网络设备安全配置基线合规管控方案简析.docxVIP

网络设备安全配置基线合规管控方案简析马铮王光全 夏俊杰中国联通网络技术研究院高级工程师中国联通网络技术研究院教授级高级工程师 中国联通网络技术研究院高级工程师摘要介绍了网络设备安全配置基线的定义、管控对象和分类，分析了安全配置基线保障工作的难点，探讨了安全配置基线核查系统的功能需求、体系架构和部署模式，初步形成了安全配置基线核查解 决方案，并从技术和管理层面提出了完善安全配置基线保障工作的相关建议。关键词安全配置基线核查自动化基线核查系统1引言2.2 管控对象配置基线要求涵盖范围包括通信网络中的所有网 络设备（如路由器、交换机、DNS、AAA 等）、主机设备（如各种业务平台服务器、网管终端等）、安全设备（如 防火墙、VPN 服务器、入侵检测设备、入侵防御设备等） 以及运行在这些设备中的操作系统、应用程序、数据 库、中间件等软硬件实体。2.3 基线分类目前，业界一般将网络设备安全配置基线划分为 安全漏洞基线、安全配置基线、运行状态基线。（1）安全漏洞基线 安全漏洞问题一般是指网络单元的硬件、软件、协议的具体实现或执行策略上存在缺陷，攻击者可以通 过这些缺陷非授权访问网络资源、非法利用或破坏网 络单元操作，该类漏洞主要是由于操作系统、数据库、 应用系统等未能及时进行版本更新或补丁加固造成 的，属于设备自身的安全脆弱性，与承载的业务及应用 的关联度较小。（2）安全配置基线 安全配置问题主要存在于网络单元的账号口令、授权、计费策略、日志等方面，往往由于操作疏忽、规划 不严谨、执行不规范引起，该问题主要反映了网络单元 受人为因素影响造成的脆弱性，此类基线与网络单元 承载的业务及应用的关联度较大。随着我国互联网、移动互联网业务模式进一步丰富，设备数量急剧增加，网络规模成倍扩展，网元设备 参数和策略配置变得更加复杂，容易出现误配置或策 略漏洞，造成设备带病入网和运营，增大了非法入侵、 信息泄露的安全威胁，提高了后续运维的安全防护成 本，降低了网络可靠性。为了提高网络的整体安全防 护水平，减少安全隐患，需要进一步细化配置要求，规 范设备上线和日常运行的安全配置核查流程，提高核 查工作的自动化水平。2网络设备安全配置基线概述2.1 基线定义网络设备安全基线是对一个通信网元的最小安全 保证，即网元需要满足现网运维和业务运维安全需求 最基本、最重要的软硬件版本、参数设置，从而在不大 规模增加网络复杂性和维护投资的前提下，使通信网 络中所有系统、设备能够得到统一的、最低要求的安全 保障，减少一些初级的、可预知的安全隐患，便于维护 与管理，提高全网安全防护水平。需要强调的是，安全配置基线应该是企业各部门 需要统一遵循的规范要求，可以应用于设计建设、入网 检测、日常维护、合规性检查、退网等网络单元全生命 周期的各个阶段。·89·七七产七七品七与七七技七七术七七方七七案七七□TELECOMMUNICATIONS NETWORK TECHNOLOGYNo.10PRODUCT AND TECHNOLOGY SCHEME（3）运行状态基线运行状态基线一般包括网络单元的端口状态、进 程状态、登陆账号状态、资源使用状态及重要数据的存 取状态等，通过对上述状态参数进行实时监控，并与事 先预设的阈值进行对比，可以掌握网络单元的运行态 势和趋势，及时发现异常风险，此类基线与网络单元承 载的业务及应用的关联度较大。44.1安全配置基线合规管控方案制定基线标准体系实现自动化核查的首要前提就是要制定统一的、可量化表示的基线评价标准体系，明确参数种类和取值范围，并在此基础上，形成参数查询操作规程，建立 待查参数和查询命令的对应关系，从而为形成自动化 采集脚本和评判程序奠定理论基础。但是，由于不同类型、不同版本的设备配置要求和 操作命令存在较大差异（甚至相同设备部署在不同位 置所对应的安全配置要求也不尽相同），所以要想确保 全网配置操作的安全合规性，就需要针对每款设备类 型和应用场景制定相应的基线标准和操作规程，确保 配置基线库的全面性。另外，随着新技术、新应用的不断引入，网元安全 配置基线体系也不是一成不变的，必须要随着技术发 展、网络升级、管理创新等外部条件的改变，同步进行 修订和优化，以满足网络安全运营的现实需要。4.2 研发自动化核查系统4.2.1 自动化核查系统基本功能需求（1）基本连接功能支持通过 Telnet、SSH 等方式登陆被核查设备，系 统内部组网支持分布和级联部署。（2）数据采集功能 支持本地和远程方式的配置参数提取功能，通过事先预置的口令和访问模式连接核查目标，通过自动 化脚本收集相关设备安全配置信息，并确保系统能够 在具有各种安全防护措施的实际场景下收集到完整的 配置数据。（3）数据分析功能 自动化核查系统在采集到相关配置数据后，可以在本地进行