安全基线配置核查系统技术方案 电力版.docx

1、安全基线配置核查系统技术方案 电力版电力安全配置核查服务解决方案2013年月一. 背景近年来,从中央到地方各级政府的日常政务、以及各行业企业的业务开展对IT系统依赖度的不断增强,信息系统运维人员的安全意识和安全技能也在逐步提高。最直接的体现为传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。从典型的信息安全建设过程来看,是由业务需求导出的安全需求在驱动着安全建设的全过程。而如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务,如何建立一套行之有效的风险控制与管理手段,是每一个信息化主管所面临的共同挑战。随着电力行业科技创

2、新能力的日益提高,业务应用的日趋丰富,电力行业业务的开拓越来越依托于IT技术的进步；电力的发展对信息系统的依赖程度不断增强,对电力信息系统安全建设模式提出了更高更多的要求,信息安全建设工作已经是电力信息化建设中的重要内容,安全基线建设就是电力信息安全建设中一项新的举措和尝试。在电力行业里,各类通信和IT设备采用通用操作系统、数据库,及各类设备间越来越多的使用IP协议进行通信,其网络安全问题更为凸出。为了维持电力的通信网、业务系统和支撑系统设备安全,必须从入网测试、工程验收和运行维护等,设备全生命周期各个阶段加强和落实安全要求。需要有一种方式进行风险的控制和管理。本技术方案将以安全基线建设为例,

3、系统介绍安全基线建设在电力信息安全建设工作中的设计与应用二. 需求分析传统的安全建设模式逐渐向新兴的安全建设模式转变,传统的安全建设模式主要是以安全事件和新兴的安全技术为主要驱动,在安全建设的过程中处于被动的状态。而随着信息安全建设工作的不断深入,信息安全建设模式已经逐渐演变为以业务安全需求为主要驱动的主动式安全建设模式,目前,新兴的信息系统安全基线建设工作就是以业务需求为核心,制定针对不同系统的详细检查表格和操作指南,建立统一的服务器、网络设备、数据库和应用系统安全配置规范的一种新兴的安全建设模式。随着SGl86系统工程和国家电网等级保护建设的开展,使电力系统的信息化建设更加迅速。同时在电力

4、信息网络安全等方面做了大量工作,采取了许多有效措施防止网络安全事件。确保公司信息安全工作的系统性、安全性、实用性、创新性和全面性。SG186系统工程要求制定合适的安全管理规范,电力企业需要密切跟踪国内外安全标准化领域内的最新工作成果,并结合国内技术和相关的发展状况,建立起完整的电力系统安全业务规范,标准的框架体系,制定安全目标和安全实施过程。为进一步提升信息安全管理规范,加固安全管理防线,*供电公司开展业务网安全基线建设工作,对服务器、网络设备和安全产品等建立统一的安全基线配置策略和建议规范。通过对安全事件的分析,发现安全事件主要由3个方面引起,安全漏洞方面、安全配置方面,以及异常事件等方面。

5、安全配置通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。由安全配置的不足可能带来非常多的安全隐患,因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。安全漏洞和异常事件方面本文不做讨论三. 安全基线研究针对用户需求,可以采用安全基线的思想进行风险的控制和管理。顾名思义,安全基线概念借用了传统的基线概念。字典上对基线的解释是：一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于木桶理论,可以认为安全基线是安全木桶的最短板,或者说,是最基本的安全要求。假如我们将企业信息系统建立安全基线,如对每个网元

6、、应用系统都定义安全基准点,即设定满足最基本安全要求的条件,并在设备入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全基线要求,则可以进行风险的度量,做到风险可控可管。如何设计一整套适合政企自身业务特点的安全基线模型呢？我们可参考国内外的成功经验,同时结合一些行业的风险控制手段,就可以设计出针对业务系统的基线安全模型。在这些参考内容中,最值得借鉴的是美国FISMAThe Federal Information Security Management Act,联邦信息安全管理法案的实施和落地过程。FISMA定义了一个广泛的框架来保护政府信息、操作和财产来免于自然以及人为的威胁。F

7、ISMA在2002年成为美国电子政府法律的一部分,把责任分配到各种各样的机构上来确保联邦政府的数据安全。其提出了一个包含八个步骤的信息安全生命周期模型,这个模型的执行过程涉及面非常广泛且全面,但实施、落地的难度也非常大。而后由NIST美国国家标准技术研究院牵头针对其中的技术安全问题提出了一套自动化的计划称为ISAPInformation security automation program来促进FISMA的执行,ISAP出来后延伸出SCAP协议Security Content Automation Protocol,该协议通过明确的、标准化的模式使得漏洞管理、安全监测和政策符合性与FISMA

8、要求一致。SCAP协议由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成,即定义了一套安全基线库。由此SCAP框架就实现了标准化和自动化,形成了一套针对系统的安全检查基线,得以将FISMA的信息安全生命周期模型进行落地。图1 FISMA遵从模型简言之SCAP体现了三个方面的特性：1.可操作性：通过SCAP明确的提出了应该贯穿风险管理的要求和方法,通过技术与管理两方面的手段,将体系化的指导思想进行落地。2.标准化：在NVD、NCP的基础上,构建了一套针对桌面系统的安全基线检查项,这些检查项由安全漏洞、安全配置等有关检查内容构成,为标准化的技术安全操作提供了框架。3.自动化

9、：针对桌面系统的特性,采用标准化的检查内容和检查方法,通过自动化的工具来执行,为自动化的技术安全操作提供支持。借鉴FISMA的实施和落地过程,在基于业务的安全评估的基础上,构建出基于业务系统的安全基线模型。该模型围绕承载业务及数据的安全需求,建立一个覆盖企业的业务体系、应用体系和IT基础设施的多层次的安全系统架构,从而指导企业的风险控制与管理。图2 安全基线模型安全基线模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层架构：1.第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安全防护的要求,是一个比较宏观的要求。形成基于某业务系统的风险管理系统。2.第二层是功能架构层

10、,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统类型,这些设备类型针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。即在技术手段上实现脆弱性、安全策略以及重要信息的监控。3.第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,找到基准安全配置项和重要策略文件等,即建立安全基线弱点库。如将操作系统可分解为Windows、Linux等具体系统模块。这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求,称为该业务系统的Windows安全基线、Linux安全基线等网元的安全基线。下面以近期关注度比较高的WEB网站安全为例对模型

11、的应用进行说明：首先WEB网站要对公众用户提供服务,存在互联网的接口,那么就会受到互联网中各种攻击威胁,造成例如网页内容篡改、网站挂马等结果。在第一层业务需求中就定义需要防范网页内容篡改、网站挂马的要求。而这些防护要求对于功能架构层的WEB Server、操作系统、安全设备等都存在可能的影响,因此在这些不同的模块中需要定义相对应的防范要求。而针对这些防范要求,如何来实现呢？这就需要定义全面、有效的第三层模块要求了。第三层中就是依据WEB应用的承载系统,针对各种安全威胁在不同的模块定义不同的防护要求,这些不同模块的防护要求就统一称为该WEB网站的安全基线。针对该WEB网站安全基线的检查,就可以转

12、化为针对WEB Server、承载系统等的脆弱性检查上面。四. 安全基线的建立和应用首先根据企业状况,建立一套本组织在当前时期的理想化安全水平基准点,即安全基线。这个安全基线可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等,然后通过一些手段比如自动化的评估工具对组织现有的安全水平进行分析。通过对比理想化安全水平基准点,就形成了一套差距分析结论。企业自身针对这个差距进行适时监测、确认和跟踪即可,对任何违规情况进行预警或通报,提出补足差距的建议方案；而这个理想安全水平基准点就是该组织的最优安全状态。追求规避全部风险也是不现实的,信息系统在达到基线水平之后,部分风险自然

13、会被转移或降低。这样便可以实现持续定义安全基线,持续监管和持续改进,可以使每一时期每一阶段的安全水平都是可控的。同时,收集完数据后,根据企业安全状况进行风险的度量,输出结合政策法规要求的风险报表。图3 安全基线控制图图4 基线安全的应用应用第三层面安全基线的要求,可以对目标业务系统展开合规性安全检查,以找出不符合的项,并选择和实施安全措施来控制安全风险。1.安全配置：通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的,如在WEB系统边界防火墙中需要开

14、启HTTP通信,但一个WAP网关边界就没有这样的需求,因此在设计业务系统安全基线的时候,安全配置是一个关注的重点。2.安全漏洞：通常是系统自身的问题引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。业务系统的安全基线建立起来之后,将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查上级检查、日常安全检查等。五. 项目概述现在,防火墙、防病毒软件等传统的安全管理工具在传统的信息安全建设领

15、域发挥了重要作用,但如何避免安全产品各自为战,将安全建设整体划一、形成合力仍是信息安全建设过程中需要关注的问题。近年来,*供电公司在信息系统、网络设备的安全管理上管理内容不断拓宽,管理力度不断加大,部署了防火墙、入侵防御、防病毒等等一系列的安全产品,安装的时间不同,缺乏统一的安全标准和配置规范,服务器的安全管理上扔存在安全隐患。安全配置核查系统,是*供电公司对网络设备,信息系统服务进行横向的安全评估和管理,通过分析业务网信息系统实际现状和面临风险的不同来源,制定针对不同系统的详细检查表格和操作指南,建立统一的服务器、网络设备、数据库和应用系统安全配置规范,形成*供电公司业务网安全基线,为今后公

16、司设备入网、系统验收、日常维护及安全核查工作提供可参照的统一标准和规范。绿盟安全配置核查系统,主要实现集中自动化的对公司的路由器、数据库、主机系统等设备的配置进行安全检查,检查后自动生成符合情况报告,并对不符合项提出详细的改进方案。支持型安全服务,主要提供安全预警、安全加固、安全咨询等专业安全服务,为*供电公司提供完善的网络设备安全风险管理,提高移动各中心对新业务系统上线、第三方系统接入和日常安全运维检查和加固的实际效果,有效降低安全风险的发生概率。六. 解决方案建议基于*供电公司目前的网络系统现状和组织结构,计划采用多套硬件版绿盟安全配置核查系统部署在网管中心、新业务开发中心和业务支撑中心内

17、,实现分权分区自动化的配置安全核查。同时,为了实现对第三方接入系统、临时测试系统的配置安全核查,以及满足便携配置安全核查的要求,用作统一的数据收集和管理。安全配置核查建设充分考虑电力信息安全的现状和电力行业最佳实践,同时参考了电监会、国家经贸委和国家电网等监管部门下发的安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果,构建出基于业务的基线安全模型如下图。通过该方案的部署实施,形成各中心设备配置安全核查数据的汇总与分析能力。通过分析处理汇总的核查数据,形成全面的安全配置现状,利于有效利用资源,解决关键问题,降低系统的脆弱性,提高抗风险的能力。同时,也能周期性的根据集团公司的安全运维要求

18、进行合规检查,促进集团安全检查的成果。图5 基线安全模型七. 组网部署图6配置安全核查系统部署示意图配置安全核查系统的组网模式比较简单,可以将其旁路部署在既有网络中。管理员通过WEB页面登录系统下达核查任务,检查任务既可以远程执行也可以本地执行。远程执行,通过Telnet、SMB、SSH等形式对待查设备进行配置安全核查,需要保证网络IP可达,并提供待查设备的管理帐户和口令；本地执行,对于网络中不便进行远程核查的目标系统Windows系统,提供配套的自动化程序,可执行程序在待查设备本地执行后生成报表文件,然后导入到配置安全核查系统中进行汇总和分析。绿盟安全配置核查系统的应用非常灵活,只要待查设备

19、为支持范围内的网络设备、主机系统等都能够自动化的进行安全配置检查,就主要的应用情况来看,主要有以下几种应用：1.日常运维核查,对现有正在运行的系统设备进行定期检查,发现配置漏洞和错误。2.新上线系统核查,在新部署的系统设备上线之前进行必要的配置安全检查,提前发现配置漏洞和错误。3.第三方接入核查,对接入移动系统的第三方设备进行配置检查,提前发现配置漏洞和错误。重大事件前核查,在重大社会活动、集团安全巡检等事件前期,对重点设备、系统进行配置安全核查,提前发现配置漏洞和错误。八. 产品特色功能建立安全基线,落实风险控制要求通过NSFOCUS BVS对重要信息系统建立安全配置基线,将业务的安全需求转

20、换为对网元设备的具体技术要求进行落实。 NSFCUS BVS为管理者的定量观点与安全专家所采用的具体检测方法之间架设了桥梁,通过建立业务系统的安全配置基线,以实现业务系统的安全风险度量,让安全风险可控、可管。基于实践的安全配置知识库NSFOCUS RSAS系统的安全配置库来源于绿盟科技多年安全服务的执着实践,每一条安全配置都是绿盟科技安全服务团队的多年评估服务的结晶。该知识库内容涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配置加固建议,通过该知识库可以全面的指导IT信息系统的安全配置及加固工作。并且根据IT信息系统的不断发展持续进行更新。多类型设备自动化的安全配置核查能够根据

21、安全配置知识库的要求,判断待查设备的检查项目达标与否,支持百分制对目标系统的达标情况进行打分。现有绿盟安全配置核查系统的检查对象涵盖了：Windows XP/2003 Server中英文版本操作系统、Solaris 8/9/10中英文版本操作系统、AIX5.x操作系统、Linux操作系统、Oracle 8i/9i/10g数据库、Informix数据库、思科网络设备、华为网络设备、Juniper网络设备。检查的内容包括四个部分,分类如下：1.账号管理、认证和授权账号、口令和授权2.日志配置操作3.IP协议安全配置操作4.设备其他配置操作集中自动化的配置安全核查运用远程核查与本地核查相结合的方式,

22、在多种复杂应用环境下均可实现自动化的大规模性安全配置检查。图7 系统工作图1.通过远程登录探测功能,可以完全模拟人进行远程登录目标设备以进行安全配置检测,不会对目标设备正常运行造成任何影响。2.对隔离设备等特定使用环境,本地安全检测功能可直接在目标主机上收集相应的安全配置信息,并能够将数据汇总到NSFOCUS BVS设备上进行统一的数据汇总分析。3.针对大多采用Windows终端的办公网使用环境,可通过ActiveX检测功能自动的对所用终端进行检测,并可进行统一数据分析。多级多用户分权使用针对现有省移动的组织结构和网络环境中,支持多级多用户分权使用。多管理员使用配置安全核查系统,对每个使用者能

23、够设定其允许检查的范围,检查过程中不能对目标系统的配置进行任何修改,只能进行安全基线检查工作。支持集中的管理员功能,能对所有配置安全核查的结果进行统一的查阅和分析。全面灵活的报表功能综合运用历史数据搜索、对比分析、汇总查看、趋势分析等工具,不仅可直观了解单个系统的问题分布及危害,还可同时掌握多个不同省、市公司、业务系统的综合风险变化情况,从而最终做出安全对比评定。可为网络安全状况的评定和未来网络建设提供了强有力的决策支撑。图8 报表输出图根据不同阅读人员的需要生成各种自定义报告,提供所需的相关数据,从多个视角反映网络的整体配置安全状况。可对不同的检查点,定义不同的风险分值,对不安全配置分布、危

24、害、平均符合度、设备信息等多视角进行细粒度的统计分析,生成基于不同角色、不同内容和不同格式的报表。配置加固指南针对每一条不符合规范的配置项,绿盟安全配置核查系统提供了详细的配置安全加固指南。加固指南切合具体的设备类型、系统版本,提出对应的执行命令、参数供加固人员参考,能有效的指导加固操作。九. 支持型安全服务绿盟科技支持型安全服务以安全运维管理为核心,根据实际环境和需求进行服务的组合及服务形式的调整,提供定期、不定期、实时等形式的服务。通过各种表现形式的安全服务,在业务系统内部建立PDCA循环机制,实现对信息系统的整体安全运维保障。此次项目中,通过绿盟科技支持型安全服务为移动提供配置安全核查系

25、统上线后的安全运维服务工作,为日常安全运维保障工作提供有效的支持服务。十. 安全预警目前,信息安全问题正以每周新增几十甚至几百例的速度在全世界得到体现,如何及时、准确的获取这些信息,已成为运行维护部门最迫切的需求之一。安全预警服务通过多种方式为运维人员提供最新的安全行业动态信息,主要内容包括：1.厂商安全通告：提供主流厂商的中文安全通告,包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。2.绿盟科技安全通告：绿盟科技自身安全研究发现的安全问题通告业界未公布和针对网络中已有设备的安全通告进行细化报告,提出可行的修复方案。十一. 安全加固安全加固主要是在安全核查完成

26、后,根据安全核查结果,制定各类网络设备、系统的安全加固方案和组网结构的调整方案,并在业务影响最小化的原则下对加固方案进行实施。对三大中心的网络设备、主机系统、数据库系统配置安全核查系统范围内容,针对这两类节点的安全加固主要是增强节点自身安全性、强化对设备访问控制。十二. 安全职守在业务日常运行期间最重要的就是依据既定的策略使业务系统安全、稳定地运行,而不适合再进行安全建设的施工操作,需要尽量减少对网络架构、主机系统、安全控制措施等方面变动、调整的工作,此阶段的安全工作重点是进行日常安全监控和安全运维方面,而引入专业的安全职守服务能更加高效和准确的进行安全运维工作。绿盟科技的安全职守服务在某移动

27、现场提供安全运维职守,内容主要包括：日常安全工作、上线安全指导、安全日志分析、安全优化金点子等。十三. 安全培训信息安全培训是成本最低、最有效利用现有技术和资源的、效果最快最显著的信息安全管理措施,借助各项培训课程,专业培训人员将向省移动的各层安全管理人员、维护人员和系统日常使用人员等传授从一般性的安全意识、到具体的安全攻防操作、再到高级的信息安全管理在内的全方位的安全知识和技能,从而提升省移动在信息安全实践当中人这个决定因素的关键作用,为有效的信息安全提供保障。十四. 方案总结和展望通过上述两种工具的应用,可以快速、有效地开展基于行业安全基线规范的日常安全检查工作,促进企业安全体系建设的开展,减低总体投入成本。同时,由于基线安全规范与业务系统之间存在着密切的关联性,绿盟科技希望能够运用自身在安全领域的积累,参与到各基线安全规范的制定过程中,为国家电网的安全建设与业务发展贡献一份力量。