安全配置核查系统

实用标准文档 安全配置核查系统 随着信息化建设的发展， 各类 IT 设备种类和数量不断增加， 其安全管 理问题日渐凸出。 为了维持 IT 信息系统的安全并方便管理， 必须从入 网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实 安全要求，同时需要设立满足安全要求的安全基准点。 针对行业的业务系统建立安全检查点与操作指南的基准安全标准，则 成为各个行业安全管理人员最为紧迫的事情。基准安全标准将形成针 对不同系统的详细 Checklist 表格和操作指南，为标准化的技术安全 操作提供了框架和标准。 规范与安全基准点的出台让运维人员有了检查默认风险的标杆，但是 面对网络中种类繁杂、数量众多的设备和软件，如何快速、有效的检 查设备，又如何集中收集核查的结果，以及制作风险审核报告，并且 最终识别那些与安全规范不符合的项目，以达到整改合规的要求，这 些是网络运维人员面临的新的难题。 在此背景下，绿盟科技推出了专用检查工具——绿盟安全配置核查系 统（NSFOCUS Benchmark Verification System， 简称：NSFOCUS BVS）系列产品。该产品基于绿盟科技多年安全服务的积累，形成完 善的安全配置知识库， 该知识库涵盖了操作系统、 网络设备、数据库、 中间件等多类设备及系统的安全配置加固建议，通过该知识库可以全 面的指导 IT 信息系统的安全配置及加固工作。 特别是通过该产品能够 文案大全 实用标准文档 采用机器语言，自动化的进行安全配置检查，从而节省传统的手动单 点安全配置检查的时间，并避免传统人工检查方式所带来的失误风 险，同时能够出具详细的检测报告。它可以大大提高您检查结果的准 确性和合规性，节省您的时间成本，让检查工作变得简单。 本文将包含以下内容： 运维人员面临的挑战 基线安全的研究 安全基线的建立和应用 绿盟安全配置核查系统 运维人员面临的挑战 随着业务不断发展，网络规模日益扩大，其生产、业务支撑系统的网 络结构也变得越来越复杂。其中，重要应用和服务器的数量及种类日 益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设 置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运 转。 因此针对行业的业务系统建立安全检查点与操作指南的基准安全标 准，则成为各个行业安全管理人员最为紧迫的事情。基准安全标准将 形成针对不同系统的详细 Checklist 表格和操作指南，为标准化的技 术安全操作提供了框架和标准。其应用范围非常广泛，主要包括新业 务系统的上线安全检查、第三方入网安全检查、合规安全检查（上级 文案大全 实用标准文档 检查）、日常安全检查等。 通过采用统一的安全配置标准来规范技术人员在各类系统上的日常 操作，让运维人员有了检查默认风险的标杆，但是面对网络中种类繁 杂、 数量众多的设备和软件， 真正完成合规性的系统配置检查和修复， 却成为一个费时费力的事情： 安全配置检查及问题修复都需人工进行，对检查人员的技能和经验要 求较高； 做一次普及性的细致检查耗费时间较长，而如果改成抽查则检查的全 面性就很差； 自查和检查都需要登录系统进行，对象越多工作越繁琐，工作效率也 不高； 每项检查都要人工记录，稍有疏漏就需要重新补测。 …… 对自查或检查人员来说，需要花费大量的时间和精力来检查设备、收 集数据、制作和审核风险报告，以识别各项不符合安全规范要求的系 统。如何快速有效的在新业务系统上实现上线安全检查、第三方入网 安全检查、合规安全检查（上级检查）、日常安全检查等全方位设备 检查，又如何集中收集核查的结果，以及制作风险审核报告，并且最 终识别那些与安全规范不符合的项目，以达到整改合规的要求，这些 文案大全 实用标准文档 是网络运维人员面临的新的难题。 基线安全的研究 在研究和业务安全相结合的基准安全标准体系基础上，参考国内外的 标准、规范，充分考虑了行业的现状和行业最佳实践，继承和吸收了 国家等级保护、风险评估的经验成果，形成了一套基于业务系统的基 线安全模型，参见下图： 基线安全模型 基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实 现层等 3 层架构： 第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义 不同安全防护的要求，是一个比较宏观的要求。 第二层是功能架构层， 将业务系统分解为相对应的应用系统、 数据库、 文案大全 实用标准文档 操作系统、网络设备、安全设备等不同的设备 /系统模块，这些模块针 对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。 第三层是系统实现层，将第二层的模块根据业务系统的特性进一步分 解，将操作系统分解为 Windows、Solaris 等系统模块，网络设备分 解为华为路由器、Cisco 路由器等系统模块。这些模块中又具体的把 第二层的安全防护要求细化到可执行和实现的要求，称为Windows 安全基线，华为路由器安全基线等。 我们以移动运营商 WAP 系统为例对模型的应用进行说明。 首先 WAP 系统要对互联网用户提供服务，因此存在互联网的链接，那么就会受 到互联网中各种蠕虫的攻击威胁，那么我们在第一层中就定义需要防 范蠕虫攻击的要求，这个蠕虫攻击的防护要求对于功能架构层的操作 系统、网络设备、网络架构、安全设备等都存在可能的影响，因此在 这些不同的模块中需要定义相对应的防范要求，而针对这些防范要 求，如何来实现呢？这就需要定义全面、有效的第三层模块要求了， 针对不同类型蠕虫病毒的威胁，在 Windows、Solaris 等系统的具体 防范要求就不一样了，因此在第三层中就是针对各种安全威胁针对不 同的模块定义不同的防护要求。 安全基线的建立和应用 建立安全基线首先需要对业务系统进行识别和梳理，然后结合基线安 全模型分析业务系统的功能架构，再将功能架构细化到系统层面的不 文案大全 实用标准文档 同模块。在此基础上，就是针对业务系统特性，分析可能存在的安全 威胁，并将针对威胁的应对措施逐层分解到系统实现层。系统实现层 中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构 成，这些检查项的覆盖面、有效性成为了基线安全实现的关键。 基线安全的应用 应用第三层面安全基线的要求，可以对目标业务系统展开合规性安全 检查，以找出不符合的项，并选择和实施安全措施来控制安全风险。 安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、 授权、日志、IP 通信等方面内容，反映了系统自身的安全脆弱性。安 全配置方面与系统的相关性非常大，同一个配置项在不同业务环境中 的安全配置要求是不一样的，如在 WEB 系统边界防火墙中需要开启 HTTP 通信，但一个 WAP 网关边界就没有这样的需求，因此在设计 业务系统安全基线的时候，安全配置是一个关注的重点。 文案大全 实用标准文档 安全漏洞：通常是系统自身的问题引起的安全风险，一般包括了登录 漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况 处置错误等，反映了系统自身的安全脆弱性。 业务系统的安全基线建立起来之后，将形成针对不同系统的详细 Checklist 表格和操作指南， 为标准化的技术安全操作提供了框架和标 准。其应用范围非常广泛，主