王克明 冯方回

中国人口与发展研究中心 北京 100081

0 引言

随着计算机网络技术的迅猛发展和信息技术的广泛应用，信息和计算机网络系统已经成为社会发展的重要保证。信息与网络涉及到国家的政治、军事、经济等诸多领域，在计算机网络中存储、传输和处理的信息包括各种政府宏观调控决策、商业经济信息、高科技科研数据等重要信息，因此计算机网络系统的安全是关系到国家安全和主权、经济发展和社会稳定的重要因素。

主机是信息应用的核心，是绝大多数用户应用服务的运行中心和数据处理中心，是信息系统中敏感信息的直接载体，也是各类应用系统运行的平台，针对主机的攻击事件层出不穷，攻击手段多种多样，从缓冲区溢出攻击、系统管理员口令攻击到恶意代码攻击，从因特网黑客外部攻击到内部人员攻击，所以主机安全是保证整个信息系统安全的基础，同时主机安全也是等级保护体系中安全建设的重要组成部分，研究如何在等级保护要求下科学有效部署主机安全保障系统，是当前信息安全保障工作中迫在眉睫的任务。

1 主机安全风险分析

1.1 存在较多安全漏洞

主机系统存在较多安全漏洞，其中很多漏洞会被黑客利用，成为黑客攻击的目标或跳板。另外，每年都会发现新类型的漏洞，对于新类型漏洞的代码实例分析常常导致数以百计的其他不同软件漏洞的发现，入侵者往往能够在软件厂商更正这些漏洞之前首先发现这些漏洞。面对操作系统安全漏洞，用户所能做的往往是以“打补丁”的方式为主机操作系统不断的升级更新。这种方式最大的缺陷是系统补丁的滞后性：（1）从补丁测试到分发，需要较长周期。在此期间，操作系统安全仍然无法得到保障；（2）补丁永远是在漏洞之后，且补丁永远“打不完”；（3）随着发现漏洞的工具的自动化趋势，留给服务器管理员打补丁的时间越来越短。因此这种事后补救的方式存在着较大的安全隐患，往往在补丁没有发布之前，黑客就已经利用这些漏洞对服务器造成极大的破坏了。同时，主机上的第三方软件也会存在或多或少的漏洞，这些漏洞中有不少可被利用，严重威胁主机安全。

1.2 操作系统完整性破坏

主机操作系统完整性破坏是当前主机面临的主要安全威胁。现有主机操作系统，从开机启动到运行服务过程中，对执行代码不做任何完整性检查，导致病毒、木马程序可以嵌入到执行代码程序或者直接替换原有程序，实现病毒、木马等恶意代码的传播。这些恶意代码一旦被激活，就会继承当前用户的权限，从而肆无忌惮地进行传播，为所欲为地破坏主机操作系统的完整性，例如在服务器管理员毫不知情的情况下修改或删除服务器中的重要信息，或者破坏服务器操作系统中的一些重要服务，导致服务器操作系统无法正常运作等。

1.3 重要信息失窃密

主机中往往存放着大量的重要信息，而随着信息化的高度发展，重要信息越来越容易被复制和传播，从而导致重要信息的失窃密事件频繁发生，严重损害相应组织机构的形象和利益，甚至威胁到了社会秩序、公共利益和国家安全。另外出于各种利益的驱使，信息系统中的一些合法用户可能有意规避主机安全防护措施，利用现有主机防护技术的漏洞，通过网内攻击，恶意植入木马等手段进行非法操作，导致失窃密事件发生。

1.4 信息完整性破坏

信息完整性面临的威胁主要指主机中的重要信息在存储期间被恶意篡改，使得重要信息失去了原有的真实性，从而变得不可用或造成广泛的负面影响，恶意用户可以通过网络或其他方式对没有采取安全措施的主机上存放的重要信息进行修改或传达一些虚假信息，从而影响工作的正常进行。

1.5 缺乏内部攻击的防范措施

内部人员攻击是指获得授权的合法用户从信息系统内部发起的攻击。传统的安全防护措施大多只对来自外部的攻击进行防范，但俗话说家贼难防，由于内部人员可直接接触主机中的重要信息，并且了解主机的安全防御措施和管理手段，因此相对于外部用户而言，其更容易规避防护措施，利用主机系统安全防御措施的漏洞或管理体系不完善的弱点，从内部发起攻击来破坏服务器系统的安全，从而达到某种不可告人的目的。据国际权威机构统计，80%的信息安全事故都是内部工作人员或内部工作人员与外部人员相互勾结所为，且这种现象呈上升趋势，一系列的实际案例可以说明，来自内部的数据失窃和破坏，远远高于外部黑客的攻击。

1.6 缺乏统一的身份管理

目前主机普遍存在的问题就是管理员身份单一，致使管理员权限过大，这样会对主机带来一定的安全隐患，并且出于主机业务操作和运行维护的需要，主机经常是混用的，即多人可对同一台主机进行操作，多人共用主机账户和口令，这样就造成主机用户身份鉴别不明，难以根据用户的身份和角色分配权限，无法进行严格地访问控制，容易产生误操作；另外，单纯的用户名/口令认证方式容易受到字典攻击等方式攻击，导致黑客获取口令执行恶意操作。

1.7 缺乏统一的主机管理

目前大多数主机仍采用单机管理模式，即主机管理员对每一台主机单独进行管理维护，这样的管理模式会存在一定的安全滞后性。如果主机数量较多，那么这种管理模式必然造成效率低下，管理员疲于奔波，却效果并不明显，安全隐患众多，却无法及时解决安全突发事件，也无法彻底解决安全隐患，黑客或者病毒通过网络，非常容易产生多个主机的交叉感染或者重复感染，导致整个系统的不稳定性和安全事故频发。

2 等级保护体系中对于主机安全的目标与要求

对于不同保护等级的信息系统均有相应的主机安全基本要求，等级愈高主机安全基本要求就越多。针对信息系统中的主机服务器，GB/ T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》从以下9个方面对主机安全进行了基本保护要求：

（1）身份鉴别：从身份鉴别方式、口令复杂度、鉴别信息传输机密性、登录失败处理措施等方面对主机进行了要求；

（2）安全标记：所有主体和客体应设置敏感标记；

（3）访问控制：从访问控制主客体、访问控制策略、访问控制粒度等方面对主机进行了要求；

（4）可信路径：要求在主机与用户之间建立一条安全的信息传输路径；

（5）安全审计：从审计策略、审计范围、审计内容、审计记录、审计进程保护、审计日志保护等方面对主机进行了要求；

（6）剩余信息保护：要求对鉴别信息、系统文件、目录和数据库记录等客体的存储空间进行剩余信息保护；

（7）入侵防范：要求主机具备一定的入侵防范措施，同时确保系统补丁及时得到更新；

（8）恶意代码防范：要求主机具备一定的恶意代码防护措施；

（9）资源控制：要求对系统资源进行监控，防止出现无法使用系统资源的情况。

3 基于等级保护部署主机安全防护系统

在由信息和计算机网络系统构成的信息系统中，最薄弱、易受攻击、而保护力度又相对缺乏的就是对主机的保护。主机是信息系统中敏感信息的直接载体，也是各类应用运行的平台，因此对主机的保护是保证整个信息系统安全的基础。同时，主机安全防护要符合信息安全等级保护的要求，根据不同的信息安全等级保护的要求制定切合实际的主机安全防护策略。按照信息安全等级保护的基本思想和技术要求，要做到科学有效的部署主机安全保障体系，笔者认为应在以下几个方面加以注意：

（1）主机统一安全管理。目前大多数服务器仍采用单机管理模式，即主机管理员对每一台服务器单独进行管理维护，这样的管理模式会存在一定的安全滞后性。要实现真正有效的安全管理，必须对所有服务器实施统一集中管理、统一安全策略下发，以及安全事件的统一监控和协同处理，构建健康的服务器安全管理体系。

（2）身份鉴别。身份认证是主机安全的“大门”，进入“大门”就可以获得主机系统的资源。现有的主机操作系统日常管理中仍存在采用单一口令认证方式对用户身份进行鉴别，容易受到字典攻击等方式攻击。首先，要对主机用户身份进行统一管理，根据用户的身份和角色分配权限。其次，需要对主机用户采取强认证方式进行身份认证，比如可以采用双因子认证方式进行身份验证，用户只有拥有合法的USB-KEY，并且输入正确的服务器操作系统口令+ USB-KEY口令，才能登录服务器；通过双因子的身份鉴别，将用户身份与USB-KEY绑定，可有效防止用户身份伪造事件的发生；同时，对于一个已标识和鉴别的用户，将该用户的身份与该用户的所有可审计行为相关联，以实现用户行为的可查性。再者，对主机进行远程维护时，尽量不要采用明文方式进行操作，如TELNET、远程桌面连接（MSTSC）等方式，我们知道这些管理方式默认情况下是不加密的，容易造成黑客通过嗅探工具获取诸如账户、密码等敏感信息，基于此需要采取安全的加密方式进行远程管理，比如SSH、SSL。

（3）安全标记。通过对服务器系统中的主体（用户、进程）及客体（文件、执行程序、外部设备等）进行安全标识，根据客体类型的不同，分别制定不同的访问控制规则，严格控制用户行为，保证用户的任何行为都在安全策略的监控下，严格控制“谁”可以“做什么”，从而全方位地确保服务器中的重要数据“拿不走”，保护服务器系统的机密性。同时，通过全路径名对服务器系统中的重要客体进行标记，设置用户或进程对文件/目录强制访问控制规则，任何用户及其调用的进程对服务器敏感文件或目录进行操作行为时都要进行严格的访问控制，从而杜绝用户数据被篡改、删除、插入等情况的发生，确保主机重要资源的完整性。

（4）访问控制。通过对访问服务器的身份进行鉴别，防止非授权用户接入服务器，通过可信互联机制，实现对接入的有效控制。主机管理员应规定哪些用户可以接入服务器系统，只有认证检验通过后，该用户方能与服务器进行网络通信。同时对于主机本地服务所提供的远程访问，实行连接限制，制订可信访问列表，对于可信地址则允许其接入服务，非法地址进行连接限制。

（5）安全审计。针对受控服务器，根据审计需求，制定详尽的审计策略，其中包括用户登录、资源访问、进程启动等；对已收集的审计信息，进行详细的分类审计查询，包括用户ID查询、操作类型查询、操作结果查询等；另外，只有安全审计员可以修改或者删除审计日志，对审计日志应及时进行备份。

（6）系统加固、入侵防范。要建立全网统一的补丁管理和防病毒系统，及时向主机分发经过安全测评的漏洞补丁和更新、升级病毒库，主机系统还应安装部署恶意代码防护系统，及时升级恶意代码库，定期扫描和清除病毒、木马、后门、网页挂马等恶意程序。

4 结束语

无论是信息中心、数据中心还是计算机机房的主机即服务器都是等级保护的重要对象。主机中的各种软件、程序担负着业务的繁忙的计算量，几乎不可中断；主机中存储着大量核心数据，关系到企业的发展和收益，甚至影响到企业的生存，它们的安全极为重要。因此按照等级保护的要求，严格履行各项安全措施，制定符合企业和事业发展的安全条例就显得极为重要。要落实等级保护的安全要求，不能只是泛泛地按照条文办事，还要制定对本企业本单位非常具有针对性的具体措施，把安全措施落实到实处。

[1]GBT22239-2008_信息安全技术_信息系统安全等级保护基本要求.2008.

[2]GB/T25058-2010_信息安全技术_信息系统安全等级保护实施指南.2010.

[3]邱梓华，宋好好，张笑笑，顾健.主机安全等级保护配置指南[J].信息网络安全.2011.