企业安全配置核查管理系统解决方案.docx

企业安全配置核查管理系统解决方案.docx

《企业安全配置核查管理系统解决方案.docx》由会员分享，可在线阅读，更多相关《企业安全配置核查管理系统解决方案.docx（13页珍藏版）》请在冰豆网上搜索。

企业安全配置核查管理系统解决方案

13

目录

一.背景 3

二.需求分析 3

三.安全基线研究 3

四.安全基线的建立和应用 4

五.项目概述 5

六.解决方案建议 5

6.1组网部署 6

6.2特点及优势总结 7

七.支持型安全服务 11

7.1安全预警 11

7.2安全加固 11

7.3安全职守 11

7.4安全培训 12

八.方案总结和展望 12

一. 背景

近年来，从中央到地方各级政府的日常政务、以及各行业企业的业务开展对IT系统依赖度的不断增强，信息系统运维人员的安全意识和安全技能也在逐步提高。

最直接的体现为—

—传统以安全事件和新兴安全技术为主要驱动的安全建设模式，已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。

从典型的信息安全建设过程来看，是由业务需求导出的安全需求在驱动着安全建设的全过程。

而如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务，如何建立一套行之有效的风险控制与管理手段，是每一个信息化主管所面临的共同挑战。

而在Xx行业里，随着各类通信和IT设备采用通用操作系统、数据库，及各类设备间越来越多的使用IP协议进行通信，其网络安全问题更为凸出。

为了维持XX的通信网、业务系统和支撑系统设备安全，必须从入网测试、工程验收和运行维护等，设备全生命周期各个阶段加强和落实安全要求。

需要有一种方式进行风险的控制和管理。

二. 需求分析

通过对安全事件的分析，发现安全事件主要由3个方面引起，安全漏洞方面、安全配置方面，以及异常事件等方面。

安全配置通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。

由安全配置的不足可能带来非常多的安全隐患，因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。

（安全漏洞和异常事件方面本文不做讨论）

三. 安全基线研究

针对用户需求，可以采用安全基线的思想进行风险的控制和管理。

顾名思义，“安全基线”概念借用了传统的“基线”概念。

字典上对“基线”的解释是：

一种在测量、计算或定位中的基本参照。

如海岸基线，是水位到达的水位线。

类比于“木桶理论”，可以认为安全基线是安全木桶的最短板，或者说，是最基本的安全要求。

假如我们将企业信息系统建立安全基线，如对每个网元、应用系统都定义安全基准点，即设定满足最基本安全要求的条件，并在设备入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全基线要求，则可以进行风险的度量，做到风险可控可管。

安全基线模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构：

1.第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。

形成基于某业务系统的风险管理系统。

2.第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统类型，这些设备类型针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。

即在技术手段上实现脆弱性、安全策略以及重要信息的监控。

3.第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，找到基准安全配置项和重要策略文件等，即建立安全基线弱点库。

如将操作系统可分解为

Windows、Linux等具体系统模块。

这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为该业务系统的Windows安全基线、Linux安全基线等网元的安全基线。

下面以近期关注度比较高的WEB网站安全为例对模型的应用进行说明：

首先WEB网站要对公众用户提供服务，存在互联网的接口，那么就会受到互联网中各种攻击威胁，造成例如网页内容篡改、网站挂马等结果。

在第一层业务需求中就定义需要防范网页内容篡改、网站挂马的要求。

而这些防护要求对于功能架构层的WEBServer、操作系统、安全设备等都存在可能的影响，因此在这些不同的模块中需要定义相对应的防范要求。

而针对这些防范要求，如何来实现呢？

这就需要定义全面、有效的第三层模块要求了。

第三层中就是依据WEB应用的承载系统，针对各种安全威胁在不同的模块定义不同的防护要求，这些不同模块的防护要求就统一称为该WEB网站的安全基线。

针对该WEB网站安全基线的检查，就可以转化为针对WEBServer、承载系统等的脆弱性检查上面。

四. 安全基线的建立和应用

首先根据企业状况，建立一套本组织在当前时期的“理想化安全水平基准点”，即“安全基线”。

这个“安全基线”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等，然后通过一些手段（比如自动化的评估工具）对组织现有的安全水平进行分析。

通过对比“理想化安全水平基准点”，就形成了一套差距分析结论。

企业自身针对这个差距进行适时监测、确认和跟踪即可，对任何违规情况进行预警或通报，提出

“补足差距”的建议方案；而这个“理想安全水平基准点”就是该组织的最优安全状态。

追求规避全部风险也是不现实的，信息系统在达到基线水平之后，部分风险自然会被转移或降低。

这样便可以实现持续定义安全基线，持续监管和持续改进，可以使每一时期每一阶段的安全水平都是可控的。

同时，收集完数据后，根据企业安全状况进行风险的度量，输出结合政策法规要求的风险报表。

制定安全

基线标准

持

续周期性检测

基线配置核查度量与修复

设备入围

安全验收

系统上线

设备下线

基线配置核查

图3配置核查控制图

五. 项目概述

启明星辰安全配置核查管理系统，主要实现集中自动化的对目标区域中的主机设备、数据库、中间件、网络设备、防火墙等设备的配置进行安全检查，检查后自动生成符合情况报告，并对不符合项提出详细的改进方案。

支持型安全服务，主要提供安全告警、安全加固、安全咨询等专业安全服务，为该XX提供完善的网络设备安全风险管理，提高移动各中心对新业务系统上线、第三方系统接入和日常安全运维检查和加固的实际效果，有效降低安全风险的发生概率。

六. 解决方案建议

基于该XX目前的网络系统现状和组织结构，计划采用多级部署安全配置核查管理系统分级部署在上级中心、下级XX中心和下级XX中心内，实现分权分区自动化的配置安全核查。

同时，为了实现对第三方接入系统、临时测试系统的配置安全核查，以及满足不可达设备安全核查的要求，为各个中心配置一套分布式采集器，并且在上级XX部署一套管理中心作统一的数据收集、任务下发和管理。

通过该方案的部署实施，形成全部XX系统范围内各中心设备配置安全核查数据的汇总与分析能力。

通过分析处理汇总的核查数据，形成全面的安全配置现状，利于有效利用资源，

解决关键问题，降低系统的脆弱性，提高抗风险的能力。

同时，也能周期性的根据XX公司的“安全运维要求”进行合规检查，促进上级安全检查的成果。

6.1组网部署

存

储 Windows代理Windows代理

Windows代理

业务系统1

安全配置核查管理中心

业务系统2

域

便携式脱机工具



不可达



不可达

分支机构2

域

分支机构1

图4配置安全核查系统部署示意图（请根据情况裁剪）

配置安全核查系统的组网模式比较简单，可以将其旁路部署在既有网络中。

管理员通过

WEB页面登录系统下达核查任务，检查任务既可以远程执行也可以本地执行。

对于网络不可达的设备提供离线的脚本方式：

配置核查管理系统实现按照设备类型的离线脚本核查方式，在系统中下载对应的离线脚本，也可以自定义核查内容来适应不同需求，将离线脚本拷贝到目标设备上运行，再将结果导入到系统即可，整改过程不修改目标设备任何配置，特点是不需要获得设备的登录信息即可完成配置核查信息的采集。

离线脚本这种方式需要逐台的采集，效率偏低，因此我们还提供了批量的离线核查方式来提高离线设备的核查效率，需要分布式采集器配合完成，大大提高了对于不可达网络中的设备核查效率。

安全配置核查系统的应用非常灵活，只要待查设备为支持范围内的设备等都能够自动化的进行安全配置检查，就主要的应用情况来看，主要有以下几种应用：

1.日常运维核查，对现有正在运行的系统设备进行定期检查，发现配置漏洞和错误。

2.新上线系统核查，在新部署的系统设备上线之前进行必要的配置安全检查，提前发现配置漏洞和错误。

3.第三方接入核查，对接入移动系统的第三方设备进行配置检查，提前发现配置漏洞和错误。

重大事件前核查，在重大社会活动、集团安全巡检等事件前期，对重点设备、系统进行配置安全核查，提前发现配置漏洞和错误。

6.2特点及优势总结

复杂网络的多渠道检查支持

主要考虑用户对于设备的管理细粒度和网络复杂度，从这两个维度出发，实现多种方式的核查任务管理：

立即扫描：

从资产入手，立即检查，并对检查结果及时呈现，并完成历次检查情况的展现、结果对比分析。

定时扫描：

针对组合的检查任务指定在某个时间开始核查，需要指定被检查的设备群,并对检查结果进行呈现，提供对比分析及趋势分析。

周期扫描：

针对组合的检查任务提供周期性核查，需要指定被检查的设备群以及周期形态（每小时、每天、每周、每月），并对检查结果进行呈现，提供对比分析及趋势分析。

离线扫描：

1.离线脚本：

在目标主机上运行脚本并把结果导入到任务中即可，实现vbs和session

log方式。

2.离线采集器，将任务下发到离线采集器，携带离线采集器到达目标网络执行任务后将结果上传回管理中心

代理核查：

可将Windows/linux系统部署代理方式，完成核查。

网络不可达的离线检查技术

配置核查管理系统实现按照设备类型的离线脚本核查方式，在系统中下载对应的离线脚本，也可以自定义核查内容来适应不同需求，将离线脚本拷贝到目标设备上运行，再将结果导入到系统即可，整改过程不修改目标设备任何配置，特点是不需要获得设备的登录信息即可完成配置核查信息的采集。

离线脚本这种方式需要逐台的采集，效率偏低，因此我们还提供了批量的离线核查方式来提高离线设备的核查效率，需要分布式采集器配合完成，大大提高了对于不可达网络中的设备核查效率。

基于Windows/linux系统的代理技术

针对大多数OA办公敏感设备及个人pc设备这类不便于提供登录信息的情况，代理技术将得到广泛使用，其特点是不需要登录的用户及密码，保护了设备本身的隐私及文件安全，同时又能对其基线配置情况进行检查。

对于部署到主机上的数据库及中间件可实现一并核查。

高效的多协议支持

在负责的网络环境下，因承载的业务不同，目标设备所开放的登录协议也不同，这就要求基线检查必须支持多种协议的登录方式来满足检查工作的完成，支持

SSH/Telnet/SMB/RDP/JDBC/Agent/WinRm等协议。

SMB是基于NetBIOS的API，所有的Windows操作系统都支持SMB协议，使用

SMB协议对windows操作系统进行基线检查不需要安装代理服务和启动特定的服务，并且配置方便防火墙默认放行445端口，可以实现点对点检查也可以实现批量检查。

RDP是微软终端服务应用的协议，服务端基于win2000/winNT。

协议基于

T.128（T.120协议族）提供多通道通信。

1、 自定义端口：

通常情况下，世