通讯公司业务支撑网安全管理平台技术规范——系统安全管理.docVIP

目 录 1 总体描述 3 1.1 功能定位 3 1.2 功能框架 3 2 系统安全策略内容 4 2.1 配置策略 4 2.1.1 网络设备 5 2.1.2 主机 5 2.1.3 中间件 6 2.1.4 数据库 6 2.1.5 防火墙 6 2.2 漏洞策略 7 2.3 补丁策略 8 3 功能要求 9 3.1 系统漏洞管理 9 3.1.1 漏洞信息管理 9 3.1.2 漏洞扫描工具管理 10 3.1.3 漏洞统计分析 10 3.1.4 系统漏洞管理作业流程要求 12 3.2 系统补丁管理 13 3.2.1 补丁信息管理 13 3.2.2 补丁信息识别与通告 13 3.2.3 补丁统计分析 14 3.2.4 系统补丁管理作业流程要求 15 3.3 系统配置核查管理 16 3.3.1 配置核查模板管理 16 3.3.2 安全配置核查 16 3.3.3 配置核查统计分析 17 3.3.4 系统配置核查作业流程要求 18 3.4 系统检查周期 19 4 界面展现要求 19 5 技术实现要求 20 6 编制历史 20 图表目录 图表 11系统安全管理功能框架 3 图表 31系统漏洞管理业务流程 12 图表 32补丁管理业务流程 15 图表 33系统配置管理业务流程图 18 图表 41系统安全管理拓扑视图示意 20 表格目录 表格 21系统安全策略-配置策略-网络设备 5 表格 22系统安全策略-配置策略-主机 5 表格 23系统安全策略-配置策略-中间件 6 表格 24系统统安全策略-配置策略-数据库 6 表格 25系统安全策略-配置策略-防火墙 6 表格 26 漏洞策略表 7 表格 27补丁策略表 8 表格 31漏洞采集控制接口 9 表格 32漏洞检查报告分类及内容 11 表格 33配置基线检查报告分类及内容 17 表格 35 系统安全检查周期要求 19 总体描述 功能定位 系统安全管理通过漏洞、补丁、配置基线等管理，解决由主机、数据库、中间件、网络设备等基础软硬件产生的安全问题，保障通讯公司业务支撑网系统层面的安全。 功能框架 系统安全管理功能框架如下： 图表 11系统安全管理功能框架 系统安全管理用于管理业务支撑网内系统层面的安全漏洞、安全补丁、安全配置核查三个方面，实现各类IT资产系统安全状态的监控与管理。 系统漏洞管理整合系统漏洞扫描工具，实现漏洞检测和问题汇总功能，跟踪业务支撑网网内安全漏洞的整改。 系统补丁管理整合补丁管理系统，实现操作系统、数据库、中间件及网络设备的补丁管理功能，包括对主机安全补丁的安装情况进行采集并分析，通过补丁通告方式促进安全补丁部署，提高信息系统的抗攻击能力。 配置核查管理是基于业务支撑网安全策略中涉及系统配置方面的安全要求，实现自动化周期检查能力，并给出合规核查结果和整改建议。 系统安全展现功能提供基于资产维度的资产漏洞、补丁、安全配置核查合规情况展现视图； 系统漏洞管理包括漏洞信息管理、漏洞扫描设备管理、漏洞信息统计功能； 系统补丁管理包括补丁信息管理、补丁信息识别与通告功能、补丁统计分析功能； 配置核查管理包括配置核查模板管理、安全配置核查以及配置核查结果统计功能； 与流程系统接口用于问题通告与人工响应环节，实现问题处理的流程化； 与采集控制平台接口用于问题情况的获取和外部系统驱动； 外部系统包括系统漏洞扫描系统、用于完成相应的问题的技术功能。 系统安全策略内容 系统安全策略包括对业务支撑网内的网络设备、主机、中间件、数据库、防火墙的配置策略、漏洞策略、补丁策略。 安全配置策略指资产安全配置必须达到的最低标准，主要包括系统帐号、口令、授权、日志、IP通信等方面的要求。 安全漏洞策略指资产在漏洞脆弱性上必须达到的最低标准，要求业务系统的主机、网络设备、数据库、中间件等系统中不能存在高危漏洞。 安全补丁策略是指对于拥有高风险漏洞的资产必须进行漏洞修复的补丁集合，安全补丁和安全漏洞具有对应关系。 配置策略 本期SMP系统依据相应配置策略实现配置基线的自动检查，自动检查的范围包含以下内容： 网络设备（华为、HP-H3C、思科、Juniper） 主机（Windows、AIX、HP-UX、Solaris、SUSE、Redhat） 中间件（Tomcat、Apache、Weblogic、IIS） 数据库（Oracle、Sybase、DB2） 防火墙（思科、华为、juniper） 网络设备 根据业务支撑网安全管理要求，确定主流网络设备的安全配置策略应包含安全策略配置、服务配置、日志配置、文件及访问权限配置、协议配置、帐号管理和认证授权配置等内容。 【策略列表】 表格 21系统安全策略-配置策略-网络设备 序号 策略编号 策略内容 策略分类 执行主体 1 SMP_SYS_