安全配置核查系統(tǒng)測評工具指導(dǎo)書-1.0版

密級內(nèi)部測評指導(dǎo)書等級保護測評工具安全配置核查系統(tǒng)HD-DＪCP-AＱＨC-2011０９10０1Ｖ1.０貴州亨達(dá)集團信息安全技術(shù)有限公司文檔編號：HD-DJCP-AQHC-2011091001文檔名稱：安全配置核查系統(tǒng)測評工具指導(dǎo)書V1.0?2011貴州亨達(dá)集團信息安全技術(shù)有限公司版本說明修訂人修訂內(nèi)容修訂時間版本號審閱人測評服務(wù)部初稿２0１1—09-10V1.0文檔信息文檔名稱安全配置核查系統(tǒng)測評工具指導(dǎo)書V１．0文檔編號HD-ＤJCP-AQHC-20１1091001文檔版本號1．0保密級別內(nèi)部擴散范圍內(nèi)部擴散批準(zhǔn)人版權(quán)聲明本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容,除另有特別注明,版權(quán)均屬貴州亨達(dá)集團信息安全技術(shù)有限公司所有,受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)貴州亨達(dá)集團信息安全技術(shù)有限公司的書面授權(quán)許可,不得以任何方式復(fù)制或引用本文件的任何片斷。-PAGE1- 目錄TＯC＼o”1—3＂\h\z\uHＹPＥRＬＩＮK\l”_Tｏｃ3082680９5"1工具簡介３0826８095\h2HＹPEＲLIＮK＼l"_Toc30８2６809６”２設(shè)備安裝指導(dǎo)ＰAGEREF＿Tｏc308268０96\ｈ2HYPERLINK\l”＿Ｔoc30８2６8097"2．１設(shè)備面板說明PAGEＲEF_Toc308268097\h2HYＰERLＩNK\l”_Ｔoc3082６8098”2。２設(shè)備部署方式ＰAGERＥＦ_Ｔｏc30８２68098＼h3HYPEＲLINK\l"_Ｔoc308２680９9＂2.２設(shè)備登陸說明PAGERＥＦ_Toc3082680９９\h4HYPERLＩNK\l"＿Tｏc30826810０"3設(shè)備操作說明PAGEＲＥF_Tｏc308２6810０＼h６HYPERＬINK＼l＂_Tｏｃ３0８２6８1０１＂3.１用戶管理ＰAGERＥF＿Ｔoc308２6810１\h6HＹＰERLINK＼l"_Tｏc30826８10２”3．2用戶權(quán)限劃分３0826８10２＼h6HYPＥRLIＮK\l”_Ｔoc３08２6８10３"３。3模板管理PAＧERＥF_Tｏc3082６８10３\h7HＹＰＥRLIＮK\ｌ＂_Toc3082６８10４”3.４創(chuàng)建任務(wù)ＰAＧＥREＦ_Toc308268104\ｈ9HYPEＲＬINK＼l”_Tｏc3０826８10５”3.5創(chuàng)建空任務(wù)ＰＡGEＲEＦ_Toc308268１05\ｈ1０HYPERＬIＮK＼l"_Toｃ3０8268106"3。6創(chuàng)建正常任務(wù)PAGＥREＦ_Ｔoc３０826810６\ｈ１0ＨYPEＲLINK＼l"_Ｔoc308268107＂3.7獲取主機信息PAＧＥREF＿Ｔoc308２6８１０7\h14HＹPERLＩＮK＼l”_Toc308268１08”４報表分析PＡＧＥRＥＦ_Toｃ30８26８１08\ｈ16HYＰERLINK＼ｌ”_Ｔoｃ3０826８１09"4。1在線報表PAGEREF＿Toc3082６8109\h16HYPEＲLINK\l”_Tｏc3０82６8１1０"4。１。1任務(wù)列表概覽PAGEREF＿Toc3０８２68110\h16ＨYＰＥRLIＮK\l”_Toc３08２６８１11"4.１．2主機列表PＡGERＥF_Tｏc３0８268１1１＼h16HYPERLINK\l＂＿Ｔoc3０8268112＂4.１.3主機信息PAGEＲＥF_Toc30826８112\h１7HYPERLＩNK\l"＿Ｔoｃ308268113”４.2報表輸出PAＧEＲEF＿Ｔoｃ308２68１１3\h１８HYPEＲＬINK\l"_Ｔｏc30８2６8114"5數(shù)據(jù)保存PAＧERＥＦ_Toc3０８268114\ｈ20HＹPERＬINK\l"_Ｔoc３08268１1５”附錄A設(shè)備出廠參數(shù)PAGEREＦ_Tｏc3０８2681１5\ｈ21HYPERＬINK\ｌ"＿Tｏc3082６8116＂Ａ.1初始網(wǎng)絡(luò)設(shè)置８2６8116\h２1HYPＥRLIＮK\l"_Toc308268117＂Ａ.2初始用戶帳號PAGEＲＥＦ＿Toc308２68117\h２１HＹＰERＬIＮK＼l"＿Toｃ3082６8118＂A。3串口通訊參數(shù)PAGEREF＿Ｔoc308268118\h21文檔編號：HD-DJCP-AQHC-2011091001文檔名稱：安全配置核查系統(tǒng)測評工具指導(dǎo)書V1.0工具簡介綠盟安全配置核查系統(tǒng)(NSFOＣUSBenchｍarkＶerificationSｙｓteｍ,簡稱：NSＦOCUSBＶS）。ＮＳFOＣUSBVS具備完善的安全配置庫,采用高效、智能的識別技術(shù),主動實現(xiàn)對網(wǎng)絡(luò)資產(chǎn)設(shè)備自動化的安全配置檢測、分析,并生成專業(yè)的安全配置建議與合規(guī)性報表。NSＦＯＣUSBVＳ能幫助測評機構(gòu)了解被測機構(gòu)的信息系統(tǒng)的安全狀況從而提出有針對性的強化安全建議。設(shè)備安裝指導(dǎo)設(shè)備面板說明BVS的硬件外觀如圖２.１所示，產(chǎn)品硬件的前面板如圖2。２所示(實際產(chǎn)品會因批次不同而略有不同）。圖２.1BVS產(chǎn)品硬件外觀圖２.2ＢVS前面板2.2設(shè)備部署方式請根據(jù)實際的網(wǎng)絡(luò)結(jié)構(gòu),將BVＳ設(shè)備接入網(wǎng)絡(luò),請根據(jù)自己網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)加以調(diào)整,如圖２.３所示。圖２.３BVＳ的網(wǎng)絡(luò)部署圖接入網(wǎng)絡(luò)時,需注意以下幾點:使用網(wǎng)絡(luò)直連線連接交換機和AURＯRABVS設(shè)備的掃描口(SＣAＮ口）。AUROＲABVS設(shè)備無論接入網(wǎng)絡(luò)何處都能使用，但考慮到使用性能建議將其接入到公司主干網(wǎng)的交換機上.使用網(wǎng)絡(luò)直連線將AUＲORAＢVS設(shè)備連接到公司網(wǎng)絡(luò)中．將ＡURＯRAＢＶS設(shè)備接入網(wǎng)絡(luò)后請立即修改網(wǎng)絡(luò)配置，適應(yīng)所在網(wǎng)絡(luò)。管理員也可以使用管理口（Ｃoｎｆig口）對AUＲOＲABVＳ設(shè)備進(jìn)行管理。關(guān)于ＡURＯＲＡBVS設(shè)備各端口的出廠參數(shù),請參見HＹＰEＲLINK\l"附錄＂附錄。設(shè)備登陸說明管理員將掃描接口配置完畢,即可將掃描接口接入網(wǎng)絡(luò)，并在網(wǎng)絡(luò)中的選擇一臺管理機,通過Web管理界面進(jìn)行網(wǎng)絡(luò)參數(shù)配置。下面介紹登錄BVS的Ｗeｂ管理界面的操作方法:（1）確定客戶端主機是否已正常聯(lián)網(wǎng)．（2）打開瀏覽器IE，用HTＴPS方式連接BＶS的ＩP地址,例如：hｔtpｓ：//192。168．１．1．（３)回車后出現(xiàn)如圖2。4所示界面，單擊【是】，接受BVＳ證書加密的通道。圖2。４登錄Weｂ管理界面時的安全警報彈出框(４）在如圖２.5所示的登錄界面中,輸入初始用戶名和密碼,單擊【確認(rèn)】。圖2.5BVS的Web登錄界面(5)成功登錄后,進(jìn)入ＡURORABVS的Web管理界面（以任務(wù)管理員user登錄為例）,如圖2．6所示。圖2.6成功登錄AURORABVS后的Weｂ管理界面設(shè)備操作說明用戶管理使用系統(tǒng)管理員aｄｍin賬戶登陸，選擇菜單【系統(tǒng)】【用戶管理】,進(jìn)入用戶列表的頁面。如下圖所示，初始狀態(tài)下用戶列表中只有系統(tǒng)自帶的四個用戶.３。2用戶權(quán)限劃分BVS包括四類用戶:任務(wù)管理員、審計管理員、報表管理員和系統(tǒng)管理員，它們的權(quán)限如下表所示。用戶名權(quán)限任務(wù)管理員uｓer創(chuàng)建評估任務(wù)、查看任務(wù)信息、檢查任務(wù)結(jié)果、報表輸出、系統(tǒng)管理(查看系統(tǒng)狀態(tài)、重啟系統(tǒng)、關(guān)閉系統(tǒng)、查看授權(quán)注冊信息)、查看日志、下載配置規(guī)范檢查腳本、常用工具的使用、升級設(shè)置/（自定義)審計管理員auditor日志審計（查看日志、刪除日志、導(dǎo)出日志)報表管理員reportoｒ查看任務(wù)信息、檢查任務(wù)結(jié)果、報表輸出、修改報表信息(修改使用模板配置檢查項的分值和主機檢查結(jié)果)系統(tǒng)管理員aｄｍin模板管理（新建模板、編輯模板、刪除模板、導(dǎo)入模板、導(dǎo)出模板）、用戶管理(創(chuàng)建任務(wù)管理員、刪除任務(wù)管理員、編輯除auｄitｏr以外的用戶）、系統(tǒng)管理（證書的導(dǎo)入／導(dǎo)出、查看系統(tǒng)狀態(tài)、重啟系統(tǒng)、關(guān)閉系統(tǒng)、查看授權(quán)注冊信息、網(wǎng)絡(luò)配置、系統(tǒng)時間設(shè)置、升級設(shè)置、任務(wù)還原、系統(tǒng)服務(wù))3。３模板管理模板是用來檢查和展示ＡUROＲABVS報表信息的規(guī)范,根據(jù)不同的證書,系統(tǒng)自帶的模板也不同,主要包括以下六類：Ｗｉｎdows配置規(guī)范、Solariｓ配置規(guī)范、Oracle配置規(guī)范、JuniｐeｒＲoｕter配置規(guī)范、CｉscoRouter配置規(guī)范和HｕaweiＲouter配置規(guī)范。只有系統(tǒng)管理員ａdmin有權(quán)限對模板進(jìn)行管理操作。選擇菜單【系統(tǒng)】【模板參數(shù)】,進(jìn)入模板管理的頁面，如圖3.1所示.圖３。１模板管理增加模板增加模板有以下兩種方法:方法一(１)在頁面左側(cè)的模板列表下方，單擊【增加模板】，輸入模板名稱并選擇模板類型.(２)單擊剛剛添加成功的模板名稱,并在頁面右側(cè)選擇檢查項以及設(shè)置分值權(quán)重．(３)新的模板定制完畢,單擊右下方的【保存】。方法二（1)在模板列表中，單擊某個缺省模板，進(jìn)入該模板內(nèi)容的頁面。（2）在該模板內(nèi)容的右下角,單擊【另存為】,輸入新的模板名稱并保存.(3)單擊剛剛另存的模板名稱,并在頁面右側(cè)選擇檢查項以及設(shè)置分值權(quán)重。（4)新的模板定制完畢,單擊右下方的【保存】。修改模板在模板列表中，單擊某個模板名稱,并在頁面右側(cè)重新選擇檢查項以及設(shè)置分值權(quán)重,完成后單擊右下方的【保存】。系統(tǒng)自帶的報表模板不允許修改。刪除模板在模板列表的“操作”一欄下,單擊圖標(biāo)確定后即可將對應(yīng)的報表模板刪除。3.４創(chuàng)建任務(wù)只有任務(wù)管理員（Usｅr)有權(quán)限創(chuàng)建任務(wù)。選擇菜單【新建任務(wù)】,進(jìn)入創(chuàng)建任務(wù)的頁面,如圖3.2所示。圖3。２創(chuàng)建任務(wù)創(chuàng)建任務(wù)時,各項參數(shù)含義如下:任務(wù)名稱—-檢查任務(wù)的名稱。檢查目標(biāo)-－接受安全配置檢查的主機（具體配置方法請參見HYPＥＲＬＩNK＼l”創(chuàng)建正常任務(wù)"4。２創(chuàng)建正常任務(wù)).保存密碼——選擇是，表示檢查目標(biāo)的登錄密碼被自動保存,任務(wù)結(jié)束后可以進(jìn)行重新檢查的操作;否則，將不保存檢查目標(biāo)的登錄密碼，任務(wù)結(jié)束后無法重新檢查。設(shè)備信息-—填寫本次檢查目標(biāo)的設(shè)備管理人、所屬部門、設(shè)備用戶和備注信息(可選項)。創(chuàng)建任務(wù)時,頁面上方的紅色字體會提示目前允許用戶掃描的ＩP范圍．通過修改用戶信息可以修改允許掃描的ＩP范圍.3。5創(chuàng)建空任務(wù)ＢＶS允許創(chuàng)建空任務(wù)（即沒有實際檢查目標(biāo)的任務(wù)）,任務(wù)管理員可以進(jìn)入該任務(wù)參數(shù)的頁面,通過導(dǎo)入單個主機的檢查結(jié)果文件到該任務(wù),然后自動生成相應(yīng)的報表。導(dǎo)入單個主機檢查結(jié)果的文件導(dǎo)入單個主機檢查結(jié)果的文件創(chuàng)建評估任務(wù)–導(dǎo)入數(shù)據(jù)到空任務(wù)中3。6創(chuàng)建正常任務(wù)創(chuàng)建正常任務(wù),即在創(chuàng)建任務(wù)的頁面中單擊【增加主機】，設(shè)置檢查目標(biāo)的各項參數(shù),并顯示目前系統(tǒng)授權(quán)IＰ數(shù)量。選擇不同的配置規(guī)范模板，需要設(shè)置不同的參數(shù),下面分別介紹。Winｄows配置規(guī)范創(chuàng)建任務(wù)–設(shè)置Ｗindoｗs配置規(guī)范模板的任務(wù)參數(shù)Winｄoｗs配置規(guī)范模板的任務(wù)參數(shù)含義如下:選擇行業(yè)-－目前,只能選擇中國移動（此項與產(chǎn)品證書有關(guān))。類型/端口－—檢查目標(biāo)的登錄方式和端口號。IＰ范圍-—檢查目標(biāo)的IＰ地址.一個檢查目標(biāo)最多支持一個C類網(wǎng)段,例如：19２。168.*.*（具體的填寫格式請參見頁面的幫助說明)．用戶名／密碼－—登錄檢查目標(biāo)主機的用戶名和密碼。Windows配置規(guī)范模板支持域用戶登錄檢查,登錄方式是intra\guｅsｔ.Sｏｌaris配置規(guī)范選中此項，表示使用SU用戶登錄，保證檢查任務(wù)擁有完整的執(zhí)行權(quán)限選中此項，表示使用SU用戶登錄，保證檢查任務(wù)擁有完整的執(zhí)行權(quán)限。創(chuàng)建任務(wù)–設(shè)置Ｓolarｉs配置規(guī)范模板的任務(wù)參數(shù)Solaris配置規(guī)范模板的任務(wù)參數(shù)含義,與Wｉndoｗs配置規(guī)范模板的基本相同。Orａｃle配置規(guī)范選中此項，表示以指定的Oracle超級用戶權(quán)限登錄選中此項，表示以指定的Oracle超級用戶權(quán)限登錄創(chuàng)建任務(wù)–設(shè)置Ｏracle配置規(guī)范模板的任務(wù)參數(shù)Oraｃle配置規(guī)范模板的任務(wù)參數(shù)含義,與Windoｗs配置規(guī)范模板的基本相同.ＪuniｐｅrRouｔer配置規(guī)范創(chuàng)建任務(wù)–設(shè)置JunipeｒRouｔer配置規(guī)范模板的任務(wù)參數(shù)JｕnipｅrRoutｅr配置規(guī)范模板的任務(wù)參數(shù)含義,與Windows配置規(guī)范模板的基本相同.CiｓcoRouter配置規(guī)范缺省選中此項，必須設(shè)置Enable密碼缺省選中此項，必須設(shè)置Enable密碼創(chuàng)建任務(wù)–設(shè)置CiscoRoｕter配置規(guī)范模板的任務(wù)參數(shù)CiscoRoｕｔer配置規(guī)范模板的任務(wù)參數(shù)含義,與Wｉｎｄows配置規(guī)范模板的基本相同。HuａｗeiRｏuter配置規(guī)范創(chuàng)建任務(wù)–設(shè)置ＨｕaｗeｉＲｏuｔeｒ配置規(guī)范模板的任務(wù)參數(shù)HuａweiRoｕteｒ配置規(guī)范模板的任務(wù)參數(shù)含義，與Wｉndows配置規(guī)范模板的基本相同。3。7獲取主機信息選擇菜單【系統(tǒng)】【下載執(zhí)行】,即可下載配置規(guī)范檢查工具，便于任務(wù)管理員在被檢查的主機上執(zhí)行本地檢查任務(wù),獲取主機信息。如下圖所示,列出了當(dāng)前系統(tǒng)自帶和用戶自定義的配置規(guī)范檢查工具，單擊“操作"一欄下的圖標(biāo)即可下載對應(yīng)的配置規(guī)范檢查工具。創(chuàng)建任務(wù)–配置規(guī)范檢查工具列表配置規(guī)范檢查工具下載完畢，即可執(zhí)行本地檢查任務(wù),操作方法如下:（1)將下載的配置規(guī)范檢查工具文件解壓縮,然后運行文件win.bat(運行過程中不要關(guān)閉窗口).(２)win.baｔ運行完畢,自動關(guān)閉窗口,同時在該目錄下自動生成一個XML文件(以被檢查主機IP命名),文件中包含了該主機被檢查的所有信息。（3）任務(wù)管理員登錄AURORAＢＶＳ,創(chuàng)建一個空任務(wù)并進(jìn)入任務(wù)參數(shù)頁面,將剛剛生成的主機檢查結(jié)果文件導(dǎo)入，即可生成相應(yīng)的報表。報表分析４.１在線報表任務(wù)列表概覽在任務(wù)列表中，單擊任務(wù)名稱即可查看當(dāng)前任務(wù)的在線報表，并可以根據(jù)檢查目標(biāo)的IP或者任務(wù)名稱進(jìn)行任務(wù)的篩選查詢，如下所示在線報表管理操作導(dǎo)入任務(wù)根據(jù)IP地址或任務(wù)名稱進(jìn)行篩選單擊任務(wù)名稱在線報表管理操作導(dǎo)入任務(wù)根據(jù)IP地址或任務(wù)名稱進(jìn)行篩選單擊任務(wù)名稱，進(jìn)入該任務(wù)的在線報表任務(wù)列表主機列表在主機列表中，默認(rèn)列出當(dāng)前被檢查全部主機的IP地址、主機名、操作系統(tǒng)、平均符合讀和風(fēng)險平均分,如下圖所示.在主機列表頁面的底部，單擊【保存為EXＣEL】,即可將當(dāng)前任務(wù)的主機列表信息保存為ｘls格式的文件下載到本地。報表分析–主機列表主機信息在主機列表中，單擊某個主機的ＩP地址，即可查看它的詳細(xì)檢查信息,包括主機概況(包括IP地址、