技術領域

本發明涉及信息安全技術領域的安全評估方法，特別是涉及一種基于靜態和動態分析技術的主機系統安全評估方法。

背景技術

電力行業作為國家重要基礎行業之一，隨著電力信息化的深入，信息安全問題已嚴重威脅到電網的安全、穩定運行。為了防范對電力信息系統及網絡的惡意攻擊侵害及由此引起的電力系統事故，全國電力二次系統安全防護專家組和工作組提出了《全國電力二次系統安全防護總體方案》，國家電力監管委員會通過了《電力二次系統安全防護規定》(電監會5號令)，其中很重要的一點是提出了電力二次系統安全風險評估和安全加固的概念。

主機系統作為電力信息系統運行的承載平臺和信息資產的存儲中心，其安全性直接關系到電力信息系統的安全可靠運行。

現有主機安全評估主要依賴人工分析和漏洞掃描，耗時費力，側重于帳戶安全、補丁漏洞等常規安全性檢測，難以發現深層次的邏輯安全性風險。

發明內容

針對現有技術的不足，本發明提出的是一種基于靜態和動態分析技術的主機系統安全評估方法，通過靜態和動態分析兩種方法分析主機系統的安全性。

本發明實現的技術方案如下：

1)將分析器接入被評估主機系統所處的網絡中，上傳靜態安全數據采集器，采集主機系統靜態安全數據，包括概要文件參數、服務列表、進程信息；

2)靜態安全數據采集器向分析器返回主機系統靜態安全數據，將上述主機系統靜態安全數據與標準安全配置數據進行對比，若一致則表示主機系統安全，若不一致則轉入步驟3)；

3)若主機系統開放的服務多于標準安全配置開放的服務，則針對標準安全配置之外的服務進行動態分析。

所述靜態是指主機系統的配置文件及所包含的信息等安全屬性，這些安全屬性在主機系統運行期間不會發生變化，除非人為進行修改配置；所述靜態分析是指按照標準安全設置對配置文件及所包含的信息進行比對分析，如主機系統審計設置為未開啟，則表明其審計設置不符合安全要求；

所述動態是指主機系統在運行期間會發生變化的安全屬性；所述動態分析是指根據主機系統對外提供的服務確定采取哪些分析方法，如主機系統開放了Web服務，則相對應的進行SQL注入、目錄遍歷等分析，且在分析過程中根據主機系統響應的不同改變分析步驟。

在對主機系統進行評估是，分析器先將靜態數據采集器上傳到主機系統上，采集主機系統安全相關配置文件等靜態安全數據，并傳回分析器進行分析。確定主機系統是否存活、操作系統語言、版本、IP地址等基本信息、帳戶信息、網絡配置、共享、開放的服務服務、關鍵文件的權限信息和補丁與漏洞情況信息、數據庫系統詳細版本、監聽器服務設置、賬戶口令安全性、初始化參數設置安全性、帳戶口令策略、存儲過程的權限設置、啟動帳戶權限、非必需服務、日志審計策略和認證模式和表空間的使用情況等，根據這些安全項的逐一分析，可以確定主機系統基本設置和部分安全漏洞。

所述數據采集器在工作時上傳至主機系統之上；靜態安全數據采集時不影響主機系統正常運行，不改變主機系統任何配置；動態分析基于靜態分析結果之上，主要采用漏洞特征匹配的方法進行分析。

靜態分析中針對以下安全屬性進行分析：

(1)是否開放了不安全的文件夾共享；

(2)關鍵文件(如可執行系統文件或腳本文件)的權限是否被設置為任何人都可讀、寫、執行；

(3)數據庫監聽器是否設置口令保護；

(4)是否啟用帳戶口令保護策略，如未設置口令復雜度、最大錯誤登錄次數等；

(5)是否啟用日志審計；

(6)數據庫中高風險存儲過程是否未禁用(如SQL?SERVER數據庫中的xp_cmdshell)或權限設置為不安全的任何人可執行的權限(如Oracle數據庫中的UTL_FILE、UTL_TCP、UTL_SMTP、UTL_HTTP、DBMS_LOB、DBMS_JOB等)。

根據靜態數據分析結果，針對主機系統開放的服務，逐一進行動態分析。靜態分析中針對以下安全屬性進行分析：

(1)若開放了ftp服務，則加載常用的帳戶口令字典表，檢測是否存在不安全的帳戶；根據服務返回的banner信息分析ftp服務的版本，并確定該版本存在的已知安全漏洞；

(2)若開放了Telnet服務，則加載常用的帳戶口令字典表，檢測是否存在不安全的帳戶；根據服務返回的banner信息分析Telnet服務的版本，并確定該版本存在的已知安全漏洞；