企业安全配置核查管理系统解决方案.docx

1、企业安全配置核查管理系统解决方案企业安全配置核查管理系统解决方案目 录一. 背景 3二. 需求分析 3三. 安全基线研究 3四. 安全基线的建立和应用 4五. 项目概述 5六. 解决方案建议 56.1 组网部署 66.2 特点及优势总结 7七. 支持型安全服务 117.1 安全预警 117.2 安全加固 117.3 安全职守 117.4 安全培训 12八. 方案总结和展望 12一. 背景近年来，从中央到地方各级政府的日常政务、以及各行业企业的业务开展对IT系统依赖度的不断增强，信息系统运维人员的安全意识和安全技能也在逐步提高。最直接的体现为传统以安全事件和新兴安全技术为主要驱动的安全建设模式，

2、已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。从典型的信息安全建设过程来看，是由业务需求导出的安全需求在驱动着安全建设的全过程。而如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务，如何建立一套行之有效的风险控制与管理手段，是每一个信息化主管所面临的共同挑战。而在Xx行业里，随着各类通信和IT设备采用通用操作系统、数据库，及各类设备间越来越多的使用IP协议进行通信，其网络安全问题更为凸出。为了维持XX的通信网、业务系统和支撑系统设备安全，必须从入网测试、工程验收和运行维护等，设备全生命周期各个阶段加强和落实安全要求。需要有一种方式进行风险的控制和管理。二. 需求分析通

3、过对安全事件的分析，发现安全事件主要由3个方面引起，安全漏洞方面、安全配置方面，以及异常事件等方面。安全配置通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。由安全配置的不足可能带来非常多的安全隐患，因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。（安全漏洞和异常事件方面本文不做讨论）三. 安全基线研究针对用户需求，可以采用安全基线的思想进行风险的控制和管理。顾名思义，“安全基线”概念借用了传统的“基线”概念。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照。如海岸基线，是水位到达的水位线。类比于“木桶

4、理论”，可以认为安全基线是安全木桶的最短板，或者说，是最基本的安全要求。假如我们将企业信息系统建立安全基线，如对每个网元、应用系统都定义安全基准点，即设定满足最基本安全要求的条件，并在设备入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全基线要求，则可以进行风险的度量，做到风险可控可管。安全基线模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构：1. 第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。形成基于某业务系统的风险管理系统。2. 第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网

5、络设备、安全设备等不同的设备和系统类型，这些设备类型针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。即在技术手段上实现脆弱性、安全策略以及重要信息的监控。3. 第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，找到基准安全配置项和重要策略文件等，即建立安全基线弱点库。如将操作系统可分解为Windows、Linux等具体系统模块。这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为该业务系统的Windows安全基线、Linux安全基线等网元的安全基线。下面以近期关注度比较高的WEB网站安全为例对模型的应用进行说明：首先WEB网站要对公众用户提供服务，存

6、在互联网的接口，那么就会受到互联网中各种攻击威胁，造成例如网页内容篡改、网站挂马等结果。在第一层业务需求中就定义需要防范网页内容篡改、网站挂马的要求。而这些防护要求对于功能架构层的WEB Server、操作系统、安全设备等都存在可能的影响，因此在这些不同的模块中需要定义相对应的防范要求。而针对这些防范要求，如何来实现呢？这就需要定义全面、有效的第三层模块要求了。第三层中就是依据WEB应用的承载系统，针对各种安全威胁在不同的模块定义不同的防护要求，这些不同模块的防护要求就统一称为该WEB网站的安全基线。针对该WEB网站安全基线的检查，就可以转化为针对WEB Server、承载系统等的脆弱性检查上

7、面。四. 安全基线的建立和应用首先根据企业状况，建立一套本组织在当前时期的“理想化安全水平基准点”，即“安全基线”。这个“安全基线”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等，然后通过一些手段（比如自动化的评估工具）对组织现有的安全水平进行分析。通过对比“理想化安全水平基准点”，就形成了一套差距分析结论。企业自身针对这个差距进行适时监测、确认和跟踪即可，对任何违规情况进行预警或通报，提出“补足差距”的建议方案；而这个“理想安全水平基准点”就是该组织的最优安全状态。追求规避全部风险也是不现实的，信息系统在达到基线水平之后，部分风险自然会被转移或降低。这样便可以

8、实现持续定义安全基线，持续监管和持续改进，可以使每一时期每一阶段的安全水平都是可控的。同时，收集完数据后，根据企业安全状况进行风险的度量，输出结合政策法规要求的风险报表。图3 配置核查控制图五. 项目概述启明星辰安全配置核查管理系统，主要实现集中自动化的对目标区域中的主机设备、数据库、中间件、网络设备、防火墙等设备的配置进行安全检查，检查后自动生成符合情况报告，并对不符合项提出详细的改进方案。支持型安全服务，主要提供安全告警、安全加固、安全咨询等专业安全服务，为该XX提供完善的网络设备安全风险管理，提高移动各中心对新业务系统上线、第三方系统接入和日常安全运维检查和加固的实际效果，有效降低安全风

9、险的发生概率。六. 解决方案建议基于该XX目前的网络系统现状和组织结构，计划采用多级部署安全配置核查管理系统分级部署在上级中心、下级XX中心和下级XX中心内，实现分权分区自动化的配置安全核查。同时，为了实现对第三方接入系统、临时测试系统的配置安全核查，以及满足不可达设备安全核查的要求，为各个中心配置一套分布式采集器，并且在上级XX部署一套管理中心作统一的数据收集、任务下发和管理。通过该方案的部署实施，形成全部XX系统范围内各中心设备配置安全核查数据的汇总与分析能力。通过分析处理汇总的核查数据，形成全面的安全配置现状，利于有效利用资源，解决关键问题，降低系统的脆弱性，提高抗风险的能力。同时，也能

10、周期性的根据XX公司的“安全运维要求”进行合规检查，促进上级安全检查的成果。七. 组网部署图4 配置安全核查系统部署示意图（请根据情况裁剪）配置安全核查系统的组网模式比较简单，可以将其旁路部署在既有网络中。管理员通过WEB页面登录系统下达核查任务，检查任务既可以远程执行也可以本地执行。对于网络不可达的设备提供离线的脚本方式：配置核查管理系统实现按照设备类型的离线脚本核查方式，在系统中下载对应的离线脚本，也可以自定义核查内容来适应不同需求，将离线脚本拷贝到目标设备上运行，再将结果导入到系统即可，整改过程不修改目标设备任何配置，特点是不需要获得设备的登录信息即可完成配置核查信息的采集。离线脚本这种

11、方式需要逐台的采集，效率偏低，因此我们还提供了批量的离线核查方式来提高离线设备的核查效率，需要分布式采集器配合完成，大大提高了对于不可达网络中的设备核查效率。安全配置核查系统的应用非常灵活，只要待查设备为支持范围内的设备等都能够自动化的进行安全配置检查，就主要的应用情况来看，主要有以下几种应用：1. 日常运维核查，对现有正在运行的系统设备进行定期检查，发现配置漏洞和错误。2. 新上线系统核查，在新部署的系统设备上线之前进行必要的配置安全检查，提前发现配置漏洞和错误。3. 第三方接入核查，对接入移动系统的第三方设备进行配置检查，提前发现配置漏洞和错误。重大事件前核查，在重大社会活动、集团安全巡检

12、等事件前期，对重点设备、系统进行配置安全核查，提前发现配置漏洞和错误。八. 特点及优势总结复杂网络的多渠道检查支持主要考虑用户对于设备的管理细粒度和网络复杂度，从这两个维度出发，实现多种方式的核查任务管理：立即扫描：从资产入手，立即检查，并对检查结果及时呈现，并完成历次检查情况的展现、结果对比分析。定时扫描：针对组合的检查任务指定在某个时间开始核查，需要指定被检查的设备群,并对检查结果进行呈现，提供对比分析及趋势分析。周期扫描：针对组合的检查任务提供周期性核查，需要指定被检查的设备群以及周期形态（每小时、每天、每周、每月），并对检查结果进行呈现，提供对比分析及趋势分析。离线扫描：1.离线脚本：

13、在目标主机上运行脚本并把结果导入到任务中即可，实现vbs和session log方式。2.离线采集器，将任务下发到离线采集器，携带离线采集器到达目标网络执行任务后将结果上传回管理中心代理核查：可将Windows/linux系统部署代理方式，完成核查。 网络不可达的离线检查技术配置核查管理系统实现按照设备类型的离线脚本核查方式，在系统中下载对应的离线脚本，也可以自定义核查内容来适应不同需求，将离线脚本拷贝到目标设备上运行，再将结果导入到系统即可，整改过程不修改目标设备任何配置，特点是不需要获得设备的登录信息即可完成配置核查信息的采集。离线脚本这种方式需要逐台的采集，效率偏低，因此我们还提供了批量

14、的离线核查方式来提高离线设备的核查效率，需要分布式采集器配合完成，大大提高了对于不可达网络中的设备核查效率。 基于Windows/linux系统的代理技术针对大多数OA办公敏感设备及个人pc设备这类不便于提供登录信息的情况，代理技术将得到广泛使用，其特点是不需要登录的用户及密码，保护了设备本身的隐私及文件安全，同时又能对其基线配置情况进行检查。对于部署到主机上的数据库及中间件可实现一并核查。高效的多协议支持在负责的网络环境下，因承载的业务不同，目标设备所开放的登录协议也不同，这就要求基线检查必须支持多种协议的登录方式来满足检查工作的完成，支持SSH/Telnet/SMB/RDP/JDBC/Ag

15、ent/WinRm等协议。SMB是基于NetBIOS的API，所有的Windows 操作系统都支持SMB协议，使用SMB协议对windows操作系统进行基线检查不需要安装代理服务和启动特定的服务，并且配置方便防火墙默认放行445端口，可以实现点对点检查也可以实现批量检查。RDP是微软终端服务应用的协议，服务端基于win2000/winNT。协议基于T.128（T.120协议族）提供多通道通信。1、 自定义端口：通常情况下，世界上的所有黑客都知道终端服务器使用的是端口3389进行RDP通信。在这种情况下，提高终端服务器环境安全以及抵御黑客攻击的最快方法就是更改这种默认端口分配设置。2、 支持广泛

16、：所有Windows主机都支持RDP3、 轻量级部署：不需要安装代理服务或启动特定服务强大的自动探测功能系统可自动探测被核查的操作系统类型及版本，并自动发现中间件及数据库的安装路径，节约数据采集录入的时间，更智能更准确智能的错误提醒机制安全配置核查系统需要强大只能的错误消息机制，核查失败时准确定位错误，提升产品核查效率。基于不同检查标准的自定义参数检查项当我们面对越来越多的设备种类，多元化的操作系统时，如何分门别类的应对各式各样的设备，在安全防护的工作中又如何有针对性的开展工作呢，那么配置核查系统通过可用户自定义的检查项有效的解决了这个问题。按照不同的设备类型、不同的操作系统，通过系统中的检查

17、项配置功能完成用户的自定义检查项，支持Windows系统的doc命令、批处理，Linux系统的shell命令、shell脚本，甚至支持多个命令集合来完成复杂的配合核查，例如命令1的结果作为命令2的参数传递，从而轻松得出需要大量人力付出才能得到的结果，节约了人力成本和时间成本，同时自定义检查项的功能也为自定义核查的标准提供了有力的保障与现有安全管理平台的无缝整合安全配置核查管理系统可与现有的启明星辰安全管理平台进行无缝整合，可作为子模块完成基线检查的工作，也可通过安全管理平台下发基线检查策略，驱动基线管理平台共同完成安全运营管理工作。同时安全基线配置核查系统检查结果可以返回安全管理平台管理，安全

18、管理平台可以针对安全基线的不同检查规范和不同检查目的的检查结果进行过程管控，了解基线检查配置弱点的整改过程情况，为安全管理工作提供更有利的过程管控信息。集中自动化的配置安全核查运用离线核查与本地核查相结合的方式，在多种复杂应用环境下均可实现自动化的大规模性安全配置检查。图5 系统工作图多级多用户分权使用针对现有的组织结构和网络环境中，支持多级多用户分权使用。多管理员使用配置安全核查系统，对每个使用者能够设定其允许检查的范围，检查过程中不能对目标系统的配置进行任何修改，只能进行安全基线检查工作。支持集中的管理员功能，能对所有配置安全核查的结果进行统一的查阅和分析。全面灵活的报表功能综合运用历史数

19、据搜索、对比分析、汇总查看、趋势分析等工具，不仅可直观了解单个系统的问题分布及危害，还可同时掌握多个业务系统的综合风险变化情况，从而最终做出安全对比评定。可为网络安全状况的评定和未来网络建设提供了强有力的决策支撑。图6 报表输出图详尽可读性强的配置加固指南针对每一条不符合规范的配置项，系统都提供了详细的配置安全加固指南。加固指南切合具体的设备类型、系统版本，提出对应的执行命令、参数供加固人员参考，能有效的指导加固操作。九. 支持型安全服务启明星辰支持安全服务以安全运维管理为核心，根据实际环境和需求进行服务的组合及服务形式的调整，提供定期、不定期、实时等形式的服务。通过各种表现形式的安全服务，在

20、业务系统内部建立PDCA循环机制，实现对信息系统的整体安全运维保障。一十. 安全预警目前，信息安全问题正以每周新增几十甚至几百例的速度在全世界得到体现，如何及时、准确的获取这些信息，已成为运行维护部门最迫切的需求之一。安全预警服务通过多种方式为运维人员提供最新的安全行业动态信息，主要内容包括：1. 厂商安全通告：提供主流厂商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。2. 安全通告：自身安全研究发现的安全问题通告（业界未公布）和针对网络中已有设备的安全通告进行细化报告，提出可行的修复方案。一十一. 安全加固安全加固主要是在安全核查完成后，根

21、据安全核查结果，制定各类网络设备、系统的安全加固方案和组网结构的调整方案，并在业务影响最小化的原则下对加固方案进行实施。对三大中心的网络设备、主机系统、数据库系统（配置安全核查系统范围内容），针对这两类节点的安全加固主要是增强节点自身安全性、强化对设备访问控制。一十二. 安全职守在业务日常运行期间最重要的就是依据既定的策略使业务系统安全、稳定地运行，而不适合再进行安全建设的施工操作，需要尽量减少对网络架构、主机系统、安全控制措施等方面变动、调整的工作，此阶段的安全工作重点是进行日常安全监控和安全运维方面，而引入专业的安全职守服务能更加高效和准确的进行安全运维工作。启明星辰的安全职守服务在某移动

22、现场提供安全运维职守，内容主要包括：日常安全工作、上线安全指导、安全日志分析、安全优化金点子等。一十三. 安全培训信息安全培训是成本最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施，借助各项培训课程，专业培训人员将向省移动的各层安全管理人员、维护人员和系统日常使用人员等传授从一般性的安全意识、到具体的安全攻防操作、再到高级的信息安全管理在内的全方位的安全知识和技能，从而提升省移动在信息安全实践当中“人”这个决定因素的关键作用，为有效的信息安全提供保障。一十四. 方案总结和展望通过上述两种工具的应用，可以快速、有效地开展基于行业安全基线规范的日常安全检查工作，促进企业安全体系建设的开展，减低总体投入成本。同时，由于基线安全规范与业务系统之间存在着密切的关联性，启明星辰希望能够运用自身在安全领域的积累，参与到各XX客户基线安全规范的制定过程中，为国内XX行业的安全建设与业务发展贡献一份力量。