[发明专利]基于SCAP的安全基线评估方法

说明书

技术领域

本发明涉及一种安全基线评估方法，特别是涉及一种能够实现漏洞扫描、安全基线管理、补丁管理等工作相结合，且能够对被评估目标对象进行状态基线进行监控的基于SCAP的安全基线评估方法。

背景技术

系统的日常安全维护工作主要有：执行系统基线安全配置、对系统安全配置继续实时监控、定期进行漏洞扫描以及检查补丁安装情况等。由于需要安全维护的信息系统数量巨大，各种安全监测工具对新的漏洞威胁反应速度有快有慢，不同的安全监测工具之间缺乏互操作性，相同的漏洞在不同的安全监测工具中所使用的名称不一致，如：漏洞名为：CVE-2010-3326和漏洞名为：MS10071其实为相同的漏洞，在不同的安全监测工具上的名称却不一样，从而导致系统的日常安全维护工作量非常繁重。

基线检查工具由基线核心服务器、基线管理平台、基线代理组成。其中，基线核心服务器负责接收、分析、比对信息，确认是否达到基线标准要求；基线管理平台提供网络方式的基线采集功能，借助该平台，能够将基线代理、基线核心服务器一体化；基线代理作为基线管理平台的分布式组件，是远程探测的关键部件。产品化后的基线检查工具可对多种类型的主机、数据库、网络设备、应用系统进行安全基线信息的采集与检测工作，形式包括：Telnet、SSH、Agent、Local等，既可对单个设备进行全面的安全检查，也可对某特定的安全项进行专门的检查。

现有的安全基线的评估方法是：选择一些检查模板，再通过检查模板里的检查项进行安全配置检查，再通过安全配置检查的结果和已设定的安全基线值进行匹配，以确定某一配置项是否符合即有的安全基线。但上述评估方法存在一些问题：

1.    大量的以及多样的系统需要不同安全等级的保护

大多数组织有需要不同级别保护的信息系统，针对每个信息系统有众多的应用需要保护。一般企业内部装有多种操作系统及上百种的应用软件，每个信息系统或应用都有自己的补丁机制及安全配置管理，相同的软件在不同主机上的保护机制也可能会有不同。一个单独的主机针对它的操作系统与应用也会有上百种安全配置。所有这些因素使得决定每个系统上需要什么样的安全变化，快速、正确、一致地实现这些变化，以及验证安全配置更为复杂。

2.    响应威胁速度慢

截止2014年初，有多达60805个软件缺陷被加入到美国国家脆弱性数据库（NVD：National Vulnerability Database），漏洞出现越来越快，安全厂商需要针对新出来的漏洞，编写符合自有安全基线评估工具的规则，需要花费很多的时间，企业不能及时重新配置软件或安装补丁以消除漏洞。

3.    缺乏互操作性

大多数系统安全工具采用私有格式、命名法、测量方法与内容，如补丁管理与脆弱性管理软件。例如，如果脆弱性扫描器没有采用标准化的弱点命名法，安全管理人员将不清楚多个扫描器的扫描结果报告是否指向相同的脆弱性。这种互操作性的缺乏将导致安全评估的不一致性，可能会延迟对漏洞修补的时间。

4.    缺少对系统状态的基线

目前大多数安全基线工具只针对基准层的安全配置和安全漏洞的合规性做检查，并不涉及安全基线基准层中的系统状态监控（进程、端口、账号和文件等）。

发明内容

本发明的目的在于克服现有技术的不足，提供一种一致性强、能够实现漏洞扫描、补丁管理等工作相结合，且能够对被评估目标对象进行状态基线进行监控的基于SCAP的安全基线评估方法。

    本发明的目的是通过以下技术方案来实现的：基于SCAP的安全基线评估方法，它包括以下步骤：

S1：资产识别：对被评估对象使用通用平台枚举CPE命名规则，为各项的评估提供基本的管理依据；

S2：CVE漏洞扫描：使用开放漏洞和评估语言OVAL对资产被评估目标对象进行漏洞扫描，；

S3：CCE安全配置检查：使用可扩展配置清单说明格式XCCDF对资产的安全配置进行核查；

S4：安全评分：使用通用漏洞评价体系CVSS对资产安全级别进行评分；

S5：基线状态监控：对达到制定的安全基线的被评估目标对象进行基线状态监控。

    所述资产识别的具体步骤为：

S11：建立被评估对象范围；

S12：按照统一资源识别URI语法规范对被评估的对象进行命名；

    所述CVE漏洞扫描的具体步骤为：

S21：从NIST导入标准漏洞数据库；

S22：通过OVAL对被评估目标对象进行漏洞扫描。