企業(yè)安全配置核查管理系統(tǒng)解決方案

1、 企業(yè)安全配置核查管理系統(tǒng)解決方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc530427654 一. 背景 PAGEREF _Toc530427654 h 3 HYPERLINK l _Toc530427655 二. 需求分析 PAGEREF _Toc530427655 h 3 HYPERLINK l _Toc530427656 三. 安全基線研究 PAGEREF _Toc530427656 h 3 HYPERLINK l _Toc530427657 四. 安全基線的建立和應(yīng)用 PAGEREF _Toc530427657 h 4 HYPERLINK l _Toc5

2、30427658 五. 項目概述 PAGEREF _Toc530427658 h 5 HYPERLINK l _Toc530427659 六. 解決方案建議 PAGEREF _Toc530427659 h 5 HYPERLINK l _Toc530427660 6.1 組網(wǎng)部署 PAGEREF _Toc530427660 h 6 HYPERLINK l _Toc530427661 6.2 特點及優(yōu)勢總結(jié) PAGEREF _Toc530427661 h 7 HYPERLINK l _Toc530427662 七. 支持型安全服務(wù) PAGEREF _Toc530427662 h 11 HYPERL

3、INK l _Toc530427663 7.1 安全預(yù)警 PAGEREF _Toc530427663 h 11 HYPERLINK l _Toc530427664 7.2 安全加固 PAGEREF _Toc530427664 h 11 HYPERLINK l _Toc530427665 7.3 安全職守 PAGEREF _Toc530427665 h 11 HYPERLINK l _Toc530427666 7.4 安全培訓(xùn) PAGEREF _Toc530427666 h 12 HYPERLINK l _Toc530427667 八. 方案總結(jié)和展望 PAGEREF _Toc530427667

4、 h 12背景近年來，從中央到地方各級政府的日常政務(wù)、以及各行業(yè)企業(yè)的業(yè)務(wù)開展對IT系統(tǒng)依賴度的不斷增強，信息系統(tǒng)運維人員的安全意識和安全技能也在逐步提高。最直接的體現(xiàn)為傳統(tǒng)以安全事件和新興安全技術(shù)為主要驅(qū)動的安全建設(shè)模式，已經(jīng)逐漸演進為以業(yè)務(wù)安全需求為主要驅(qū)動的主動式安全建設(shè)模式。從典型的信息安全建設(shè)過程來看，是由業(yè)務(wù)需求導(dǎo)出的安全需求在驅(qū)動著安全建設(shè)的全過程。而如何獲取準(zhǔn)確全面的安全需求以指導(dǎo)未來的安全建設(shè)并為業(yè)務(wù)發(fā)展服務(wù)，如何建立一套行之有效的風(fēng)險控制與管理手段，是每一個信息化主管所面臨的共同挑戰(zhàn)。而在Xx行業(yè)里，隨著各類通信和IT設(shè)備采用通用操作系統(tǒng)、數(shù)據(jù)庫，及各類設(shè)備間越來越多的使用

5、IP協(xié)議進行通信，其網(wǎng)絡(luò)安全問題更為凸出。為了維持XX的通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)設(shè)備安全，必須從入網(wǎng)測試、工程驗收和運行維護等，設(shè)備全生命周期各個階段加強和落實安全要求。需要有一種方式進行風(fēng)險的控制和管理。需求分析通過對安全事件的分析，發(fā)現(xiàn)安全事件主要由3個方面引起，安全漏洞方面、安全配置方面，以及異常事件等方面。安全配置通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。由安全配置的不足可能帶來非常多的安全隱患，因此對安全配置進行有效的檢查和加固成為整體安全體系建設(shè)中的重要一環(huán)。（安全漏洞和異常事件方面本文不做討論）安全基線研究針對

6、用戶需求，可以采用安全基線的思想進行風(fēng)險的控制和管理。顧名思義，“安全基線”概念借用了傳統(tǒng)的“基線”概念。字典上對“基線”的解釋是：一種在測量、計算或定位中的基本參照。如海岸基線，是水位到達(dá)的水位線。類比于“木桶理論”，可以認(rèn)為安全基線是安全木桶的最短板，或者說，是最基本的安全要求。假如我們將企業(yè)信息系統(tǒng)建立安全基線，如對每個網(wǎng)元、應(yīng)用系統(tǒng)都定義安全基準(zhǔn)點，即設(shè)定滿足最基本安全要求的條件，并在設(shè)備入網(wǎng)測試、工程驗收和運行維護等設(shè)備全生命周期各個階段加強和落實安全基線要求，則可以進行風(fēng)險的度量，做到風(fēng)險可控可管。安全基線模型以業(yè)務(wù)系統(tǒng)為核心，分為業(yè)務(wù)層、功能架構(gòu)層、系統(tǒng)實現(xiàn)層三層架構(gòu)：第一層是業(yè)

7、務(wù)層，這個層面中主要是根據(jù)不同業(yè)務(wù)系統(tǒng)的特性，定義不同安全防護的要求，是一個比較宏觀的要求。形成基于某業(yè)務(wù)系統(tǒng)的風(fēng)險管理系統(tǒng)。第二層是功能架構(gòu)層，將業(yè)務(wù)系統(tǒng)分解為相對應(yīng)的應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等不同的設(shè)備和系統(tǒng)類型，這些設(shè)備類型針對業(yè)務(wù)層定義的安全防護要求細(xì)化為此層不同模塊應(yīng)該具備的要求。即在技術(shù)手段上實現(xiàn)脆弱性、安全策略以及重要信息的監(jiān)控。第三層是系統(tǒng)實現(xiàn)層，將第二層模塊根據(jù)業(yè)務(wù)系統(tǒng)的特性進一步分解，找到基準(zhǔn)安全配置項和重要策略文件等，即建立安全基線弱點庫。如將操作系統(tǒng)可分解為Windows、Linux等具體系統(tǒng)模塊。這些模塊中又具體的把第二層的安全防護要求細(xì)化到可執(zhí)

8、行和實現(xiàn)的要求，稱為該業(yè)務(wù)系統(tǒng)的Windows安全基線、Linux安全基線等網(wǎng)元的安全基線。下面以近期關(guān)注度比較高的WEB網(wǎng)站安全為例對模型的應(yīng)用進行說明：首先WEB網(wǎng)站要對公眾用戶提供服務(wù)，存在互聯(lián)網(wǎng)的接口，那么就會受到互聯(lián)網(wǎng)中各種攻擊威脅，造成例如網(wǎng)頁內(nèi)容篡改、網(wǎng)站掛馬等結(jié)果。在第一層業(yè)務(wù)需求中就定義需要防范網(wǎng)頁內(nèi)容篡改、網(wǎng)站掛馬的要求。而這些防護要求對于功能架構(gòu)層的WEB Server、操作系統(tǒng)、安全設(shè)備等都存在可能的影響，因此在這些不同的模塊中需要定義相對應(yīng)的防范要求。而針對這些防范要求，如何來實現(xiàn)呢？這就需要定義全面、有效的第三層模塊要求了。第三層中就是依據(jù)WEB應(yīng)用的承載系統(tǒng)，針對

9、各種安全威脅在不同的模塊定義不同的防護要求，這些不同模塊的防護要求就統(tǒng)一稱為該WEB網(wǎng)站的安全基線。針對該WEB網(wǎng)站安全基線的檢查，就可以轉(zhuǎn)化為針對WEB Server、承載系統(tǒng)等的脆弱性檢查上面。安全基線的建立和應(yīng)用首先根據(jù)企業(yè)狀況，建立一套本組織在當(dāng)前時期的“理想化安全水平基準(zhǔn)點”，即“安全基線”。這個“安全基線”可以同時包含政策合規(guī)性的需求、自身的安全建設(shè)發(fā)展需求、特殊時期的安全保障需求等，然后通過一些手段（比如自動化的評估工具）對組織現(xiàn)有的安全水平進行分析。通過對比“理想化安全水平基準(zhǔn)點”，就形成了一套差距分析結(jié)論。企業(yè)自身針對這個差距進行適時監(jiān)測、確認(rèn)和跟蹤即可，對任何違規(guī)情況進行預(yù)

10、警或通報，提出“補足差距”的建議方案；而這個“理想安全水平基準(zhǔn)點”就是該組織的最優(yōu)安全狀態(tài)。追求規(guī)避全部風(fēng)險也是不現(xiàn)實的，信息系統(tǒng)在達(dá)到基線水平之后，部分風(fēng)險自然會被轉(zhuǎn)移或降低。這樣便可以實現(xiàn)持續(xù)定義安全基線，持續(xù)監(jiān)管和持續(xù)改進，可以使每一時期每一階段的安全水平都是可控的。同時，收集完數(shù)據(jù)后，根據(jù)企業(yè)安全狀況進行風(fēng)險的度量，輸出結(jié)合政策法規(guī)要求的風(fēng)險報表。圖3配置核查控制圖項目概述啟明星辰安全配置核查管理系統(tǒng)，主要實現(xiàn)集中自動化的對目標(biāo)區(qū)域中的主機設(shè)備、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、防火墻等設(shè)備的配置進行安全檢查，檢查后自動生成符合情況報告，并對不符合項提出詳細(xì)的改進方案。支持型安全服務(wù)，主要提供

11、安全告警、安全加固、安全咨詢等專業(yè)安全服務(wù)，為該XX提供完善的網(wǎng)絡(luò)設(shè)備安全風(fēng)險管理，提高移動各中心對新業(yè)務(wù)系統(tǒng)上線、第三方系統(tǒng)接入和日常安全運維檢查和加固的實際效果，有效降低安全風(fēng)險的發(fā)生概率。解決方案建議基于該XX目前的網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和組織結(jié)構(gòu)，計劃采用多級部署安全配置核查管理系統(tǒng)分級部署在上級中心、下級XX中心和下級XX中心內(nèi)，實現(xiàn)分權(quán)分區(qū)自動化的配置安全核查。同時，為了實現(xiàn)對第三方接入系統(tǒng)、臨時測試系統(tǒng)的配置安全核查，以及滿足不可達(dá)設(shè)備安全核查的要求，為各個中心配置一套分布式采集器，并且在上級XX部署一套管理中心作統(tǒng)一的數(shù)據(jù)收集、任務(wù)下發(fā)和管理。通過該方案的部署實施，形成全部XX系統(tǒng)范圍內(nèi)

12、各中心設(shè)備配置安全核查數(shù)據(jù)的匯總與分析能力。通過分析處理匯總的核查數(shù)據(jù)，形成全面的安全配置現(xiàn)狀，利于有效利用資源，解決關(guān)鍵問題，降低系統(tǒng)的脆弱性，提高抗風(fēng)險的能力。同時，也能周期性的根據(jù)XX公司的“安全運維要求”進行合規(guī)檢查，促進上級安全檢查的成果。組網(wǎng)部署圖4 配置安全核查系統(tǒng)部署示意圖（請根據(jù)情況裁剪）配置安全核查系統(tǒng)的組網(wǎng)模式比較簡單，可以將其旁路部署在既有網(wǎng)絡(luò)中。管理員通過WEB頁面登錄系統(tǒng)下達(dá)核查任務(wù)，檢查任務(wù)既可以遠(yuǎn)程執(zhí)行也可以本地執(zhí)行。對于網(wǎng)絡(luò)不可達(dá)的設(shè)備提供離線的腳本方式：配置核查管理系統(tǒng)實現(xiàn)按照設(shè)備類型的離線腳本核查方式，在系統(tǒng)中下載對應(yīng)的離線腳本，也可以自定義核查內(nèi)容來適應(yīng)

13、不同需求，將離線腳本拷貝到目標(biāo)設(shè)備上運行，再將結(jié)果導(dǎo)入到系統(tǒng)即可，整改過程不修改目標(biāo)設(shè)備任何配置，特點是不需要獲得設(shè)備的登錄信息即可完成配置核查信息的采集。離線腳本這種方式需要逐臺的采集，效率偏低，因此我們還提供了批量的離線核查方式來提高離線設(shè)備的核查效率，需要分布式采集器配合完成，大大提高了對于不可達(dá)網(wǎng)絡(luò)中的設(shè)備核查效率。安全配置核查系統(tǒng)的應(yīng)用非常靈活，只要待查設(shè)備為支持范圍內(nèi)的設(shè)備等都能夠自動化的進行安全配置檢查，就主要的應(yīng)用情況來看，主要有以下幾種應(yīng)用：日常運維核查，對現(xiàn)有正在運行的系統(tǒng)設(shè)備進行定期檢查，發(fā)現(xiàn)配置漏洞和錯誤。新上線系統(tǒng)核查，在新部署的系統(tǒng)設(shè)備上線之前進行必要的配置安全檢查

14、，提前發(fā)現(xiàn)配置漏洞和錯誤。第三方接入核查，對接入移動系統(tǒng)的第三方設(shè)備進行配置檢查，提前發(fā)現(xiàn)配置漏洞和錯誤。重大事件前核查，在重大社會活動、集團安全巡檢等事件前期，對重點設(shè)備、系統(tǒng)進行配置安全核查，提前發(fā)現(xiàn)配置漏洞和錯誤。特點及優(yōu)勢總結(jié)復(fù)雜網(wǎng)絡(luò)的多渠道檢查支持主要考慮用戶對于設(shè)備的管理細(xì)粒度和網(wǎng)絡(luò)復(fù)雜度，從這兩個維度出發(fā)，實現(xiàn)多種方式的核查任務(wù)管理：立即掃描：從資產(chǎn)入手，立即檢查，并對檢查結(jié)果及時呈現(xiàn)，并完成歷次檢查情況的展現(xiàn)、結(jié)果對比分析。定時掃描：針對組合的檢查任務(wù)指定在某個時間開始核查，需要指定被檢查的設(shè)備群,并對檢查結(jié)果進行呈現(xiàn)，提供對比分析及趨勢分析。周期掃描：針對組合的檢查任務(wù)提供周

15、期性核查，需要指定被檢查的設(shè)備群以及周期形態(tài)（每小時、每天、每周、每月），并對檢查結(jié)果進行呈現(xiàn)，提供對比分析及趨勢分析。離線掃描：1.離線腳本：在目標(biāo)主機上運行腳本并把結(jié)果導(dǎo)入到任務(wù)中即可，實現(xiàn)vbs和session log方式。2.離線采集器，將任務(wù)下發(fā)到離線采集器，攜帶離線采集器到達(dá)目標(biāo)網(wǎng)絡(luò)執(zhí)行任務(wù)后將結(jié)果上傳回管理中心代理核查：可將Windows/linux系統(tǒng)部署代理方式，完成核查。 網(wǎng)絡(luò)不可達(dá)的離線檢查技術(shù)配置核查管理系統(tǒng)實現(xiàn)按照設(shè)備類型的離線腳本核查方式，在系統(tǒng)中下載對應(yīng)的離線腳本，也可以自定義核查內(nèi)容來適應(yīng)不同需求，將離線腳本拷貝到目標(biāo)設(shè)備上運行，再將結(jié)果導(dǎo)入到系統(tǒng)即可，整改過程

16、不修改目標(biāo)設(shè)備任何配置，特點是不需要獲得設(shè)備的登錄信息即可完成配置核查信息的采集。離線腳本這種方式需要逐臺的采集，效率偏低，因此我們還提供了批量的離線核查方式來提高離線設(shè)備的核查效率，需要分布式采集器配合完成，大大提高了對于不可達(dá)網(wǎng)絡(luò)中的設(shè)備核查效率。 基于Windows/linux系統(tǒng)的代理技術(shù)針對大多數(shù)OA辦公敏感設(shè)備及個人pc設(shè)備這類不便于提供登錄信息的情況，代理技術(shù)將得到廣泛使用，其特點是不需要登錄的用戶及密碼，保護了設(shè)備本身的隱私及文件安全，同時又能對其基線配置情況進行檢查。對于部署到主機上的數(shù)據(jù)庫及中間件可實現(xiàn)一并核查。高效的多協(xié)議支持在負(fù)責(zé)的網(wǎng)絡(luò)環(huán)境下，因承載的業(yè)務(wù)不同，目標(biāo)設(shè)備

17、所開放的登錄協(xié)議也不同，這就要求基線檢查必須支持多種協(xié)議的登錄方式來滿足檢查工作的完成，支持SSH/Telnet/SMB/RDP/JDBC/Agent/WinRm等協(xié)議。SMB是基于NetBIOS的API，所有的Windows 操作系統(tǒng)都支持SMB協(xié)議，使用SMB協(xié)議對windows操作系統(tǒng)進行基線檢查不需要安裝代理服務(wù)和啟動特定的服務(wù)，并且配置方便防火墻默認(rèn)放行445端口，可以實現(xiàn)點對點檢查也可以實現(xiàn)批量檢查。RDP是微軟終端服務(wù)應(yīng)用的協(xié)議，服務(wù)端基于win2000/winNT。協(xié)議基于T.128（T.120協(xié)議族）提供多通道通信。1、自定義端口：通常情況下，世界上的所有黑客都知道終端服務(wù)器

18、使用的是端口3389進行RDP通信。在這種情況下，提高終端服務(wù)器環(huán)境安全以及抵御黑客攻擊的最快方法就是更改這種默認(rèn)端口分配設(shè)置。2、支持廣泛：所有Windows主機都支持RDP3、輕量級部署：不需要安裝代理服務(wù)或啟動特定服務(wù)強大的自動探測功能系統(tǒng)可自動探測被核查的操作系統(tǒng)類型及版本，并自動發(fā)現(xiàn)中間件及數(shù)據(jù)庫的安裝路徑，節(jié)約數(shù)據(jù)采集錄入的時間，更智能更準(zhǔn)確智能的錯誤提醒機制安全配置核查系統(tǒng)需要強大只能的錯誤消息機制，核查失敗時準(zhǔn)確定位錯誤，提升產(chǎn)品核查效率?；诓煌瑱z查標(biāo)準(zhǔn)的自定義參數(shù)檢查項當(dāng)我們面對越來越多的設(shè)備種類，多元化的操作系統(tǒng)時，如何分門別類的應(yīng)對各式各樣的設(shè)備，在安全防護的工作中又如

19、何有針對性的開展工作呢，那么配置核查系統(tǒng)通過可用戶自定義的檢查項有效的解決了這個問題。按照不同的設(shè)備類型、不同的操作系統(tǒng)，通過系統(tǒng)中的檢查項配置功能完成用戶的自定義檢查項，支持Windows系統(tǒng)的doc命令、批處理，Linux系統(tǒng)的shell命令、shell腳本，甚至支持多個命令集合來完成復(fù)雜的配合核查，例如命令1的結(jié)果作為命令2的參數(shù)傳遞，從而輕松得出需要大量人力付出才能得到的結(jié)果，節(jié)約了人力成本和時間成本，同時自定義檢查項的功能也為自定義核查的標(biāo)準(zhǔn)提供了有力的保障與現(xiàn)有安全管理平臺的無縫整合安全配置核查管理系統(tǒng)可與現(xiàn)有的啟明星辰安全管理平臺進行無縫整合，可作為子模塊完成基線檢查的工作，也可

20、通過安全管理平臺下發(fā)基線檢查策略，驅(qū)動基線管理平臺共同完成安全運營管理工作。同時安全基線配置核查系統(tǒng)檢查結(jié)果可以返回安全管理平臺管理，安全管理平臺可以針對安全基線的不同檢查規(guī)范和不同檢查目的的檢查結(jié)果進行過程管控，了解基線檢查配置弱點的整改過程情況，為安全管理工作提供更有利的過程管控信息。集中自動化的配置安全核查運用離線核查與本地核查相結(jié)合的方式，在多種復(fù)雜應(yīng)用環(huán)境下均可實現(xiàn)自動化的大規(guī)模性安全配置檢查。圖5系統(tǒng)工作圖多級多用戶分權(quán)使用針對現(xiàn)有的組織結(jié)構(gòu)和網(wǎng)絡(luò)環(huán)境中，支持多級多用戶分權(quán)使用。多管理員使用配置安全核查系統(tǒng)，對每個使用者能夠設(shè)定其允許檢查的范圍，檢查過程中不能對目標(biāo)系統(tǒng)的配置進行任

21、何修改，只能進行安全基線檢查工作。支持集中的管理員功能，能對所有配置安全核查的結(jié)果進行統(tǒng)一的查閱和分析。全面靈活的報表功能綜合運用歷史數(shù)據(jù)搜索、對比分析、匯總查看、趨勢分析等工具，不僅可直觀了解單個系統(tǒng)的問題分布及危害，還可同時掌握多個業(yè)務(wù)系統(tǒng)的綜合風(fēng)險變化情況，從而最終做出安全對比評定?？蔀榫W(wǎng)絡(luò)安全狀況的評定和未來網(wǎng)絡(luò)建設(shè)提供了強有力的決策支撐。圖6報表輸出圖詳盡可讀性強的配置加固指南針對每一條不符合規(guī)范的配置項，系統(tǒng)都提供了詳細(xì)的配置安全加固指南。加固指南切合具體的設(shè)備類型、系統(tǒng)版本，提出對應(yīng)的執(zhí)行命令、參數(shù)供加固人員參考，能有效的指導(dǎo)加固操作。支持型安全服務(wù)啟明星辰支持安全服務(wù)以安全運維

22、管理為核心，根據(jù)實際環(huán)境和需求進行服務(wù)的組合及服務(wù)形式的調(diào)整，提供定期、不定期、實時等形式的服務(wù)。通過各種表現(xiàn)形式的安全服務(wù)，在業(yè)務(wù)系統(tǒng)內(nèi)部建立PDCA循環(huán)機制，實現(xiàn)對信息系統(tǒng)的整體安全運維保障。安全預(yù)警目前，信息安全問題正以每周新增幾十甚至幾百例的速度在全世界得到體現(xiàn)，如何及時、準(zhǔn)確的獲取這些信息，已成為運行維護部門最迫切的需求之一。安全預(yù)警服務(wù)通過多種方式為運維人員提供最新的安全行業(yè)動態(tài)信息，主要內(nèi)容包括：廠商安全通告：提供主流廠商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。安全通告：自身安全研究發(fā)現(xiàn)的安全問題通告（業(yè)界未公布）和針對網(wǎng)絡(luò)中已有設(shè)備的安