基于Windows和Linux操作系统基线核查及加固技术的研究和应用
作者: 吴英松 赵亮 隋明岐
关键词:Linux;Windows;基线核查;基线加固;数据分析
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2024)28-0072-03
0 引言
目前国内外电力系统针对主机操作系统的安全防护主要基于数据传输层面,即通过防火墙、纵向隔离等安防设备实现信息分区隔离、通信数据加密认证或访问端口控制,使风险事件发生在可控范围,最大限度保障电力系统安全运行[1]。
当前电力系统主机操作系统基线核查与加固工作存在以下几点问题。
1)主机操作系统核查及加固工作涉及知识面广,专业性强,非专业人员运维困难;
2)主机操作系统种类多,版本多,核查与加固方法不统一;
3)缺乏对所有主机操作系统安防状态全面直观掌控,不利于管理。
为解决以上问题,自主设计和研发一套自动化电力系统主机操作系统基线核查及加固工具(后文简称自动化工具),可实现多种类、多版本的主机操作系统核查、加固及管理,减轻运维人员压力,提升运维效率,加强主机操作系统的安防能力[2]。
1 自动化工具架构设计
自动化工具采用由界面操作层(UI) 、业务逻辑层(BLL) 和数据访问层(DAL) 组成的三层架构模式,如图1所示。
界面操作层主要负责界面呈现以及与用户的逻辑交互,包括接收用户输入的数据和命令,将其传递给业务逻辑层,并将下层返回的数据和结果展示到界面,供用户浏览与操作。
业务逻辑层位于系统架构的中间层,是系统的核心执行层级,其主要负责基于SSH的远程连接、核查模板调用与执行、符合性判断与结果生成、报告生成、配置备份等关键功能。
数据库层主要存储安全基线知识库、符合性判定规则库、核查列表集合及其衍生出的安全配置核查、加固脚本,接收业务逻辑层的命令或请求,读取并返回各种库的数值和参数[3]。
2 自动化工具模块设计
自动化工具包括核查模块、加固模块、数据分析模块、界面操作模块,如图2所示。
核查模块实现各版本操作系统识别,并据此进行基线核查;加固模块实现对不合规项的加固;数据分析模块实现多维度对核查及加固结果的统计;界面操作模块实现运维人员和工具交互。
3 自动化工具主要功能实现
3.1 基线核查及加固
开展基线核查工作的前提是明确待检查的设备操作系统及版本,基于策略库判断其检查项的合规性[4]。策略库是开展核查的基础,制定时通常要结合系统特点、行业标准,也可根据特定需求进行定制化开发。本文依照《信息安全技术—网络安全等级保护基本要求》,综合考虑当前电力系统网络架构上涵盖的各类型网元,对常见操作系统的主机信息、账户与口令、主机配置、服务与应用和日志与审计5个大类展开研究,其中64位Windows(10、11) 系统含13项(如表1所示),合计85 个核查点,其中69 个可加固;Linux(CentOs、Ubuntu、Red Hat、Ubuntu Kylin、Deepin) 系统含10 项(如表2所示),合计44个核查点,其中38个可加固[5]。
Windows和Linux系统各项核查和加固分别通过powershell和shell编程实现。以Windows系统账户与口令类口令策略管理项中的密码最长使用期限为例,核查实现方式见图3,最终得到目标机密码最长使用期限的数值及是否合规。
加固实现脚本如图4所示,最终返回结果为目标机密码的最长使用期限项是否加固成功。
按照上述开发思路编写了Windows和Linux系统的核查和加固脚本,在测试环境下分别对其进行多次校验,校验结果见表3。
Windows和Linux系统核查及加固脚本的准确率均在88%以上,说明自动化工具已经具备一定的实用价值。回溯并分析测试结果后发现,Windows系统核查及加固脚本失效的原因主要包括:脚本里的实现代码编写错误;操作系统非专业版,无组策略功能;操作系统存在损坏,部分功能不可用等。Linux系统核查及加固脚本失效的原因主要包括:脚本里的实现代码编写错误;操作系统版本低,缺少部分模块;同一基线点核查或加固方式不一致等。后续研发重点应该放在脚本代码勘误;丰富不同版本操作系统同一基线点核查或加固实现逻辑;优化脚本异常处理;扩大自动化工具支持的操作系统等。
3.2 数据分析
自动化工具对基线核查及加固结果进行规范化处理,经过合并去重等操作后将所有结果存储在数据库中。完成某一场站的核查及加固工作后,不仅可以了解某单一目标机核查及加固情况,还可以直观查询到厂站所有目标机核查及加固、各类型操作系统占比等信息,即通过数据集中化管理,全面了解场站内主机安全配置情况。资产加固统计界面如图5所示,操作系统统计界面如图6所示。
4 结束语
本文分析了电力系统主机安现状与隐患,设计并研发了一套自动化工具,可实现基于Windows和Linux的多种主机操作系统的基线核查与加固,解决了长久以来人工巡检的弊端,能及时发现主机上的各种配置问题及安全风险。本工具适用于当下和以后日新月异主机网络安全运维需求,有效提升了电力系统安全保障能力和运维水平,达到了维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的目的。