安全配置核查系統(tǒng)測評工具指導(dǎo)書-10版

1、密級內(nèi)部測 評 指 導(dǎo) 書等級保護測評工具安全配置核查系統(tǒng)HD-DJCP-AQHC-2011091001V1.0貴州亨達集團信息安全技術(shù)有限公司文檔編號：HD-DJCP-AQHC-2011091001文檔名稱：安全配置核查系統(tǒng)測評工具指導(dǎo)書V1.0版本說明修訂人修訂內(nèi)容修訂時間版本號審閱人測評服務(wù)部初稿2011-09-10V1.0文檔信息文檔名稱安全配置核查系統(tǒng)測評工具指導(dǎo)書 V1.0文檔編號HD-DJCP-AQHC-2011091001文檔版本號1.0保密級別內(nèi)部擴散范圍內(nèi)部擴散批準人版權(quán)聲明本文件中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬貴州亨達

2、集團信息安全技術(shù)有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)貴州亨達集團信息安全技術(shù)有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。©2011 貴州亨達集團信息安全技術(shù)有限公司 目 錄1工具簡介22設(shè)備安裝指導(dǎo)22.1設(shè)備面板說明22.2設(shè)備部署方式32.2設(shè)備登陸說明43設(shè)備操作說明63.1用戶管理63.2用戶權(quán)限劃分63.3模板管理73.4創(chuàng)建任務(wù)93.5創(chuàng)建空任務(wù)103.6創(chuàng)建正常任務(wù)103.7獲取主機信息144報表分析164.1在線報表164.1.1任務(wù)列表概覽164.1.2主機列表164.1.3主機信息174.2報表輸出185數(shù)據(jù)保存20附錄

3、A設(shè)備出廠參數(shù)21A.1初始網(wǎng)絡(luò)設(shè)置21A.2初始用戶帳號21A.3串口通訊參數(shù)21- 21 -文檔編號：HD-DJCP-AQHC-2011091001文檔名稱：安全配置核查系統(tǒng)測評工具指導(dǎo)書V1.01 工具簡介綠盟安全配置核查系統(tǒng)（NSFOCUS Benchmark Verification System， 簡稱：NSFOCUS BVS）。NSFOCUS BVS具備完善的安全配置庫，采用高效、智能的識別技術(shù)，主動實現(xiàn)對網(wǎng)絡(luò)資產(chǎn)設(shè)備自動化的安全配置檢測、分析，并生成專業(yè)的安全配置建議與合規(guī)性報表. NSFOCUS BVS能幫助測評機構(gòu)了解被測機構(gòu)的信息系統(tǒng)的安全狀況從而提出有針對性的強化安全建

4、議。2 設(shè)備安裝指導(dǎo)2.1 設(shè)備面板說明 BVS的硬件外觀如圖2.1所示，產(chǎn)品硬件的前面板如圖2.2所示（實際產(chǎn)品會因批次不同而略有不同）。圖2.1BVS產(chǎn)品硬件外觀圖2.2 BVS前面板2.2設(shè)備部署方式請根據(jù)實際的網(wǎng)絡(luò)結(jié)構(gòu)，將BVS設(shè)備接入網(wǎng)絡(luò)，請根據(jù)自己網(wǎng)絡(luò)的拓撲結(jié)構(gòu)加以調(diào)整，如圖2.3所示。圖2.3BVS的網(wǎng)絡(luò)部署圖接入網(wǎng)絡(luò)時，需注意以下幾點：n 使用網(wǎng)絡(luò)直連線連接交換機和AURORA BVS設(shè)備的掃描口（SCAN口）。n AURORA BVS設(shè)備無論接入網(wǎng)絡(luò)何處都能使用，但考慮到使用性能建議將其接入到公司主干網(wǎng)的交換機上。n 使用網(wǎng)絡(luò)直連線將AURORA BVS設(shè)備連接到公司網(wǎng)絡(luò)中。

5、n 將AURORA BVS設(shè)備接入網(wǎng)絡(luò)后請立即修改網(wǎng)絡(luò)配置，適應(yīng)所在網(wǎng)絡(luò)。n 管理員也可以使用管理口（Config口）對AURORA BVS設(shè)備進行管理。關(guān)于AURORA BVS設(shè)備各端口的出廠參數(shù)，請參見附錄。2.2 設(shè)備登陸說明 管理員將掃描接口配置完畢，即可將掃描接口接入網(wǎng)絡(luò)，并在網(wǎng)絡(luò)中的選擇一臺管理機，通過Web管理界面進行網(wǎng)絡(luò)參數(shù)配置。下面介紹登錄BVS的Web管理界面的操作方法：（1）確定客戶端主機是否已正常聯(lián)網(wǎng)。（2）打開瀏覽器IE，用HTTPS方式連接BVS的IP地址，例如：。（3）回車后出現(xiàn)如圖2.4所示界面，單擊【是】，接受BVS證書加密

6、的通道。圖2.4登錄Web管理界面時的安全警報彈出框（4）在如圖2.5所示的登錄界面中，輸入初始用戶名和密碼，單擊【確認】。圖2.5BVS的Web登錄界面（5）成功登錄后，進入AURORA BVS的Web管理界面（以任務(wù)管理員user登錄為例），如圖2.6所示。圖2.6成功登錄AURORA BVS后的Web管理界面3 設(shè)備操作說明3.1 用戶管理 使用系統(tǒng)管理員admin賬戶登陸，選擇菜單【系統(tǒng)】è【用戶管理】，進入用戶列表的頁面。如下圖所示，初始狀態(tài)下用戶列表中只有系統(tǒng)自帶的四個用戶。3.2用戶權(quán)限劃分BVS包括四類用戶：任務(wù)管理員、審計管理員、報表管理員和系統(tǒng)管理員，它們的權(quán)限如

7、下表所示。用戶名權(quán)限任務(wù)管理員user創(chuàng)建評估任務(wù)、查看任務(wù)信息、檢查任務(wù)結(jié)果、報表輸出、系統(tǒng)管理（查看系統(tǒng)狀態(tài)、重啟系統(tǒng)、關(guān)閉系統(tǒng)、查看授權(quán)注冊信息）、查看日志、下載配置規(guī)范檢查腳本、常用工具的使用、升級設(shè)置/（自定義）審計管理員auditor日志審計（查看日志、刪除日志、導(dǎo)出日志）報表管理員reportor查看任務(wù)信息、檢查任務(wù)結(jié)果、報表輸出、修改報表信息（修改使用模板配置檢查項的分值和主機檢查結(jié)果）系統(tǒng)管理員admin模板管理（新建模板、編輯模板、刪除模板、導(dǎo)入模板、導(dǎo)出模板）、用戶管理（創(chuàng)建任務(wù)管理員、刪除任務(wù)管理員、編輯除auditor以外的用戶）、系統(tǒng)管理（證書的導(dǎo)入/導(dǎo)出、查看系

8、統(tǒng)狀態(tài)、重啟系統(tǒng)、關(guān)閉系統(tǒng)、查看授權(quán)注冊信息、網(wǎng)絡(luò)配置、系統(tǒng)時間設(shè)置、升級設(shè)置、任務(wù)還原、系統(tǒng)服務(wù)）3.3模板管理模板是用來檢查和展示AURORA BVS報表信息的規(guī)范，根據(jù)不同的證書，系統(tǒng)自帶的模板也不同，主要包括以下六類：Windows配置規(guī)范、Solaris配置規(guī)范、Oracle配置規(guī)范、Juniper Router配置規(guī)范、Cisco Router配置規(guī)范和Huawei Router配置規(guī)范。只有系統(tǒng)管理員admin有權(quán)限對模板進行管理操作。選擇菜單【系統(tǒng)】è【模板參數(shù)】，進入模板管理的頁面，如圖3.1所示。圖3.1模板管理u 增加模板增加模板有以下兩種方法：方法一（1）在頁

9、面左側(cè)的模板列表下方，單擊【增加模板】，輸入模板名稱并選擇模板類型。（2）單擊剛剛添加成功的模板名稱，并在頁面右側(cè)選擇檢查項以及設(shè)置分值權(quán)重。（3）新的模板定制完畢，單擊右下方的【保存】。方法二（1）在模板列表中，單擊某個缺省模板，進入該模板內(nèi)容的頁面。（2）在該模板內(nèi)容的右下角，單擊【另存為】，輸入新的模板名稱并保存。（3）單擊剛剛另存的模板名稱，并在頁面右側(cè)選擇檢查項以及設(shè)置分值權(quán)重。（4）新的模板定制完畢，單擊右下方的【保存】。u 修改模板在模板列表中，單擊某個模板名稱，并在頁面右側(cè)重新選擇檢查項以及設(shè)置分值權(quán)重，完成后單擊右下方的【保存】。系統(tǒng)自帶的報表模板不允許修改。u 刪除模板在模

10、板列表的“操作”一欄下，單擊圖標確定后即可將對應(yīng)的報表模板刪除。3.4創(chuàng)建任務(wù)只有任務(wù)管理員（User）有權(quán)限創(chuàng)建任務(wù)。選擇菜單【新建任務(wù)】，進入創(chuàng)建任務(wù)的頁面，如圖3.2所示。圖3.2創(chuàng)建任務(wù)創(chuàng)建任務(wù)時，各項參數(shù)含義如下：任務(wù)名稱檢查任務(wù)的名稱。檢查目標接受安全配置檢查的主機（具體配置方法請參見4.2創(chuàng)建正常任務(wù)）。保存密碼選擇是，表示檢查目標的登錄密碼被自動保存，任務(wù)結(jié)束后可以進行重新檢查的操作；否則，將不保存檢查目標的登錄密碼，任務(wù)結(jié)束后無法重新檢查。設(shè)備信息填寫本次檢查目標的設(shè)備管理人、所屬部門、設(shè)備用戶和備注信息（可選項）。創(chuàng)建任務(wù)時，頁面上方的紅色字體會提示目前允許用戶掃描的IP范

11、圍。通過修改用戶信息可以修改允許掃描的IP范圍.3.5創(chuàng)建空任務(wù)BVS允許創(chuàng)建空任務(wù)（即沒有實際檢查目標的任務(wù)），任務(wù)管理員可以進入該任務(wù)參數(shù)的頁面，通過導(dǎo)入單個主機的檢查結(jié)果文件到該任務(wù)，然后自動生成相應(yīng)的報表。導(dǎo)入單個主機檢查結(jié)果的文件創(chuàng)建評估任務(wù) 導(dǎo)入數(shù)據(jù)到空任務(wù)中3.6創(chuàng)建正常任務(wù)創(chuàng)建正常任務(wù)，即在創(chuàng)建任務(wù)的頁面中單擊【增加主機】，設(shè)置檢查目標的各項參數(shù)，并顯示目前系統(tǒng)授權(quán)IP數(shù)量。選擇不同的配置規(guī)范模板，需要設(shè)置不同的參數(shù)，下面分別介紹。u Windows配置規(guī)范創(chuàng)建任務(wù) 設(shè)置Windows配置規(guī)范模板的任務(wù)參數(shù)Windows配置規(guī)范模板的任務(wù)參數(shù)含義如下：選擇行業(yè)目前，只能選擇中國

12、移動（此項與產(chǎn)品證書有關(guān)）。類型/端口檢查目標的登錄方式和端口號。IP范圍檢查目標的IP地址。一個檢查目標最多支持一個C類網(wǎng)段，例如：192.168.*.*（具體的填寫格式請參見頁面的幫助說明）。用戶名/密碼登錄檢查目標主機的用戶名和密碼。Windows配置規(guī)范模板支持域用戶登錄檢查，登錄方式是intraguest。u Solaris 配置規(guī)范選中此項，表示使用SU用戶登錄，保證檢查任務(wù)擁有完整的執(zhí)行權(quán)限。創(chuàng)建任務(wù) 設(shè)置Solaris配置規(guī)范模板的任務(wù)參數(shù)Solaris配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。u Oracle 配置規(guī)范選中此項，表示以指定的Oracl

13、e超級用戶權(quán)限登錄創(chuàng)建任務(wù) 設(shè)置Oracle配置規(guī)范模板的任務(wù)參數(shù)Oracle配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。u Juniper Router配置規(guī)范創(chuàng)建任務(wù) 設(shè)置Juniper Router配置規(guī)范模板的任務(wù)參數(shù)Juniper Router配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。Cisco Router配置規(guī)范缺省選中此項，必須設(shè)置Enable密碼創(chuàng)建任務(wù) 設(shè)置Cisco Router配置規(guī)范模板的任務(wù)參數(shù)Cisco Router配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。u Huawei Router配

14、置規(guī)范創(chuàng)建任務(wù) 設(shè)置Huawei Router配置規(guī)范模板的任務(wù)參數(shù)Huawei Router配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。3.7獲取主機信息選擇菜單【系統(tǒng)】è【下載執(zhí)行】，即可下載配置規(guī)范檢查工具，便于任務(wù)管理員在被檢查的主機上執(zhí)行本地檢查任務(wù)，獲取主機信息。如下圖所示，列出了當前系統(tǒng)自帶和用戶自定義的配置規(guī)范檢查工具，單擊“操作”一欄下的圖標即可下載對應(yīng)的配置規(guī)范檢查工具。創(chuàng)建任務(wù) 配置規(guī)范檢查工具列表配置規(guī)范檢查工具下載完畢，即可執(zhí)行本地檢查任務(wù)，操作方法如下：（1）將下載的配置規(guī)范檢查工具文件解壓縮，然后運行文件win.bat（運行過程中

15、不要關(guān)閉窗口）。（2）win.bat運行完畢，自動關(guān)閉窗口，同時在該目錄下自動生成一個XML文件（以被檢查主機IP命名），文件中包含了該主機被檢查的所有信息。（3）任務(wù)管理員登錄AURORA BVS，創(chuàng)建一個空任務(wù)并進入任務(wù)參數(shù)頁面，將剛剛生成的主機檢查結(jié)果文件導(dǎo)入，即可生成相應(yīng)的報表。4 報表分析4.1在線報表4.1.1 任務(wù)列表概覽在任務(wù)列表中，單擊任務(wù)名稱即可查看當前任務(wù)的在線報表，并可以根據(jù)檢查目標的IP或者任務(wù)名稱進行任務(wù)的篩選查詢，如下所示在線報表管理操作導(dǎo)入任務(wù)根據(jù)IP地址或任務(wù)名稱進行篩選單擊任務(wù)名稱，進入該任務(wù)的在線報表任務(wù)列表4.1.2 主機列表在主機列表中，默認列出當前被

16、檢查全部主機的IP地址、主機名、操作系統(tǒng)、平均符合讀和風險平均分，如下圖所示。在主機列表頁面的底部，單擊【保存為EXCEL】，即可將當前任務(wù)的主機列表信息保存為xls格式的文件下載到本地。報表分析 主機列表4.1.3 主機信息在主機列表中，單擊某個主機的IP地址，即可查看它的詳細檢查信息，包括主機概況（包括IP地址、配置模板、主機名、平均符合度、風險平均分和操作系統(tǒng)/應(yīng)用程序）、檢查結(jié)果（主機使用模板檢查項的結(jié)果信息，表示對應(yīng)的檢查項不符合安全標準，表示對應(yīng)的檢查項符合安全標準）、需要手工判斷的檢查項以及輔助信息，如下圖所示。報表分析 查看單個主機的詳細檢查信息4.2 報表輸出只有報表管理員和任務(wù)管理員有權(quán)限進行報表的輸出。除了可以查看在線報表，也可以選擇菜單【報表輸出】將檢查結(jié)果生成報告的形式并輸出查看。如下圖，報表輸出范圍的方式有以下兩種：n 按任務(wù)輸出輸出想要查看的評估任務(wù)。支持主機篩選和模板篩選，即只輸出想要查看的主機信息。n 按IP范圍輸出輸出想要查看的IP地址范圍。支持主機篩選和模板篩選，即只輸出想要查看的主機信息。報表分析 報表輸出輸出報表的各項參數(shù)含義如下：輸出格式報表輸出的格式有HTML和EXCEL（XML）。其中，HTML是系統(tǒng)默認的報表格式；EXCEL（XML）報表用于高級用戶編輯輸出成想要的格式。報表標題自定義輸出的報表標題，默認是“極光安全