安全配置核查系统Word文件下载.docx
《安全配置核查系统Word文件下载.docx》由会员分享,可在线阅读,更多相关《安全配置核查系统Word文件下载.docx(10页珍藏版)》请在冰豆网上搜索。
该产品基于绿盟科技多年安全服务的积累,形成完善的安全配置知识库,该知识库涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配置加固建议,通过该知识库可以全面的指导IT信息系统的安全配置及加固工作。
特别是通过该产品能够采用机器语言,自动化的进行安全配置检查,从而节省传统的手动单点安全配置检查的时间,并避免传统人工检查方式所带来的失误风险,同时能够出具详细的检测报告。
它可以大大提高您检查结果的准确性和合规性,节省您的时间成本,让检查工作变得简单。
本文将包含以下内容:
运维人员面临的挑战
基线安全的研究
安全基线的建立和应用
绿盟安全配置核查系统
随着业务不断发展,网络规模日益扩大,其生产、业务支撑系统的网络结构也变得越来越复杂。
其中,重要应用和服务器的数量及种类日益增多,一旦发生维护人员误操作,或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,就可能会极大的影响系统的正常运转。
因此针对行业的业务系统建立安全检查点与操作指南的基准安全标准,则成为各个行业安全管理人员最为紧迫的事情。
其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查(上级检查)、日常安全检查等。
通过采用统一的安全配置标准来规范技术人员在各类系统上的日常操作,让运维人员有了检查默认风险的标杆,但是面对网络中种类繁杂、数量众多的设备和软件,真正完成合规性的系统配置检查和修复,却成为一个费时费力的事情:
安全配置检查及问题修复都需人工进行,对检查人员的技能和经验要求较高;
做一次普及性的细致检查耗费时间较长,而如果改成抽查则检查的全面性就很差;
自查和检查都需要登录系统进行,对象越多工作越繁琐,工作效率也不高;
每项检查都要人工记录,稍有疏漏就需要重新补测。
……
对自查或检查人员来说,需要花费大量的时间和精力来检查设备、收集数据、制作和审核风险报告,以识别各项不符合安全规范要求的系统。
如何快速有效的在新业务系统上实现上线安全检查、第三方入网安全检查、合规安全检查(上级检查)、日常安全检查等全方位设备检查,又如何集中收集核查的结果,以及制作风险审核报告,并且最终识别那些与安全规范不符合的项目,以达到整改合规的要求,这些是网络运维人员面临的新的难题。
在研究和业务安全相结合的基准安全标准体系基础上,参考国内外的标准、规范,充分考虑了行业的现状和行业最佳实践,继承和吸收了国家等级保护、风险评估的经验成果,形成了一套基于业务系统的基线安全模型,参见下图:
基线安全模型
基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层等3层架构:
第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安全防护的要求,是一个比较宏观的要求。
第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备/系统模块,这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。
第三层是系统实现层,将第二层的模块根据业务系统的特性进一步分解,将操作系统分解为Windows、Solaris等系统模块,网络设备分解为华为路由器、Cisco路由器等系统模块。
这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求,称为Windows安全基线,华为路由器安全基线等。
我们以移动运营商WAP系统为例对模型的应用进行说明。
首先WAP系统要对互联网用户提供服务,因此存在互联网的链接,那么就会受到互联网中各种蠕虫的攻击威胁,那么我们在第一层中就定义需要防范蠕虫攻击的要求,这个蠕虫攻击的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在可能的影响,因此在这些不同的模块中需要定义相对应的防范要求,而针对这些防范要求,如何来实现呢?
这就需要定义全面、有效的第三层模块要求了,针对不同类型蠕虫病毒的威胁,在Windows、Solaris等系统的具体防范要求就不一样了,因此在第三层中就是针对各种安全威胁针对不同的模块定义不同的防护要求。
建立安全基线首先需要对业务系统进行识别和梳理,然后结合基线安全模型分析业务系统的功能架构,再将功能架构细化到系统层面的不同模块。
在此基础上,就是针对业务系统特性,分析可能存在的安全威胁,并将针对威胁的应对措施逐层分解到系统实现层。
系统实现层中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构成,这些检查项的覆盖面、有效性成为了基线安全实现的关键。
基线安全的应用
应用第三层面安全基线的要求,可以对目标业务系统展开合规性安全检查,以找出不符合的项,并选择和实施安全措施来控制安全风险。
安全配置:
通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。
安全配置方面与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的,如在WEB系统边界防火墙中需要开启HTTP通信,但一个WAP网关边界就没有这样的需求,因此在设计业务系统安全基线的时候,安全配置是一个关注的重点。
安全漏洞:
通常是系统自身的问题引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。
业务系统的安全基线建立起来之后,将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全操作提供了框架和标准。
基于多年安全服务的执着实践,绿盟科技形成了国内最完善的专业安全服务体系和专业安全服务方法论,制定了完善的安全配置检查点,同时结合用户对安全评估产品的实际
应用需求,自主研发了绿盟安全配置核查系统(NSFOCUSBenchmarkVerificationSystem,简称:
NSFOCUSBVS)。
NSFOCUSBVS具备完善的安全配置知识库,通过该知识库可以全面的指导IT信息系统的安全配置及加固工作。
它可以大大提高您检查结果的准确性和合规性,节省您的时间成本,让检查工作变得简单,是您身边专业的“安全配置专家”。
依托专业的NSFOCUS安全服务团队,提供完善的安全配置知识库,通过该知识库可以全面的指导IT信息系统的安全配置及加固工作;
采用机器语言,运用远程检测与本地检测相结合的方式,综合运用信息重整化(NSIP)等多种领先技术,可以自动、高效、准确地发现网络资产存在的安全配置问题;
针对安全加固的特点,NSFOCUSBVS首创自动化的安全加固功能,可在安全配置检查结束后,直接进行系统安全配置的加固;
持续进行NSFOCUSBVS的更新和发展,不断支持更多的设备类型,同时提供检查规则的持续更新,为您提供最完备的自动化检查设备,降低风险成本,保护您的投资。
运行模式图
产品体系结构
NSFOCUSBVS是基于WEB的管理方式,用户使用浏览器通过SSL加密通道和系统WEB界面模块进行交互,方便用户管理。
NSFOCUSBVS采用模块化设计,内部整体工作架构如下图所示。
整体模块图
专用平台
专用平台是经过优化的专用安全系统平台,具有很高的安全性和稳定性。
调度核心模块
调度核心模块是系统最重要的模块之一,它负责完成目标的探测评估工作,包括判定主机存活状态、操作系统识别、模板解析匹配等。
Checklist知识库
Checklist知识库包含安全配置检查点相关信息,是系统运行的基础,调度核心模块和数据分析模块都依赖它进行工作。
扫描结果库
扫描结果库包含了扫描任务的结果信息,是扫描结果报告生成的基础,也是查询和分析结果的数据来源。
数据分析模块
数据分析模块是综合分析、趋势分析和报表合并的统计信息的数据来源,是任务合并、分布式数据汇总之后的结果。
配置模板库
管理员通过此模块可以在进行评估任务之前,对被检查设备自定义相应的安全配置检查点,以及每项检查点的权重。
WEB界面模块
WEB界面模块负责和用户进行交互,配合用户的请求完成管理工作。
WEB管理模块包含多个子模块共同完成用户的请求,其主要子模块有:
任务管理子模块——完成用户评估任务的管理工作。
报表子模块——读取扫描结果库,并根据漏洞描述信息和解决方案生成扫描报表。
用户管理子模块
审计管理子模块
由于一些系统或网络设置的原因,而不能远程检查的目标系统(如Windows系统),NSFOCUSBVS提供配套的本地执行工具,在待查设备本地执行后可生成报表文件,该文件能导入到系统中进行汇总分析。
扩展模块
多类型设备检测扩展模块
绿盟科技不断根据安全服务的实践经验,持续进行NSFOCUSBVS的更新和发展,即将支持更多的设备类型,通过此模块可以不断增强系统所能够检测的系统与设备范围。
二次开发接口模块
通过此接口NSFOCUSBVS可以与其他安全产品和管理平台进行联动,以便于统一的平台管理。
产品特色
权威、完备的Checklist知识库
绿盟科技拥有一支业内领先的安全服务团队。
经过7年专业安全服务的执着实践,形成了国内最完善的专业安全服务体系和专业安全服务方法论,制定了完善详细的安全配置检查点。
在这个部门中,拥有多位PMP、CISA、BS7799LA、ISO27001LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL等国际/国内认证专家,他们不断在安全服务实践中进行Checklist知识库的完善,并将这些知识库更新到NSFOCUSBVS中。
自定义安全配置检查项目
通常网络环境的情况是,设备类型逐渐增多,各种服务平台被应用,应用软件不断更新升级,这些变化给安全配置检查带来一定的困难。
作为Checklist知识库的补充,NSFOCUSBVS提供自定义安全配置检查功能,可以由用户根据需要或者行业标准,自行制定对目标系统执行的各种安全配置检查操作,可以形成针对自身企业或行业的自定义安全配置检查模板。
自定义安全配置检查的功能让安全管理员能够很好的适应网络情况的变化,对产品暂不支持的安全规范或配置检查点,都可以通过自定义安全配置检查功能轻松实现。
基于用户行为模式的管理架构
作为用户体验性很强的产品,NSFOCUSBVS
升级会员 