安全系统配置核查系统

安全配置核查系统随着信息化建设的发展，各类IT设备种类和数量不断增加，其安全管1 理问题日渐凸出。为了维持IT信息系统的安全并方便管理，必须从入 |i网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实:安全要求，同时需要设立满足安全要求的安全基准点。:针对行业的业务系统建立安全检查点与操作指南的基准安全标准，则；成为各个行业安全管理人员最为紧迫的事情。基准安全标准将形成针：对不同系统的详细Checklist表格和操作指南，为标准化的技术安全j5操作提供了框架和标准。:I规与安全基准点的出台让运维人员有了检查默认风险的标杆，但是面:对网络中种类繁杂、数量众多的设备和软件，如何快速、有效的检查:jI设备，又如何集中收集核查的结果，以及制作风险审核报告，并且最:终识别那些与安全规不符合的项目，以达到整改合规的要求，这些是：网络运维人员面临的新的难题。：II在此背景下，绿盟科技推出了专用检查工具 一一绿盟安全配置核查系:统(NSFOCUS Benchmark Verification System ，简称：NSFOCUS；iiBVS )系列产品。该产品基于绿盟科技多年安全服务的积累，形成完i 善的安全配置知识库，该知识库涵盖了操作系统、网络设备、数据库、 ii中间件等多类设备及系统的安全配置加固建议，通过该知识库可以全 : 面的指导IT信息系统的安全配置及加固工作。特别是通过该产品能够:1 采用机器语言，自动化的进行安全配置检查，从而节省传统的手动单 :Ii点安全配置检查的时间，并避免传统人工检查方式所带来的失误风 : 险，同时能够出具详细的检测报告。它可以大大提高您检查结果的准 - 确性和合规性，节省您的时间成本，让检查工作变得简单。:本文将包含以下容：运维人员面临的挑战:基线安全的研究：安全基线的建立和应用:绿盟安全配置核查系统：jIi 运维人员面临的挑战1II随着业务不断发展，网络规模日益扩大，其生产、业务支撑系统的网 : 络结构也变得越来越复杂。其中，重要应用和服务器的数量及种类日 ： 益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设 ： ii!I置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运 :I|转。:jI因此针对行业的业务系统建立安全检查点与操作指南的基准安全标 准，则成为各个行业安全管理人员最为紧迫的事情。基准安全标准将 -Ii形成针对不同系统的详细Checklist表格和操作指南，为标准化的技 术安全操作提供了框架和标准。其应用围非常广泛，主要包括新业务 I 系统的上线安全检查、第三方入网安全检查、合规安全检查（上级检 ： 查）、日常安全检查等。I-通过采用统一的安全配置标准来规技术人员在各类系统上的日常操I作，让运维人员有了检查默认风险的标杆， 但是面对网络中种类繁杂、 数量众多的设备和软件，真正完成合规性的系统配置检查和修复，却 成为一个费时费力的事情：i安全配置检查及问题修复都需人工进行，对检查人员的技能和经验要 求较高；i做一次普及性的细致检查耗费时间较长，而如果改成抽查则检查的全面性就很差；!自查和检查都需要登录系统进行，对象越多工作越繁琐，工作效率也 不高；每项检查都要人工记录，稍有疏漏就需要重新补测。对自查或检查人员来说，需要花费大量的时间和精力来检查设备、收 集数据、制作和审核风险报告，以识别各项不符合安全规要求的系统。 如何快速有效的在新业务系统上实现上线安全检查、第三方入网安全 检查、合规安全检查（上级检查）、日常安全检查等全方位设备检查, 又如何集中收集核查的结果，以及制作风险审核报告，并且最终识别 那些与安全规不符合的项目，以达到整改合规的要求，这些是网络运:维人员面临的新的难题。!基线安全的研究i在研究和业务安全相结合的基准安全标准体系基础上，参考国外的标I:准、规，充分考虑了行业的现状和行业最佳实践，继承和吸收了国家 :等级保护、风险评估的经验成果，形成了一套基于业务系统的基线安:!全模型，参见下图：i何堵箱梅华対曙由嚣JiinipcrE 由器|轉眸Windows|SaladsI ILinuxi基线安全模型!基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实!现层等3层架构：第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义 :不同安全防护的要求，是一个比较宏观的要求。第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备/系统模块，这些模块针: II对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。:jI第三层是系统实现层，将第二层的模块根据业务系统的特性进一步分ii解，将操作系统分解为 Windows、Solaris等系统模块，网络设备分； Ij解为华为路由器、Cisco路由器等系统模块。这些模块中又具体的把ji第二层的安全防护要求细化到可执行和实现的要求，称为 Windows:安全基线，华为路由器安全基线等。:我们以移动运营商 WAP系统为例对模型的应用进行说明。首先WAP ii系统要对互联网用户提供服务，因此存在互联网的，那么就会受到互-1jj联网中各种蠕虫的攻击威胁，那么我们在第一层中就定义需要防蠕虫=i攻击的要求，这个蠕虫攻击的防护要求对于功能架构层的操作系统、:ji网络设备、网络架构、安全设备等都存在可能的影响，因此在这些不：!同的模块中需要定义相对应的防要求，而针对这些防要求，如何来实:ii现呢？这就需要定义全面、有效的第三层模块要求了，针对不同类型:ii蠕虫病毒的威胁，在 Windows、Solaris等系统的具体防要求就不一:ji样了，因此在第三层中就是针对各种安全威胁针对不同的模块定义不:同的防护要求。-iiji安全基线的建立和应用:jiii建立安全基线首先需要对业务系统进行识别和梳理，然后结合基线安：全模型分析业务系统的功能架构，再将功能架构细化到系统层面的不:同模块。在此基础上，就是针对业务系统特性，分析可能存在的安全 :威胁，并将针对威胁的应对措施逐层分解到系统实现层。系统实现层 ; 中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构 :成，这些检查项的覆盖面、有效性成为了基线安全实现的关键。:iiiIIIFai9人疏忽 错误的配普I窖仝珀背 /人疏怨II丿:立全配首J错误的配置I；1*1!I安全基线II1W弋_ |/、皿5 自身问題I!袁全漏洞浦洞、bug等|ii|基线安全的应用|iiii;应用第三层面安全基线的要求，可以对目标业务系统展开合规性安全 ； :检查，以找出不符合的项，并选择和实施安全措施来控制安全风险j安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、 I j 授权、日志、IP通信等方面容，反映了系统自身的安全脆弱性。安全I ij:配置方面与系统的相关性非常大，同一个配置项在不同业务环境中的 ： 安全配置要不一样的，如在 WEB系统边界防火墙中需要开启 HTTP； 通信，但一个 WAP网关边界就没有这样的需求，因此在设计业务系:统安全基线的时候，安全配置是一个关注的重点。=安全漏洞：通常是系统自身的问题引起的安全风险，一般包括了登录:ii漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况-jj处置错误等，反映了系统自身的安全脆弱性。-业务系统的安全基线建立起来之后，将形成针对不同系统的详细:IiChecklist表格和操作指南，为标准化的技术安全操作提供了框架和标:ii准。其应用围非常广泛，主要包括新业务系统的上线安全检查、第三:ij方入网安全检查、合规安全检查(上级检查)、日常安全检查等。：ii绿盟安全配置核查系统:|iii基于多年安全服务的执着实践，绿盟科技形成了国最完善的专业安全：服务体系和专业安全服务方法论，制定了完善的安全配置检查点，同；ji时结合用户对安全评估产品的实际:应用需求，自主研发了绿盟安全配置核查系统(NSFOCUSBenchmark Verification System ，简称：NSFOCUS BVS )。NSFOCUS BVS具备完善的安全配置知识库，通过该知识库可以全 面的指导IT信息系统的安全配置及加固工作。特别是通过该产品能 够采用机器语言，自动化的进行安全配置检查，从而节省传统的手动 单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风 险，同时能够出具详细的检测报告。它可以大大提高您检查结果的准 确性和合规性，节省您的时间成本，让检查工作变得简单，是您身边专业的安全配置专家”。依托专业的NSFOCUS安全服务团队，提供完善的安全配置知识库，通过该知识库可以全面的指导IT信息系统的安全配置及加固工作；采用机器语言，运用远程检测与本地检测相结合的方式， 综合运用信 息重整化（NSIP ）等多种领先技术，可以自动、高效、准确地发现 网络资产存在的安全配置问题；针对安全加固的特点，NSFOCUS BVS首创自动化的安全加固功能，可在安全配置检查结束后，直接进行系统安全配置的加固；持续进行NSFOCUS BVS的更新和发展，不断支持更多的设备类型， 同时提供检查规则的持续更新，为您提供最完备的自动化检查设备， 降低风险成本，保护您的投资。运行模式图产品体系结构NSFOCUS BVS是基于WEB的管理方式，用户使用浏览器通过SSL 加密通道和系统WEB界面模块进行交互，方便用户管理。NSFOCUS BVS采用模块化设计，部整体工作架构如下图所示。整体模块图专用平台专用平台专用平台是经过优化的专用安全系统平台， 具有很高的安全性和稳定 性。调度核心模块调度核心模块是系统最重要的模块之一，它负责完成目标的探测评估工作，包括判定主机存活状态、操作系统识别、模板解析匹配等。Checklist知识库Checklist知识库包含安全配置检查点相关信息，是系统运行的基础,调度核心模块和数据分析模块都依赖它进行工作。扫描结果库扫描结果库包含了扫描任务的结果信息，是扫描结果报告生成的基础, 也是查询和分析结果的数据来源。数据分析模块数据分析模块是综合分析、趋势分析和报表合并的统计信息的数据来 源，是任务合并、分布式数据汇总之后的结果。配置模板库管理员通过此模块可以在进行评估任务之前， 对被检查设备自定义相 应的安全配置检查点，以及每项检查点的权重。WEB界面模块WEB界面模块负责和用户进行交互，配合用户的请求完成管理工作。WEB管理模块包含多个子模块共同完成用户的请求，其主要子模块 有：任务管理子模块一一完成用户评估任务的管理工作。报表子模块一一读取扫描结果库，并根据漏洞描述信息和解决方案生 成扫描报表。用户管理子模块审计管理子模块由于一些系统或网络设置的原因，而不能远程检查的目标系统（如Windows系统），NSFOCUS BVS提供配套的本地执行工具，在待 查设备本地执行后可生成报表文件，该文件能导入到系统中进行汇总 分析。扩展模块多类型设备检测扩展模块绿盟科技不断根据安全服务的实践经验，持续进行 NSFOCUS BVS 的更新和发展，即将支持更多的设备类型，通过此模块可以不断增强 系统所能够检测的系统与设备围。二次开发接口模块通过此接口 NSFOCUS BVS可以与其他安全产品和管理平台进行联 动，以便于统一的平台管理。产品特色权威、完备的Checklist知识库绿盟科技拥有一支业领先的安全服务团队。 经过7年专业安全服务的 执着实践，形成了国最完善的专业安全服务体系和专业安全服务方法 论，制定了完善详细的安全配置检查点。在这个部门中，拥有多位PMP、CISA、BS7799 LA、ISO 27001 LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL等国际/国认证专家，他们不断在安全服务实践中进行Checklist知识库的完善，并将这些知识库更新到 NSFOCUSBVS 中。自定义安全配置检查项目通常网络环境的情况是，设备类型逐渐增多，各种服务平台被应用， 应用软件不断更新升级，这些变化给安全配置检查带来一定的困难。作为Checklist知识库的补充，NSFOCUS BVS提供自定义安全配置 检查功能，可以由用户根据需要或者行业标准，自行制定对目标系统 执行的各种安全配置检查操作，可以形成针对自身企业或行业的自定 义安全配置检查模板。自定义安全配置检查的功能让安全管理员能够很好的适应网络情况的变化，对产品暂不支持的安全规或配置检查点， 都可以通过自定义 安全配置检查功能轻松实现。基于用户行为模式的管理架构作为用户体验性很强的产品，NSFOCUS BVS始终秉承 以人为本” 的理念，在产品设计过程充分考虑了实际用户需求和使用习惯，从用户角度完善了很多管理功能。设计了 一键式”任务模式，采用自动化 的数据收集、智能匹配检查规、快速结果报表、科学分值评定等功能， 最大限度的满足您的操作简易性和高效性的需求。NSFOCUS BVS采用B/S管理架构，能够以SSL加密通讯方式通过 浏览器来远程进行管理。NSFOCUS BVS的专用硬件能够长期稳定 地运行，很好地保证了任务的周期性自动处理。能够自动处理的任务包括：评估任务下发、扫描结果自动分析、处理和发送、系统检测插 件的自动升级等。同时，系统支持多用户管理模式，能够对用户的权 限做出严格的限制，并且提供了登录、操作和异常等日志审计功能， 方便用户对系统的审计和管理。高效、智能的安全配置识别技术采用机器语言，运用远程检测与本地检测相结合的方式， 在多种复杂 应用环境下均可实现自动化的大规模性安全配置检查，从而为您节省手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失 误风险。NSIP 技术（NSFOCUS Intelligent Profile，绿盟科技智能 Profile 信 息识别技术）在国甚至在国际上都是非常领先的信息识别技术，它在提高NSFOCUS BVS的评估速度和准确率方面都起到了很大的促进 作用。NSIP技术就是采用多种技术通过不同途径收集目标系统的多 种信息，这些信息就是目标系统的 Profile，评估过程中，Profile不 断地对中间的结果数据进行调整，保障了最后评估结果的准确性。基于实践的配置模板管理及展示不同的业务系统有着不同的重要性与不同的配置检查需求。因此对应 不同的业务系统会有不同的安全配置检查侧重点， 而且每项检查点的 权重都会有区别。在每次进行安全配置评估之前，用户需要根据自己 的业务系统确定所需要进行评估的资产，并且划分资产的重要性。NSFOCUS BVS提供的配置模板库”可根据用户的资产类型及其重 要性会自动在其部对目标评估系统建立基于时间和基于风险等多种 安全评估模型。方便用户定义符合切身需求的安全配置检查项。多维、细粒度的统计分析NSFOCUS BVS不仅提供了常见的离线报表，还提供了强大的在线 报表系统。同时，NSFOCUS BVS为您提供了一个实用的 报表控制 器”它能够帮助客户更好地获得有效信息，生成基于不同角色、不 同容和不同格式的报表。系统不仅站在管理员的角度分析结果， 也站 在公司决策层和网络部门管理人员的角度考虑报告的生成。NSFOCUS BVS从宏观和微观两个角度对风险进行了透彻地分析。 宏观上，系统从多个视角深刻反映网络的整体安全状况， 对问题分布、 危害、主机信息等多视角信息进行了细粒度的统计分析，并通过柱状图、饼图等形式，直观、清晰的从总体上反映了网络资产的问题分布 情况；微观上，系统对每个信息都提供了详细的安全配置解决方案， 使得管理员可以快速准确地解决各种安全问题， 同时支持用户自己输 入关键字进行相关信息的检索，以便用户能够具体了解某台主机或者 某个配置的详细信息。NSFOCUS BVS从多个视角深刻反映网络的整体安全状况，还提供历史数据搜索”与任意扫描任务之间的 汇总查看”和对比分析”功能, 不仅对单个扫描任务的漏洞分布、危害等进行了统计分析，还对多个 扫描过程进行综合的风险变化和安全对比评定，为网络安全状况的评 定和未来网络建设提供了强有力的决策支持。任罢畫鼻丸哎3H竄穷E三-.盯：弋工-：1紀首顶可门豹J我丹邛囹GH巴m豈丁甘圭一 -三 _ _0 S-F .=二 t.可 Hsr&Ea.=；沢；-T -7.E=*Wr 4KHT 胃-r；-占$0flig&ot二=h TEl砖户腳诧耳X冒 眄, r 丹 c日寿死*1a nE m亍-荷 irr -1O E da石瓷能齊JG 威 林)f * *匸Bit 10i| (1TJ|FirrNA盂盜二:石 L tff J*? W Jb 占 F I1 吩再二壬土芒：？= 7-隹-三.：弋三二益才三二巧亶;二三才-忙.孤拧Tfr T-SvSi丰淬:言#鲁壬兰迂邸薫宵比雪TO（张NSFOCUS BVS系统综述信息图典型应用方式目前用户网络环境中常见的网络拓扑结构有：总线拓扑、星形拓扑、树形拓扑和混合型拓扑。针对上述用户常见的网络拓扑，NSFOCUSBVS为用户量身定做”了两种部署方式：独立式部署和分布式部署。独立式部署中小型网络中，由于其数据相对集中，并且网络拓扑结构较为简单， 大多数采用总线拓扑或者星形拓扑， 建议使用独立式部署方式。独立 式部署就是在网络中只部署一台 NSFOCUS BVS设备，只需将其接 入网络并进行正确的配置即可正常使用， 其工作围通常包含客户公司 的整个网络地址。用户可以从任意地址登录 NSFOCUS BVS设备并 下达安全检查任务。下图就是NSFOCUS BVS的独立式部署模式。从图中可以看出，无 论在公司何处接入设备，公司网络都能正常工作，完成对网络的安全 评估。网络设冨集端区眼务器区NSFOCUS BVS 独立式部署结构图结论各个不同业务系统安全检测基准的建立和行之有效的检测手段是安 全管理人员面临的最为重要和迫切的问题。安全运维人员需要具备检 查风险的标杆。同时面对网络中种类繁杂、数量众多的设备和软件， 需要快速、有效的检查设备，进行自动化的安全检查，以及制作风险 审核报告，并且最终识别那些与安全规不符合的项目，以达到整改合 规的要求。基于多年安全服务的执着实践，同时结合用户对安全评估产品的实际 应用需求，绿盟科技推出了专用检查工具 一一绿盟安全配置核查系统(NSFOCUS BVS )系列产品，它具备完善的安全配置检查点，采 用高效、智能的识别技术，第一时间主动对网络中的资产设备进行细 致深入的安全配置检测、分析，并给用户提供专业、有效的安全配置 建议，大大提高您检查结果的准确性和合规性，节省您的时间成本， 让检查工作变得简单。