基于scap的安全基线评估方法

xiaoxiao2020-7-22  4

基于scap的安全基线评估方法
【专利摘要】本发明公开了一种基于SCAP的安全基线评估方法,它包括:S1:资产识别:对被评估对象使用通用平台枚举CPE命名规则,为各项的评估提供基本的管理依据;S2:CVE漏洞扫描:使用开放漏洞和评估语言OVAL对资产被评估目标对象进行漏洞扫描;S3:CCE安全配置检查:使用可扩展配置清单说明格式XCCDF对资产的安全配置进行核查;S4:安全评分:使用通用漏洞评价体系CVSS对资产安全级别进行评分;S5:状态基线监控:对达到制定的安全基线的被评估目标对象进行状态基线监控。本发明能够实现漏洞扫描、补丁管理等工作相结合,且能够对被评估目标对象进行状态基线进行监控。
【专利说明】基于SCAP的安全基线评估方法
【技术领域】
[0001]本发明涉及一种安全基线评估方法,特别是涉及一种能够实现漏洞扫描、安全基线管理、补丁管理等工作相结合,且能够对被评估目标对象进行状态基线进行监控的基于SCAP的安全基线评估方法。
【背景技术】
[0002]系统的日常安全维护工作主要有:执行系统基线安全配置、对系统安全配置继续实时监控、定期进行漏洞扫描以及检查补丁安装情况等。由于需要安全维护的信息系统数量巨大,各种安全监测工具对新的漏洞威胁反应速度有快有慢,不同的安全监测工具之间缺乏互操作性,相同的漏洞在不同的安全监测工具中所使用的名称不一致,如:漏洞名为:CVE-2010-3326和漏洞名为:MS10071其实为相同的漏洞,在不同的安全监测工具上的名称却不一样,从而导致系统的日常安全维护工作量非常繁重。
[0003]基线检查工具由基线核心服务器、基线管理平台、基线代理组成。其中,基线核心服务器负责接收、分析、比对信息,确认是否达到基线标准要求;基线管理平台提供网络方式的基线采集功能,借助该平台,能够将基线代理、基线核心服务器一体化;基线代理作为基线管理平台的分布式组件,是远程探测的关键部件。产品化后的基线检查工具可对多种类型的主机、数据库、网络设备、应用系统进行安全基线信息的采集与检测工作,形式包括:Telnet、SSH、Agent、Local等,既可对单个设备进行全面的安全检查,也可对某特定的安全项进行专门的检查。
[0004]现有的安全基线的评估方法是:选择一些检查模板,再通过检查模板里的检查项进行安全配置检查,再通过安全配置检查的结果和已设定的安全基线值进行匹配,以确定某一配置项是否符合即有的安全基线。但上述评估方法存在一些问题:
1.大量的以及多样的系统需要不同安全等级的保护
大多数组织有需要不同级别保护的信息系统,针对每个信息系统有众多的应用需要保护。一般企业内部装有多种操作系统及上百种的应用软件,每个信息系统或应用都有自己的补丁机制及安全配置管理,相同的软件在不同主机上的保护机制也可能会有不同。一个单独的主机针对它的操作系统与应用也会有上百种安全配置。所有这些因素使得决定每个系统上需要什么样的安全变化,快速、正确、一致地实现这些变化,以及验证安全配置更为复杂。
[0005]2.响应威胁速度慢
截止2014年初,有多达60805个软件缺陷被加入到美国国家脆弱性数据库(NVD:National Vulnerability Database),漏洞出现越来越快,安全厂商需要针对新出来的漏洞,编写符合自有安全基线评估工具的规则,需要花费很多的时间,企业不能及时重新配置软件或安装补丁以消除漏洞。
[0006]3.缺乏互操作性
大多数系统安全工具采用私有格式、命名法、测量方法与内容,如补丁管理与脆弱性管理软件。例如,如果脆弱性扫描器没有采用标准化的弱点命名法,安全管理人员将不清楚多个扫描器的扫描结果报告是否指向相同的脆弱性。这种互操作性的缺乏将导致安全评估的不一致性,可能会延迟对漏洞修补的时间。
[0007]4.缺少对系统状态的基线
目前大多数安全基线工具只针对基准层的安全配置和安全漏洞的合规性做检查,并不涉及安全基线基准层中的系统状态监控(进程、端口、账号和文件等)。

【发明内容】

[0008]本发明的目的在于克服现有技术的不足,提供一种一致性强、能够实现漏洞扫描、补丁管理等工作相结合,且能够对被评估目标对象进行状态基线进行监控的基于SCAP的安全基线评估方法。
[0009]本发明的目的是通过以下技术方案来实现的:基于SCAP的安全基线评估方法,它包括以下步骤:
51:资产识别:对被评估对象使用通用平台枚举CPE命名规则,为各项的评估提供基本的管理依据;
52=CVE漏洞扫描:使用开放漏洞和评估语言OVAL对资产被评估目标对象进行漏洞扫
描7 ;
53:CCE安全配置检查:使用可扩展配置清单说明格式XCCDF对资产的安全配置进行核
查;
54:安全评分:使用通用漏洞评价体系CVSS对资产安全级别进行评分;
55:基线状态监控:对达到制定的安全基线的被评估目标对象进行基线状态监控。
[0010]所述资产识别的具体步骤为:
511:建立被评估对象范围;
512:按照统一资源识别URI语法规范对被评估的对象进行命名;
所述CVE漏洞扫描的具体步骤为:
521:从NIST导入标准漏洞数据库;
522:通过OVAL对被评估目标对象进行漏洞扫描。
[0011]所述CCE安全配置检查设计的具体步骤为:
531:建立检查列表模板;
532:根据被评估目标对象的安全级别,选择不同的模板,并对规则、组以及值的共性进行收集;
533:根据被评估目标对象的安全级别/模板选择控制点,这些控制点包括除步骤S12中的规则、组以及值对象以外的其它规则、组以及值;
534:根据控制点选择具体的检测规则。
[0012]所述安全评分设计从CVSS体系,根据漏洞的攻击途径、复杂度和对系统的影响对系统的安全进行评分。
[0013]所述基线状态监控主要包括对进程黑白名单、端口白名单、账号白名单和文件列表的监控。
[0014]所述的进程黑白名单中的进程白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性,限定该类被评估目标对象允许运行的进行集合。
[0015]所述的端口白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性,限定该类被评估目标对象运行开放的端口。
[0016]所述的账号白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性以及使用人范围,限定该类被评估目标对象上所创建的系统登录账号、应用服务登录账号的集合。
[0017]所述的文件列表为对于一种类型的被评估目标对象,根据其系统和服务属性,经过配置后不允许修改的文件,为了保护和监视这些文件改动情况而建立的文件列表。
[0018]与现有技术相比,本发明具有以下有益效果:
1.使用XCCDF架构,能快速针对不同要求的评估对象抽取合适的检查项(Rule);
2.使用OVAL进行漏洞扫描,可直接使用CVE上最新公布的漏洞,能及时对安全漏洞修
补;
3.使用CPE命名规范,为公用的信息兼容和通用建立了桥梁;
4.使用CVSS评价体系,能定量分析出安全防护水平,并可以无障碍在各监测工具中进行横向对比。
[0019]5.对基线状态(端口、进程、账号和文件列表等)实时监测,可及时发现不符合的基线的安全问题。
【专利附图】

【附图说明】
[0020]图1本发明的流程图;
图2为本发明的OVAL漏洞扫描结构图:
图3为本发明的XCCDF模型图;
图4为本发明的CVSS评分要素及取值图。
【具体实施方式】
[0021]下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
[0022]如图1所示,基于SCAP的安全基线评估方法,它包括以下步骤:
S1:资产识别:对被评估对象,使用通用平台枚举CPE的统一命名规则进行命名,为公用的信息兼容和通用建立了桥梁,如一个64位的vista系统可以命名为:cpe:2.3:ο:microsoft:windows_vista:6.0:spl:-:-:home—premium:-:x64:-。
[0023]S2:CVE漏洞扫描:0VAL的漏洞扫描结果的内容由两部分组成:0VAL的漏洞定义和用户的系统特征信息。OVAL的漏洞定义主要包含了定义(definitions)和测试(tests)两个元素。OVAL系统特征信息(oval_system_characteristics)是通过远程探测组件从用户的计算机系统中收集的需要检测的信息。系统信息元素(SyStem_inf0)结构体中包含的内容是用户使用的操作系统的名称、版本信息、用户的机器名称、用户的IP地址和物理地址等;被检查对象元素(collected_objects)的内容是通过远程探测组件从用户的计算机系统中收集到的系统特征信息;系统数据元素(system_data)的内容包括了被检查对象(collected_objects)中的系统信息进行的具体描述,包括对该系统特征信息的安装路径、版本信息、开发厂商、描述语言和文件大小等信息的具体描述;0S_name是指操作系统的名称,如 windows 2003、windows2008 ;os_version 操作系统的版本,如 windows 2003R2、widows 2003 Enterprise x64 Edition 等;对象(Object)用来描述被检查主体,检查主体类别众多,如注册表、组策略、文件、软件包等;变量(variable)定义了执行检查时对象所需的值,其有三种类型:常量(00118丨3111:_¥31^31316)、本地变量(10031_¥31^31316)和外部变量(external_variable),常量定义一个不能在运行时改变的值,本地变量定义OVAL中直接使用的值,外部变量用于将XCCDF的Value值传递到OVAL中;item是指系统数据里某一项,如描述telnet是否启动的项,就是在注册表里HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TlntSvr\starto 所述的 CVE 漏洞扫描结构如图 2 所不。
[0024]S3 =CCE安全配置检查:所述CCE安全配置设计的具体步骤为:
S31:建立检查列表(如图3),也就是检查的基准(Benchmark)根节点名称;
S32:根据被评估目标对象的安全级别,选择不同的检查模板(Profile),如等保二级、等保三级、企业内部标准安全基线等,并对规则、组以及值的共性进行收集;
S33:根据被评估目标对象的安全级别/模板选择控制类(Group),这些控制类包括除步骤S12中的规则、组以及值对象以外的其它规则、组以及值;如根据需要为配置项进行分类,如账号类、系统服务类;
S34:根据控制点选择具体的检测规则(Rule),一个检测规则(Rule)中可包含一个或多个Check (检查)的技术细节;如:设置5分钟后启动屏幕保护并锁定计算机,这个Rule中就包含了两个Check项,一是屏保时间不应该大于5分钟,二是需要锁定计算机。
[0025]S4: CVSS 安全评分
按照CVSS体系,根据漏洞的攻击途径、复杂度和对系统的影响等对系统发现的漏洞和不合规配置进行评分,主要评分参考如图4所示。
[0026]S5:基线状态监控
所述基线状态监控主要包括对进程黑白名单、端口白名单、账号白名单和文件列表的监控。
[0027]所述的进程黑白名单中的进程白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性,限定该类被评估目标对象允许运行的进行集合;如独立部署的数据库服务器不应该有IIS或者Apache的进程。
[0028]所述的端口白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性,限定该类被评估目标对象运行开放的端口 ;如独立部署的数据库服务器不应开放web应用的端口 80或者8080等。
[0029]所述的账号白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性以及使用人范围,限定该类被评估目标对象上所创建的系统登录账号、应用服务登录账号的集合。
[0030]所述的文件列表为对于一种类型的被评估目标对象,根据其系统和服务属性,经过配置后不允许修改的文件,为了保护和监视这些文件改动情况而建立的文件列表;如确定系统账号后,/etc/shadow等用户密码文件是不会被修改的,如果发现有修改,说明安全基线已经被破坏。
【权利要求】
1.基于SCAP的安全基线评估方法,其特征在于:它包括以下步骤: .51:资产识别:对被评估对象使用通用平台枚举CPE命名规则,为各项的评估提供基本的管理依据; .52=CVE漏洞扫描:使用开放漏洞和评估语言OVAL对资产被评估目标对象进行漏洞扫描7 ; . 53:CCE安全配置检查:使用可扩展配置清单说明格式XCCDF对资产的安全配置进行核查; .54:安全评分:使用通用漏洞评价体系CVSS对资产安全级别进行评分; .55:基线状态监控:对达到制定的安全基线的被评估目标对象进行基线状态监控。
2.根据权利要求1所述的基于SCAP的安全基线评估方法,其特征在于:所述资产识别的具体步骤为: . 511:建立被评估对象范围; .512:按照统一资源识别URI语法规范对被评估的对象进行命名。
3.根据权利要求1所述的基于SCAP的安全基线评估方法,其特征在于:所述CVE漏洞扫描的具体步骤为: . 521:从NIST导入标准漏洞数据库; .522:通过OVAL对被评估目标对象进行漏洞扫描。
4.根据权利要求1所述的基于SCAP的安全基线评估方法,其特征在于:所述CCE安全配置检查设计的具体步骤为: .531:建立检查列表模板; .532:根据被评估目标对象的安全级别,选择不同的模板,并对规则、组以及值的共性进行收集; .533:根据被评估目标对象的安全级别/模板选择控制点,这些控制点包括除步骤S12中的规则、组以及值对象以外的其它规则、组以及值; .534:根据控制点选择具体的检测规则。
5.根据权利要求1所述的基于SCAP的安全基线评估方法,其特征在于:所述安全评分设计从CVSS体系,根据漏洞的攻击途径、复杂度和对系统的影响对系统的安全进行评分。
6.根据权利要求1所述的基于SCAP的安全基线评估方法,其特征在于:所述基线状态监控主要包括对进程黑白名单、端口白名单、账号白名单和文件列表的监控。
7.根据权利要求6所述的基于SCAP的安全基线评估方法,其特征在于:所述的进程黑白名单中的进程白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性,限定该类被评估目标对象允许运行的进行集合。
8.根据权利要求6所述的基于SCAP的安全基线评估方法,其特征在于:所述的端口白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性,限定该类被评估目标对象运行开放的端口。
9.根据权利要求6所述的基于SCAP的安全基线评估方法,其特征在于:所述的账号白名单为对于一种类型的被评估目标对象,根据其服务或者应用属性以及使用人范围,限定该类被评估目标对象上所创建的系统登录账号、应用服务登录账号的集合。
10.根据权利要求6所述的基于SCAP的安全基线评估方法,其特征在于:所述的文件列表为对于 一种类型的被评估目标对象,根据其系统和服务属性,经过配置后不允许修改的文件,为了保护和监视这些文件改动情况而建立的文件列表。
【文档编号】G06F21/57GK103927491SQ201410180456
【公开日】2014年7月16日 申请日期:2014年4月30日 优先权日:2014年4月30日
【发明者】蒋屹新, 蒙家晓, 关泽武, 郭晓斌, 文红, 许爱东, 李鹏, 陈华军, 李腾飞 申请人:南方电网科学研究院有限责任公司, 电子科技大学

最新回复(0)