蚂蚁文库
换一换
首页 蚂蚁文库 > 资源分类 > PDF文档下载
 

业务系统安全基线及其工具化解决方案

  • 资源ID:55609533       资源大小:331.33KB        全文页数:9页
  • 资源格式: PDF        下载权限:游客/注册会员    下载费用:10积分 【人民币10元】
快捷注册下载 游客一键下载
会员登录下载
三方登录下载: 微信快捷登录 QQ登录  
下载资源需要10积分 【人民币10元】
邮箱/手机:
温馨提示:
支付成功后,系统会自动生成账号(用户名和密码都是您填写的邮箱或者手机号),方便下次登录下载和查询订单;
支付方式: 微信支付    支付宝   
验证码:   换一换

 
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,既可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

业务系统安全基线及其工具化解决方案

业务系统安全基线及其工具化解决方案业务系统安全基线及其工具化解决方案 业务系统安全基线及其工具化解决方案 业务系统安全基线及其工具化解决方 案 中联绿盟信息技术(北京有限公司 1 安全基线的理论基础 FISMA 的全称是 The Federal Ination Security Management Act(联邦 信息安全管理法案,是由美国国家标准和技术研究所(NIST)牵头制定。FISMA 把责任分配到各种各样的机构上来确保联邦政府的信息系统和数据安全.FISMA 的 推出使得一直忽视计算机安全的联邦政府开始关注计算机安全. FISMA 提出了一个包含八个步骤的信息安全生命周期模型,这个模型的执行过程 涉及面非常广泛且全面,但实施、落地的难度也非常大。如图 1 所示,FISMA 规范 落地的过程好像从高空到地面,真正实施起来非常复杂。 图 1 FISMA 法案的落地 为了实现 FISMA 法案的落地,由 NIST 牵头针对其中的技术安全问题提出了一套 自动化的计划称为 ISAP,ination security automation program,来促进 FISMA 的执行,ISAP 出来后延伸出 SCAP 框架,security content automation protocol,,SCAP 框架由 CVE、CCE、CPE、XCCDF、OVAL、CVSS 等 6 个支撑标准构 成,检查的标准,一致性标准等,.这 6 个支撑标准需要检查的内容、检查的方式由 NVD 和 NCP 来提供,由此 SCAP 框架就实现了标准化和自动化安全检 125 2010 中国通信业百个成功解决方案评选获奖方案 查,及形成了一套针对系统的安全检查基线。 SCAP 及安全基线的最重要成果和成功案例当属 FDCC,Federal Desktop Core Configuration,联邦桌面的核心配置,项目,FDCC 是在美国政府支持下建立的桌 面系统,Windows XP、Windows vista 等,相关安全基线要求规范,并通过自动化 的工具进行检查。FDCC 基于 NVD、NCP 等内容进行基线安全核查。NVD,National Vulnerability Database,国家漏洞数据库,为自动化漏洞管理、安全评估和合规 性检查提供数据支撑,包含安全核查名单、与安全相关的软件漏洞、配置错误以及 量化影响等。NVD 数据库针对数据库中的漏洞等提出了一整套核查名 单,Checklist,,划归到 NCP,National Checklist Program,计划中。简言之 FDCC 体现了两个方面的特性, , 标准化,在 NVD、NCP 的基础上,构建了一套针对桌面系统的安全基线,检查 项,,这些检查项由安全漏洞、安全配置等有关检查内容构成,为标准化的技术安全 操作提供了框架。 , 自动化,针对桌面系统的特性,采用标准化的检查内容和检查方法,通过自动 化的工具来执行,为自动化的技术安全操作提供支持。 NVD 和 NCP 的逻辑关系如图 2 所示. 图 2 NVD 和 NCP 逻辑关系 综上,安全基线的重要理论基础之一就是美国的 NVD 以及 SCAP 体系.在运营商 行业中业务系统可以很容易地找到安全基线的应用价值,比如某运营商的智能网系 统在各省级公司中的业务应用环境、网络连接情况、内部组网结构、内部系统构成 等都存在很大的相似性,因此这就为构建一套运营商自身业务系统的“SCAP”计划 提供了基础。 2 安全基线的定义 ,1,安全基线的概念 安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安 全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行 平衡, 而安全基线正是 126 业务系统安全基线及其工具化解决方案 这个平衡的合理的分界线。不满足系 统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的 满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统 安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决 条件. ,2,安全基线的框架 在充分考虑行业的现状和行业最佳实践,并参考了运营商下发的各类安全政策 文件,继承和吸收了国家等级保护、风险评估的经验成果等基础上,构建出基于业 务系统的基线安全模型如图 3 所示. 图 3 基线安全模型 基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层 架构, 第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安全防 护的要求,是一个比较宏观的要求。 第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系 统、网络设备、安全设备等不同的设备和系统模块,这些模块针对业务层定义的安 全防护要求细化为此层不同模块应该具备的要求. 第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,如将操 作系统可分解为 Windows、Solaris 等系统模块,网络设备分解为华为路由器、 Cisco 路由器等系统模块这些模块中又具体地把第二层的安全防护要求细化到 可执行和实现的要求,称为 Windows 安全基线、华为路由器安全基线等。 下面以运营商的 WAP 系统为例对模型的应用进行说明。 127 2010 中国通信业百个成功解决方案评选获奖方案 首先 WAP 系统要对互联网用户提供服务,存在互联网的接口,那么就会受到互联 网中各种蠕虫的攻击威胁,在第一层中就定义需要防范蠕虫攻击的要求。蠕虫攻击 的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在 可能的影响,因此在这些不同的模块中需要定义相对应的防范要求,而针对这些防 范要求,如何来实现呢,这就需要定义全面、有效的第三层模块要求了.针对不同 类型蠕虫病毒的威胁,在 Windows、Solaris 等系统的具体防范要求是不一样的,第 三层中就是针对各种安全威胁针对不同的模块定义不同的防护要求,这些不同模块 的防护要求就统一称为 WAP 业务系统的安全基线.针对 WAP 业务系统安全基线的检 查,就可以转化为针对操作系统、网络设备等的脆弱性检查上面。 ,3,安全基线的内容 根据业界通行的一些安全风险评估方法及运营商日常安全维护经验,我们将安 全基线的内容分为三个方面,1,系统存在的安全漏洞。2,系统配置的脆弱性。3, 系统状态的检查。业务系统的安全基线由以上三方面必须满足的最小要求组成。具 体组成如图 4 所示。 图 4 安全基线的组成 具体来说,安全基线的三个组成部分分别为, 漏洞信息,漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险, 一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情 况处置错误等,反映了系统自身的安全脆弱性。由于漏洞信息由相应的国际标准如 CVE,Common Vulnerabilities Exposures ,公共漏洞和暴露,列出了各种已知的安全漏洞,因此系统的初始 漏洞安全基线可以采用通用标准。 安全配置,通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日 志、IP

注意事项

本文(业务系统安全基线及其工具化解决方案)为本站会员(dahua)主动上传,蚂蚁文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知蚂蚁文库(发送邮件至2303240369@qq.com或直接QQ联系客服),我们立即给予删除!

温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们


网站客服QQ:2303240369

copyright@ 2017-2027 mayiwenku.com 

网站版权所有  智慧蚂蚁网络

经营许可证号:ICP备2024020385号



收起
展开