论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　摘要：研究了服务器安全基线，介绍目前通常使用的技术及检查方式，针对目前工具导致安全配置工作覆盖率难以保障，耗费大量的人力，周期长、效率低下等缺点，引入SCAP标准。采用基于Agent/Server架构，通过在用户服务器上部署Agent程序，与后台联动来实现对大规模服务器环境操作系统、中间件、数据库进行自动化安全基线（主要是安全配置）核查，对核查结果的科学性、准确性起到促进作用，同时加快了检查的进度，提高了工作效率。

　　关键词：SCAP；安全基线；中间件；设备发现

　　引言

　　随着计算机通信技术的飞速发展，由系统配置而导致的安全问题越来越多。安全内容自动化协议（SCAP）为系统配置的标准化以及对系统配置的脆弱性评估提供了一种统一的方法。越来越多的厂商、组织和社团加入到SCAP的研究中，推动SCAP成为真正意义的全球标准。2010年11月7日至16日，IETF79研讨会在北京召开，全球数以千计的科研工作者参加了这次盛会，其中一个很重要的议题就是讨论将安全内容自动化协议（SCAP：SecurityContentAutomationProtocol）引入IETF（互联网工程任务组：InternetEngineeringTaskForce）标准化，使之成为真正意义上的全球标准[3]。

　　本文通过引入SCAP标准，建立安全基线检查策略库，同时研发安全基线检查系统对目标服务器展开合规安全检查，找出不符合的项进行告警以控制安全风险。同时监控服务器的资源使用情况，通过对历史数据的分析获得业务系统安全状态和变化趋势，并以报表的形式展示给安全和管理人员，以解各个行业安全管理人员的燃眉之急。

　　1安全基线的基本内容

　　安全基线的定义并没有一个统一的标准，根据业界常用的定义描述：安全基线是一个业务系统的最小安全保证，即该业务系统要满足最基本的安全需求，构造业务系统安全基线是系统安全工程的首要步骤，同时也是进行安全评估、发现和解决业务系统安全问题的先决条件[2]。基本组成如图1所示。

　　从图1可以看到，安全基线比安全配置的范围更大，包括安全漏洞和系统状态。在充分考虑行业现状和行业最佳实践，并参考运营商的相关安全政策文件，继承和吸收国家等级保护、风险评估的经验成果等基础上，构建出基于业务系统的安全基线模型[4]。如图2所示。

　　业务系统的安全基线建立起来后，可以形成针对不同系统的详细漏洞要求、配置要求和状态要求的检查项（Checklist），为标准化和自动化的技术安全操作提供可操作和可执行的标准[5]。

　　2目前主要安全配置核查方式

　　2.1人工检查方式

　　目前业内大部分公司对服务器安全配置是通过人工检查的方式进行。人工检查就意味着效率低下，一个人速度再快，检查、记录、分析一台服务器上的一个服务器软件的安全配置也需要10分钟或更长时间，现在一般企业单位的服务器数以百计，也有不少单位服务器数以千计，如果依靠人工检查就意味着：①只能抽样检查，不能全部覆盖；②检查周期长，一般为1～3个月检查一次。

　　2.2自定义脚本检查

　　一些有开发能力的公司自己编写检查脚本来执行服务器安全配置核查，脚本的执行速度快，但也存在如下问题：

　　⑴脚本的编写、测试、维护需要花费大量时间，并需要有较强的技术能力支撑；

　　⑵脚本的执行结果最终需要转换为适合人类阅读的格式，并且需要统计、分析、分发给各个部门等，这些工作需要通过手工进行。

　　事实上，自定义脚本检查在企业信息系统中使用较少，即使有部分企业采用这种方式，在坚持一段时间之后往往也就停止了对自定义脚本的更新维护，最后退回到人工方式或采购自动化工具来执行。

　　2.3自动化工具

　　一些安全公司注意到客户企业的需求，就开发了远程配置核查系统来帮助用户自动化基线检查，并自动生成相关报表，从而大大提升工作效率。目前，很多公司都采购了类似产品来执行安全配置核查，包括中国移动、电信行业公司等。目前此类工具市场上常见的有三家：绿盟远程安全配置核查系统、启明星辰安全配置核查系统、安恒安全基线远程评估系统。

　　目前业内的安全配置核查工具一次安全核查后将不符合项的报表发给相关人员，要求执行修复加固，在间隔一段时间（数周～1个月）后再进行下一次核查，并比对两次核查结果来判断上一次修复加固的结果。这种做法耗时太长，不能满足当前安全威胁日益加剧的形势下服务器安全的管理需要。

　　2.4其他软件接口扩展定制

　　除了以上三种方式，还有一种方式，就是目前很多网管系统、配置管理系统虽然自身没有安全配置核查的功能，但系统本身提供了很多接口可以和服务器进行交换采集信息，因此有些公司会考虑在这些系统之上进行定制开发来实现安全配置核查。

　　例如一款在互联网公司很流行的开源网管系统Zabbix，它的客户端就支持以下多种采集方法：TCP/UDP监听商品、进程、服务、执行脚本、文件属性查询（校验和、存在性、MD5、大小、时间戳、WMI查询、文件内容获取（支持正则表达式）。

　　用户可以基于这些方法来采集需要获取的安全参数信息，并设定规则进行分析相关参数是否符合安全配置核查的要求；但这种定制需要很高的二次开发成本，而日后的维护、升级都存在很大的限制，因此虽然理论上可行，并且可以充分利用现已使用的系统，但实际中这种情况存在的很少。

　　3高效解决方案简介