为真正的口令文件，用于保存包括个人口令在内的数据。

Linux 中的/etc/login.defs 是登录程序的配置文件。如果/etc/pam.d/system-auth 文件里有相同的选项，则以/etc/pam.d/system-auth 里的设置为准，也就是说/etc/pam.d/system-auth 的配置优先级高于/etc/login.defs。

Linux 系統具有调用 PAM 的应用程序认证用户，其中一个重要的文件便是/etc/pam.d/system-auth（在 Redhat、CentOS 系统上）或/etc/pam.d/common-passwd（在 Debian、Ubuntu 系统上）。/etc/pam.d/system-auth 或/etc/pam.d/common-passwd 中的配置优先级高于其他地方的配置。

测评方法：

1）访谈系统管理员系统用户是否已设置密码，并查看登录过程中系统账户是否使用了密码进行验证登录。

2）以有权限的账户身份登录操作系统后，使用命令 more 查看/etc/shadow 文件，核查系统是否存在空口令账户。

3）使用命令 more 查看/etc/login.defs 文件，查看是否设置密码长度和定期更换要求。

#more /etc/login.defs 使用命令 more 查看/etc/pam.d/system-auth 文件，查看密码长度和复杂度要求。

（2）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

要求解读：

对于第三级及以上的操作系统要求采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

测评方法：

访谈和核查系统管理员在登录操作系统的过程中使用了哪些身份鉴别方法，是否采用了两种或两种以上组合的鉴别技术，如口令、数字证书 Ukey、令牌、指纹等，是否有一种鉴别方法在鉴别过程中使用了密码技术。

具体案例如下：

符合要求的密码技术鉴别技术，比如有基于 RSA 算法的数字证书，基于 SM2 算法的数字证书（安可环境适配的多），基于 keycenter 算法 AES-128 动态口令令牌等;算法并非只要求国密算法，国外算法也可以。

需要注意一点的是：符合要求的堡垒主机，这要看第二种具体什么鉴别机制，是软证书，还有又一重静态口令，还是用到密码技术的鉴别方法[1]。

手机验证码，是随机数发送，挑战应答还是OTP，OTP有的是基于密码技术的，比如 keycenter，但可以肯定的是大多数验证码不符合要求。

（3）应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

要求解读：

敏感标记是由强认证的安全管理员进行设置的，通过对重要信息资源设置敏感标记，决定主体以何种权限对客体进行操作，实现强制访问控制。安全增强型Linux（Security-Enhanced Linux）简称 SELinux，是一个 Linux 内核模块。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块，在使用 SELinux 的操作系统中，决定一个资源是否能够被访问的因素除了用户的权限（读、写、执行）外， 还需要判断每一类进程是否拥有对某一类资源的访问权限，这种权限管理机制的主体是进程，也称为强制访问控制（MAC）。

测评方法：

以有相应权限的身份登录进入 Linux，使用 more 查看/etc/selinux/config 文件中的 SELINUX 参数的设定。

SELINUX 有三种工作模式，分别是：

enforcing：强制模式。违反 SELinux 规则的行为将阻止并记录到日志中，表示使用 SELinux。

permissive：宽容模式。违反 SELinux 规则的行为只会记录到日志中，一般为调试用，表示使用 SELinux。

disabled：关闭 SELinux，使用 SELinux。

2结束语

在面对等保保护2.0标准时，着重强调了一个中心三重防护的理念，重视技术，补充短板，更加接近用户生产环境，将好的实际案例和方法带进等级保护基本要求中来，而反过来等级保护基本要求也在一定程度上引领行业发展方向。

参考文献

[1] 吴齐跃，王永琦.云计算环境下信息安全等级保护测评研究[J].中国教育信息化，2016，（11）：13-17.