孟亚豪 李旋

摘 要：新修订的网络安全等级保护国标相对前一版进行了较大幅度的改动，除了根据不同的应用场景提出了不同的扩展要求之外，在通用安全要求的控制层面中使用计算环境安全替代了之前的主机安全和应用安全。文章以CentOS7操作系统为例，对计算环境安全中的身份鉴别和访问控制控制点进行了详细的描述，并给出了不同控制项的检查和测评方法，检查和测评方法能够准确地对控制项进行符合性判定。

关键词：计算环境安全；CentOS7；身份鉴别；访问控制

中图分类号：TP391 文献标识码：A

Abstract： The newly revised network security protection national standard has undergone significant changes from the previous version. In addition to different extension requirements according to different application scenarios， the use of computing environment security in the control level of general security requirements has replaced Host security and application security. Taking the CentOS7 operating system as an example， this paper describes the control points of identity authentication and access control in the computing environment security in detail and gives the inspection and evaluation methods of different control items. The inspection and evaluation methods can accurately match the control items and make compliance determination.

Key words： computing environmental security； centOS7； identity authentication； access control

1 引言

隨着《网络安全法》的不断推进，网络安全等级保护制度的不断完善，网络安全已经渗透到了各行各业。待发布的网络安全等级保护基本要求（简称等级保护2.0）从技术和管理两个方面对网络与信息系统安全保障进行了全面描述与规范，且在技术层面添加了云计算、移动互联网、物联网和工业控制系统安全测评扩展要求，是一部完整的以技术保障为基础、以管理运营为抓手、以监测预警为中心、以协同响应为目标的网络安全防御体系框架性指导标准与规划建设指南。

等级保护2.0的技术保障体系虽然延续了信息系统安全等级保护基本要求（简称等级保护1.0）中的以资产（网络与信息系统）防护为目标的安全保障思路，但是在控制层面上进行了重新的划分，尤其是等级保护1.0中的主机安全和应用安全在等级保护2.0中已经被计算环境安全替代，在变化上较为显著。因此，本文以第三级系统为例，针对等级保护2.0中计算环境安全要求的基本要求，对其部分控制点进行介绍和测试方法分析[1]。

2 计算环境安全

2.1 身份鉴别

本项要求包括四项内容：

a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

b）应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；

c）当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；

d）应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

其中，d）项为等级保护第三级系统增加的内容。

本文以CentOS7为例，对每个测评控制点进行详细介绍，以说明控制点的测试方法以及符合程度。

针对控制点a），等级保护2.0测评要求中要求检查：

1） 应核查用户在登录时是否采用了身份鉴别措施；

2） 应核查用户列表确认用户身份标识是否具有唯一性；

3） 应核查用户配置信息或测试验证是否不存在空口令用户；

4） 应核查用户鉴别信息是否具有复杂度要求并定期更换。

针对检查项1）、2）和3），除了检查登录操作计算环境设备（主机、应用系统等）的用户是否需要输入登录口令或其他鉴别信息外，还应该检查系统的所有用户，对于能够登录的或者其他程序调用的用户，是否均需要提供口令才能够登录，如在CentOS7系统输入cat /etc/shadow指令查看是否有无需身份鉴别即可登录的空口令用户，以及是否存在重名用户，如图1所示。从图1中可以看到，除了Root以及Mctc用户以外，其他用户的密码字段均为*或者！！号，标识该用户不可用于登录或者已被锁定，因此系统不存在不进行身份鉴别即可登录的空口令账户，也没用重名用户。

针对检查项4），需要查看计算设备的密码策略，CentOS7的密码策略有2处需要注意，第一处为指令cat /etc/login.defs下，如图2所示，从该指令的提示信息可以看到，系统的认证模块被PAM管理或者替代了，因此此处生效的只有密码最大使用期限99999天和最小可以更改的时间0天，控制密码的定期更换。第二处为指令cat /etc/pam.d/system-auth下，如图3所示，password requisite pam_cracklib.so try_first_pass retry=3 type= 这一条控制密码的复杂度，此处并没有限制口令复杂度，因此默认是不符合的，可以把需要的配置参数，进行手动添加，添加后的结果如图4所示，

password requisite pam_cracklib.so try_first_pass retry=3 type=后面添加minlen=10，表示密码的最短长度必须为10位。difok=3表示允许新旧密码相同的数量是3个，这个用不到。Dcredit=N表示至少有N个数字，ucredit=N至少有N个大写字母，lcredit=N至少N个小写字母，ocredit=N至少N个特殊字符。选择是否对root用户生效enforce_for_root而retry=3， retry=N改变输入密码的次数，第一行pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60，表示失败3次锁定用户120s，这个配置对root用户一样生效，但是root用户仅锁定60s。

针对控制点b），等级保护2.0测评要求中要求检查：

1） 应核查是否配置并启用了登录失败处理功能；

2） 应核查是否配置并启用了限制非法登录功能，非法登录达到一定次数后采取特定动作，如账户锁定等；

3） 应核查是否配置并启用了登录连接超时及自动退出功能。

针对检查项1）和2）在控制点a）中已经做了相关描述，对登录失败次数和处理措施做了相关的配置和测试说明。

针对检查项3），在CentOS7中，查询指令cat /etc/profile，如图5所示，检查超时退出的配置，查看是否具有TMOUT的配置，如果没有，说明没有超时退出机制，则不满足要求，可以使在“HISTFILESIZE=”行的下面增加上，如TMOUT=300，即是超时5分钟退出，则满足要求。

针对控制点c），等级保护2.0测评要求中要求检查：应核查是否采用加密等安全方式对系统进行远程管理，防止鉴别信息在网络传输过程中被窃听。检查远程管理的使用方式，如果使用了Telnet等明文的远程管理方式则不符合，文中在对CentOS7进行远程管理时，使用Ssh的远程管理方式，Ssh的远程管理方式，虽然在传输层是加密的，但是还需要结合渗透测试，检查Ssh使用的版本，确认不存在弱加密算法等[2-3]。

针对控制點d），等级保护2.0测评要求中要求检查：

1） 应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别；

2） 应核查其中一种鉴别技术是否使用密码技术来实现。

针对检查项1）和2），应验证是否使用了除用户名和口令以外的鉴别技术，如标准中要求的几种鉴别技术，在使用的密码技术中，需要确认使用的密码算法是否满足国家密码算法。

2.2 访问控制

本项要求包括：

a） 应对登录的用户分配账户和权限；

b） 应重命名或删除默认账户，修改默认账户的默认口令；

c） 应及时删除或停用多余的、过期的账户，避免共享账户的存在；

d） 应授予管理用户所需的最小权限，实现管理用户的权限分离；

e） 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

f） 访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

g） 应对重要主体和客体设置安全标记，并控制主体对有安全标记信息资源的访问。

其中e）、f）和g）项为等级保护第三级系统增加的内容，同样以CentOS7为例，对每个测评控制点进行详细介绍，以说明控制点的测试方法以及符合程度。

针对控制点a），等级保护2.0测评要求中要求检查：

1） 应核查是否为用户分配了账户和权限及相关设置情况；

2） 应核查是否已禁用或限制匿名、默认账户的访问权限。

针对检查项1）和2），检测用户所属的组以及可以执行的bash，是否对用户所属的组进行了合理的划分，如使用cat /etc/passwd指令进行查看，如图6所示；对关键文件目录进行权限查看，如passwd、shadow、xinted.d、message等文件进行检查，权限不应大于644，如图7所示。

针对控制点b），等级保护2.0测评要求中要求检查：

1） 应核查是否已经重命名默认账户或默认账户已被删除；

2） 应核查是否已修改默认账户的默认口令。

针对检查项1）和2），在CentOS7中默认的可登录账户为Root，应将其重命名或者禁用，因为Root用户在创建时会提供初始化口令的功能，因此应修改初始口令。

针对控制点c），等级保护2.0测评要求中要求检查：

1） 应核查是否不存在多余或过期账户，管理员用户与账户之间是否一一对应；

2） 应测试验证多余的、过期的账户是否被删除或停用。

针对检查项1），需要询问系统管理员系统账户与管理员的对应关系，是否具有多余账户，即没有再使用的账户。

针对检查项2），需要首先查看用户账户策略，是否会存在已过期的账户，即已经超出用户创建时的使用期限，如果存在过期账户，应对其删除或者停用。

针对控制点d），等级保护2.0测评要求中要求检查：

1） 应核查是否进行角色划分；

2） 应核查管理用户的权限是否已进行分离；

3） 应核查管理用户权限是否为其工作任务所需的最小权限。

针对检查项1），需要检查是否对用户进行角色划分，或者对用户进行分组，即检查用户的分组。

针对检查项2）和3），需要检查是否对用户进行权限划分，即操作系统管理员不应当具有数据库管理权限，反之亦然，使各用户的权限满足其工作范围内的最小权限[4-5]。

针对控制点e），等级保护2.0测评要求中要求检查：

1） 应核查是否由授權主体（如管理用户）负责配置访问控制策略；

2） 应核查授权主体是否依据安全策略配置了主体对客体的访问规则；

3） 应测试验证用户是否有可越权访问情形。

针对检查项1）、2）和3），首先检查是否对管理员（授权主体）可访问的文件系统（客体）进行了访问控制规则的划分，如控制点a）中对文件的权限进行划分，具有权限的管理员才能够对其进行读、写或者执行，尝试对管理员可供管理的文件目录，或用户可供访问的以外的连接进行访问，如普通用户登录时使用其他管理员的token或者sessionID进行登录，查看是否存在越权的可能。

针对控制点f），等级保护2.0测评要求中要求检查：应核查访问控制策略的控制粒度是否达到主体为用户级或进程级，客体为文件、数据库表、记录或字段级。该检查项要求将主体定义为用户或者进程，课题定义为文件、数据表、记录或者字段，如控制点a）中，主体为用户，客体为文件，对主体访问客体的行为进行访问控制。

针对控制点g），等级保护2.0测评要求中要求检查：

1） 应核查是否对主体、客体设置了安全标记；

2） 应测试验证是否依据主体、客体安全标记控制主体对客体访问的强制访问控制策略。

针对检查项1），检查是否对主体和客体设置了敏感标记，如对主、客体标记了等级，一级、二级、三级的用户和文件，针对用户，具有一个标记字段，针对文件在文件头或其他位置具有等级标记，则满足检查项1）。

针对检查项2），检查主、客体之间的访问是否用到了标记功能，基于标记使用强制访问控制策略进行主、客体之间的访问，由于强制访问控制具有多种模型，因此针对系统需要保护的资产（保密要求或完整性要求）可以使用不同的控制模型，然后根据安全等级对强制访问控制模型的强度准则（简单准则或者强准则）进行定义，如一级用户根据标记只能访问带有一级标记的文件，二级用户既可以访问带有二级标记的文件，又可以访问带有一级标记的文件，而三级的用户可以访问带有一、二、三级标记的文件；或者一级用户只能访问带有一级用户的文件、二级用户只能访问带有二级标记的文件而三级用户只能访问带有三级标记的文件[6-10]。

3 结束语

等级保护2.0中通用要求安全层面中的计算环境安全控制层面包括了等级保护1.0中的主机安全和应用安全，因此检查和测试难度和复杂度都较以前进行了提高，本文从身份鉴别和访问控制的控制点出发以CentOS7操作系统为例，对控制项进行了检查和测试方法分析，给出了一种符合性判定的思路。针对其他操作、存储、计算或者应用系统以及其他诸如安全审计、入侵防范等安全层面，均可以使用类似的判定方法进行检查和测试，以做到检查和测试的可行和准确。

基金项目：

本论文得到数据与个人信息保护安全技术与测评标准研究项目的资助（项目编号：2017LLYJGASS020）。

参考文献

[1] 马力，毕马宁，任卫红.安全保护模型与等级保护安全要求关机的研究[J].等级保护， 2011， （6），1-3.

[2] 方玲，仲伟俊，梅.安全等级对信息系统安全技术策略的影响研究——以防火墙和IDS技术组合为例[J].系统工程理论与实践， 2016，36 （5）1231-1238.

[3] 翁迟迟，齐法制，陈刚.基于层次分析法与云模型的主机安全风险评估[J].计算机工程， 2016，42（2）1-6.

[4] 马民虎，赵光.等级保护与关键信息基础设施保护的竞合及解决路径[J].西安交通大学学报（社会科学版），2018，（4）1-10.

[5] 李安虎，崔爱菊，宋庆磊.802.1x访问控制技术在信息安全等级保护建设中的应用于分析[J].计算机应用， 2014，34（S2）102-104.

[6] 江颉，顾祝燕，高俊骁.基于敏感等级的云租户数据安全保护模型研究[J].系统工程理论与实践， 2014， 34（9）2392-2400.

[7] 刘一丹，董碧丹，崔中杰，李永立.基于模糊评估的等级保护风险评估模型[J].计算机工程与设计， 2013，34（2）452-457.

[8] 王君，石天义.基于信息安全等级保护的网络模型分析[J].信息技术与信息化， 2015，10，51-55.

[9] 张鹏，张晓尧，基于云模型的信息系统测评安全结论判定[J].武汉大学学报（理学版）， 2014， 60（5）：429-433.

[10] 张大伟，沈昌祥，刘吉强，等.基于主动防御的网络安全基础设施可信技术保障体系[J] .中国工程学，2016，18（6）58-61.