02.05.安全配置检查服务技术白皮书v2.0.docxVIP

绿盟科技安全服务技术白皮书

安全配置检查服务

■文档编号

NSF-2014SI

■密级

内部使用

■版本编号

3.0

■日期

2016/9/26

?DATE\@yyyy2016绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2012/05/22

V1.0

文档创建、丰富内容

安全服务部

2014/04/25

V1.1

丰富内容

安全服务部

2014/12/12

V2.0

丰富内容

安全服务部

2016/9/26

V3.0

丰富内容

安全服务部

■适用性声明

本文档是主要介绍北京神州绿盟信息安全股份有限公司（以下简称“绿盟科技”）的安全配置检查服务具体内容和方法，用于客户的相关人员了解绿盟科技的该项服务。

-PAGE\*ROMAN

-PAGE\*ROMANI-

目录

TOC\h\z\t附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3一.概述 1

1.1基本概念 1

1.2服务的必要性 1

1.3客户收益 2

二.服务的实施标准或原则 2

2.1政策文件或标准 2

2.2服务原则 3

三.绿盟科技安全配置检查服务 4

3.1服务范围 4

3.2服务内容 5

3.2.1网络设备安全配置检查内容 5

3.2.2主机操作系统检查内容 5

3.2.3数据库检查内容 6

3.2.4中间件及常见网络服务检查内容 6

3.3服务方式 6

3.3.1人工检查 6

3.3.2自动化检查 7

3.4服务流程 7

3.5服务特点 8

3.6服务报告 9

3.7服务注意事项 9

3.7.1风险规避方法 9

3.7.2异常处置方法 10

四.相关工具 11

五.为什么选择绿盟科技 12

DOCPROPERTYTitle绿盟科技安全服务技术白皮书

PAGE

-PAGE13-

?DATE\@yyyy2016绿盟科技 密级：内部使用

概述

随着行业信息化建设的不断深入，生产、业务支撑系统的网络结构越来越复杂，由此带来的各种应用和服务器的数量及种类也日益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设置，就可能会带来安全隐患，影响系统的可靠运行。

绿盟科技提供的安全配置检查服务就是对IT范围内，漏洞扫描工具不能有效发现的方面（网络设备的安全策略弱点和部分主机的安全配置错误等）进行安全辅助的一种有效评估手段。除已知、未知的漏洞外，安全配置的弱点或配置上的缺陷也同样会被攻击者利用，因此，有必要对IT范围内的IT系统和设备进行安全配置检查。

基本概念

安全配置

本服务提及的安全配置为操作系统（也包括网络设备和安全设备等）、数据库、中间件、第三方应用和业务系统可更改的配置中与安全相关的设置参数，版本，补丁等信息；

安全配置核查系统（BVS）

绿盟科技推出的业内首款专注于“业务安全配置检测”的新产品——绿盟安全配置核查系统（NSFOCUSBenchmarkVerificationSystem，简称：NSFOCUSBVS）。该产品具备完善的安全配置库，采用高效、智能的识别技术，可以实现对网络资产设备自动化的安全配置检测、分析，并提供专业的安全配置建议与合规性报表。该系统的应用，将大大提高安全配置检查的方便性、准确性，在节省时间成本的同时，让安全配置维护工作变得有条不紊而且简单、易于操作。

服务的必要性

信息系统的网络设备、主机、数据库、中间件、应用软件的安全策略是安全配置检查的主要对象。安全策略的作用是为网络和应用系统提供必要的保护，其安全性也必然关系到网络和应用系统的安全性是否可用、可控和可信。通过安全配置检查可以发现这些设备和安全系统是否存在以下问题：

是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则；

内、外网之间、重要的网段之间是否进行了必要的隔离措施；

路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；

安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是