主机安全检查与风险评估

特别报道2008.05

主机安全检查与风险评估

风险评估体系的

反思

现有的风险评估机制已经构成了一个纷繁复杂的体系，由很多的环境和层面构成，有其成熟的模型和标准，这使得整个风险机构的实施必须依赖于

一个系统的专家团队和一个系统的方法来运行。

风险评估所评估的目标，一方面是对安全手段的评估，另一方面对实际安全效果的评估。安全手段包括了技术体系、组织体系、安全体系，安全效果包括了物理安全、运行安全、数据安全、内容安全等等。为了达到这些评估目标，采取了一系列的数据采集手段，包括安全扫描、手工检查、渗透测试、安全审计、安全策略评估等。

在这里，我想对风险评估的现状，提出几个问题，这样一个复杂的模型是放四海皆准的，具备可操作和可实施性么？相关的评估目标有效达成了嘛？相关手段能满足要求吗？

暂且不逐一回答这些问题，至少针对目前的两个趋势，现有风险评估体系已经开始显得鞭长莫及：一方面是安全机构受整个目前的国家等级保护的和法律的推动，要进行大面积的普及，那这样的话就带来了更大的精度和更快的检

测速度的压力，同时需要迅速的向它的基层和分支机构来普

及，那么一个复杂的模型是这些基层的技术人员能够掌握的吗？另一方面则是大量的用户现状，我们国家大量的中小企业，大量的地方基层部门，其现状犹如IBM的广告语说的，“就这么几个人，就这么点钱，就这么一个懂电脑的”，那么他们能够应用这样的一个复杂体系去衡量自己的信息系统吗？

主机安全检测的挑战

上述的质疑主要是从其模型和实施难度角度，我们今天

论述的重点是从风险评估的采集手段角度。我们想拿出一个试金石，这个试金石就是主机的安全检查。在信息系统中，其根本中枢就是一台主机，包括服务器工作站节点，在其上所运行的数据是信息系统的核心资产，是信息威胁的主要侵

■安天实验室首席技术架构设计师

肖新光

害对象，也应该是风险评估的主要研究目标。主机上的情况实际上是很复杂的，从归纳的角度，可以划分成了系统和应用两个部分，在上面而真实逻辑存在的，包括了引导、驱动、服务、进程，配置、主机、端口各种数据等等，同时又进行了各种受访、外联等相应的操作。这种情况下就受到了综合的威胁，本地的攻击、远程的攻击、对外访问引入的攻击、恶意代码、有害网络内容等，主机在受到攻击的同时，也保留着部分各种攻击所遗留下来的痕迹和相应的后果。

那么面对这样的一个个麻雀虽小、五脏俱全的体系，现有的评估手段能满足要求吗？我们分析目前两个最典型的手段，一个是扫描器，那么扫描器实际上是通过远程发包，通过对应答情况和内容来判定主机的隐患。它是以主机的开放网络服务和端口角度入手工作的。对整个的这样一个纷繁复杂的主机的情况，可以看出能够获取的数据是非常有限的，扫描器固然有它的优点，如能够真实判断主机上漏洞的可利用性、单点部署扫描全网等等，但是由于它没有主机权限，它检测不到主机很多的脆弱点。比如最典型的用户是否会因插入U盘感染熊猫烧香这样的病毒、用户访问恶意网页是否会被木马注入等，都是扫描器无法判定的。

针对主机另外一种非常常用的风险评估方法就是问卷调查，问卷的典型性就是把网内过去发生过的事件通过人工应答的方式体现。但这很容易产生偏差，在我们的风险评估实践中，有两种情况，一种是故意缩小，主要担心承担责任，另外一种就是故意夸大，目的是为了增加一些安全采购。还有一些主机的问卷，它需要让用户应答的项目很细腻，问题是用户本身能够理解帐户所定阈值等等这些概念吗？如果用户不理解，怎么可能填写正确？为了让用户理解，我们需要付出多少教育成本？问卷调查的方式，有其优点，比如确实从主机来讲，不事实构成与主机接触，可以避免本身带来安全隐患，但它本身确实是一种不可靠而低效的方式。

通过问卷，我们还能看到现有评估体系的另外一个问题，那就是现有的评估主要是侧重于手段的体系的合理性和完备性。如安全审计，它是考量体系的实施情况，比如他是否用安装反病毒软件替代对机器上是否有病毒的真实检查，用是否安装了防火墙，替代是否有网络攻击危险。

这种评估核心是一种对手段的评估，而不是对当前信息

系统的一个真实状况的评估。它在一定程度上解决了物理安全和内容安全问题，但是对于运行安全和数据安全的实际状况则没有形成一个测试评价，粒度是不够的。安全扫描，对主机系统仅仅进行一个非常有限的检测，手工检查是非常低效的检测，而从渗透测试则是一种不可靠的检测。那么现有的风险评估技术手段，能够达成完整的一个支撑风险评估结论是值得怀疑的。

恶意代码与风险评估

另外一点，在现有的体系中，我们觉得它还缺少什么？我们说它缺少了第一号的大反派，我们看一下这些数字，CIH病毒事件造成全球16亿美元的损失，80%以上的泄密事件是由木马和后门所导致；99%的DDOS攻击事件是僵尸网络发起，根据国家计算机病毒中心的数据表明，2007年全国的机器是92.47%感染了恶意代码。

我们分析这样一个场景，假设一个内网的文件服务器在防火墙内，防火墙对外屏蔽了137到139等端口的访问，现在有两个安全问题，一个是作为2003系统的Server空口令，一个是感染了木马，这两个问题哪一个对外部攻击者来说更严重？实际上是第二个更严重，Server空口令的连接已经被阻断了，但是木马直接通过防火墙可以反弹穿透过去。所以传统的风险评估体系没有把恶意代码和恶意危害作为指标考虑进来是有问题的。

但我们看这样的一个例子，一个安全检查产品用了几十条注册表规则检测木马，但目前全球的木马总数已经超过10万个之多，所以从提供传统的安全意义的厂商缺乏这方面的积累。反病毒厂商也有自己的尴尬，如从客户端安全调查的结果，查出了五种恶意代码，但是他们的威胁是什么样的，这种所造成的后果，哪些是严重的，哪些是可以忽略不计的，而恰恰是现有的反病毒的体系是没有的，所以空有监测

手段，没有恶意代码的风险级别体系也是不够的。

需求与探索

基于这种情况我们也做了一些相应的检测和探索，我们

参会嘉宾在认真听取主题发言

2008.05

特别报道11

希望做到几点，第一个就是返璞归真，化繁为简，我们希望通过主机的环节上，通过原有的评价体系，变成一种简要的评价体系，另外希望去粗取精，把恶意代码这样的矛盾注入表现出来。

我们的模型是这样的，我们把信息系统的安全事件划分成隐患、威胁和后果三个层次。

隐患是可能造成风险的所有环节，一个主机只要它活动，它的隐患就是存在的，这是它本身需要提供服务的特性的决定的，是不以客观因素为转型的。比如一个系统对外提供服务，那他一定要提供办法的。

第二个就是威胁，那么威胁是可能带来直接后果的环节，比如它没有打补丁，没有打补丁不一定已经被攻击了，但是造成了威胁。后果就是已经发生的恶意事件，比如没有打补丁引来的恶意代码注入。

同时我们考虑到安全需求在不同的等级上可能发生的变化，比如说它安装了一个互联网的网络游戏，那么这样的一个情况呢，在常规的对外可公开的安全体系上它本身只是一个隐患，那么如果放在内网上来讲，它本身已经构成了一个违规的行为，那么它就是一种后果。

我们的方法实际上就是做了这样的一套便携式的工具套件。连接到被评估主机上运行，可以全面、高速、自动化的对主机进行分析，同时采用我们方式进行恶意代码检测和定级。实现量化评估。在这个工具箱当中我们提供了三种介质，一个是U盘的方式，一种是光盘的方式，另外一点就是提供了一个网络评估的方式，采用网络对点或者是网络远程引导，或者是外部评估这样的一个方式来形成的整体评估。

它的工作模式有三种，一种叫动态评估，所谓的动态评估就是对当前正在运行的系统直接与评估环节相连，然后就可以实现评估。还有一种是静态评估，比如有的系统遭到了恶意代码的破坏，不能够自检了，这样的话，这个系统是可以自动的启动对硬盘实行静态扫描。还有一种就是实时评估，数据回收方法也是两种，一种是在线回收，如果发现网内有评估中心，他就可以把数据送到评估中心，还有一种就是离线评估。还有一种就是脱盘的方式，插上之后检查了，把盘可以拿下来了，当再把盘插上之后，数据就可以回收了。

评估工具嵌入了安天自有知识产权的AVLSDK3.0反病毒引擎，这是一个取证级别的引擎。我们可以识别数千种文件格式，对几十种的包裹和自解压的解压缩，目前可以检测23万种恶意代码，还可以专门为的需求定制检测库。我们还专门内置了一个高敏的未知病毒的检测机制，可以在检测过程当中把所有可疑的东西提交出来。

12

特别报道2008.05

这里面是和恶意代码形成了评价体系和整个的工作相结合的，我们实际上把恶意代码的行为分成它的传播能力、窃密能力、资源占用能力、感染能力等方面，分别对每一种代码分成等级，这样的话，就为主机上检测出来的恶意代码事件做出了相应的衡量依据。这个是我们基于一个超大的分布式的系统来进行长时间行为分析的结果，还是具有一定的可信性的。

我们的产品根据新的形势，积极努力的研究了等级保护的标准，进一步形成了安全等级保护分析套件的概念，我们之所以叫辅助分析，主要是觉得我们目前由于我们的水平有限，对整个等级保护的标准，我们担心理解不够准确，所以说我们是立足按照相应的标准形成对主机的一个级别的判定。那么我们初步的设想模型非常简单，比如说网内有十台主机，如果每台主机都能达到第三级别，就可以对系统定为第三级别提供相应的一个数据支持。如果能获得应用的话，就可依托国家的最新形势，把这个技术形成了一个能够去为我们国家有关工作服务的产品。

另外我们为它提供了一些取证级别的配套工具，其一就是系统深度勘察与分析工具，这个是为在座的各位专家在进行深入分析准备的，能够全面的分析Windows的系统。第二个是主机系统的调制系统，可以对主机行为进行深度的分析和提示，那么对整个的系统提供一个全行为的分析工作。第（上接 页）

三个就是我们提供的一个取证级别的搜索工具，可以作为等级保护上的配套产品实现的。

另外一点呢，我这里需要说明的一点，就是说在以前我介绍这个技术的时候，有很多领导和专家都问这样的一个问题，就是说任何的防护引擎都查不出所有的病毒,你们怎么处理这个问题？解开这个问题的关键我们是靠一个业务体系，我们除了靠反病毒引擎检测之外，我们在整个的产品里面配备了一个海量的白名单，这个白名单大概覆盖了一千万个常见的正常文件。通过反病毒引擎作为黑名单，和有两个这样的文件的未知预定个别，一个是把所有反病毒引擎认为未知的样本提取出来，还有一种方式是把所有黑白名单之外的，所有的可执行对象完整提取出来。提取出来做什么？实际上是等于提供两个服务，一个是文件属性的确认服务，一个是恶意代码的服务。确认服务是快速的形成文件的属性，这样的话，再把这个所谓的文件定位信息返回给用户，用户就可以把这个信息和他开始评估所生成的信息进行汇总，生成最终的状态。但很多的系统又是涉密的系统，即使是可疑的可执行文件，也不能够随便提供给厂商的。所以我们提供了为用户搭建分析分拣中心的服务，这样就像有我们在提供这样的一个服务一样，可以搭建出自己的一套分析体系，用于分析自己的前台评估。

（责编

张岩）

牵头开展了哪些主要工作

在有关部门和专家的大力支持下，我们出台了一系列的文件和标准，开展了等级保护基础调查、试点工作，特别是去年组织了全国大规模、大范围的重要信息系统定级工作，全面梳理和掌握了国家基础信息网络和重要信息系统基本情况，明确了应当重点保护的对象，为深入开展等级保护工作、全面建立信息安全等级保护制度奠定了坚实基础，同时也推动了国家信息安全保障工作的深入开展。

评、自查、监督检查等环节工作，全面贯彻落实信息安全等级保护制度。基础网络和重要信息系统在贯彻落实等级保护制度中，结合开展风险评估、灾难备案、应急处置、安全监控等工作，提高基础网络和重要信息系统的安全保护能力，全力维护国家信息安全。

工作中的几个关键问题

（一）工作安排

1.制定整体工作规划。2.先示范后推开。3.循序渐进、突出重点。4.制定安全建设整改实施方案。

5.根据实际情况选择整改、测评工作顺序。6.落实责任部门和经费。

下一步等级保护工作计划和部署

在2007年开展定级、备案工作基础上，组织开展安全建设整改、等级测评和检查工作。

（一）工作内容

一是开展安全建设整改工作。建设安全设施，落实安全措施，建立并落实安全管理制度，落实安全责任制。二是选择测评机构，依据有关标准开展等级测评工作。三是对开展等级保护工作情况进行检查。

（二）工作中涉及的几个问题

7.结合行业特点制定行业标准规范。8.信息安全产品的使用要求。9.等级测评机构的选择。

（责编

马华）

（二）工作目标

通过开展信息系统定级、备案、安全建设整改、等级测