[发明专利]一种基于静态和动态分析技术的主机系统安全评估方法

说明书

技术领域

本发明涉及信息安全技术领域的安全评估方法，特别是涉及一种基于静态和动态分析技术的主机系统安全评估方法。

背景技术

电力行业作为国家重要基础行业之一，随着电力信息化的深入，信息安全问题已严重威胁到电网的安全、稳定运行。为了防范对电力信息系统及网络的恶意攻击侵害及由此引起的电力系统事故，全国电力二次系统安全防护专家组和工作组提出了《全国电力二次系统安全防护总体方案》，国家电力监管委员会通过了《电力二次系统安全防护规定》(电监会5号令)，其中很重要的一点是提出了电力二次系统安全风险评估和安全加固的概念。

主机系统作为电力信息系统运行的承载平台和信息资产的存储中心，其安全性直接关系到电力信息系统的安全可靠运行。

现有主机安全评估主要依赖人工分析和漏洞扫描，耗时费力，侧重于帐户安全、补丁漏洞等常规安全性检测，难以发现深层次的逻辑安全性风险。

发明内容

针对现有技术的不足，本发明提出的是一种基于静态和动态分析技术的主机系统安全评估方法，通过静态和动态分析两种方法分析主机系统的安全性。

本发明实现的技术方案如下：

1)将分析器接入被评估主机系统所处的网络中，上传静态安全数据采集器，采集主机系统静态安全数据，包括概要文件参数、服务列表、进程信息；

2)静态安全数据采集器向分析器返回主机系统静态安全数据，将上述主机系统静态安全数据与标准安全配置数据进行对比，若一致则表示主机系统安全，若不一致则转入步骤3)；

3)若主机系统开放的服务多于标准安全配置开放的服务，则针对标准安全配置之外的服务进行动态分析。

所述静态是指主机系统的配置文件及所包含的信息等安全属性，这些安全属性在主机系统运行期间不会发生变化，除非人为进行修改配置；所述静态分析是指按照标准安全设置对配置文件及所包含的信息进行比对分析，如主机系统审计设置为未开启，则表明其审计设置不符合安全要求；

所述动态是指主机系统在运行期间会发生变化的安全属性；所述动态分析是指根据主机系统对外提供的服务确定采取哪些分析方法，如主机系统开放了Web服务，则相对应的进行SQL注入、目录遍历等分析，且在分析过程中根据主机系统响应的不同改变分析步骤。

在对主机系统进行评估是，分析器先将静态数据采集器上传到主机系统上，采集主机系统安全相关配置文件等静态安全数据，并传回分析器进行分析。确定主机系统是否存活、操作系统语言、版本、IP地址等基本信息、帐户信息、网络配置、共享、开放的服务服务、关键文件的权限信息和补丁与漏洞情况信息、数据库系统详细版本、监听器服务设置、账户口令安全性、初始化参数设置安全性、帐户口令策略、存储过程的权限设置、启动帐户权限、非必需服务、日志审计策略和认证模式和表空间的使用情况等，根据这些安全项的逐一分析，可以确定主机系统基本设置和部分安全漏洞。

所述数据采集器在工作时上传至主机系统之上；静态安全数据采集时不影响主机系统正常运行，不改变主机系统任何配置；动态分析基于静态分析结果之上，主要采用漏洞特征匹配的方法进行分析。

静态分析中针对以下安全属性进行分析：

(1)是否开放了不安全的文件夹共享；

(2)关键文件(如可执行系统文件或脚本文件)的权限是否被设置为任何人都可读、写、执行；

(3)数据库监听器是否设置口令保护；

(4)是否启用帐户口令保护策略，如未设置口令复杂度、最大错误登录次数等；

(5)是否启用日志审计；

(6)数据库中高风险存储过程是否未禁用(如SQL SERVER数据库中的xp_cmdshell)或权限设置为不安全的任何人可执行的权限(如Oracle数据库中的UTL_FILE、UTL_TCP、UTL_SMTP、UTL_HTTP、DBMS_LOB、DBMS_JOB等)。

根据静态数据分析结果，针对主机系统开放的服务，逐一进行动态分析。静态分析中针对以下安全属性进行分析：

(1)若开放了ftp服务，则加载常用的帐户口令字典表，检测是否存在不安全的帐户；根据服务返回的banner信息分析ftp服务的版本，并确定该版本存在的已知安全漏洞；

(2)若开放了Telnet服务，则加载常用的帐户口令字典表，检测是否存在不安全的帐户；根据服务返回的banner信息分析Telnet服务的版本，并确定该版本存在的已知安全漏洞；