安全配置核查系统剖析.docx

安全配置核查系统随着信息化建设的发展，各类IT设备种类和数量不断增加，其安全管理问题日渐凸出。为了维持IT信息系统的安全并方便管理，必须从入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全要求，同时需要设立满足安全要求的安全基准点。针对行业的业务系统建立安全检查点与操作指南的基准安全标准，则成为各个行业安全管理人员最为紧迫的事情。基准安全标准将形成针对不同系统的详细Checklist表格和操作指南，为标准化的技术安全操作提供了框架和标准。?规范与安全基准点的出台让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，如何快速、有效的检查设备，又如何集中收集核查的结果，以及制作风险审核报告，并且最终识别那些与安全规范不符合的项目，以达到整改合规的要求，这些是网络运维人员面临的新的难题。在此背景下，绿盟科技推出了专用检查工具——绿盟安全配置核查系统（NSFOCUS Benchmark Verification System，简称：NSFOCUS BVS）系列产品。该产品基于绿盟科技多年安全服务的积累，形成完善的安全配置知识库，该知识库涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配置加固建议，通过该知识库可以全面的指导IT信息系统的安全配置及加固工作。特别是通过该产品能够采用机器语言，自动化的进行安全配置检查，从而节省传统的手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险，同时能够出具详细的检测报告。它可以大大提高您检查结果的准确性和合规性，节省您的时间成本，让检查工作变得简单。?本文将包含以下内容：运维人员面临的挑战基线安全的研究安全基线的建立和应用绿盟安全配置核查系统运维人员面临的挑战随着业务不断发展，网络规模日益扩大，其生产、业务支撑系统的网络结构也变得越来越复杂。其中，重要应用和服务器的数量及种类日益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运转。因此针对行业的业务系统建立安全检查点与操作指南的基准安全标准，则成为各个行业安全管理人员最为紧迫的事情。基准安全标准将形成针对不同系统的详细Checklist表格和操作指南，为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛，主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、日常安全检查等。通过采用统一的安全配置标准来规范技术人员在各类系统上的日常操作，让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，真正完成合规性的系统配置检查和修复，却成为一个费时费力的事情：安全配置检查及问题修复都需人工进行，对检查人员的技能和经验要求较高；做一次普及性的细致检查耗费时间较长，而如果改成抽查则检查的全面性就很差；自查和检查都需要登录系统进行，对象越多工作越繁琐，工作效率也不高；每项检查都要人工记录，稍有疏漏就需要重新补测。……对自查或检查人员来说，需要花费大量的时间和精力来检查设备、收集数据、制作和审核风险报告，以识别各项不符合安全规范要求的系统。如何快速有效的在新业务系统上实现上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、日常安全检查等全方位设备检查，又如何集中收集核查的结果，以及制作风险审核报告，并且最终识别那些与安全规范不符合的项目，以达到整改合规的要求，这些是网络运维人员面临的新的难题。基线安全的研究在研究和业务安全相结合的基准安全标准体系基础上，参考国内外的标准、规范，充分考虑了行业的现状和行业最佳实践，继承和吸收了国家等级保护、风险评估的经验成果，形成了一套基于业务系统的基线安全模型，参见下图：基线安全模型基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层等3层架构：第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备/系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。第三层是系统实现层，将第二层的模块根据业务系统的特性进一步分解，将操作系统分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块。这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线，华为路由器安全基线等。我们以移动运营商WAP系统为例对模型的应用进行说明。首先WAP系统要对互联网用户提供服务，因此存在互联网的链接，那么就会受到互联网中各种蠕虫的攻击威胁，那么我们在第一层中就定义需要防范蠕虫攻击的要求，这个蠕虫攻