電力版安全基線配置核查系統(tǒng)技術(shù)方案

電力

安全配置核查服務(wù)處理方案

2023年月

目錄

一.背景.............................................................錯誤!未定義書簽。

二.需求分析.........................................................錯誤!未定義書簽。

二.安全基線研究.....................................................錯誤!未定義書簽。

四.安全基線的建立和應(yīng)用...........................................錯誤!未定義書簽。

五.項目概述.......................................................錯誤!未定義書簽。

六.處理方案提議...................................................錯誤!未定義書簽。

6.1組網(wǎng)布署......................................................錯誤!未定義書簽。

6.2產(chǎn)品特色功能..................................................錯誤!未定義書簽。

七.支持型安全服務(wù).................................................錯誤!未定義書簽。

7.1安全預(yù)警......................................................錯誤!未定義書簽。

7.2安全加固......................................................錯誤!未定義書簽。

7.3安全職守......................................................錯誤!未定義書簽。

7.4安全培訓(xùn)......................................................錯誤!未定義書簽。

八.方案總結(jié)和展望.................................................錯誤!未定義書簽。

一.背景

近年來，從中央到地方各級政府H勺平常政務(wù)、以及各行業(yè)企業(yè)的業(yè)務(wù)開展對IT系統(tǒng)依賴

度的不停增強，信息系統(tǒng)運維人員的安全意識和安全技能也在逐漸提高。最直接的體現(xiàn)為一

一老式以安全事件和新興安全技術(shù)為重要驅(qū)動的安全建設(shè)模式，已經(jīng)逐漸演進為以業(yè)務(wù)安全

需求為重要驅(qū)動的積極式安全建設(shè)模式。從經(jīng)典的信息安全建設(shè)過程來看，是由業(yè)務(wù)需求導(dǎo)

出的安全需求在驅(qū)動著安全建設(shè)的全過程。

而怎樣獲取精確全面的安全需求以指導(dǎo)未來的安全建設(shè)并為業(yè)務(wù)發(fā)展服務(wù)，怎樣建立一

套行之有效的風(fēng)險控制與管理手段，是每一種信息化主管所面臨的共同挑戰(zhàn)。

伴隨電力行業(yè)科技創(chuàng)新能力的I日益提高，業(yè)務(wù)應(yīng)用日勺日趨豐富，電力行業(yè)業(yè)務(wù)的開拓越

來越依托于IT技術(shù)的）進步：電力的發(fā)展對信息系統(tǒng)的依賴程度不停增強，對電力信息系統(tǒng)安

全建設(shè)模式提出了更高更多的規(guī)定，信息安全建設(shè)工作已經(jīng)是電力信息化建設(shè)中的重要內(nèi)容,

安全基線建設(shè)就是電力信息安全建設(shè)中一項新的舉措和嘗試。

在電力行業(yè)里，各類道信和IT設(shè)備采用通用操作系統(tǒng)、數(shù)據(jù)庫，及各類設(shè)備間越米越多

的使用IP協(xié)議進行通信，其網(wǎng)絡(luò)安全問題更為凸出。為了維持電力的通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支

撐系統(tǒng)設(shè)備安全，必須從入網(wǎng)測試、工程驗收和運行維護等，設(shè)備全生命周期各個階段加強

和貫徹安全規(guī)定。需要有一種方式進行風(fēng)險的控制和管理。本技術(shù)方案將以安全基線建設(shè)為

例，系統(tǒng)簡介安全基線建設(shè)在電力信息安全建設(shè)工作中的設(shè)計與應(yīng)用

也許帶來非常多的安全隱患，因此對安全配置進行有效II勺檢查和加固成為整體安全體系建設(shè)

中的重要一-環(huán)。（安全漏洞和異常事件方面本文不做討論）

三.安全基線研究

針對顧客需求，可以采用安全基線日勺思想進行風(fēng)險的控制和管理。

顧名思義，“安全基線”概念借用了老式的“基線”概念。字典上對“基線”口勺解釋是：

一種在測量、計算或定位中的基本參照。如海岸基線，是水位抵:^的水位線。類比于“木桶理

論”，可以認為安全基線是安全木桶的最短板，或者說，是最基本R勺安全規(guī)定。

假如我們將企業(yè)信息系統(tǒng)建立安全基線，如對每個網(wǎng)元、應(yīng)用系統(tǒng)都定義安全基準點，

即設(shè)定滿足最基本安全規(guī)定的條件，并在設(shè)備入網(wǎng)測試、工程驗收和運行維護等設(shè)備全生命

周期各個階段加強和貫徹安全基線規(guī)定，則可以進行風(fēng)險的度量，做到風(fēng)臉可控可管。

怎樣設(shè)計一整套適合政企自身業(yè)務(wù)特點的安全基線模型呢？我們可參照國內(nèi)外的成功經(jīng)

驗，同步結(jié)合某些行業(yè)的風(fēng)險控制手段，就可以設(shè)計出針對業(yè)務(wù)系統(tǒng)的基線安全模型。在這

些參照內(nèi)容中，最值得借鑒W、J是美國FISMA（TheFederalInformationSecurityManagement

Act,聯(lián)邦信息安全管理法案）W、J實行和落地過程。

FISMA定義了一種廣泛的框架來保護政府信息、操作和財產(chǎn)來免于自然以及人為的威脅。

FISMA在2023年成為美國電子政府法律II勺一部分，把責(zé)任分派到多種各樣的機構(gòu)上來保證

聯(lián)邦政府的數(shù)據(jù)安全。其提出了一種包括八個環(huán)節(jié)的信息安全生命周期模型，這個模型的執(zhí)

行過程波及面非常廣泛且全面，但實行、落地的難度也非常大。而后由NIST（美國國標技術(shù)

研究院）牽頭針對其中的技術(shù)安全問題提出了一套自動化的計劃稱為ISAP（Information

securityautomationprogram）來增進FISMA的執(zhí)行，ISAP出來后延伸出SCAP協(xié)議（Security

ContentAutomationProtocol）,該協(xié)議通過明確口勺、原則化歐I模式使得漏洞管理、安全監(jiān)測

和政策符合性與FISMA規(guī)定一致。SCAP協(xié)議由CVE、CCE、CPE、XCCDF、OVAL、OVSS

等6個支撐原則構(gòu)成，即定義了一套安全基線庫。由此SCAP框架就實現(xiàn)了原則化和自動化，

形成了一套針對系統(tǒng)的安全檢查基線，得以將FISMA的信息安全生命周期模型進行落地。

FISMA規(guī)范

HighLevelGeneralizedInformationSecurityRequirements

規(guī)范涉及的標準和處理流程

FIPS199:InformationSystemSecurityCategorization

FIPS200:MinimumInformationSecurityRequirement

■■■

管理層面技術(shù)層面運維層面

安全控制措施安全控制措施安全控制措備

.

信息系統(tǒng)安全配置

NIST.NSA.DISA.Vendors.ThirdParties(e.g..CIS)Checklists

andImplementationGuidance

圖1FISMA遵從模型

簡言之SCAP體現(xiàn)了三個方面的特性：

1.可操作性：通過SCAP明確日勺提出了應(yīng)當(dāng)貫穿風(fēng)險管理的規(guī)定和措施，通過技術(shù)與

管理兩方面的J手段，將體系化的J指導(dǎo)思想進行落地。

2.原則化：在NVD、NCP的基礎(chǔ)上，構(gòu)建了一套針對桌面系統(tǒng)的安全基線（檢查項），

這些檢查項由安全漏洞、安全配置等有關(guān)檢查內(nèi)容構(gòu)成，為原則化口勺技術(shù)安全操作

提供了框架。

3.自動化：針對桌面系統(tǒng)II勺特性，采用原則化U勺檢查內(nèi)容和檢查措施，通過自動化II勺

工具來執(zhí)行，為自動化的技術(shù)安全操作提供支持。

借鑒FISMA的實行和落地過程，在基于業(yè)務(wù)的I安全評估的J基礎(chǔ)上，構(gòu)建出基于業(yè)務(wù)系統(tǒng)

小J安全基線模型。該模型圍繞承載業(yè)務(wù)及數(shù)據(jù)的安全需求，建立一種覆蓋企業(yè)的業(yè)務(wù)體系、

應(yīng)用體系和IT基礎(chǔ)設(shè)施口勺多層次的安全系統(tǒng)架構(gòu)，從而指導(dǎo)企業(yè)日勺風(fēng)險控制與管理。

圖2安全基線模型

安全基線模型以業(yè)務(wù)系統(tǒng)為關(guān)鍵，分為業(yè)務(wù)層、功能架構(gòu)層、系統(tǒng)實現(xiàn)層三層架構(gòu)：

1.第一層是業(yè)務(wù)層，這個層面中重要是根據(jù)不一樣業(yè)務(wù)系統(tǒng)的特性，定義不一樣安全

防護的規(guī)定，是一種比較宏觀的規(guī)定。形成基于某業(yè)務(wù)系統(tǒng)的風(fēng)險管理系統(tǒng)。

2.第二層是功能架構(gòu)層，將業(yè)務(wù)系統(tǒng)分解為相對應(yīng)的應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、

網(wǎng)絡(luò)設(shè)備、安全設(shè)備等不一樣口勺設(shè)備和系統(tǒng)類型，這些設(shè)備類型針對業(yè)務(wù)層定義的

安全防護規(guī)定細化為此層不一樣模塊應(yīng)當(dāng)具有的規(guī)定。即在技術(shù)手段上實現(xiàn)脆弱性、

安全方略以及重要信息的I監(jiān)控。

3.第三層是系統(tǒng)實現(xiàn)層，將第二層模塊根據(jù)業(yè)務(wù)系統(tǒng)的特性深入分解，找到基準安全

配置項和重要方略文獻等，即建立安全基線弱點車。如將操作系統(tǒng)可分解為Windows.

Linux等詳細系統(tǒng)模塊。這些模塊中又詳細時把第二層日勺安全防護規(guī)定細化到可執(zhí)行

和實現(xiàn)H勺規(guī)定，稱為該業(yè)務(wù)系統(tǒng)歐JWindows安全基線、Linux安全基線等網(wǎng)元日勺安

全基線。

下面以近期關(guān)注度比較高的WEB網(wǎng)站安全為例對模型的應(yīng)用進行闡明：

首先WEB網(wǎng)站要對公眾顧客提供服務(wù)，存在互聯(lián)網(wǎng)的接口，那么就會受到互聯(lián)網(wǎng)中多種

襲擊威肋、導(dǎo)致例如網(wǎng)頁內(nèi)容篡改、網(wǎng)站掛馬等成果。在第一層業(yè)務(wù)需求中就定義需要防備

網(wǎng)頁內(nèi)容篡改、網(wǎng)站掛馬的規(guī)定。而這些防護規(guī)定對于功能架構(gòu)層的WEBServer、操作系統(tǒng)、

安全設(shè)備等都存在也許的影響，因此在這些不一樣H勺模塊中需要定義相對應(yīng)日勺防備規(guī)定。而

針對這些防備規(guī)定，怎樣來實現(xiàn)呢？這就需要定義全面、有效的第三層模塊規(guī)定了。第三層

中就是根據(jù)WEB應(yīng)用的承載系統(tǒng)，針對多種安全威脅在不一樣口勺模塊定義不一樣H勺防護規(guī)定,

這些不一樣模塊的防護規(guī)定就統(tǒng)一稱為該WEB網(wǎng)站口勺安全基線。針對該WEB網(wǎng)站安全基線

的檢杳，就可以轉(zhuǎn)化為針對WEBServer、承載系統(tǒng)等日勺脆弱性檢查上面。

U!安全基線的建立和應(yīng)用

首先根據(jù)企業(yè)狀況，建立一套本組織在目前時期的“理想化安全水平基準點”，即“安

全基線”。這個“安全基線”可以同步包括政策合規(guī)性U勺需求、自身的安全建設(shè)發(fā)展需求、

特殊時期的安全保障需求等，然后通過某些手段（例如自動化的評估工具）對組織既有的安

全水平進行分析?。通過對比“理想化安全水平基準點”，就形成了一套差距分析結(jié)論。企業(yè)

自身針對這個差距進行適時監(jiān)測、確認和跟蹤即可，對任何違規(guī)狀況進行預(yù)警或通報，提出

“補足差距”日勺提議方案；而這個“理想安全水平基準點”就是該組織日勺最優(yōu)安全狀態(tài)。追

求規(guī)避所有風(fēng)險也是不現(xiàn)實的，信息系統(tǒng)在到達基線水平之后，部分風(fēng)險自然會被轉(zhuǎn)移或減

少。這樣便可以實現(xiàn)持續(xù)定義安全基線，持續(xù)監(jiān)管和持續(xù)改善，可以使每一時期每一階段的

安全水平都是可控的。同步，搜集完數(shù)據(jù)后，根據(jù)企業(yè)安全狀況進行風(fēng)險的度量，輸出結(jié)合

政策法規(guī)規(guī)定H勺風(fēng)險報表。

系統(tǒng)上線

周

期

性

檢

測

圖3安全基線控制圖

“人疏忽

錯誤的配置

,自身問題

漏洞、BUG等

圖4基線安全H勺應(yīng)用

應(yīng)用第三層面安全基線的規(guī)定，可以對目的業(yè)務(wù)系統(tǒng)展開合規(guī)性安全檢查，以找出不符

合的項，并選擇和實行安全措施來控制安全風(fēng)險。

1.安全配置：一般都是由于人為的疏忽導(dǎo)致，重要包括了賬號、口令、授權(quán)、日志、IP

通信等方面內(nèi)容，反應(yīng)了系統(tǒng)自身的安全脆弱性。安全配置方面與系統(tǒng)的有關(guān)性非

常大，同?種配置項在不?樣業(yè)務(wù)環(huán)境中的安全配置規(guī)定是不?樣樣日勺，如在WEB

系統(tǒng)邊界防火墻中需要啟動通信，但一種WAP網(wǎng)關(guān)邊界就沒有這樣口勺需求，因

此在設(shè)計業(yè)務(wù)系統(tǒng)安全基線口勺時候，安全配置是一種關(guān)注的重點。

2.安全漏洞：一般是系統(tǒng)自身日勺問題引起的安全風(fēng)險，一般包括了登錄漏洞、拒絕服

務(wù)漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外狀況處置錯誤等，反應(yīng)了系統(tǒng)自

身的安全脆弱性。

業(yè)務(wù)系統(tǒng)H勺安全基線建立起來之后，將形成針對不一樣系統(tǒng)的詳細Checklist表格和操作

指南，為原則化IJ勺技術(shù)安全操作提供了框架和原則。其應(yīng)用范圍非常廣泛，重要包括新業(yè)務(wù)

系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查（上級檢查）、平常安全檢查等。

五.項目概述

目前，防火墻、防病毒軟件等老式的安全管理工具在老式的信息安全建設(shè)領(lǐng)域發(fā)揮了重

要作用，但怎樣防止安全產(chǎn)品各自為戰(zhàn)，將安全建設(shè)整體劃一、形成合力仍是信息安全建設(shè)

過程中需要關(guān)注的問題。

近年來，**供電企業(yè)在信息系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全管理上管理內(nèi)容不停拓寬，管理力度不

停加大，布署了防火墻、入侵防御、防病毒等等一系列的安全產(chǎn)品，安裝的時間不一樣，缺

乏統(tǒng)一的安全原則和配置規(guī)范，服務(wù)器口勺安全管理上扔存在安全隱患。安全配置核查系統(tǒng)，

是**供電企業(yè)對網(wǎng)絡(luò)設(shè)備，信息系統(tǒng)服務(wù)進行橫向的安全評估和管理，通過度析業(yè)務(wù)網(wǎng)信息系

統(tǒng)實際現(xiàn)實狀況和面臨風(fēng)險的不一樣來源，制定針對不一樣系統(tǒng)的詳細檢查表格和操作指南,

建立統(tǒng)一的服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫和應(yīng)用系統(tǒng)安全配置規(guī)范，形成**供電企業(yè)業(yè)務(wù)網(wǎng)安全

基線，為此后企業(yè)設(shè)備入網(wǎng)、系統(tǒng)驗收、平常維護及安全核查工作提供可參照的統(tǒng)一原則和

規(guī)范。

綠盟安全配置核查系統(tǒng)，重要實現(xiàn)集中自動化H勺對企業(yè)的J路由器、數(shù)據(jù)庫、主機系統(tǒng)等

設(shè)備的配置進行安全檢查，檢查后自動生成符合狀況匯報，并對不符合項提出詳細的J改善方

案。

支持型安全服務(wù)，重要提供安全預(yù)警、安全加固、安全征詢等專業(yè)安全服務(wù)，為**供電企

業(yè)提供完善日勺網(wǎng)絡(luò)設(shè)備安全風(fēng)險管理，提高移動各中心市新業(yè)務(wù)系統(tǒng)上線、第三方系統(tǒng)接入

和平常安全運維檢查和加固的實際效果，有效減少安全風(fēng)險的發(fā)生概率。

六.處理方案提議

基于**供電企業(yè)目前的網(wǎng)絡(luò)系統(tǒng)現(xiàn)實狀況和組織構(gòu)造，計劃采用多套硬件版綠盟安全配置

核查系統(tǒng)布署在網(wǎng)管中心、新業(yè)務(wù)開發(fā)中心和業(yè)務(wù)支撐中心內(nèi)，實現(xiàn)分權(quán)分區(qū)自動化的配置

安全核查。同步，為了實現(xiàn)對第三方接入系統(tǒng)、臨時測試系統(tǒng)的配置安全核查，以及滿足便

攜配置安全核查H勺規(guī)定，用作統(tǒng)一口勺數(shù)據(jù)搜集和管理.

安全配置核查建設(shè)充足考慮電力信息安全的現(xiàn)實狀況和電力行業(yè)最佳實踐，同步參照了

電監(jiān)會、國家經(jīng)貿(mào)委和國家電網(wǎng)等監(jiān)管部門下發(fā)的安全政策文獻，繼承和吸取了國家絳級保

護、風(fēng)險評估II勺經(jīng)驗成果，構(gòu)建出基于業(yè)務(wù)的基線安全模型（如下圖）。

通過該方案日勺布署實行，形成各中心設(shè)備配置安全核查數(shù)據(jù)的匯總與分析能力。通過度

析處理匯總?cè)丈缀瞬閿?shù)據(jù)，形成全面日勺安全配置現(xiàn)實狀況，利于有效運用資源，處理關(guān)鍵問題，

減少系統(tǒng)的脆弱性，提高抗風(fēng)險的能力。同步，也能周期性的根據(jù)集團企業(yè)H勺“安仝運維規(guī)

定”進行合規(guī)檢杳，增進集團安全檢杳口勺成果。

6.1組網(wǎng)布署

網(wǎng)管中心

圖6配置安全核查系統(tǒng)布署示意圖

配置安全核查系統(tǒng)的組網(wǎng)模式比較簡樸，可以將其旁路布署在既有網(wǎng)絡(luò)中。管理員通過

WEB頁面登錄系統(tǒng)下達核查任務(wù)，檢查任務(wù)既可以遠程次行也可以當(dāng)?shù)貓?zhí)行。遠程執(zhí)行，通

過Telnet、SMB、SSH等形式看待查設(shè)備進行配置安全核查，需要保證網(wǎng)絡(luò)IP可達，并提供

待查設(shè)備的管理帳戶和口令；當(dāng)?shù)貓?zhí)行，對于網(wǎng)絡(luò)中不便進行遠程核查的目的系統(tǒng)（Windows

系統(tǒng)），提供配套日勺自動化程序，可執(zhí)行程序在待杳設(shè)備當(dāng)?shù)貓?zhí)行后生成報表文獻，然后導(dǎo)

入到配置安全核查系統(tǒng)中進行匯總和分析。

綠盟安全配置核查系統(tǒng)的應(yīng)用非常靈活，只要待查設(shè)備為支持范圍內(nèi)的網(wǎng)絡(luò)設(shè)備、主機

系統(tǒng)等都可以自動化的進行安全配置檢查，就重要的應(yīng)用狀況來看，重要有如下幾種應(yīng)用：

1.平常運維核查，對既有正在運行的系統(tǒng)設(shè)備進行定期檢查，發(fā)現(xiàn)配置漏洞和錯誤。

2.新上線系統(tǒng)核查，在新布署的系統(tǒng)設(shè)備上線之前進行必要的配置安全檢查，提前發(fā)

現(xiàn)配置漏洞和錯誤。

3.第三方接入核查，對接入移動系統(tǒng)的第三方設(shè)備進行配置檢杳，提前發(fā)現(xiàn)配置漏洞

和錯誤。

重大事件前核查，在重大社會活動、集團安全巡檢等事件前期，對重點設(shè)備、系統(tǒng)進行

配置安全核查，提前發(fā)現(xiàn)配置漏洞和錯誤。

6.2產(chǎn)品特色功能

建立安全基線，貫徹風(fēng)險控制規(guī)定

通過NSFOCUSBVS對重要信息系統(tǒng)建立安全配置基線，將業(yè)務(wù)的安全需求轉(zhuǎn)換為對網(wǎng)

元設(shè)備的詳細技術(shù)規(guī)定進行貫徹。NSFCUSBVS為管理者的定量觀點與安全專家所采用的

詳細檢測措施之間架設(shè)了橋梁，通過建'Z業(yè)務(wù)系統(tǒng)日勺安全配置基線，以實現(xiàn)業(yè)務(wù)系統(tǒng)的安全

風(fēng)險度量，讓安全風(fēng)險可挖、可管。

基于實踐的安全配置知識庫

NSFOCUSRSAS系統(tǒng)日勺安全配置庫來源于綠盟科技數(shù)年安全服務(wù)的執(zhí)著實踐，每?條

安全配置都是綠盟科技安全服務(wù)團體的數(shù)年評估服務(wù)的結(jié)晶。

該知識庫內(nèi)容涵蓋了操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、中間件等多類設(shè)備及系統(tǒng)的安全配

置加固提議，通過該知識庫可以全面日勺指導(dǎo)IT信息系統(tǒng)的安全配置及加固工作。并且根據(jù)IT

信息系統(tǒng)的不停發(fā)展持續(xù)進行更新。

多類型設(shè)備自動化的I安全配置核查

可以根據(jù)安全配置知識庫的規(guī)定，判斷待查設(shè)備11勺檢查項目達標與否，支持百分制對目

的系統(tǒng)的達標狀況進行打分。

既有綠盟安全配置核查系統(tǒng)歐I檢查對象涵蓋了：WindowsXP/2023Server中英文版本操

作系統(tǒng)、Solaris8/9/10中英文版本操作系統(tǒng)、AIX5.X操作系統(tǒng)、Linux操作系統(tǒng)、Oracle

8i/9i/10g數(shù)據(jù)庫、Informix數(shù)據(jù)庫、思科網(wǎng)絡(luò)設(shè)備、華為網(wǎng)絡(luò)設(shè)備、Juniper網(wǎng)絡(luò)設(shè)備。檢查

的）內(nèi)容包括四個部分，分類如下：

1.賬號管理、認證和授權(quán)（賬號、口令和授權(quán)）

2.日志配置操作

3.IP協(xié)議安全配置操作

4.設(shè)備其他配置操作

集中自動化的配置安全核查

運用遠程核查與當(dāng)?shù)睾瞬橄嘟Y(jié)合的方式，在多種復(fù)雜應(yīng)用環(huán)境下均可實現(xiàn)自動化的大規(guī)

模性安全配置檢查。

&Query?;

伯圮我取

圖7系統(tǒng)工作圖

1.通過“遠程登錄探測”功能，可以完全模擬人進行遠程登錄FW勺設(shè)備以進行安全配

置檢測，不會對目11勺設(shè)備正常運行導(dǎo)致任何影響。

2.對隔離設(shè)備等特定使用環(huán)境，“當(dāng)?shù)匕踩珯z測”功能可直接在目H勺主機上搜集對應(yīng)

日勺安全配置信息，并可以將數(shù)據(jù)匯總到NSFOCUSBVS設(shè)備上進行統(tǒng)一日勺數(shù)據(jù)匯總

分析。

3.針對大多采用Windows終端的辦公網(wǎng)使用環(huán)境.可通過“ActiveX檢測”功能自動

的對所用終端進行檢測，并可進行統(tǒng)一數(shù)據(jù)分析。

多級多顧客分權(quán)使用

針對既有省移動的組織構(gòu)造和網(wǎng)絡(luò)環(huán)境中，支持多級多顧客分權(quán)使用。多管理員使用配

置安全核查系統(tǒng)，對每個使用者可以設(shè)定其容許檢查日勺范闈，檢杳過程中不能對目的系統(tǒng)的）

配置進行任何修改，只能進行安全基線檢查工作。支持集中的管理員功能，能對所有配置安

全核查的成果進行統(tǒng)一的查閱和分析。

全面靈活的報表功能

綜合運用歷史數(shù)據(jù)搜索、對比分析、匯總查看、趨勢分析等工具，不僅可直觀理解單個

系統(tǒng)的問題分布及危害，還可同步掌握多種不一樣省、市企業(yè)、業(yè)務(wù)系統(tǒng)的綜合風(fēng)險變化狀

況，從而最終做出安全對比評估?？蔀榫W(wǎng)絡(luò)安全狀況H勺評估和未來網(wǎng)絡(luò)建設(shè)提供了強有力的

決策支撐。

圖8報表輸出圖

根據(jù)不一樣閱讀人員的需要生成多種自定義匯報，提供所需的有關(guān)數(shù)據(jù)，從多種視角反

應(yīng)網(wǎng)絡(luò)的整體配置安全狀況?？蓪Σ灰粯拥臋z查點，定義不一樣的風(fēng)險分值，對不安全配置

分布、危害、平均符合度、設(shè)備信息等多視角進行細粒度的記錄分析，生成基于不一樣角色、

不一樣內(nèi)容和不一樣格式的報表。

配置加固指南

針對每一條不符合規(guī)范的配置項，綠盟安全配置核查系統(tǒng)提供了詳細的配置安全加固指

南。加固指南切合詳細的設(shè)備類型、系統(tǒng)版本，提出對應(yīng)的執(zhí)行命令、參數(shù)供加固人員參照,

能有效歐I指導(dǎo)加固操作。

七.支持型安全服務(wù)

綠盟科技支持型安全服務(wù)以安全運維管理為關(guān)鍵，根據(jù)實際環(huán)境和需求進行服務(wù)的組合

及服務(wù)形式的調(diào)整，提供定期、不定期、實時等形式的服務(wù)。通過多種體現(xiàn)形式的安全服務(wù)，

在業(yè)務(wù)系統(tǒng)內(nèi)部建立PDCA循環(huán)機制，實現(xiàn)對信息系統(tǒng)向整體安全運維保障。

本次項目中，通過綠盟科技支持型安全服務(wù)為移動提供配置安全核查系統(tǒng)上線后的安全

運維服務(wù)工作，為平常安全運維保障工作提供有效的支持服務(wù)。

7.1安全預(yù)警

目前.，信息安全問題正以每周新增兒卜甚?至兒白例的速度在全世界得到