2023实习第三天

2023实习第三天

今天的目标

算法题 2/4
简历
八股 网络协议
707 25 143 155
学习SCAP概念和体系
学习openSCAP概念和组成
包括ppt
clion

SCAP框架体系内容

在研究安全基线标准体系过程中, 可以参考国内外的标准、规范, 在这些参考内容中, 最值得借鉴的是基于安全内容自动化协议 (Security Content Automation Protocol, SCAP) 框架的联邦桌面核心配置计划 (Federal Desktop Core Configuration, FDCC) 项目。
SCAP框架由CVE, CCE, CPE, XCCDF, OVAL, CVSS，OCIL等7个支撑标准构成 。这7个支撑标准需要检查的内容、检查的方式由国家漏洞数据库 (National Vulnerability Database, NVD) 和美国国家检查单项目 (National Checklist Program, NCP) 提供
SCAP框架的组件：

CPE（Common Platform Enumeration）- 通用平台枚举，用于标识操作系统、应用程序和硬件设备等信息。

CVE（Common Vulnerabilities and Exposures）- 通用漏洞和暴露，用于标识已知的漏洞和威胁。

CVSS（Common Vulnerability Scoring System）- 通用漏洞评分系统，用于评估漏洞的严重程度。

CCE（Common Configuration Enumeration）- 通用配置枚举，用于标识配置和安全策略。

XCCDF（eXtensible Configuration Checklist Description Format）- 可扩展配置清单描述格式，用于描述配置策略和安全控制。

OVAL（Open Vulnerability and Assessment Language）- 开放漏洞评估语言，用于描述漏洞检测和修复程序。

OCIL（Open Checklist Interactive Language）- 开放清单交互语言，用于描述和评估安全检查和评估。

数据模型：

SCAP（Security Content Automation Protocol）使用一种统一的数据模型来描述安全相关的信息，包括漏洞、配置问题、补丁、安全策略等。SCAP数据模型包括以下几个方面：

基础数据：包括关于安全数据源的元数据信息，如数据源名称、版本号、发布日期等。

安全配置：描述安全配置信息，如操作系统、应用程序、服务等的配置信息，例如端口号、服务状态、授权策略等。

漏洞信息：描述已知的漏洞信息，如漏洞名称、CVE编号、漏洞等级、攻击向量、漏洞修复状态等。

补丁信息：描述已知的安全补丁信息，如补丁名称、发布日期、安装状态等。

安全策略：描述安全策略和规则，如访问控制、密码策略、加密策略等。

评估结果：描述对系统进行安全评估的结果，如扫描报告、配置审计报告等。

SCAP数据模型使用XML格式来表示安全信息，可以通过XML Schema来定义SCAP数据模型。这种统一的数据模型可以方便地进行安全数据的交换和共享，提高了安全管理的效率和准确性。

指南和规范：
SCAP进行自动化安全评估和合规性管理的步骤和方法，包括以下几个方面：

准备工作：首先需要下载并安装SCAP工具，如OpenSCAP、Red Hat SCAP Workbench等。同时需要准备好安全数据源，如漏洞数据库、配置策略和标准等。

配置数据源：将安全数据源与SCAP工具进行集成，包括导入漏洞数据库、配置策略和标准等。

扫描系统：使用SCAP工具对目标系统进行扫描，获取系统的安全配置信息和漏洞信息。

分析结果：分析扫描结果，得出安全评估报告和合规性报告，包括识别出的漏洞、配置不符合标准的问题、未安装的补丁等。

修复问题：根据安全评估报告和合规性报告，对系统中存在的问题进行修复，包括安装补丁、调整配置、应用安全策略等。

进行验证：验证修复后的系统是否符合安全标准和合规性要求，重新进行扫描和分析，确保问题已经解决。

工具支持：OpenSCAP：OpenSCAP是一款开源的SCAP工具，支持多种操作系统和应用程序，可以进行漏洞扫描、配置审计、合规性评估等。OpenSCAP还支持自定义策略和标准，满足用户特定的安全管理需求。。

2 信息安全基线策略库研究

信息安全基线检查系统主要实现4个功能:一是资产管理, 管理所有的信息系统检查目标;二是数据采集, 程序收集目标设备相应模块的安全配置信息;三是数据对比, 在数据采集完成的基础上, 分析对比采集的安全配置信息;四是自动生成脆弱性配置报告, 该报告中包含检查目标设备的检测模板信息, 统计分析展示出所有的检测结果, 用不同的颜色标出符合与不符合项, 给出不符合项的修改建议等[4]。

3.1 资产管理

1. 资产库。信息安全基线检查系统的检测目标就是整个系统的信息资产。资产包括检测目标的操作系统、数据库软件、中间件等。例如:某台服务器主机为Windows Server 2003操作系统, 并部署了ORACLE 11g数据库, 在信息安全基线检查系统中应认为是2个资产:操作系统和数据库。资产管理模块管理的是整个资产集合, 系统用户在该模块实现添加、修改、导入、导出等资产管理功能。
2. 资产类型。资产类型基础包括网络及安全设备、主机操作系统、数据库、中间件等, 用户可以自定义扩展类型。
3. 资产分组。资产分组是资产的集合的单位, 可以根据网段进行分组, 例如IP地址192.168.1.1–123的所有资产为一组来进行安全监测, 从而整理漏洞信息导出报表。
   资产组成如图2所示。
   3.2 数据采集
   信息安全基线检查系统数据采集部分是通过Telnet/SSH等连接协议, 登录到目标设备上收集相应的安全配置信息, 然后将获得的信息传输到基线检查系统中, 存入数据库。基线检查系统数据库, 存储整个漏洞系统的数据信息。
   收集的检测目标的脆弱性配置信息, 包括账号管理、口令管理、授权管理、日志配置、通信协议、屏幕保护、共享文件夹及访问权限、补丁管理、启动项等。收集的脆弱性配置信息传输到基线检查系统的数据库中, 作为报表、历史分析的数据。不同的检测目标所采用的检测模块配置信息也不同, 与扫描检测时选择的CHECKLIST模板有关。
   3.3 数据对比
   信息安全基线检查系统数据对比部分, 是在数据采集任务完成后, 通过自动与人工结合的方式, 抽取数据库中存储的脆弱配置信息和采集的数据信息, 与系统中的安全策略CHECKLIST字典库进行智能对比, 形成目标设备安全配置信息的不符合项。
   信息安全基线检查系统以任务的方式进行扫描检查, 任务包含采用的CHECKLIST扫描模板、扫描目标的相关配置信息。CHECKLIST扫描模板中包含的检测命令分为主动和被动, 主动的检测命令获取检测目标的扫描结果, 不对结果进行正确性判断, 正确性的检测工作需要人工确认。如判断Windows Server 2003操作系统无关的系统用户应该删除, 检查系统只检测所有的系统用户, 而不去判断是否为无关系统用户, 需要管理员具体确认。被动的检测命令不需要人工干预, 系统会自动判断出该检测点是否符合标准。扫描任务完成后, 系统管理人员需要对扫描结果进行确认, 形成最终的检测结果。
   3.4 脆弱性配置报告
   脆弱性配置报告是基线检查扫描的结果, 是整个信息资产安全状况的体现。资产的使用用途和重要程度不同, 其基线配置项的重要等级也不相同, 因此基线检查系统采用了基于等级的安全量化和科学评分方法。脆弱性报告的形成就是基于此评估方法。
   每个扫描模板默认为100分。高危配置项为3分, 中危配置项为2分, 低危配置项为1分, 不符合即抵减。抵减到最低分 (如设置为10分) , 分值不再减少, 得分为设置的最低分。所有模板安全评估分之和除以模板数量后即为此次信息安全检测任务的安全评估分;任务安全评估分=单模板安全评估分之和/单模板数量;任务平均符合度= (符合配置项条目数目/配置项条目数目) ×100%;单模板安全评估分= (100–高危配置项×3–中危配置项×2–低危配置项×1) 。