安全配置核查管理系統(tǒng)介紹

1、安全配置核查管理系統(tǒng)介紹(Configuration Verification System)配置核查系統(tǒng)介紹2挑戰(zhàn)與需求1安全配置核查功能3應用場景和部署方式4產品資質5安全需要提前防范：主動安全主動安全的核心是弱點管理弱點有兩類漏洞：系統(tǒng)自身固有的安全問題，軟硬件BUG配置：也叫暴露，一般是配置方面的錯誤，并會被攻擊者利用以往，我們關注漏洞，現在我們更關注配置漏洞是供應商的技術問題，配置是客戶自身的管理問題！通過配置核查減少攻擊面、提高漏洞容忍度、提升防御強度配置核查的價值在哪里？運維挑戰(zhàn)重要的應用和服務器數量及種類繁多生產、業(yè)務支撐系統(tǒng)網絡結構復雜安全工作需要深入結合系統(tǒng)全生命周期開展，

2、難度大專職安全崗位有限、安全技術水平參差不齊安全服務和運維真的做好了嗎？設備自身是還存在違規(guī)的配置問題？以上問題我們通過什么方式驗證呢？安全檢查、評估挑戰(zhàn)安全檢查安全評估時間緊，任務重、周期長系統(tǒng)多、設備多、人員少要求細致、安全配置項繁多依靠人的經驗，缺乏統(tǒng)一的標準配置方式不統(tǒng)一無法自動化、快速、高效執(zhí)行6事前預防事中控制事后稽查信息安全管理據權威統(tǒng)計機構調查顯示事前預防可以減少90%的安全攻擊！規(guī)范要求國際規(guī)范NIST：SP800-53 Rev. 3,117,126,126 Rev.1SCAP：XXCDF,OVAL,OCIL,CPE,CCE,CVE,CVSSSOX、GLBA、FISMA、PC

3、IFDCC國家標準公安部工信部金融、證券國家信息中心：CGDCC企業(yè)規(guī)范南方電網：安全基線技術規(guī)范中國移動：安全配置規(guī)范中國聯(lián)通：安全配置指南中國電信：CTG-MBOSS 安全管理與技術防護基線標準其它行業(yè)規(guī)范電力等級保護基線配置核查對應表三級主機測評指導書三級網絡測評指導書三級應用測評指導書工信部等級保護相關其他行業(yè)相關規(guī)范安全配置核查功能3應用場景和部署方式4配置核查系統(tǒng)介紹2挑戰(zhàn)與需求1產品資質5獲取配置信息登錄/運行腳本10%15%20%55%分析比對 報告配置核查：根本目的是依據設備的部署環(huán)境、承載業(yè)務等因素，逐條核查是否滿足基本安全配置要求的合集，并給出指導加固方案，可作為設備入網

4、、業(yè)務上線、日常運維、定期巡檢的權威指南。安全漏洞通常是系統(tǒng)自身的問題引起的安全風險，反映了系統(tǒng)自身的安全脆弱性，安全配置通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權、日志、IP通信等方面內容，同樣反映了系統(tǒng)自身的安全問題，但成因是不同的。安全配置與系統(tǒng)的安全性關聯(lián)非常大，同一個配置項在不同業(yè)務環(huán)境中的安全配置要求是不一樣的，因此在設計業(yè)務系統(tǒng)安全基線的時候，安全配置是一個關注的重點。主動安全防御不能只關注傳統(tǒng)的漏洞，更應該關注設備自身的配置，有研究表明80%對服務器的攻擊中有63%通常是利用人為對系統(tǒng)參數配置的疏忽造成的安全隱患，而這種隱患更明顯，更容易被利用，且對攻擊者技術要求更

5、低，危害巨大。以上證實，系統(tǒng)配置與漏掃同樣重要，作為系統(tǒng)脆弱性的重要組成部分加以防范。基本概念工作機理獲取配置信息登錄/運行腳本10%15%20%55%PlanDoCheckActionPDCA安全管理體系模擬人工核查的過程，圍繞PDCA建模：登錄信息獲取登錄設備（P）執(zhí)行腳本獲得結果（D）和要求值對比（C）加固方案（A）復查（P）分析比對 報告配置核查：是業(yè)務系統(tǒng)及所屬設備在特定時期內，根據自身需求、部署環(huán)境和承載業(yè)務要求應滿足的基本安全配置要求合集。安全管理平臺配置核查模塊：協(xié)助建立安全基線管理體系，實現系統(tǒng)安全配置檢查的標準化、自動化，以及對安全基線結果的過程管控?；靖拍钐攸c一特點二特

6、點三通過對系統(tǒng)的安全基線自動核查作業(yè)，落實安全規(guī)范要求，提高工作效率和安全管控能力。特點四支持多種設備。內置靈活、豐富、完善的安全基線檢查項，并支持檢查項的自定義。提供即時、定時周期調度和離線多種核查方式?？缭O備類型的策略組合定義，實現各設備類型檢查項的策略組合，從而滿足各個核查保證，為日常維護和檢查提供多重標準。核查報告內容全面，支持多種格式。對檢查過程中發(fā)現的不合規(guī)項給出相應的安全加固指導。功能框架核查流程 作業(yè)任務-導向和運維入口結合安全基線內置檢查項制定自定義檢查項組合檢查項與安全對象檢查執(zhí)行組合檢查項并完成檢查項參數實例化創(chuàng)建作業(yè)模板應用檢查策略并組合待檢安全對象對作業(yè)模板進行調度形

7、成檢查任務并執(zhí)行檢查1. 檢查項管理2. 策略管理3. 作業(yè)模板4. 作業(yè)調度完成的作業(yè)核查結果由基線系統(tǒng)進行評估分析，并形成各種安全報告單設備立即檢查對單設備的安全對象執(zhí)行立即檢查，并對檢查結果進行分析，查看歷次檢查情況系統(tǒng)組成單機代理基線管理平臺的分布式組件，作為基線檢查的一種方式，實現本地檢查，特點是不需要登錄用戶信息，安全可靠分布式采集器-在線：由管理調度中心下發(fā)任務，分布式采集器持續(xù)在線對目標網絡進行核查，并將結果回傳到管理調度中心。-離線：由管理調度中心下發(fā)任務，離線采集器可以脫機到不可達網絡，批量的實現對不可達網絡的安全基線檢查，并實現不可達網絡的數據采集與回傳，實現網絡無死角離

8、線腳本通過管理調度中心配置導出要核查的設備類型及核查項，統(tǒng)稱為離線腳本，在目標設備運行后導入到管理調度中心。管理調度中心提供網絡方式的基線采集功能，管理調度中心本身是具備核查能力的，可將基線管理服務、單機代理、離線采集器一體化，負責接收、分析、比對信息，確認是否達到基線標準要求，出具核查任務的報告等。離線核查（離線采集器）不可達網絡1、下發(fā)任務2、離線核查3、上傳結果1、通過在管理調度中心組合策略和資產形成可被執(zhí)行的任務，在與分布式采集器網絡可達的情況下下發(fā)給采集器。2、將采集器與不可達的目標網絡連接，保證核查的設備連通性，直接運行任務完成批量核查。3、再將采集器連回到管理調度中心，將結果傳遞

9、到管理調度中心完成對不可達網絡的批量核查，管理調度中心負責結果匯總出具報告適用網絡：對于網絡不可達且集中管理較好的設備群。核查效率：高 （可自定義任務，一次或分多任務核查）前置條件：1、需要核查的設備需已經納入核查系統(tǒng)管理2、已知目標網絡中的設備情況3、已知設備登錄信息特點：對于不可達網絡，防火墻及網絡允許部署代理的設備群效率較高ResultResultResultResult安全配置核查管理系統(tǒng)下級節(jié)點下級節(jié)點下級節(jié)點核查腳本核查腳本核查腳本核查腳本中間件主機設備數據庫離線核查（離線腳本）結果匯總中間件主機設備數據庫中間件主機設備數據庫中間件主機設備數據庫適用網絡：對于不可達及可達且零散或未

10、知的設備。核查效率： 中低（需要逐臺設備運行核查腳本）前置條件：1、已知核查設備操作系統(tǒng)信息2、腳本下載或拷貝到目標設備特點：1、不考慮網絡情況2、不需要登錄信息3、操作簡單，使用靈活 注冊設備核查管理對于設備上包含數據庫、中間件等多個應用情況，注冊后，可同時核查上報安全配置核查管理系統(tǒng)數據庫中間件 主機針對大多數OA辦公敏感設備及個人pc設備這類不便于提供登錄信息的情況，代理技術將得到廣泛使用，其特點是不需要登錄的用戶及密碼，保護了設備本身的隱私及文件安全，同時又能對其基線配置情況進行檢查。單機代理適用網絡：對于可達網絡且持續(xù)運行的設備。核查效率： 高（單機采集效率非常高）前置條件：1、需要

11、安裝單機代理2、需要注冊到核查管理中心特點：1、不需要登錄信息2、單機核查速度6-7s靈活便捷的多方式檢查復雜網絡的多渠道檢查支持。安全配置核查管理系統(tǒng)支持在線、離線腳本、脫機、分布式采集等多種核查方式，并配備Windows代理來解決無登錄信息的問題，實現在各類復雜情況下的核查采集。優(yōu)勢功能與安全管理平臺的無縫整合。安全配置核查管理系統(tǒng)可與現有的啟明星辰安全管理平臺實現無縫整合，可作為子模塊完成基線檢查的工作，也可通過安全管理平臺下發(fā)基線檢查策略，驅動基線管理平臺共同完成安全運營管理工作。同時安全基線配置核查系統(tǒng)檢查結果可以返回安全管理平臺管理，安全管理平臺可以針對安全基線的不同檢查規(guī)范和不同

12、檢查目的的檢查結果進行過程管控，了解基線檢查配置弱點的整改過程情況，為安全管理工作提供更有利的過程管控信息和數據支撐。自定義多重檢查標準支撐日常運維及各項檢查。良好的日常運維是保障安全防護的基礎，但一般情況下，難免我們需要制定特殊的標準將某些設備的和大部分設備的標準分開界定，這不是我們希望的，但一定會是我們要面對的，類似一些已在網運行正常的設備對于安全防護的標準和一般設備的標準是無法一致的，同時一些預裝了一些軟件的設備在某些業(yè)務系統(tǒng)運行時的配置要求與我們的安全防護配置核查標準發(fā)生相悖的時候，我們如何去解決呢？通過系統(tǒng)中的自定義檢查策略可以很好的解決此類問題，對于同一種設備我們可以自定義不同的檢

13、查項、相同的檢查項也可以定義不同的檢查標準，類似關閉敏感端口中可以根據實現情況制定需要關閉的端口，這樣就很好的解決了不同情況不同標準的問題，不會很生硬的按照相同的標準去檢查不同情況的設備，完成了從檢查標準中體現行業(yè)化的特點，為我們的日常維護提供了更人性化的支撐，使我們的安全防護工作更容易開展。對于上級或者有關部門的檢查，可以根據每次檢查的標準，提前制定策略自查，及時整改，更可以靈活多變的制定不同檢查強度的標準。優(yōu)勢功能自定義檢查項及策略參數化win主機檢查項CISCO防火墻檢查項oracle數據庫檢查項bind中間件檢查項工信部檢查策略省級自查檢查策略分布式采集器級聯(lián)上下級級聯(lián)1、管理中心管理

14、下級資產2、下發(fā)任務到分布式采集器3、監(jiān)控采集器任務4、匯總所有核查結果信息，出具報告1、各個節(jié)點具備管理中心，各自管理 資產2、上級下發(fā)任務到下級，并監(jiān)控執(zhí)行情況3、可以通過登錄下級去控制下級的CVC4、匯總所有核查結果信息，出具報告多級管理的兩種模式多級管理-前提：細粒度的管理模式上下級資產同步上下級策略同步上下級檢查項同步 多級任務管理上下級檢查項同步上級自定義檢查策略模版（制定標準）下級執(zhí)行并反饋執(zhí)行情況 多級模版管理多級管理按照上下級管理的細致度分為：多級任務管理和多級模版管理兩種方案 同步下級節(jié)點的資產信息同步各設備類型檢查項同步下級節(jié)點的檢查策略下級節(jié)點下級節(jié)點上級節(jié)點定期執(zhí)行上

15、級同步下來的任務將執(zhí)行結果同步上傳到上級節(jié)點執(zhí)行任務1、瘦客戶端2、上級管理的細粒度多級管理-任務管理 上級節(jié)點上報：任務執(zhí)行的結果匯總：下級節(jié)點的核查報告12345多級管理-模版管理接收模版標準：上級節(jié)點的策略模版組合任務：策略模版+檢查目標執(zhí)行：立即、定時、周期、離線瘦服務端下級節(jié)點1、制定核查標準2、監(jiān)督執(zhí)行情況3、查看結果排名多級管理-升級下級節(jié)點下級節(jié)點下級節(jié)點下級節(jié)點下級節(jié)點2、本級可點擊升級按鈕完成升級功能3、對于本級需要自定義升級亦可自行導入升級文件完成升級功能1、接收到上級節(jié)點下方的升級文件，包含升級說明信息，補丁包大下4、記錄上級或本級升級歷史信息，操作人，便于審計5、如本

16、級也有下級節(jié)點，同樣可實現對下級的分發(fā)升級功能上級節(jié)點多級部署：分發(fā)升級包單級部署：導入升級包功能升級：導入升級版腳本庫升級：導入腳本包RDP協(xié)議支持輕量級部署 安全、可靠、高效廣泛支持自定義端口RDP協(xié)議特點RDP是微軟終端服務應用的協(xié)議，服務端基于win2000/winNT。協(xié)議基于T.128（T.120協(xié)議族）提供多通道通信通常情況下，世界上的所有黑客都知道終端服務器使用的是端口3389進行RDP通信。在這種情況下，提高終端服務器環(huán)境安全以及抵御黑客攻擊的最快方法就是更改這種默認端口分配設置。支持廣泛：所有Windows主機都支持RDP使用簡單：不需要安裝代理服務或啟動特定服務遠程顯示協(xié)

17、議（Remote Display Protocol ）RDP主要的核查協(xié)議，簡單方便，主要用于Windows系列SMBRDP之前的主流協(xié)議，但需要對目標主機配置，與RDP配合使用SSH包括SSH1/SSH2,主要用于Linux及網絡設備TelnetWindows可選協(xié)議WinRMWindows遠程管理代理（Agent）也是一種核查方式自動探測功能操作系統(tǒng)自動探測類型探測版本探測中間件數據庫版本探測安裝路徑探測配置核查密碼文件獲取第三方接口獲取數據庫獲取密碼安全與多種方式的獲取提供本地數據庫的密碼讀取，本地密碼加密存儲，AES-高級加密標準（128位密鑰）可定制與第三方接口的方式獲取登錄密碼，例

18、如：BOMC、資源管理系統(tǒng),4A系統(tǒng)。Excel文件方式導入密碼，一次性使用，系統(tǒng)默認提供模版文件的下載。分布式組件通信及腳本安全篆改腳本會話劫持SSL認證加密RSA密鑰加密 設備信息、惡意腳本下發(fā)SSL認證加密RSA密鑰加密配置核查維度VenusTech Confidential31JDBCSMBTELNETSSH1SSH2系統(tǒng)服務配置文件權限配置用戶帳號配置口令策略配置認證授權配置網絡通信配置日志審計配置網絡設備配置主機配置數據庫配置中間件配置應用配置安全設備配置功能特點復雜網絡多渠道檢查支持自定義參數及任務的多方式執(zhí)行不斷豐富完善的Checklist知識庫安全、高效、可靠的SMB/RDP

19、協(xié)議支持密碼安全與多種方式的獲取、會話傳輸加密可選擇的多種級聯(lián)模式與現有安全管理平臺的無縫整合技術優(yōu)勢系統(tǒng)簡單實用、界面美觀大方、內置豐富的儀表板，適用于各級管理人員支持超過1600+ 種檢查項的內置知識庫儲備，不段豐富的CheckList具有自定義核查告警及響應功能的核查系統(tǒng)實現多重標準同時線上核查的管理系統(tǒng)“一鍵任務化”操作模式，簡單易用自動化的安全配置檢測，節(jié)省時間，避免人工失誤風險現有的啟明星辰安全管理平臺進行無縫整合強大的客戶化定制能力，包括基于開放架構的管理平臺和一支國內最專業(yè)的定制開發(fā)團隊技術優(yōu)勢 應用場景和部署方式4挑戰(zhàn)與需求1安全配置核查功能3配置核查系統(tǒng)介紹2產品資質5資產

20、類型管理資產管理即時檢查資產管理資產連通性測試通過對新增資產的連通性測試提高資產錄入的準確性，特別是對訪問協(xié)議及端口的確定工作提供了有效的驗證手段，并結合系統(tǒng)自帶的診斷工具，在使用能效上得到了有力保障。策略模版檢查項管理策略管理核查管理Wlang設備支持報告預覽/導出/合并支持報告的在線預覽，包括符合等保的要求，支持多種格式的報告導出，并支持多個任務的合并，生成一個合并后的大報告，便于集中匯總。用戶管理角色管理系統(tǒng)日志系統(tǒng)管理在線用戶服務器配置數據維護挑戰(zhàn)與需求1配置核查系統(tǒng)介紹2應用場景和部署方式4安全配置核查功能3產品資質5 安全配置核查新業(yè)務IT系統(tǒng)建設 對新建設IT業(yè)務系統(tǒng)做到設備配置

21、信息統(tǒng)計與基線配置檢查.業(yè)務系統(tǒng)整改約束對基線檢查問題整改約束，實現業(yè)務系統(tǒng)建設的規(guī)范化和流程化.既有IT系統(tǒng)周期檢查對原有IT系統(tǒng)周期性檢查.結合安全基線管理功能，推進新業(yè)務IT系統(tǒng)規(guī)范流程化管理結合安全基線管理功能，促進原有IT系統(tǒng)的檢查、整改和約束實現安全管理工作的同步實施、發(fā)展的規(guī)范化和流程化安全基線應用場景典型部署多級部署部分成功案例電信移動其它中國電信股份有限公司云南分公司 中國移動通信集團寧夏有限公司福建省公安廳中國電信集采十省SOC基線子模塊中國移動通信集團陜西有限公司福建省郵政管理局廣東電信、上海電信SOC基線子模塊中國移動通信集團北京有限公司湖北省電力公司中國電信集團公司吉

22、林省電信分公司中國移動（深圳）有限公司南方電網貴州分公司中國電信寧夏公司中國海關總署中國電信天翼電子商務有限公司福建農村信用社廣東聯(lián)通北京聯(lián)通陜西聯(lián)通中國南方電網有限責任公司電網技術研究中心上海煙草集團有限責任公司福建省農村信用社聯(lián)合社湖南省電子研究所中國國家認證認可監(jiān)督管理委員會信息中心貴陽生產力促進中心中國國家工信部傳輸所中國船舶工業(yè)集團公司第六三五四研究所中國聯(lián)合網絡通信有限公司黑龍江省分公司入圍中國電信集采，中國移動集采，中國聯(lián)通集采都已經入圍部署方式47安全基線應用服務器安全基線采集節(jié)器已接入74個系統(tǒng)、546臺設備、總計支持1637個檢查項資源接入情況接入業(yè)務系統(tǒng)-案例桌面虛擬化系

23、統(tǒng)無紙化會議系統(tǒng)規(guī)劃管理系統(tǒng)TSM備份系統(tǒng)雷電定位系統(tǒng)統(tǒng)一桌面管理系統(tǒng)社保醫(yī)?？?lián)網系統(tǒng)資產管理系統(tǒng)項目管理子系統(tǒng)用電安全系統(tǒng)營銷綜合分析系統(tǒng)銀電聯(lián)網系統(tǒng)省級監(jiān)管中心南網異地數據級災備中心GIS系統(tǒng)審計管理子系統(tǒng)49在線審計系統(tǒng)防病毒PKI系統(tǒng)文檔加密系統(tǒng)信息專業(yè)化管理網企業(yè)新聞網業(yè)務數據統(tǒng)一平臺綜合計劃管理系統(tǒng)輿情監(jiān)控系統(tǒng)集中展現平臺企業(yè)郵件南網黨建系統(tǒng)省公司防火墻74個業(yè)務系統(tǒng)500余臺設備合規(guī)率2014年8月2014年9月內部電子郵件47%90%移動安全接入平臺44%74%TSM備份系統(tǒng)36%89%IT集中運行監(jiān)控系統(tǒng)41%91% 依據XX基線規(guī)范，現階段對用戶現有設備安全配置進行自動化

24、核查，目前在入網驗收、運行維護階段已經投入使用，安全檢查工作效率大幅度提高，促進業(yè)務系統(tǒng)落實安全合規(guī)的要求，踐行了南方電網低成本、高效運營戰(zhàn)略的要求。立即檢查調度檢查離線檢查1、抽查2、依賴專業(yè)人員3、需督促4、掌控度低5、費時低效Vs1、全覆蓋2、無需專業(yè)人員3、定時自動檢查4、管理全掌握5、省時高效6、未來，結合復查自動調度和工單系統(tǒng)，可實現無人干預的基線管理自動化系統(tǒng)檢查17分鐘600臺設備160萬/次成本節(jié)約人工檢查 分析報告一鍵生成多維度分析報告，全面掌握系統(tǒng)安全狀況 加固指導完善的加固指導和指令提示，幫助維護人員進行系統(tǒng)加固ABCD 日常檢查全量檢查，促進系統(tǒng)安全整體提升 入網驗收

25、實現入網安全驗收，避免系統(tǒng)帶病入網，打牢安全基礎安全與效率雙提升針對6大類（主機、網絡、數據庫等）設備，總結出面向貴網的330個標準化檢查項，自動適配到各個業(yè)務系統(tǒng)中，生成核查報告。實際應用效果50提高安全掌控提高工作效率降低管理成本相對于人工方式或者半自動化工具，如對接入安全管理平臺的所有設備全量檢查，可以節(jié)約成本160萬元/次。自動檢查效率是人工檢查的100倍；檢查500臺設備，共2萬多個檢查項，僅需19分鐘。123合規(guī)率2014年8月2014年10月內部電子郵件47%90%移動安全接入41%91%TSM備份系統(tǒng)36%89%實際應用效果提高60%節(jié)約1800萬提升100倍提高系統(tǒng)安全提高工作效率人工檢查平均25臺/8小時，系統(tǒng)自動檢查平均2500臺/8小時，一天提升100倍降低管理成本檢查一個業(yè)務系統(tǒng)平均需3萬元，若全網每月檢查50個系統(tǒng)，一年可節(jié)約1800萬元實際應用效果業(yè)務系統(tǒng)檢查項2011年8月合規(guī)率201