配置安全评估系统产品白皮书北京艺赛旗软件有限公司.docxVIP

配置安全评估系统产品白皮书 PAGE 配置安全评估系统产品白皮书 配置安全评估系统产品白皮书 北京艺赛旗软件有限公司 2016年3月 目录 TOC \o 1-3 \h \u 1 安全运维面临的问题 3 1.1 设备或系统种类繁多 3 1.2 标准难于统一 3 1.3 自动化程度低 4 2 配置安全评估系统的解决方案 4 3 系统功能概述 6 3.1 功能概述 6 3.2 安全基线管理 6 3.3 变更检查管理 8 3.4 漏洞管理 8 3.5 安全仪表板 9 3.6 个人工作台 9 3.7 资产管理 10 3.8 告警管理 10 3.9 报表管理 10 3.10 知识库管理 11 3.11 系统管理 11 4 优势概述 11 4.1 配置基线的自动分析 11 4.2 简便易用的界面风格 12 4.3 灵活通用的系统设计 12 4.4 极度快速的处理性能 12 安全运维面临的问题 随着信息化建设地深入发展、设备种类不断增加，安全配置管理问题日渐凸出。为了维持IT信息系统的安全并方便管理，管理员必须从入网审核、验收、运维等全生命周期各个阶段加强和落实安全要求，同时需要设立满足安全要求的基准点。 针对行业的业务系统建立安全检查点与操作指南的基准安全标准，则成为各个行业安全管理人员最为紧迫的事情。但目前面临如下问题： 设备或系统种类繁多 安全运维人员需要面对种类繁多的设备或应用，如何管理这些设备和应用的配置，或者如何定位知道这些设备配置的安全问题，是他们在安全运维过程中遇到的巨大问题和挑战。 而且，由于需管理的设备分布范围广、分属不同的业务系统，如何能快捷、方便的收集和分析这些配置，则成为横亘在安全运维人员面前的一个巨大难题。 一般而言，日常运维人员需要收集和分析各种主机系统、网络设备、数据库系统以及其它中间件（如Weblogic、Websphere等）的配置；这些配置的收集和分析存在以下问题： 部署位置多种多样 配置的表现形式和存储样式不尽相同，如有的在配置文件中、有的在注册表中；有的配置文件是一般文本，而有的又是XML形式 采集过程中可能还需要穿越网关设备或堡垒主机 采集时还需要一些辅助的命令或设置，如采集Oracle时，需要知道实例名等 由于配置在形式上存在千差万别，如何准确地分析则成为困难的事情。 标准难于统一 目前，由于业界还没有形成统一的配置问题审计的行业标准，因此各家提出的标准也是不一而足，而且这些标准也是被频繁地修改，造成维护和定位困难；一般用户很难自己去跟踪和修订标准。 就当前而言，我们能接触到的标准就包括了CIS（来自美国）、中国石化、中国移动信息管理部、中国移动、中国电信以及内部标准；这些标准不仅在支持的设备类型和应用类型上存在差异，就是针对几乎相同的检查点（配置项）而言，做法也不尽相同。 上述的差异造成研究、开发、维护安全配置基线是一项工作量巨大的任务。 自动化程度低 以往，对于设备或应用的配置审计，一般都是通过人工方式进行，仅在上线前进行一次评估（安全加固），这样做的缺点是显而易见的： 纯粹依赖手工方式，效率低下 在设备或应用上线后，不能定时地或经常性地进行评估，从而无法反映现网设备或应用的配置情况，这导致系统存在巨大的安全隐患（如未能按口令复杂度设置管理员账号） 结果比较零散，只能依赖于人工汇总。 配置安全评估系统的解决方案 配置安全评估系统是拥有自主知识产权的专业安全配置基线管理产品。它协助用户实现企业内安全配置的集中采集、风险分析、处理的工作，它提供分布式的部署和管理方式，它是企业日常信息安全工作的重要支撑。 图1配置安全评估系统的解决方案 配置问题管理：全面集中检查和分析各类系统存在的本地安全配置问题，减轻用户因对不同设备分散管理而带来的冗余工作。 漏洞问题管理：全面集中扫描和分析用户各类信息系统或设备存在的安全漏洞问题，以用户业务为视角，自动地完成以往需安全专家才能完成的风险分析工作。 扫描报告管理：提供全面、详尽、清晰的扫描报告管理功能，并能对不同的扫描结果进行比对。 安全运维管理：建立日常运维工作的服务保障体系；包括各种资产配置库、报表管理、安全知识管理等 它主要解决企业日益繁重的安全配置管理问题。作为统一的安全配置核查和管理系统，能够准确、快速、及时地发现、汇总企业中不同厂商不同种类的网络设备、主机、防火墙、数据库、中间件的安全配置问题，它主要包括如下主要