最近在对比等级保护1.0和2.0的不同之处时,产生了些须疑惑:就是到底还要不要测操作超时(主机、应用层面)?
操作超时在1.0中是资源控制这个控制点中的一个测评项,它的内容如下:
应根据安全策略设置登录终端的操作超时锁定。
内容比较好理解,长时间不进行操作的话,就断开终端与服务器的连接。
无论在等级测评师培训教材(初级)还是在1.0的测评要求中,明确的表达了这个意思:
而在2.0中,资源控制这个控制点直接没了,但是没了不代表这个控制点下的控制项也没了,资源控制的控制点如下:
其中a项在2.0中属于身份鉴别这个控制点,这个不是很难理解。
因为对远程连接服务器的管理终端进行一定条件的限制(比如ip),更多的不是从资源控制上去考虑,比如怕连接服务器的管理终端太多。而是从连接的安全方面去考虑,比如来历不明的管理终端跑去连服务器。
所以虽然放在身份鉴别这个控制点下也不一定最合适,但肯定比放在资源控制这个控制点下更合适。
类似的还有默认共享,原来是访问控制中测评项里的要求:
应启用访问控制功能,依据安全策略控制用户对资源的访问。
在2.0中,默认共享被明确的指出来,属于入侵防范的测评项:
应关闭不需要的系统服务、默认共享和高危端口。
这个虽然从访问控制上也能说得通,但是你把它放在入侵防范中,也说得通,合理性都一样。
而c、d、e项明面上没了,至少d项应该没了,因为这个在现实的业务中实在是很难确定,到底要限制多少呢?谁能说得清楚?
当然,我说它明面上没了,是因为可能有一些内容跑到安全管理中心的系统管理中的这个测评项中了(还没搞明白这个测评项的意思,猜测而已):
应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
那么,说了上面这么多,意思就是说,在编制等级保护2.0标准的时候,有着这么一个思路:
确实不好量化、不好操作的测评项,删掉(为了推行新标准、新技术、新产品的除外);
分类不合理的测评项重新分类;
所以,反向得知,如果不是不好量化、不好操作的测评项就不会删除,顶多稍微修改。
所以,回过头来,这个操作超时的测评项,跑哪去了?
分析这个测评项可以得知,它很好量化,也很好检验,配置起来也不复杂(无论是windows还是linux)。就从其意义上而言,也确实有意义,没有操作超时自动退出的话,确实不安全,是吧?
查看2.0中的其它测评项,可能和操作超时有关系的是2.0中身份鉴别中的登录失败处理:
应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;(基本要求)
应核查是否配置并启用了登录连接超时及自动退出功能。(测评要求)
其中有一个登录连接超时自动退出的描述,是否就是指操作超时呢?
从字面意义上而言,连接超时和操作超时是两码事。
首先是超时,超时是在限定时间没有收到响应的情况。 连接超时,就是指客户端向服务器端发送连接请求,超过限定时间服务器端没有回应。操作超时,如果严谨的、纯粹的从字面意思上来说,应该是指执行某个动作,过了限定之间却没有得到回应,比如数据库查询超时,某查询语句运行的时间超过了限定的时,就会告诉你查询超时了。不过一般、不严谨的,有时候也表示空闲的时间超过了限定值,比如长时间不操作就让你登出。
回想1.0,它的登录失败处理测评项和2.0的有没有区别呢?
其内容如下:
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。(基本要求)
查看是否设置网络登录连接超时,并自动退出
分析1.0的话,首先从测评要求以及测评项、初级教程里进行分析,它们都没说登录失败处理测评项与操作超时有关。另外,操作超时在1.0中明确的记载于其他测评项之中,所以这里也不可能涉及到,否则不就是重复了吗?所以这里的(登录连接超时)自动退出和操作超时肯定没关系。
而1.0和2.0在登录失败处理的描述上几乎没有差别,无非就是自动退出和当登录连接超时自动退出的区别,这基本没变化吧?只是更明确了一点而已。
另外,操作超时是你登录上去之后长时间不进行操作后的处置方式,属于成功登录后的事情,而登录失败处理明显就是登录时的事情,因为压根就没登录成功。
所以从这几点来分析,登录连接超时和操作超时基本就是两码事,也就是说操作超时这一项就不用查了?
真的是这样?实际上不确定。
比如从用应用层面进行分析。
应用层面在1.0中也有登录失败处理和操作超时测评项:
应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。(基本要求)
测评要求:
初级教程:
当应用系统的通信双方中的一方在一段时间内未做任何响应,另一方应能够自动结束会话(基本要求)
测评要求:
初级教程:
首先,应用和主机的情况一下,1.0中,登录失败处理功能中的连接超时就是指服务器长时间未响应,而操作超时则在资源控制的a测评项中。
但是从我标注(红色框框)的那两句话来看,两个不同的功能(连接超时和操作超时),都用了连接超时这个词去描述,也就是说,在作者心中,连接超时就包括了登录时服务器长时间未响应和客户端长时间不操作两个意思,至于什么时候两者皆有,什么时候指向其中一个,就要看具体环境了,或者看作者有没有明确的告诉你。
在1.0中,这两者是不会弄混的,因为初级教程里明确的告诉你指向的到底是谁。
而在2.0中嘛,由于没有2.0的初级教程,测评要求里也没说清楚,所以只能是仁者见仁智者见智啦。
反正我最后没搞明白,到底属于哪种情况,有两种推理模式:
1.0中的登录失败处理不包含客户端长时间不操作的这层意思,而2.0的登录失败处理和1.0的几乎描述几乎完全一样,所以2.0的登录失败处理也没有包含客户端长时间不操作的这层意思,另外登录失败处理是属于登录过程这一阶段,不应该属于登录成功后这一阶段。
客户端长时间不操作这个测评项,有意义、好量化、易检测,没有道理删除,而实际上连接超时这个词在书中也可以包含客户端长时间不操作的意思,所以2.0的登录失败处理也可以有客户端长时间不操作的意思。
最后,啥时候出一个2.0的初级教程吧,这样猜来猜去也很累的啊……
*本文原创作者:起于凡而非于凡,本文属于FreeBuf原创奖励计划,未经许可禁止转载