安全配置核查系统测评工具指导书10版.docx
《安全配置核查系统测评工具指导书10版.docx》由会员分享,可在线阅读,更多相关《安全配置核查系统测评工具指导书10版.docx(19页珍藏版)》请在冰豆网上搜索。
安全配置核查系统测评工具指导书10版
密级
部
测评指导书
等级保护测评工具
安全配置核查系统
HD-DJCP-AQHC-2011091001
V1.0
亨达集团信息安全技术
版本说明
修订人
修订容
修订时间
版本号
审阅人
测评服务部
初稿
2011-09-10
V1.0
文档信息
文档名称
安全配置核查系统测评工具指导书V1.0
文档编号
HD-DJCP-AQHC-2011091001
文档版本号
1.0
级别
部
扩散围
部
扩散批准人
声明
本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容,除另有特别注明,均属亨达集团信息安全技术所有,受到有关产权及法保护。
任何个人、机构未经亨达集团信息安全技术的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
1工具简介
绿盟安全配置核查系统(NSFOCUSBenchmarkVerificationSystem,简称:
NSFOCUSBVS)。
NSFOCUSBVS具备完善的安全配置库,采用高效、智能的识别技术,主动实现对网络资产设备自动化的安全配置检测、分析,并生成专业的安全配置建议与合规性报表.NSFOCUSBVS能帮助测评机构了解被测机构的信息系统的安全状况从而提出有针对性的强化安全建议。
2设备安装指导
2.1设备面板说明
BVS的硬件外观如图2.1所示,产品硬件的前面板如图2.2所示(实际产品会因批次不同而略有不同)。
图2.1BVS产品硬件外观
图2.2BVS前面板
2.2设备部署方式
请根据实际的网络结构,将BVS设备接入网络,请根据自己网络的拓扑结构加以调整,如图2.3所示。
图2.3BVS的网络部署图
接入网络时,需注意以下几点:
使用网络直连线连接交换机和AURORABVS设备的扫描口(SCAN口)。
AURORABVS设备无论接入网络何处都能使用,但考虑到使用性能建议将其接入到公司主干网的交换机上。
使用网络直连线将AURORABVS设备连接到公司网络中。
将AURORABVS设备接入网络后请立即修改网络配置,适应所在网络。
管理员也可以使用管理口(Config口)对AURORABVS设备进行管理。
关于AURORABVS设备各端口的出厂参数,请参见附录。
2.2设备登陆说明
管理员将扫描接口配置完毕,即可将扫描接口接入网络,并在网络中的选择一台管理机,通过Web管理界面进行网络参数配置。
下面介绍登录BVS的Web管理界面的操作方法:
(1)确定客户端主机是否已正常联网。
(2)打开浏览器IE,用HTTPS方式连接BVS的IP地址,例如:
https:
//192.168.1.1。
(3)回车后出现如图2.4所示界面,单击【是】,接受BVS证书加密的通道。
图2.4登录Web管理界面时的安全警报弹出框
(4)在如图2.5所示的登录界面中,输入初始用户名和密码,单击【确认】。
图2.5BVS的Web登录界面
(5)成功登录后,进入AURORABVS的Web管理界面(以任务管理员user登录为例),如图2.6所示。
图2.6成功登录AURORABVS后的Web管理界面
3设备操作说明
3.1用户管理
使用系统管理员admin账户登陆,选择菜单【系统】【用户管理】,进入用户列表的页面。
如下图所示,初始状态下用户列表中只有系统自带的四个用户。
3.2用户权限划分
BVS包括四类用户:
任务管理员、审计管理员、报表管理员和系统管理员,它们的权限如下表所示。
用户名
权限
任务管理员
user
创建评估任务、查看任务信息、检查任务结果、报表输出、系统管理(查看系统状态、重启系统、关闭系统、查看授权注册信息)、查看日志、下载配置规检查脚本、常用工具的使用、升级设置
/(自定义)
审计管理员
auditor
日志审计(查看日志、删除日志、导出日志)
报表管理员
reportor
查看任务信息、检查任务结果、报表输出、修改报表信息(修改使用模板配置检查项的分值和主机检查结果)
系统管理员
admin
模板管理(新建模板、编辑模板、删除模板、导入模板、导出模板)、用户管理(创建任务管理员、删除任务管理员、编辑除auditor以外的用户)、系统管理(证书的导入/导出、查看系统状态、重启系统、关闭系统、查看授权注册信息、网络配置、系统时间设置、升级设置、任务还原、系统服务)
3.3模板管理
模板是用来检查和展示AURORABVS报表信息的规,根据不同的证书,系统自带的模板也不同,主要包括以下六类:
Windows配置规、Solaris配置规、Oracle配置规、JuniperRouter配置规、CiscoRouter配置规和HuaweiRouter配置规。
只有系统管理员admin有权限对模板进行管理操作。
选择菜单【系统】【模板参数】,进入模板管理的页面,如图3.1所示。
图3.1模板管理
◆增加模板
增加模板有以下两种方法:
方法一
(1)在页面左侧的模板列表下方,单击【增加模板】,输入模板名称并选择模板类型。
(2)单击刚刚添加成功的模板名称,并在页面右侧选择检查项以及设置分值权重。
(3)新的模板定制完毕,单击右下方的【保存】。
方法二
(1)在模板列表中,单击某个缺省模板,进入该模板容的页面。
(2)在该模板容的右下角,单击【另存为】,输入新的模板名称并保存。
(3)单击刚刚另存的模板名称,并在页面右侧选择检查项以及设置分值权重。
(4)新的模板定制完毕,单击右下方的【保存】。
◆修改模板
在模板列表中,单击某个模板名称,并在页面右侧重新选择检查项以及设置分值权重,完成后单击右下方的【保存】。
系统自带的报表模板不允许修改。
◆删除模板
在模板列表的“操作”一栏下,单击图标
确定后即可将对应的报表模板删除。
3.4创建任务
只有任务管理员(User)有权限创建任务。
选择菜单【新建任务】,进入创建任务的页面,如图3.2所示。
图3.2创建任务
创建任务时,各项参数含义如下:
任务名称——检查任务的名称。
检查目标——接受安全配置检查的主机(具体配置方法请参见4.2创建正常任务)。
保存密码——选择是,表示检查目标的登录密码被自动保存,任务结束后可以进行重新检查的操作;否则,将不保存检查目标的登录密码,任务结束后无法重新检查。
设备信息——填写本次检查目标的设备管理人、所属部门、设备用户和备注信息(可选项)。
创建任务时,页面上方的红色字体会提示目前允许用户扫描的IP围。
通过修改用户信息可以修改允许扫描的IP围.
3.5创建空任务
BVS允许创建空任务(即没有实际检查目标的任务),任务管理员可以进入该任务参数的页面,通过导入单个主机的检查结果文件到该任务,然后自动生成相应的报表。
创建评估任务–导入数据到空任务中
3.6创建正常任务
创建正常任务,即在创建任务的页面中单击【增加主机】,设置检查目标的各项参数,并显示目前系统授权IP数量。
选择不同的配置规模板,需要设置不同的参数,下面分别介绍。
◆Windows配置规
创建任务–设置Windows配置规模板的任务参数
Windows配置规模板的任务参数含义如下:
选择行业——目前,只能选择中国移动(此项与产品证书有关)。
类型/端口——检查目标的登录方式和端口号。
IP围——检查目标的IP地址。
一个检查目标最多支持一个C类网段,例如:
192.168.*.*(具体的填写格式请参见页面的帮助说明)。
用户名/密码——登录检查目标主机的用户名和密码。
Windows配置规模板支持域用户登录检查,登录方式是intra\guest。
◆Solaris配置规
选中此项,表示使用SU用户登录,保证检查任务拥有完整的执行权限。
创建任务–设置Solaris配置规模板的任务参数
Solaris配置规模板的任务参数含义,与Windows配置规模板的基本相同。
◆Oracle配置规
创建任务–设置Oracle配置规模板的任务参数
Oracle配置规模板的任务参数含义,与Windows配置规模板的基本相同。
◆JuniperRouter配置规
创建任务–设置JuniperRouter配置规模板的任务参数
JuniperRouter配置规模板的任务参数含义,与Windows配置规模板的基本相同。
CiscoRouter配置规
缺省选中此项,必须设置Enable密码
创建任务–设置CiscoRouter配置规模板的任务参数
CiscoRouter配置规模板的任务参数含义,与Windows配置规模板的基本相同。
◆HuaweiRouter配置规
创建任务–设置HuaweiRouter配置规模板的任务参数
HuaweiRouter配置规模板的任务参数含义,与Windows配置规模板的基本相同。
3.7获取主机信息
选择菜单【系统】【下载执行】,即可下载配置规检查工具,便于任务管理员在被检查的主机上执行本地检查任务,获取主机信息。
如下图所示,列出了当前系统自带和用户自定义的配置规检查工具,单击“操作”一栏下的图标
即可下载对应的配置规检查工具。
创建任务–配置规检查工具列表
配置规检查工具下载完毕,即可执行本地检查任务,操作方法如下:
(1)将下载的配置规检查工具文件解压缩,然后运行文件win.bat(运行过程中不要关闭窗口)。
(2)win.bat运行完毕,自动关闭窗口,同时在该目录下自动生成一个XML文件(以被检查主机IP命名),文件中包含了该主机被检查的所有信息。
(3)任务管理员登录AURORABVS,创建一个空任务并进入任务参数页面,将刚刚生成的主机检查结果文件导入,即可生成相应的报表。
4报表分析
4.1在线报表
4.1.1任务列表概览
在任务列表中,单击任务名称即可查看当前任务的在线报表,并可以根据检查目标的IP或者任务名称进行任务的筛选查询,如下所示
在线报表管理操作
导入任务
任务列表
4.1.2主机列表
在主机列表中,默认列出当前被检查全部主机的IP地址、主机名、操作系统、平均符合读和风险平均分,如下图所示。
在主机列表页面的底部,单击【保存为EXCEL】,即可将当前任务的主机列表信息保存为xls格式的文件下载到本地。
报表分析–主机列表
4.1.3主机信息
在主机列表中,单击某个主机的IP地址,即可查看它的详细检查信息,包括主机概况(包括IP地址、配置模板、主机名、平均符合度、风险平均分和操作系统/应用程序)、检查结果(主机使用模板检查项的结果信息,
表示对应的检查项不符合安全标准,
表示对应的检查项符合安全标准)、需要手工判断的检查项以及辅助信息,如下图所示。
报表分析–查看单个主机的详细检查信息
4.2报表输出
只有报表管理员和任务管理员有权限进行报表的输出。
除了可以查看在线报表,也可以选择菜单【报表输出】将检查结果生成报告的形式并输出查看。
如下图,报表输出围的方式有以下两种:
按任务输出
输出想要查看的评估任务。
支持主机筛选和模板筛选,即只输出想要查看的主机信息。
按IP围输出
输出想要查看的IP地址围。
支持主机筛选和模板筛选,即只输出想要查看的主机信息。
报表分析–报表输出
输出报表的各项参数含义如下:
输出格式——报表输出的格式有HTML和EXCEL(XML)。
其中,HTML是系统默认的报表格式;EXCEL(XML)报表用于高级用户编辑输出成想要的格式。
报表标题——自定义输出的报表标题,默认是“极光安全配置核查系统”评估报告。
EXCEL(XML)报表采用xls格式,请使用OFFICE2003或以上版本的软件打开报表。
5数据保存
将BVS输出的数据另存到安全的第3方存储介质中。
附录A设备出厂参数
A.1初始网络设置
管理口IP
1.1.1.1
扫描口IP
192.168.1.1
网络掩码
255.255.255.0
网关
192.168.1.254
DNS服务器
无
A.2初始用户
系统管理员
审计管理员
报表管理员
任务管理员
用户名
admin
auditor
reportor
user
密码
nsfocus
A.3串口通讯参数
波特率
115200
传输位数
8