1、 企業安全配置核查管理系統解決方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc530427654 一. 背景 PAGEREF _Toc530427654 h 3 HYPERLINK l _Toc530427655 二. 需求分析 PAGEREF _Toc530427655 h 3 HYPERLINK l _Toc530427656 三. 安全基線研究 PAGEREF _Toc530427656 h 3 HYPERLINK l _Toc530427657 四. 安全基線的建立和應用 PAGEREF _Toc530427657 h 4 HYPERLINK l _Toc5

2、30427658 五. 項目概述 PAGEREF _Toc530427658 h 5 HYPERLINK l _Toc530427659 六. 解決方案建議 PAGEREF _Toc530427659 h 5 HYPERLINK l _Toc530427660 6.1 組網部署 PAGEREF _Toc530427660 h 6 HYPERLINK l _Toc530427661 6.2 特點及優勢總結 PAGEREF _Toc530427661 h 7 HYPERLINK l _Toc530427662 七. 支持型安全服務 PAGEREF _Toc530427662 h 11 HYPERL

3、INK l _Toc530427663 7.1 安全預警 PAGEREF _Toc530427663 h 11 HYPERLINK l _Toc530427664 7.2 安全加固 PAGEREF _Toc530427664 h 11 HYPERLINK l _Toc530427665 7.3 安全職守 PAGEREF _Toc530427665 h 11 HYPERLINK l _Toc530427666 7.4 安全培訓 PAGEREF _Toc530427666 h 12 HYPERLINK l _Toc530427667 八. 方案總結和展望 PAGEREF _Toc530427667

4、 h 12背景近年來，從中央到地方各級政府的日常政務、以及各行業企業的業務開展對IT系統依賴度的不斷增強，信息系統運維人員的安全意識和安全技能也在逐步提高。最直接的體現為傳統以安全事件和新興安全技術為主要驅動的安全建設模式，已經逐漸演進為以業務安全需求為主要驅動的主動式安全建設模式。從典型的信息安全建設過程來看，是由業務需求導出的安全需求在驅動著安全建設的全過程。而如何獲取準確全面的安全需求以指導未來的安全建設并為業務發展服務，如何建立一套行之有效的風險控制與管理手段，是每一個信息化主管所面臨的共同挑戰。而在Xx行業里，隨著各類通信和IT設備采用通用操作系統、數據庫，及各類設備間越來越多的使用

5、IP協議進行通信，其網絡安全問題更為凸出。為了維持XX的通信網、業務系統和支撐系統設備安全，必須從入網測試、工程驗收和運行維護等，設備全生命周期各個階段加強和落實安全要求。需要有一種方式進行風險的控制和管理。需求分析通過對安全事件的分析，發現安全事件主要由3個方面引起，安全漏洞方面、安全配置方面，以及異常事件等方面。安全配置通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權、日志、IP通信等方面內容，反映了系統自身的安全脆弱性。由安全配置的不足可能帶來非常多的安全隱患，因此對安全配置進行有效的檢查和加固成為整體安全體系建設中的重要一環。（安全漏洞和異常事件方面本文不做討論）安全基線研究針對

6、用戶需求，可以采用安全基線的思想進行風險的控制和管理。顧名思義，“安全基線”概念借用了傳統的“基線”概念。字典上對“基線”的解釋是：一種在測量、計算或定位中的基本參照。如海岸基線，是水位到達的水位線。類比于“木桶理論”，可以認為安全基線是安全木桶的最短板，或者說，是最基本的安全要求。假如我們將企業信息系統建立安全基線，如對每個網元、應用系統都定義安全基準點，即設定滿足最基本安全要求的條件，并在設備入網測試、工程驗收和運行維護等設備全生命周期各個階段加強和落實安全基線要求，則可以進行風險的度量，做到風險可控可管。安全基線模型以業務系統為核心，分為業務層、功能架構層、系統實現層三層架構：第一層是業

7、務層，這個層面中主要是根據不同業務系統的特性，定義不同安全防護的要求，是一個比較宏觀的要求。形成基于某業務系統的風險管理系統。第二層是功能架構層，將業務系統分解為相對應的應用系統、數據庫、操作系統、網絡設備、安全設備等不同的設備和系統類型，這些設備類型針對業務層定義的安全防護要求細化為此層不同模塊應該具備的要求。即在技術手段上實現脆弱性、安全策略以及重要信息的監控。第三層是系統實現層，將第二層模塊根據業務系統的特性進一步分解，找到基準安全配置項和重要策略文件等，即建立安全基線弱點庫。如將操作系統可分解為Windows、Linux等具體系統模塊。這些模塊中又具體的把第二層的安全防護要求細化到可執

8、行和實現的要求，稱為該業務系統的Windows安全基線、Linux安全基線等網元的安全基線。下面以近期關注度比較高的WEB網站安全為例對模型的應用進行說明：首先WEB網站要對公眾用戶提供服務，存在互聯網的接口，那么就會受到互聯網中各種攻擊威脅，造成例如網頁內容篡改、網站掛馬等結果。在第一層業務需求中就定義需要防范網頁內容篡改、網站掛馬的要求。而這些防護要求對于功能架構層的WEB Server、操作系統、安全設備等都存在可能的影響，因此在這些不同的模塊中需要定義相對應的防范要求。而針對這些防范要求，如何來實現呢？這就需要定義全面、有效的第三層模塊要求了。第三層中就是依據WEB應用的承載系統，針對

9、各種安全威脅在不同的模塊定義不同的防護要求，這些不同模塊的防護要求就統一稱為該WEB網站的安全基線。針對該WEB網站安全基線的檢查，就可以轉化為針對WEB Server、承載系統等的脆弱性檢查上面。安全基線的建立和應用首先根據企業狀況，建立一套本組織在當前時期的“理想化安全水平基準點”，即“安全基線”。這個“安全基線”可以同時包含政策合規性的需求、自身的安全建設發展需求、特殊時期的安全保障需求等，然后通過一些手段（比如自動化的評估工具）對組織現有的安全水平進行分析。通過對比“理想化安全水平基準點”，就形成了一套差距分析結論。企業自身針對這個差距進行適時監測、確認和跟蹤即可，對任何違規情況進行預

10、警或通報，提出“補足差距”的建議方案；而這個“理想安全水平基準點”就是該組織的最優安全狀態。追求規避全部風險也是不現實的，信息系統在達到基線水平之后，部分風險自然會被轉移或降低。這樣便可以實現持續定義安全基線，持續監管和持續改進，可以使每一時期每一階段的安全水平都是可控的。同時，收集完數據后，根據企業安全狀況進行風險的度量，輸出結合政策法規要求的風險報表。圖3配置核查控制圖項目概述啟明星辰安全配置核查管理系統，主要實現集中自動化的對目標區域中的主機設備、數據庫、中間件、網絡設備、防火墻等設備的配置進行安全檢查，檢查后自動生成符合情況報告，并對不符合項提出詳細的改進方案。支持型安全服務，主要提供

11、安全告警、安全加固、安全咨詢等專業安全服務，為該XX提供完善的網絡設備安全風險管理，提高移動各中心對新業務系統上線、第三方系統接入和日常安全運維檢查和加固的實際效果，有效降低安全風險的發生概率。解決方案建議基于該XX目前的網絡系統現狀和組織結構，計劃采用多級部署安全配置核查管理系統分級部署在上級中心、下級XX中心和下級XX中心內，實現分權分區自動化的配置安全核查。同時，為了實現對第三方接入系統、臨時測試系統的配置安全核查，以及滿足不可達設備安全核查的要求，為各個中心配置一套分布式采集器，并且在上級XX部署一套管理中心作統一的數據收集、任務下發和管理。通過該方案的部署實施，形成全部XX系統范圍內

12、各中心設備配置安全核查數據的匯總與分析能力。通過分析處理匯總的核查數據，形成全面的安全配置現狀，利于有效利用資源，解決關鍵問題，降低系統的脆弱性，提高抗風險的能力。同時，也能周期性的根據XX公司的“安全運維要求”進行合規檢查，促進上級安全檢查的成果。組網部署圖4 配置安全核查系統部署示意圖（請根據情況裁剪）配置安全核查系統的組網模式比較簡單，可以將其旁路部署在既有網絡中。管理員通過WEB頁面登錄系統下達核查任務，檢查任務既可以遠程執行也可以本地執行。對于網絡不可達的設備提供離線的腳本方式：配置核查管理系統實現按照設備類型的離線腳本核查方式，在系統中下載對應的離線腳本，也可以自定義核查內容來適應

13、不同需求，將離線腳本拷貝到目標設備上運行，再將結果導入到系統即可，整改過程不修改目標設備任何配置，特點是不需要獲得設備的登錄信息即可完成配置核查信息的采集。離線腳本這種方式需要逐臺的采集，效率偏低，因此我們還提供了批量的離線核查方式來提高離線設備的核查效率，需要分布式采集器配合完成，大大提高了對于不可達網絡中的設備核查效率。安全配置核查系統的應用非常靈活，只要待查設備為支持范圍內的設備等都能夠自動化的進行安全配置檢查，就主要的應用情況來看，主要有以下幾種應用：日常運維核查，對現有正在運行的系統設備進行定期檢查，發現配置漏洞和錯誤。新上線系統核查，在新部署的系統設備上線之前進行必要的配置安全檢查

14、，提前發現配置漏洞和錯誤。第三方接入核查，對接入移動系統的第三方設備進行配置檢查，提前發現配置漏洞和錯誤。重大事件前核查，在重大社會活動、集團安全巡檢等事件前期，對重點設備、系統進行配置安全核查，提前發現配置漏洞和錯誤。特點及優勢總結復雜網絡的多渠道檢查支持主要考慮用戶對于設備的管理細粒度和網絡復雜度，從這兩個維度出發，實現多種方式的核查任務管理：立即掃描：從資產入手，立即檢查，并對檢查結果及時呈現，并完成歷次檢查情況的展現、結果對比分析。定時掃描：針對組合的檢查任務指定在某個時間開始核查，需要指定被檢查的設備群,并對檢查結果進行呈現，提供對比分析及趨勢分析。周期掃描：針對組合的檢查任務提供周

15、期性核查，需要指定被檢查的設備群以及周期形態（每小時、每天、每周、每月），并對檢查結果進行呈現，提供對比分析及趨勢分析。離線掃描：1.離線腳本：在目標主機上運行腳本并把結果導入到任務中即可，實現vbs和session log方式。2.離線采集器，將任務下發到離線采集器，攜帶離線采集器到達目標網絡執行任務后將結果上傳回管理中心代理核查：可將Windows/linux系統部署代理方式，完成核查。 網絡不可達的離線檢查技術配置核查管理系統實現按照設備類型的離線腳本核查方式，在系統中下載對應的離線腳本，也可以自定義核查內容來適應不同需求，將離線腳本拷貝到目標設備上運行，再將結果導入到系統即可，整改過程

16、不修改目標設備任何配置，特點是不需要獲得設備的登錄信息即可完成配置核查信息的采集。離線腳本這種方式需要逐臺的采集，效率偏低，因此我們還提供了批量的離線核查方式來提高離線設備的核查效率，需要分布式采集器配合完成，大大提高了對于不可達網絡中的設備核查效率。 基于Windows/linux系統的代理技術針對大多數OA辦公敏感設備及個人pc設備這類不便于提供登錄信息的情況，代理技術將得到廣泛使用，其特點是不需要登錄的用戶及密碼，保護了設備本身的隱私及文件安全，同時又能對其基線配置情況進行檢查。對于部署到主機上的數據庫及中間件可實現一并核查。高效的多協議支持在負責的網絡環境下，因承載的業務不同，目標設備

17、所開放的登錄協議也不同，這就要求基線檢查必須支持多種協議的登錄方式來滿足檢查工作的完成，支持SSH/Telnet/SMB/RDP/JDBC/Agent/WinRm等協議。SMB是基于NetBIOS的API，所有的Windows 操作系統都支持SMB協議，使用SMB協議對windows操作系統進行基線檢查不需要安裝代理服務和啟動特定的服務，并且配置方便防火墻默認放行445端口，可以實現點對點檢查也可以實現批量檢查。RDP是微軟終端服務應用的協議，服務端基于win2000/winNT。協議基于T.128（T.120協議族）提供多通道通信。1、自定義端口：通常情況下，世界上的所有黑客都知道終端服務器

18、使用的是端口3389進行RDP通信。在這種情況下，提高終端服務器環境安全以及抵御黑客攻擊的最快方法就是更改這種默認端口分配設置。2、支持廣泛：所有Windows主機都支持RDP3、輕量級部署：不需要安裝代理服務或啟動特定服務強大的自動探測功能系統可自動探測被核查的操作系統類型及版本，并自動發現中間件及數據庫的安裝路徑，節約數據采集錄入的時間，更智能更準確智能的錯誤提醒機制安全配置核查系統需要強大只能的錯誤消息機制，核查失敗時準確定位錯誤，提升產品核查效率。基于不同檢查標準的自定義參數檢查項當我們面對越來越多的設備種類，多元化的操作系統時，如何分門別類的應對各式各樣的設備，在安全防護的工作中又如

19、何有針對性的開展工作呢，那么配置核查系統通過可用戶自定義的檢查項有效的解決了這個問題。按照不同的設備類型、不同的操作系統，通過系統中的檢查項配置功能完成用戶的自定義檢查項，支持Windows系統的doc命令、批處理，Linux系統的shell命令、shell腳本，甚至支持多個命令集合來完成復雜的配合核查，例如命令1的結果作為命令2的參數傳遞，從而輕松得出需要大量人力付出才能得到的結果，節約了人力成本和時間成本，同時自定義檢查項的功能也為自定義核查的標準提供了有力的保障與現有安全管理平臺的無縫整合安全配置核查管理系統可與現有的啟明星辰安全管理平臺進行無縫整合，可作為子模塊完成基線檢查的工作，也可

20、通過安全管理平臺下發基線檢查策略，驅動基線管理平臺共同完成安全運營管理工作。同時安全基線配置核查系統檢查結果可以返回安全管理平臺管理，安全管理平臺可以針對安全基線的不同檢查規范和不同檢查目的的檢查結果進行過程管控，了解基線檢查配置弱點的整改過程情況，為安全管理工作提供更有利的過程管控信息。集中自動化的配置安全核查運用離線核查與本地核查相結合的方式，在多種復雜應用環境下均可實現自動化的大規模性安全配置檢查。圖5系統工作圖多級多用戶分權使用針對現有的組織結構和網絡環境中，支持多級多用戶分權使用。多管理員使用配置安全核查系統，對每個使用者能夠設定其允許檢查的范圍，檢查過程中不能對目標系統的配置進行任

21、何修改，只能進行安全基線檢查工作。支持集中的管理員功能，能對所有配置安全核查的結果進行統一的查閱和分析。全面靈活的報表功能綜合運用歷史數據搜索、對比分析、匯總查看、趨勢分析等工具，不僅可直觀了解單個系統的問題分布及危害，還可同時掌握多個業務系統的綜合風險變化情況，從而最終做出安全對比評定。可為網絡安全狀況的評定和未來網絡建設提供了強有力的決策支撐。圖6報表輸出圖詳盡可讀性強的配置加固指南針對每一條不符合規范的配置項，系統都提供了詳細的配置安全加固指南。加固指南切合具體的設備類型、系統版本，提出對應的執行命令、參數供加固人員參考，能有效的指導加固操作。支持型安全服務啟明星辰支持安全服務以安全運維

22、管理為核心，根據實際環境和需求進行服務的組合及服務形式的調整，提供定期、不定期、實時等形式的服務。通過各種表現形式的安全服務，在業務系統內部建立PDCA循環機制，實現對信息系統的整體安全運維保障。安全預警目前，信息安全問題正以每周新增幾十甚至幾百例的速度在全世界得到體現，如何及時、準確的獲取這些信息，已成為運行維護部門最迫切的需求之一。安全預警服務通過多種方式為運維人員提供最新的安全行業動態信息，主要內容包括：廠商安全通告：提供主流廠商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。安全通告：自身安全研究發現的安全問題通告（業界未公布）和針對網絡中已有設備的安