20111206_NSF-PROD-BVS-V5.0-产品白皮书-V2.0.docVIP

绿盟安全配置核查系统 产品白皮书 【绿盟科技】 ■ 文档编号 NSF-PROD-BVS-V5.0-产品白皮书-V2.0 ■ 密级 完全公开 ■ 版本编号 V2.0 ■ 日期 2011-11-25 撰 写 人 尹航 ■ 批准人 李晨 ? 2012 绿盟科技 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录 前言 1 一. 运维人员面临的挑战 2 二. 基线安全的研究 2 三. 安全基线的建立和应用 4 四. 绿盟安全配置核查系统 5 4.2 产品体系结构 6 4.3 产品特色 8 4.3.1 权威、完备的Checklist知识库 8 4.3.2 基于用户行为模式的管理架构 8 4.3.3 高效、智能的安全配置识别技术 8 4.3.4 基于实践的配置模板管理及展示 9 4.3.5 多维、细粒度的统计分析 9 4.4 典型应用方式 10 4.4.1 独立式部署 10 4.4.2 分布式部署 11 五. 结论 12  插图索引 图 2.1 基线安全模型 3 图 3.1 基线安全的应用 4 图 4.1 NSFOCUS BVS运行模式图 5 图 4.2 NSFOCUS BVS整体模块图 6 图 4.3 NSFOCUS BVS系统综述信息图 10 图 4.4 NSFOCUS BVS独立式部署结构图 11 图 4.5 NSFOCUS BVS分布式部署结构图 11 前言 随着信息化建设的发展，各类IT设备种类和数量不断增加，其安全管理问题日渐凸出。为了维持IT信息系统的安全并方便管理，必须从入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全要求，同时需要设立满足安全要求的安全基准点。 针对行业的业务系统建立安全检查点与操作指南的基准安全标准，则成为各个行业安全管理人员最为紧迫的事情。基准安全标准将形成针对不同系统的详细Checklist表格和操作指南，为标准化的技术安全操作提供了框架和标准。 规范与安全基准点的出台让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，如何快速、有效的检查设备，又如何集中收集核查的结果，以及制作风险审核报告，并且最终识别那些与安全规范不符合的项目，以达到整改合规的要求，这些是网络运维人员面临的新的难题。 在此背景下，绿盟科技推出了专用检查工具——绿盟安全配置核查系统（NSFOCUS Benchmark Verification System， NSFOCUS BVS）IT信息系统的安全配置及加固工作。特别是通过该产品能够采用机器语言，自动化的进行安全配置检查，从而节省传统的手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险，同时能够出具详细的检测报告。它可以大大提高您检查结果的准确性，节省您的时间成本，让检查工作变得简单。 本文将包含容： 绿盟标准化的技术安全操作提供了框架基线安全 在研究和业务安全相结合的基准安全标准体系基础上，参考国内外的标准、规范，充分考虑了的现状和行业最佳实践继承和吸收了的经验成果 基线安全模型 基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层等3层架构： 第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。 第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备/系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。 第三层是系统实现层，将第二层的模块根据业务系统的特性进一步分解，将操作系统分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块。这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线，华为路由器安全基线等。 我们以移动运营商WAP系统为例对模型的应用进行说明。首先WAP系统要对互联网用户提供服务 安全基线的建立和应用 建立安全基线首先需要对业务系统进行识别和梳理，然后结合基线安全模型分析业务系统的功能架构，再将功能架构细化到系统层面的不同模块。在此基础上，就是针对业务系统特性，分析可能存在的安全威胁，并将针对威胁的应对措施逐层分解到系统实现层。系统实现层中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构成，这些检查项的覆盖面、有效性成为了基线安全实现的关键。 基线安全的应用 应用第三层面安全基线的要求，可以对目标业务系统展开合规性安全检查，以找出不符合