諧潤配置核查系統(tǒng)技術(shù)建議書智恒科技

1、中國電信配置核查技術(shù)建議書中國電信2011555 號文件內(nèi)容如下：根據(jù)關(guān)于印發(fā)中國電信通信網(wǎng)絡(luò)安全防護(hù)管理辦法的通知（中國電信2010531號）文件的規(guī)定，為了在工程驗(yàn)收、運(yùn)行維護(hù)、安全檢查等環(huán)節(jié)，規(guī)范并落實(shí)安全配置工作，集團(tuán)公司組織編制操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件在內(nèi)的通用安全配置要求?，F(xiàn)印發(fā)各省電信公司，從下發(fā)之日起執(zhí)行，相關(guān)要求如下：一、配置要求應(yīng)用范圍 此配置要求是根據(jù)工信部頒布的安全防護(hù)標(biāo)準(zhǔn)、結(jié)合安全防護(hù)檢查現(xiàn)狀及主流安全廠商的配置規(guī)范編制的，是安全配置的通用基本要求。所有網(wǎng)絡(luò)系統(tǒng)及其相關(guān)配套設(shè)備、業(yè)務(wù)平臺、IT系統(tǒng)等在竣工驗(yàn)收、日常運(yùn)行過程中需遵循此配置要求。二、配置要求實(shí)施與問題

2、反饋 各省須根據(jù)實(shí)際情況，結(jié)合專業(yè)維護(hù)和安全作業(yè)計(jì)劃落實(shí)配置要求，并在實(shí)施過程中規(guī)避對業(yè)務(wù)的影響。請各省注意收集配置要求實(shí)施過程中遇到的問題，并通過集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部生產(chǎn)指揮網(wǎng)站運(yùn)維專題網(wǎng)絡(luò)安全防護(hù)專欄反饋，集團(tuán)將跟蹤各省的應(yīng)用情況并對相關(guān)問題及時解答。為了在工程驗(yàn)收、運(yùn)行維護(hù)、安全檢查等環(huán)節(jié)，規(guī)范并落實(shí)安全配置要求，中國電信編制了一系列的安全配置要求及操作指南（中國電信集團(tuán)555號文），明確了操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用中間件在內(nèi)的通用安全配置要求及參考操作。 該系列安全配置要求及操作指南的結(jié)構(gòu)及名稱如下： （1） 中國電信 Windows 操作系統(tǒng)安全配置要求及操作指南 （2） 中國電信

3、 AIX 操作系統(tǒng)安全配置要求及操作指南 （3） 中國電信 HP-UX 操作系統(tǒng)安全配置要求及操作指南 （4） 中國電信 Linux 操作系統(tǒng)安全配置要求及操作指南 （5） 中國電信 Solaris 操作系統(tǒng)安全配置要求及操作指南 （6） 中國電信 MS SQL server 數(shù)據(jù)庫安全配置要求及操作指南 （7） 中國電信 MySQL 數(shù)據(jù)庫安全配置要求及操作指南 （8） 中國電信 Oracle 數(shù)據(jù)庫安全配置要求及操作指南 （9） 中國電信 Apache 安全配置要求及操作指南 （10） 中國電信 IIS 安全配置要求及操作指南 （11） 中國電信 Tomcat 安全配置要求及操作指南 （1

4、2） 中國電信 WebLogic 安全配置要求及操作指南以上配置核查需要大量的人力對設(shè)備進(jìn)行檢查，工作效率較低。為此，我們針對電信集團(tuán)的555號文進(jìn)行了相應(yīng)產(chǎn)品的定制化開發(fā)智恒配置核查系統(tǒng)（簡稱SURERUN CVS系統(tǒng)），運(yùn)用此系統(tǒng)可以實(shí)現(xiàn)自動化對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫等與中國電信2011555號的符合性進(jìn)行檢查，從系統(tǒng)部署和集成的層面規(guī)避缺省脆弱性的存在。通過對安全事件的分析，發(fā)現(xiàn)安全事件主要由3個方面引起，安全漏洞方面、安全配置方面，以及異常事件等方面。安全配置通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。由安全配置的不

5、足可能帶來非常多的安全隱患，因此對安全配置進(jìn)行有效的檢查和加固成為整體安全體系建設(shè)中的重要一環(huán)。（安全漏洞和異常事件方面本文不做討論）中國電信2011555號對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫三大類設(shè)備和系統(tǒng)功能和配置方面提出了基本和具體的安全要求。其中，配置要求適用于工程驗(yàn)收和日常維護(hù)，中國電信集團(tuán)希望通過配置核查系統(tǒng)進(jìn)行配置的檢查，依據(jù)相應(yīng)的配置規(guī)范自動發(fā)現(xiàn)配置錯誤，從而實(shí)現(xiàn)管理規(guī)定和流程信息化。針對中國電信集團(tuán)制訂的中國電信2011555號系列規(guī)范，但在現(xiàn)網(wǎng)的實(shí)際落實(shí)的過程中，由于人員配備不足和技術(shù)能力不夠的情況，使得網(wǎng)絡(luò)中的設(shè)備、系統(tǒng)等很大一部分沒有有效的執(zhí)行造成規(guī)范在現(xiàn)網(wǎng)中存在較大的落地困

6、難。同時，每年集團(tuán)公司對省公司的安全巡檢內(nèi)容中也將涉及中國電信2011555號中的內(nèi)容，檢查的結(jié)果直接關(guān)系到KPI考核。因此在省公司層面對中國電信2011555號的落地執(zhí)行非常關(guān)注。同時，鑒于中國電信網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和數(shù)據(jù)庫具有很大的相似性，我們對于中國電信2011555號規(guī)范規(guī)定的配置核查要求進(jìn)行定制化開發(fā)的核查工具完全可以應(yīng)用到電信運(yùn)營商的網(wǎng)絡(luò)中。與中國電信諸多合規(guī)性配置檢查規(guī)范類似的有美國的SCAP計(jì)劃。由NIST牽頭針對技術(shù)安全問題提出了一套自動化的計(jì)劃稱為ISAP（information security automation program）來促進(jìn)FISMA的執(zhí)行，ISA

7、P出來后延伸出SCAP框架（security content automation protocol），SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6個支撐標(biāo)準(zhǔn)構(gòu)成（檢查的標(biāo)準(zhǔn)，一致性標(biāo)準(zhǔn)等）。這6個支撐標(biāo)準(zhǔn)需要檢查的內(nèi)容、檢查的方式由NVD和NCP來提供，由此SCAP框架就實(shí)現(xiàn)了標(biāo)準(zhǔn)化和自動化安全檢查，及形成了一套針對系統(tǒng)的安全檢查基線。FDCC（Federal Desktop Core Configuration，聯(lián)邦桌面的核心配置）是在美國政府以SCAP框架為基礎(chǔ)，建立的桌面系統(tǒng)（Windows XP、Windows vista等）相關(guān)安全基線要求規(guī)范，并通過自

8、動化的工具進(jìn)行檢查。此項(xiàng)目被媒體譽(yù)為美聯(lián)邦最成功的安全項(xiàng)目，收到的成效顯著。中國電信集團(tuán)的中國電信2011555號正是制定了一系列類似SCAP的核查規(guī)范，針對規(guī)范進(jìn)行自動化檢查則成為SCAP在中國電信落地的體現(xiàn)。智恒配置核查系統(tǒng)，主要實(shí)現(xiàn)集中自動化的對省電信三大中心的網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、主機(jī)系統(tǒng)等設(shè)備的配置進(jìn)行安全檢查，檢查的標(biāo)準(zhǔn)遵照中國電信2011555號中相應(yīng)的檢查項(xiàng)進(jìn)行。檢查后自動生成符合情況報(bào)告，并對不符合項(xiàng)提出詳細(xì)的改進(jìn)方案。能為電信提供完善的網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)管理，提高電信各中心對新業(yè)務(wù)系統(tǒng)上線、第三方系統(tǒng)接入和日常安全運(yùn)維檢查和加固的實(shí)際效果，并有效降低安全風(fēng)險(xiǎn)的發(fā)生概率?；陔娦诺?/p>

9、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和組織結(jié)構(gòu)，計(jì)劃采用多套硬件版智恒配置核查系統(tǒng)分級部署在網(wǎng)管中心、新業(yè)務(wù)開發(fā)中心和業(yè)務(wù)支撐中心內(nèi)，實(shí)現(xiàn)分權(quán)分區(qū)自動化的配置安全核查。同時，為了實(shí)現(xiàn)對第三方接入系統(tǒng)、臨時測試系統(tǒng)的配置安全核查，以及滿足便攜配置安全核查的要求，為各個中心配置一套便攜版智恒配置核查系統(tǒng)。通過該方案的部署實(shí)施，形成省電信范圍內(nèi)各中心設(shè)備配置安全核查數(shù)據(jù)的匯總與分析能力。通過分析處理匯總的核查數(shù)據(jù)，形成全面的安全配置現(xiàn)狀，利于有效利用資源，解決關(guān)鍵問題，降低系統(tǒng)的脆弱性，提高抗風(fēng)險(xiǎn)的能力。同時，也能周期性的根據(jù)集團(tuán)公司的中國電信2011555號文件進(jìn)行合規(guī)檢查，促進(jìn)集團(tuán)安全檢查的成果。配置安全核查系統(tǒng)部署示

10、意圖配置安全核查系統(tǒng)的組網(wǎng)模式比較簡單，可以將其旁路部署在既有網(wǎng)絡(luò)中。管理員通過WEB頁面登錄系統(tǒng)下達(dá)核查任務(wù)，檢查任務(wù)既可以遠(yuǎn)程執(zhí)行也可以本地執(zhí)行。遠(yuǎn)程執(zhí)行，通過Telnet、SMB、SSH、RDP、winrm等形式對待查設(shè)備進(jìn)行配置安全核查，需要保證網(wǎng)絡(luò)IP可達(dá)，并提供待查設(shè)備的管理帳戶和口令；本地執(zhí)行，對于網(wǎng)絡(luò)中不便進(jìn)行遠(yuǎn)程核查的目標(biāo)系統(tǒng)（linux、Windows系統(tǒng)），提供配套的自動化程序，可執(zhí)行程序在待查設(shè)備本地執(zhí)行后生成報(bào)表文件，然后導(dǎo)入到配置安全核查系統(tǒng)中進(jìn)行匯總和分析。智恒配置核查系統(tǒng)的應(yīng)用非常靈活，只要待查設(shè)備為支持范圍內(nèi)的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等，都能對依據(jù)集團(tuán)公司的中國電信

11、2011555號進(jìn)行合規(guī)性核查，就主要的應(yīng)用情況來看，主要有以下幾種應(yīng)用：1. 日常運(yùn)維核查，對現(xiàn)有正在運(yùn)行的系統(tǒng)設(shè)備進(jìn)行定期檢查，發(fā)現(xiàn)配置漏洞和錯誤。2. 新上線系統(tǒng)核查，在新部署的系統(tǒng)設(shè)備上線之前進(jìn)行必要的配置安全檢查，提前發(fā)現(xiàn)配置漏洞和錯誤。3. 第三方接入核查，對接入電信系統(tǒng)的第三方設(shè)備進(jìn)行配置檢查，提前發(fā)現(xiàn)配置漏洞和錯誤。4. 重大事件前核查，在重大社會活動、集團(tuán)安全巡檢等事件前期，對重點(diǎn)設(shè)備、系統(tǒng)進(jìn)行配置安全核查，提前發(fā)現(xiàn)配置漏洞和錯誤。多類型設(shè)備安全配置核查能夠根據(jù)依據(jù)中國電信555號文規(guī)范，判斷待查設(shè)備的檢查項(xiàng)目達(dá)標(biāo)與否，支持百分制對目標(biāo)系統(tǒng)的達(dá)標(biāo)情況進(jìn)行打分。現(xiàn)有智恒配置核查

12、系統(tǒng)的檢查對象涵蓋了：RedHat/SUSE/ Solaris/AIX/centos/Windows 2003/2008 Server中英文版本操作系統(tǒng)、Solaris 8/9/10中英文版本操作系統(tǒng)、思科交換機(jī)、華為交換機(jī)。LINUX系統(tǒng)檢查的內(nèi)容包括以下部分，分類如下：1. 賬號2. 口令3. 授權(quán)4. 遠(yuǎn)程登錄5. 補(bǔ)丁6. 日志7. 不必要的服務(wù)和端口8. 系統(tǒng)Banner設(shè)置9. 登錄超時時間設(shè)置10. 檢查是否刪除潛在危險(xiǎn)文件11. FTP設(shè)置windows系統(tǒng)檢查的內(nèi)容包括以下部分，分類如下：1. 賬號2. 口令3. 授權(quán)4. 補(bǔ)丁5. 防護(hù)軟件6. 防病毒軟件7. 日志安全要求

13、8. 不必要的服務(wù)9. 啟動項(xiàng)10. 關(guān)閉自動播放功能11. 共享文件夾12. 使用NTFS文件系統(tǒng)13. 網(wǎng)絡(luò)訪問14. 會話超時時間15. 注冊表設(shè)置對于集團(tuán)公司中國電信2011555號中新增設(shè)備安全規(guī)范正式下發(fā)后，將在3個月內(nèi)對智恒配置核查系統(tǒng)完成更新開發(fā)，并上線使用；對于集團(tuán)公司中國電信2011555號中出現(xiàn)修改的設(shè)備安全規(guī)范，將在1個月完成更新開發(fā)，并上線使用。集中自動化的配置安全核查采用機(jī)器語言，運(yùn)用遠(yuǎn)程核查與本地核查相結(jié)合的方式，在多種復(fù)雜應(yīng)用環(huán)境下均可實(shí)現(xiàn)自動化的大規(guī)模性安全配置檢查。支持協(xié)議自動識別，遠(yuǎn)程通過Telnet、SMB、SSH、RDP、winrm等形式對待查設(shè)備進(jìn)行

14、安全檢查，收集設(shè)備信息進(jìn)行全面的合規(guī)分析；對于不能遠(yuǎn)程檢查的目標(biāo)系統(tǒng)，提供配套的自動化程序進(jìn)行信息獲取，并能導(dǎo)入配置安全核查系統(tǒng)中與遠(yuǎn)程核查任務(wù)統(tǒng)一進(jìn)行匯總分析。多級多用戶分權(quán)使用針對現(xiàn)有省電信的組織結(jié)構(gòu)和網(wǎng)絡(luò)環(huán)境中，支持多級多用戶分權(quán)使用。多管理員使用配置安全核查系統(tǒng)，對每個使用者能夠設(shè)定其允許檢查的范圍，檢查過程中不能對目標(biāo)系統(tǒng)的配置進(jìn)行任何修改，只能進(jìn)行安全基線檢查工作。支持集中的管理員功能，能對所有配置安全核查的結(jié)果進(jìn)行統(tǒng)一的查閱和分析。全面靈活的報(bào)表功能綜合運(yùn)用歷史數(shù)據(jù)搜索、對比分析、匯總查看、趨勢分析等工具，不僅可直觀了解單個系統(tǒng)的問題分布及危害，還可同時掌握多個不同省、市公司、業(yè)務(wù)系統(tǒng)的綜合風(fēng)險(xiǎn)變化情況，從而最終做出安全對比評定?？蔀榫W(wǎng)絡(luò)安全狀況的評定和未來網(wǎng)絡(luò)建設(shè)提供了強(qiáng)有力的決策支撐。根據(jù)不同閱讀人員的需要生成各種自定義報(bào)告，提供所需的相關(guān)數(shù)據(jù)，從多個視角反映網(wǎng)絡(luò)的整體配置安全狀況。可對不同的檢查點(diǎn)，定義不同的風(fēng)險(xiǎn)分值，對不安全配置分布、危害、平均符合度、設(shè)備信息等多視角進(jìn)行細(xì)粒度的統(tǒng)計(jì)分析，生成基于不同角色、不同內(nèi)容和不同格式的報(bào)表。配置加固指南針對每一條不符合規(guī)范的配置項(xiàng)，