1、安全三同步之構(gòu)建高效網(wǎng)絡(luò)設(shè)備安全入網(wǎng)驗(yàn)收工作體系 邱嵐，陸松 （中國(guó)移動(dòng)通信集團(tuán)廣西有限公司，南寧，530022）摘 要: 為了防止設(shè)備“帶病入網(wǎng)”，必須加強(qiáng)設(shè)備入網(wǎng)安全接入管理，落實(shí)安全配置基線要求和修補(bǔ)漏洞,從而在設(shè)備入網(wǎng)前減少和消除安全隱患，有效預(yù)防和規(guī)避安全事故的發(fā)生，安全入網(wǎng)驗(yàn)收工作必不可少。通過大量的工作實(shí)踐，構(gòu)建起了一套較為完善的網(wǎng)絡(luò)設(shè)備安全入網(wǎng)驗(yàn)收工作體系，并開發(fā)了自評(píng)估工具，將漏洞掃描、配置核查、關(guān)鍵信息監(jiān)控、日常巡檢等功能整合在一起，形成了一個(gè)高度綜合的風(fēng)險(xiǎn)評(píng)估工具。后期工作將深入關(guān)注如何才能保證工程建設(shè)部門高度重視并嚴(yán)格執(zhí)行管理辦法，如何保證每個(gè)項(xiàng)目在上線前提交入網(wǎng)驗(yàn)收申

2、請(qǐng)工單，如何保證每個(gè)項(xiàng)目通過入網(wǎng)驗(yàn)收后才允許入網(wǎng)。關(guān)鍵詞:安全驗(yàn)收 安全風(fēng)險(xiǎn) 自評(píng)估Efficient Mechanism of network equipment Security inspection before Licensed to production Abstract: In order to prevent the new network equipment, we must strengthen the network equipment security access management, the implementation of security configurat

3、ion baseline requirements and fix the leak, resulting in the network equipment to reduce and eliminate potential safety hazard. In this article, we build up a relatively perfect network equipment security network inspection system, took vulnerability scanning, configuration verification, key informa

4、tion monitoring, routine inspection and other functions into together, formed a highly integrated risk assessment tool. Late work will pay more attention to how to guarantee the engineering construction department attaches great importance to management approach, how to ensure that each project in t

5、he line prior to network acceptance application job, how to ensure that each project through the acceptance before they are permitted to access the net.Keyword: Security inspection, Safety risk, Self assessment1.引言隨著網(wǎng)絡(luò)和通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)互聯(lián)與開放、信息共享帶來了日益增長(zhǎng)的安全威脅。為了企業(yè)乃至國(guó)家的網(wǎng)絡(luò)與信息安全，為了保障客戶利益，加強(qiáng)各方面的安全工作刻不容緩。而為了防止

6、設(shè)備“帶病入網(wǎng)”，必須加強(qiáng)設(shè)備入網(wǎng)安全接入管理，落實(shí)安全配置基線要求和修補(bǔ)漏洞,從而在設(shè)備入網(wǎng)前減少和消除安全隱患，有效預(yù)防和規(guī)避安全事故的發(fā)生，安全入網(wǎng)驗(yàn)收工作必不可少。安全入網(wǎng)驗(yàn)收是指在通信網(wǎng)、業(yè)務(wù)網(wǎng)和各支撐系統(tǒng)的IT設(shè)備新入網(wǎng)、設(shè)備擴(kuò)容入網(wǎng)、設(shè)備調(diào)整進(jìn)入生產(chǎn)現(xiàn)網(wǎng)運(yùn)行前，對(duì)其進(jìn)行網(wǎng)絡(luò)與系統(tǒng)安全方面的評(píng)估和驗(yàn)收。內(nèi)容包括但不限于網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、設(shè)備配置檢查、帳號(hào)口令核查、設(shè)備安全功能檢驗(yàn)、外部滲透測(cè)試等，過程包括評(píng)估、驗(yàn)收、問題的整改和處理。本文通過大量的技術(shù)以及管理實(shí)踐，構(gòu)建起了一套較為完善的網(wǎng)絡(luò)設(shè)備安全入網(wǎng)驗(yàn)收工作體系。向安全三同步中“同步建設(shè)”邁出堅(jiān)實(shí)的一步，在全集團(tuán)范圍首次將安全工作往

7、前移到建設(shè)驗(yàn)收階段，建立制度加強(qiáng)設(shè)備入網(wǎng)安全接入管理，有效防止設(shè)備“帶病入網(wǎng)”，安全工作從缺乏評(píng)估以及量化手段到標(biāo)準(zhǔn)化管理的跨越。該項(xiàng)工作經(jīng)驗(yàn)入選中國(guó)移動(dòng)集團(tuán)基礎(chǔ)信息安全解決方案匯編，已在全集團(tuán)范圍推廣。2.設(shè)備安全入網(wǎng)驗(yàn)收的組織職責(zé)設(shè)備安全入網(wǎng)驗(yàn)收工作，三分看技術(shù)，七分看管理。按照“誰主管、誰負(fù)責(zé)，誰維護(hù)、誰負(fù)責(zé)，誰使用、誰負(fù)責(zé)，誰接入、誰負(fù)責(zé)”的原則，制定通信網(wǎng)、業(yè)務(wù)網(wǎng)和各支撐系統(tǒng)維護(hù)管理部門各自安排專人負(fù)責(zé)所轄系統(tǒng)安全驗(yàn)收工作。同時(shí)規(guī)定了安全驗(yàn)收的管理部門、系統(tǒng)安全設(shè)計(jì)部門、安全驗(yàn)收需求部門和安全驗(yàn)收?qǐng)?zhí)行部門，在流程上形成閉環(huán)，各部門的職責(zé)如下。2.1安全驗(yàn)收管理部門根據(jù)集團(tuán)要求及本地實(shí)

8、際情況制定、細(xì)化、更新安全驗(yàn)收管理辦法，定期組織宣貫、學(xué)習(xí)；監(jiān)督、檢查廣西公司安全驗(yàn)收?qǐng)?zhí)行情況；參與項(xiàng)目設(shè)計(jì)評(píng)審，配合項(xiàng)目管理單位開展系統(tǒng)安全設(shè)計(jì)，提出明確的審核意見。2.2系統(tǒng)安全設(shè)計(jì)部門在項(xiàng)目規(guī)劃階段，系統(tǒng)設(shè)計(jì)在滿足業(yè)務(wù)功能的同時(shí)，從軟硬件、網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)邏輯、應(yīng)急恢復(fù)等多方面考慮系統(tǒng)的安全性。例如：冗余備份、多鏈路、嚴(yán)密的業(yè)務(wù)流程、緊急情況優(yōu)先保證關(guān)鍵功能等。配套安全系統(tǒng)應(yīng)與業(yè)務(wù)系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”，不能滯后業(yè)務(wù)系統(tǒng)發(fā)展，以避免安全漏洞。同時(shí)為使各類網(wǎng)絡(luò)安全管理辦法能夠更好的執(zhí)行，在項(xiàng)目建設(shè)的設(shè)計(jì)階段按照相關(guān)安全規(guī)范進(jìn)行設(shè)計(jì)，滿足安全管理和安全規(guī)范要求，由項(xiàng)目管理部門在設(shè)

9、計(jì)階段填寫相關(guān)表格同時(shí)組織相關(guān)維護(hù)單位的安全人員參與項(xiàng)目設(shè)計(jì)會(huì)審，維護(hù)單位必須參與設(shè)計(jì)和審核，同時(shí)必須提出明確的審核意見和改進(jìn)的具體要求，設(shè)計(jì)會(huì)審紀(jì)要中應(yīng)明確在網(wǎng)絡(luò)與信息安全方面的審核意見。2.3安全驗(yàn)收需求部門在安全驗(yàn)收前按規(guī)定落實(shí)安全配置要求，提出對(duì)準(zhǔn)備入網(wǎng)設(shè)備的安全驗(yàn)收請(qǐng)求，同時(shí)提供驗(yàn)收必需材料。此外，安全驗(yàn)收需求部門還應(yīng)對(duì)安全驗(yàn)收結(jié)果進(jìn)行確認(rèn)，并對(duì)需整改的問題進(jìn)行限期整改，對(duì)整改不了的遺留問題督促設(shè)備供應(yīng)商/系統(tǒng)集成商進(jìn)行備案，備案材料需對(duì)無法進(jìn)行整改的問題進(jìn)行說明，設(shè)備供應(yīng)商/系統(tǒng)集成商需承諾對(duì)于遺留問題可能引發(fā)的信息安全問題負(fù)責(zé)并蓋章確認(rèn)，一式四份，分別歸檔至設(shè)備供應(yīng)商、安全驗(yàn)收需

10、求部門、設(shè)備入網(wǎng)安全驗(yàn)收管理部門和系統(tǒng)維護(hù)部門。2.4安全驗(yàn)收?qǐng)?zhí)行部門負(fù)責(zé)審核、確認(rèn)驗(yàn)收工單，擬定驗(yàn)收方案；負(fù)責(zé)對(duì)入網(wǎng)驗(yàn)收工單的設(shè)備清單進(jìn)行必要的安全檢查，提出相關(guān)檢查報(bào)告；核查入網(wǎng)設(shè)備需求部門所提供驗(yàn)收必需材料是否真實(shí)和是否符合安全驗(yàn)收標(biāo)準(zhǔn)；輸出安全驗(yàn)收?qǐng)?bào)告，提出入網(wǎng)意見；督促安全驗(yàn)收需求部門對(duì)遺留問題進(jìn)行整改，對(duì)完成整改的系統(tǒng)進(jìn)行再次驗(yàn)收，并對(duì)遺留問題歸檔做好確認(rèn)工作。3.設(shè)備安全入網(wǎng)驗(yàn)收工作流程安全驗(yàn)收需求部門應(yīng)該在完成設(shè)備安全配置后申請(qǐng)安全方面的評(píng)估和驗(yàn)收，提交入網(wǎng)安全驗(yàn)收任務(wù)工單，提交新設(shè)備安全驗(yàn)收所需相關(guān)文檔。安全驗(yàn)收?qǐng)?zhí)行部門自收到入網(wǎng)安全驗(yàn)收工單后5個(gè)工作日內(nèi)，組織相關(guān)人員組成驗(yàn)

11、收小組，按本細(xì)則的安全驗(yàn)收內(nèi)容及標(biāo)準(zhǔn)進(jìn)行驗(yàn)收，完成入網(wǎng)設(shè)備的安全評(píng)估，并提供驗(yàn)收?qǐng)?bào)告及入網(wǎng)意見。如該申請(qǐng)不符合審批條件，則不允許接入現(xiàn)網(wǎng)。如果在需求緊急等特殊情況下，經(jīng)部門領(lǐng)導(dǎo)特批許可后可予以批準(zhǔn)，并同時(shí)要求需求部門制定整改計(jì)劃和提供備案證明，在完成整改前應(yīng)實(shí)施有效的替代措施。圖1 安全入網(wǎng)驗(yàn)收流程本地具體的設(shè)備安全入網(wǎng)驗(yàn)收工作涉及到十一方面的內(nèi)容，包括安全域檢查、物理安全檢查、賬號(hào)安全檢查，服務(wù)端口檢查、防火墻策略檢查、防病毒軟件檢查、系統(tǒng)日志安全檢查、漏洞掃描檢查、安全配置檢查、弱口令檢查、滲透測(cè)試，各項(xiàng)工作均明確規(guī)定輸出文檔及檢查內(nèi)容，檢查標(biāo)準(zhǔn)均有明確規(guī)定。圖2 安全入網(wǎng)驗(yàn)收內(nèi)容列表4.

12、安全入網(wǎng)驗(yàn)收工作關(guān)鍵點(diǎn)4.1賬號(hào)安全檢查 所有操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等均需要支持基于帳號(hào)的訪問控制功能。所有需要使用口令的應(yīng)用軟件、業(yè)務(wù)軟件都需要對(duì)口令文件提供妥善的保護(hù)。各網(wǎng)絡(luò)/系統(tǒng)應(yīng)能保存帳號(hào)增刪、權(quán)限更改和登陸信息等有關(guān)安全內(nèi)容的日志。該日志的保存期限應(yīng)不小于2年。各網(wǎng)絡(luò)/系統(tǒng)應(yīng)建立密碼規(guī)則控制，以保證密碼規(guī)則的有效實(shí)施（如能自動(dòng)拒絕創(chuàng)建不符合安全設(shè)置條件的帳號(hào)和口令）。如系統(tǒng)本身無法實(shí)現(xiàn)該功能，必須加強(qiáng)人工安全管理，保證不存在不符合安全設(shè)置條件的帳號(hào)和口令。4.2防火墻策略檢查根據(jù)項(xiàng)目基本信息表，確認(rèn)需要進(jìn)行防火墻檢查的資產(chǎn)范圍。針對(duì)確定的資產(chǎn)使用手工檢查手段，采集各防火

13、墻的配置文件，分析配置訪問規(guī)則時(shí)，源地址、目的地址的以及協(xié)議端口范圍必須以實(shí)際訪問需求為前提，盡可能的縮小范圍，以最小化權(quán)限的原則配置防護(hù)墻策略，不存在不明策略。安全驗(yàn)收需求部門對(duì)所確定資產(chǎn)進(jìn)行申報(bào)，明確防火墻策略的用途、訪問規(guī)則的源地址和目的地址的范圍、訪問端口使用的協(xié)議，填寫防火墻策略檢查表。4.3防病毒軟件檢查根據(jù)項(xiàng)目基本信息表，確認(rèn)需要進(jìn)行防病毒軟件檢查的資產(chǎn)范圍，即安裝了Windows操作系統(tǒng)的各類資產(chǎn)。針對(duì)確定的資產(chǎn)使用本地檢測(cè)手段，記錄防病毒軟件的全稱，記錄防病毒軟件詳細(xì)版本號(hào)，記錄當(dāng)前防病毒庫(kù)版本信息。如發(fā)現(xiàn)未安裝防病毒軟件，必須及時(shí)安裝。如當(dāng)前已安裝的防病毒軟件的病毒庫(kù)版本未

14、更新到最新，必須按照要求更新到最新的病毒庫(kù)。安全驗(yàn)收需求部門對(duì)所確定資產(chǎn)進(jìn)行申報(bào)，明確各Windows系統(tǒng)當(dāng)前已安裝的防病毒軟件名稱，以及防病毒軟件版本和當(dāng)前病毒庫(kù)版本，填寫防病毒軟件檢查表。4.4防滲透測(cè)試按入網(wǎng)安全驗(yàn)收管理辦法的要求，對(duì)網(wǎng)站系統(tǒng)進(jìn)行模擬黑客的真實(shí)攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試，發(fā)現(xiàn)網(wǎng)站系統(tǒng)中存在的未知漏洞，可以對(duì)信息系統(tǒng)的安全性得到較深的感性認(rèn)知，有助于后續(xù)的安全建設(shè)，也可以用于驗(yàn)證經(jīng)過安全保護(hù)后的網(wǎng)絡(luò)是否真實(shí)的達(dá)到了預(yù)定安全目標(biāo)、遵循了安全策略。信息收集 本地信息收集 權(quán)限提升 清除循環(huán)輸出報(bào)告 滲透測(cè)試圖3 滲透測(cè)試過程5.自評(píng)估工具的應(yīng)用5.1安全入網(wǎng)

15、驗(yàn)收的工作中的實(shí)際困難技能要求較高由于檢查內(nèi)容較多，包括帳號(hào)安全檢查、服務(wù)端口檢查、防病毒軟件檢查、漏洞掃描檢查、安全配置檢查和弱口令檢查等多個(gè)方面，不同檢查內(nèi)容需要使用不同的安全檢查工具（例如：帳號(hào)安全檢查、服務(wù)端口使用命令和防病毒軟件檢查通過人工方式進(jìn)行檢查、漏洞掃描檢查使用漏洞掃描系統(tǒng)檢查，安全配置檢查使用配置核查工具，弱口令檢查使用john工具等），這樣需要安全檢查人員具備較高的專業(yè)技術(shù)技能、豐富的知識(shí)經(jīng)驗(yàn)，這樣導(dǎo)致占用安全骨干人員時(shí)間，不能很好的將工作交給一般員工完成。耗時(shí)耗力標(biāo)準(zhǔn)化的輸出文檔與不同安全檢查工具輸出的文檔存在區(qū)別，需要將每種類型的報(bào)告進(jìn)行人工轉(zhuǎn)換，耗時(shí)耗力。業(yè)務(wù)關(guān)聯(lián)性

16、差安全檢查工具輸出的報(bào)告基本上是靜態(tài)的，在設(shè)備入網(wǎng)后不能進(jìn)行關(guān)聯(lián)，不便于系統(tǒng)管理員判斷。例如設(shè)備A由于業(yè)務(wù)原因存在一個(gè)不可修改的漏洞，在設(shè)備入網(wǎng)安全驗(yàn)收時(shí)進(jìn)行備案，但入網(wǎng)后，進(jìn)行定期安全檢查重復(fù)發(fā)現(xiàn)該問題，系統(tǒng)管理員和安全員花很多精力最后才能核實(shí)該漏洞已備案，導(dǎo)致工作重復(fù)耗時(shí)。5.2 自評(píng)估工具的引入為解決上述問題，實(shí)現(xiàn)安全入網(wǎng)驗(yàn)收工作自動(dòng)化，并且實(shí)現(xiàn)業(yè)務(wù)關(guān)聯(lián)分析，特地開發(fā)了自評(píng)估工具，將漏洞掃描、配置核查、關(guān)鍵信息監(jiān)控、日常巡檢等功能整合在一起，形成了一個(gè)高度綜合的風(fēng)險(xiǎn)評(píng)估工具。以風(fēng)險(xiǎn)為核心整體評(píng)估自評(píng)估工具的功能覆蓋了風(fēng)險(xiǎn)因素的各個(gè)方面。允許創(chuàng)建和分發(fā)綜合風(fēng)險(xiǎn)評(píng)估任務(wù)、整合輸出評(píng)估結(jié)果報(bào)表

17、。風(fēng)險(xiǎn)評(píng)估任務(wù)包括漏洞掃描、配置核查和日常巡檢三方面內(nèi)容，創(chuàng)建任務(wù)的時(shí)候是以設(shè)備為索引的，既要考慮綜合性又要考慮靈活性，既可以創(chuàng)建包含三類工作的綜合任務(wù)，也可以創(chuàng)建只包含單一工作的任務(wù)。任務(wù)創(chuàng)建后，根據(jù)具體的內(nèi)容自動(dòng)分發(fā)給相應(yīng)的功能模塊去執(zhí)行。評(píng)估結(jié)果報(bào)表的輸出是以任務(wù)為導(dǎo)向的，既考慮了綜合性需要也兼顧了靈活性。對(duì)應(yīng)綜合任務(wù)，可以針對(duì)其中的子任務(wù)輸出評(píng)估結(jié)果報(bào)表。圖3 評(píng)估結(jié)果界面以面向業(yè)務(wù)的動(dòng)態(tài)基線為評(píng)估方法自評(píng)估工具中的基線概念有別于傳統(tǒng)意義上的安全基線概念，它綜合了各種風(fēng)險(xiǎn)因素，同時(shí)又面向業(yè)務(wù)并動(dòng)態(tài)變化。圖4 基線管理界面自評(píng)估工具對(duì)初次上線的設(shè)備都會(huì)生成一個(gè)安全基線，并保存到基線庫(kù)里。

18、后續(xù)的評(píng)估都會(huì)以這個(gè)基線為參照點(diǎn)，確定風(fēng)險(xiǎn)是否存在。如果有突破基線的情況存在，視為有安全風(fēng)險(xiǎn)。運(yùn)維人員也可以將最近的評(píng)估結(jié)果保存為新的基線，或手工修改基線項(xiàng)目的取值，以完成對(duì)基線的更新和修改。應(yīng)用自評(píng)估工具后，安全入網(wǎng)驗(yàn)收的大部分操作從手工變?yōu)樽詣?dòng)化執(zhí)行，大大提高了工作效率。項(xiàng)目名稱應(yīng)用前耗時(shí)應(yīng)用后耗時(shí)帳號(hào)安全檢查總耗時(shí)（包括檢查和輸出報(bào)表）30分鐘10分鐘服務(wù)端口總耗時(shí)（包括檢查和輸出報(bào)表）240分鐘10分鐘防病毒軟件檢查總耗時(shí)（包括檢查和輸出報(bào)表）30分鐘10分鐘漏洞掃描檢查總耗時(shí)（包括檢查和輸出報(bào)表）180分鐘10分鐘安全配置檢查總耗時(shí)（包括檢查和輸出報(bào)表）90分鐘10分鐘小計(jì)570分鐘50分鐘表2 應(yīng)用自評(píng)