业务系统安全基线及其工具化解决方案
操作系统安全基线配置
Win2003 & 2008操作系统平安配置要求2.1. 口令平安分配:应为不同用户分配不同的,不允许不同用户间共享同一。
锁定:应删除或锁定过期、无用。
用户访问权限指派:应只允许指定授权对主机进展远程访问。
权限最小化:应根据实际需要为各个分配最小权限。
默认管理:应对Administrator重命名,并禁用Guest〔来宾〕。
口令长度及复杂度:应要求操作系统口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。
口令最长使用期限:应设置口令的最长使用期限小于90天。
口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次〔含 5 次〕已使用过的口令。
口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该30分钟。
2.2. 效劳及授权平安效劳开启最小化:应关闭不必要的效劳。
SNMP效劳承受团体名称设置:应设置SNMP承受团体名称不为public或弱字符串。
系统时间同步:应确保系统时间与NTP效劳器同步。
DNS效劳指向:应配置系统DNS指向企业部DNS效劳器。
2.3. 补丁平安系统版本:应确保操作系统版本更新至最新。
补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。
2.4. 日志审计日志审核策略设置:应合理配置系统日志审核策略。
日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。
日志存储路径:应更改日志默认存放路径。
日志定期备份:应定期对系统日志进展备份。
2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。
2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。
2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。
2.8. 共享文件夹删除本地默认共享:应关闭 Windows本地默认共享。
共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的共享此文件夹。
2.9. 登录通信平安制止远程访问注册表:应制止远程访问注册表路径和子路径。
信息系统安全基线资料讲解
1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表1。
1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。
1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。
表3 AIX系统日志与审计基线技术要求1.1.4.服务优化通过优化操作系统资源,提高系统服务安全性,详见表4。
表4 AIX系统服务优化基线技术要求1.1.5.访问控制通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。
表5 AIX系统访问控制基线技术要求1.2.Windows系统安全基线1.2.1.1.2.2.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表6。
表6 Windows系统用户账号与口令基线技术要求1.2.3.日志与审计通过对操作系统日志进行安全控制与管理,提高日志的安全性与有效性,详见表7。
1.2.4.服务优化通过优化系统资源,提高系统服务安全性,详见表8。
表8 Windows系统服务优化基线技术要求1.2.5.访问控制通过对系统配置参数调整,提高系统安全性,详见表9。
表9 Windows系统访问控制基线技术要求1.2.6.补丁管理通过进行定期更新,降低常见的漏洞被利用,详见表10。
表10 Windows系统补丁管理基线技术要求1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具,提高系统运维管理的安全性,详见表11。
1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表12。
表12 Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理,提高日志的安全性与有效性,详见表13。
1.3.4.服务优化通过优化Linux系统资源,提高系统服务安全性,详见表14。
安全基线运维管理
培训对象
全体员工,特别是运维人员和安全管理人员 。
案例分析与实战演练
结合企业实际场景,进行案例分析和实战演 练,提高员工实际操作能力。
宣传渠道拓展及效果评估
宣传渠道
企业内部网站、公告栏、电子邮件、社交媒体等多 种渠道。
宣传内容
安全基线的重要性、安全操作规范、最新安全动态 等。
效果评估
通过问卷调查、在线测试等方式,评估员工对安全 基线的认知程度和掌握情况。
建立运维流程监控机制,及时发现并改进流程中存在的问题,持续 优化运维流程。
运维工具选型及应用
工具调研
对市场上主流的运维工具进行调研和评估,选择适合 自身业务需求的工具。
工具应用
根据选定的工具,制定详细的实施方案和操作指南, 确保工具的正确使用和最大化发挥效益。
工具优化与升级
持续关注工具的发展动态和技术创新,及时进行工具 的优化和升级,提高运维工作效率和质量。
提高员工安全意识及技能水平
安全意识培养
定期开展安全意识教育,强调安全的重要性,提高员工对安全的 重视程度。
技能水平提升
组织专业的安全培训,提高员工的安全技能和防范能力。
激励与考核机制
建立安全绩效考核机制,对表现优秀的员工进行奖励,对违反安 全规定的员工进行惩罚。
THANKS FOR WATCHING
更新周期与流程
更新周期
根据业务发展、技术变化以及安全威 胁的变化,定期对安全基线进行评估 和更新,通常每年至少更新一次。
更新流程
由安全团队发起更新需求,进行调研 和分析,制定更新草案,提交给专家 评审,经过审批后进行发布和实施。
审批及发布机制
审批机制
设立专门的审批机构或委员会,对安全基线的制定和更新进行审批,确保基线的合理性和有效性。
日常网络安全运维服务方案精选全文完整版
可编辑修改精选全文完整版日常网络安全运维服务实施方案目录(1)资产梳理服务 (1)(2)安全全面排查及整改服务 (2)(3)基础设施巡检服务 (4)(4)日常性技术支持和维护 (5)(5)安全整改工作 (7)(6)其他相关配合服务 (8)(7)安全扫描服务 (8)(8)安全通告服务 (9)(9)应急响应服务 (10)(10)安全咨询服务 (11)(11)业务系统安全评估服务 (12)(12)业务系统安全评估结果修复服务 (18)(13)业务系统安全基线加固服务 (19)(1)资产梳理服务对采购人全网(业主指定范围)信息化资产进行梳理和排查,根据梳理排查情况及采购人提供的相关信息,编制信息资产表。
包括但不限于网络设备、安全设备、服务器、web应用、数据库等。
明确需要保护的信息资产、保护优先级和相应的管理人员、责任人。
设备资产表至少包括名称、型号、数量、IP地址、位置等信息。
有调整和变动时立即更新。
梳理采购人当前(业主指定范围)已有的安全监测和防御产品,对其实现的功能、效果、防御范围、安全日志、特征库更新情况等进行综合分析。
依据梳理结果出具调整、处置建议,经采购人授权后进行调整和处置。
1、服务流程供应商签订合同后1周内完成第一次资产梳理服务,并完成《初步信息资产表》的编制;《初步信息资产表》编制完成后,协同采购人完成对信息资产的保护范围、保护优先级认定,同时落实相应的管理人员、责任人;输出《信息资产表》;对《信息资产表》进行维护,每月完成一次信息资产表的核对工作;有调整和变动时立即更新。
2、服务方式:现场服务。
3、服务周期:每月1次信息资产表的核对工作。
4、交付文档:《初步信息资产表》、《信息资产表》、《信息资产表更新维护记录表》。
(2)安全全面排查及整改服务依据资产梳理服务结果开展安全全面排查工作,通过安全排查手段对目标系统、目标网络进行全面排查,结合标准整改和加固方法出具安全问题整改建议报告,对整改建议报告中采购人认可的整改建议逐一进行协助整改或直接整改,最终出具安全整改报告。
业务系统安全加固实施计划方案
业务系统安全加固实施方案目录1加固目的 (4)2加固围 (4)3加固前准备工作 (4)3.1加固前检查 (4)3.2加固前备份 (5)3.3影响分析 (6)3.4加固操作流程 (7)4加固实施 (7)4.1账号管理、认证授权 (7)4.1.1 账号 (7)4.1.2 口令 (11)4.1.3 授权 (13)4.2日志审计 (17)4.2.1 登录日志(必选) (17)4.2.2操作审计 (18)4.2.3本地记录系统日志 (18)4.2.4远程记录日志 (19)4.2.5SU操作日志 (20)4.2.6应用日志 (20)4.3IP协议安全 (21)4.3.1 使用SSH协议登录 (21)4.3.2关闭不需要的IP服务端口 (22)4.3.3鉴权远程登录的主机IP (23)4.3.4禁止ICMP重定向 (24)4.4屏幕保护 (25)4.4.1 超时退出登录界面 (25)4.4.2 定时锁屏 (26)4.5文件系统及访问权限 (27)4.5.1 重要文件权限加固 (27)4.5.2 限制FTP等应用的访问目录 (27)4.6补丁管理 (28)4.6.1 软件包裁减 (28)4.6.2 补丁包 (29)4.7服务 (29)4.7.1 关闭不需要的服务 (29)Email Server (31)4.7.2 NTP服务的安全配置 (31)4.7.3 NFS服务的安全配置 (32)4.8核调整 (33)4.8.1 防止堆栈缓冲溢出 (33)4.9启动项 (34)4.9.1 启动项的安全配置 (34)5加固后检查验证 (35)5.1操作系统健康检查 (35)5.2业务检查 (36)6失败处理 (36)6.1失败定义 (36)6.2回退操作 (36)1加固目的随着电信业务不断发展,系统信息安全方面的投入的不断增多,在信息系统各个层面都采取一些安全防护策略。
而由于网络系统本身的复杂性,各种应用系统繁多,设备采用通用操作系统、数据库和IP协议,设备自身存在的安全问题日益突出。
信息系统安全基线
1.操作系统安全基线技术要求1.1.AIX系统安全基线1.1.1.系统管理通过配置操作系统运维管理安全策略,提高系统运维管理安全性,详见表1。
表1 AIX系统管理基线技术要求1.1.2.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表2。
表2 AIX系统用户账户与口令基线技术要求1.1.3.日志与审计通过对操作系统的日志进行安全控制与管理,提高日志的安全性,详见表3。
1.1.4.服务优化通过优化操作系统资源,提高系统服务安全性,详见表4。
表4 AIX系统服务优化基线技术要求1.1.5.访问控制通过对操作系统安全权限参数进行调整,提高系统访问安全性,详见表5。
表5 AIX系统访问控制基线技术要求1.2.Windows系统安全基线1.2.1.用户账号与口令通过配置操作系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表6。
表6 Windows系统用户账号与口令基线技术要求1.2.2.日志与审计通过对操作系统日志进行安全控制与管理,提高日志的安全性与有效性,详见表7。
表7 Windows系统日志与审计基线技术要求1.2.3.服务优化通过优化系统资源,提高系统服务安全性,详见表8。
表8 Windows系统服务优化基线技术要求1.2.4.访问控制通过对系统配置参数调整,提高系统安全性,详见表9。
表9 Windows系统访问控制基线技术要求1.2.5.补丁管理通过进行定期更新,降低常见的漏洞被利用,详见表10。
1.3.Linux系统安全基线1.3.1.系统管理通过配置系统安全管理工具,提高系统运维管理的安全性,详见表11。
表11 Linux系统管理基线技术要求1.3.2.用户账号与口令通过配置Linux系统用户账号与口令安全策略,提高系统账号与口令安全性,详见表12。
表12 Linux系统用户账号与口令基线技术要求1.3.3.日志与审计通过对Linux系统的日志进行安全控制与管理,提高日志的安全性与有效性,详见表13。
Windows系统安全配置基线
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
基线符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
基线符合性判定依据
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer键,值为0。
备注
6.2
防病毒软件保护
安全基线项目名称
操作系统防病毒保护安全基线要求项
安全基线项说明
对Windows2003服务器主机应当安装部署服务器专版杀毒软件,并打开自动升级病毒库选项。
基线符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8M”,设置当达到最大的日志尺寸时,“按需要改写事件”。
备注
第6章
6.1
关闭默认共享
安全基线项目名称
操作系统默认共享安全基线要求项
安全基线项说明
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
检测操作步骤
进入“开始->运行->Regedit”,进入注册表编辑器,查看HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer;
备注
日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项
如何更好地发挥通信网络安全基线的作用
() 份 鉴 别 2身
部 分 系 统 存 在 弱 口令 或 用 户 账 号 与 口令 相 同 ,部 分 维 护 终端 Gu s 户未 禁 用 ,部 分 系 统 et 用
存 在 不 同 程 度 的 安 全 隐 患 ,容 易 遭 受 恶 意 攻 击 而 导 致 网 络 单 元 及 其 承 载 的 业 务 与 应 用 受 到 不 同 程 度 的 影 响 。 这 些 问题 主 要 是 指 外 部 力 量 通 过 各 类 技 术 手 段 ,利 用 网 络 自 身 的 漏
洞 、 隐 患 或 管 理 缺 失 , 对 网 络 实 施 秘 密 探 测 、非 法 利 用 和 恶 意 破 坏 等 攻 击 行 为 ,一 般
使 用 明文 传 输 用 户 名 和 密 码 ,部 分 设 备 、系 统 没 有 针 对 用 户 登 录 的 安 全 措 施 ,使 网 络 单 元 较 容 易 遭 到攻 击 并 导 致 网 络重 要 信 息 数 据外 泄 。 () 界 防 护 3边 部 分 设 备 尤 其 是 外 网 防 火 墙 上 的 过
元的账 号 口令 、授权 、日志等方 面 ,
由 人 为 操 作 疏 忽 造 成 的 ,按 照 配 置 的 对 象 可 以 分 为 网 络 设 备 配 置 、安 全 设
备 配 置 、操 作 系 统 配 置 、应 用 系 统 配
网 络 安 全 基 线 只 是 对 于 网 络 单 元 的 最 基 本 、 最 通 用 的 安 全 要 求 。 每 个 专 业 必 须 将 安 全 基 线 与 本 专 业 的 特 点 及 安 全 要 求 相 结 合 , 才 能 形 成 适 合 本 专 业 需 求 的 安 全 要 求 。 为 此 ,运 营 商 必 须 以通 信 网 络 安 全基
Windows操作系统安全防护基线配置要求
可能会使日志量猛增。
编号:OS-Windows-日志-03
要求内容:设置日志容量和覆盖规则,保证日志存储
操作指南:
开始-运行-eventvwr
右键选择日志,属性,根据实际需求设置;
日志文件大小:可根据需要制定。
超过上限时的处理方式(建议日志记录天数不小于90天)
检测方法:
开始-运行-eventvwr,右键选择日志,属性,查看日志上限及超过上线时的处理方式。
查看是否“从本地登陆此计算机”设置为“指定授权用户”
查看是否“从网络访问此计算机”设置为“指定授权用户”
判定条件:
“从本地登陆此计算机”设置为“指定授权用户”
“从网络访问此计算机”设置为“指定授权用户”
三、
编号:OS-Windows-口令-01
要求内容:密码长度最少8位,密码复杂度至少包含以下四种类别的字符中的三种:
英语大写字母A, B, C, … Z
英语小写字母a, b, c, … z
阿拉伯数字0, 1, 2, … 9
非字母数字字符,如标点符号,@, #, $, %, &, *等
操作指南:
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:“密码必须符合复杂性要求”选择“已启动”。
检测方法:
检测方法:
进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:查看“关闭系统”设置为“只指派给Administrators组”;查看是否“从远端系统强制关机”设置为“只指派给Administrators组”。
判定条件:
“关闭系统”设置为“只指派给Administrators组”;
安全(基线)配置核查系统技术方案-电力版
电力安全配置核查服务解决方案2013年月目录一. 背景 (3)二. 需求分析 (3)三. 安全基线研究 (4)四. 安全基线的建立和应用 (7)五. 项目概述 (8)六. 解决方案建议 (9)6.1组网部署 (10)6.2产品特色功能 (11)七. 支持型安全服务 (13)7.1安全预警 (14)7.2安全加固 (14)7.3安全职守 (14)7.4安全培训 (14)八. 方案总结和展望 (15)一. 背景近年来,从中央到地方各级政府的日常政务、以及各行业企业的业务开展对IT系统依赖度的不断增强,信息系统运维人员的安全意识和安全技能也在逐步提高。
最直接的体现为——传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。
从典型的信息安全建设过程来看,是由业务需求导出的安全需求在驱动着安全建设的全过程。
而如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务,如何建立一套行之有效的风险控制与管理手段,是每一个信息化主管所面临的共同挑战。
随着电力行业科技创新能力的日益提高,业务应用的日趋丰富,电力行业业务的开拓越来越依托于IT技术的进步;电力的发展对信息系统的依赖程度不断增强,对电力信息系统安全建设模式提出了更高更多的要求,信息安全建设工作已经是电力信息化建设中的重要内容,安全基线建设就是电力信息安全建设中一项新的举措和尝试。
在电力行业里,各类通信和IT设备采用通用操作系统、数据库,及各类设备间越来越多的使用IP协议进行通信,其网络安全问题更为凸出。
为了维持电力的通信网、业务系统和支撑系统设备安全,必须从入网测试、工程验收和运行维护等,设备全生命周期各个阶段加强和落实安全要求。
需要有一种方式进行风险的控制和管理。
本技术方案将以安全基线建设为例,系统介绍安全基线建设在电力信息安全建设工作中的设计与应用二. 需求分析传统的安全建设模式逐渐向新兴的安全建设模式转变,传统的安全建设模式主要是以安全事件和新兴的安全技术为主要驱动,在安全建设的过程中处于被动的状态。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
业务系统安全基线及其工具化解决方案业务系统安全基线及其工具化解决方案业务系统安全基线及其工具化解决方案中联绿盟信息技术(北京)有限公司1 安全基线的理论基础FISMA的全称是The Federal Information Security Management Act(联邦信息安全管理法案),是由美国国家标准和技术研究所(NIST)牵头制定。
FISMA把责任分配到各种各样的机构上来确保联邦政府的信息系统和数据安全。
FISMA的推出使得一直忽视计算机安全的联邦政府开始关注计算机安全。
FISMA提出了一个包含八个步骤的信息安全生命周期模型,这个模型的执行过程涉及面非常广泛且全面,但实施、落地的难度也非常大。
如图1所示,FISMA规范落地的过程好像从高空到地面,真正实施起来非常复杂。
图1 FISMA法案的落地为了实现FISMA法案的落地,由NIST牵头针对其中的技术安全问题提出了一套自动化的计划称为ISAP,information security automation program,来促进FISMA的执行,ISAP出来后延伸出SCAP框架,security content automation protocol,,SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成,检查的标准,一致性标准等,。
这6个支撑标准需要检查的内容、检查的方式由NVD 和NCP来提供,由此SCAP框架就实现了标准化和自动化安全检1252010中国通信业百个成功解决方案评选获奖方案查,及形成了一套针对系统的安全检查基线。
SCAP及安全基线的最重要成果和成功案例当属FDCC,Federal Desktop Core Configuration,联邦桌面的核心配置,项目,FDCC是在美国政府支持下建立的桌面系统,Windows XP、Windows vista等,相关安全基线要求规范,并通过自动化的工具进行检查。
FDCC基于NVD、NCP等内容进行基线安全核查。
NVD,National Vulnerability Database,国家漏洞数据库,为自动化漏洞管理、安全评估和合规性检查提供数据支撑,包含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。
NVD数据库针对数据库中的漏洞等提出了一整套核查名单,Checklist,,划归到NCP,National Checklist Program,计划中。
简言之FDCC体现了两个方面的特性,, 标准化,在NVD、NCP的基础上,构建了一套针对桌面系统的安全基线,检查项,,这些检查项由安全漏洞、安全配置等有关检查内容构成,为标准化的技术安全操作提供了框架。
, 自动化,针对桌面系统的特性,采用标准化的检查内容和检查方法,通过自动化的工具来执行,为自动化的技术安全操作提供支持。
NVD和NCP的逻辑关系如图2所示。
图2 NVD和NCP逻辑关系综上,安全基线的重要理论基础之一就是美国的NVD以及SCAP体系。
在运营商行业中业务系统可以很容易地找到安全基线的应用价值,比如某运营商的智能网系统在各省级公司中的业务应用环境、网络连接情况、内部组网结构、内部系统构成等都存在很大的相似性,因此这就为构建一套运营商自身业务系统的“SCAP”计划提供了基础。
2 安全基线的定义,1,安全基线的概念安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。
信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是126业务系统安全基线及其工具化解决方案这个平衡的合理的分界线。
不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。
,2,安全基线的框架在充分考虑行业的现状和行业最佳实践,并参考了运营商下发的各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果等基础上,构建出基于业务系统的基线安全模型如图3所示。
图3 基线安全模型基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层架构,第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安全防护的要求,是一个比较宏观的要求。
第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块,这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。
第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,如将操作系统可分解为Windows、Solaris等系统模块,网络设备分解为华为路由器、Cisco 路由器等系统模块……这些模块中又具体地把第二层的安全防护要求细化到可执行和实现的要求,称为Windows安全基线、华为路由器安全基线等。
下面以运营商的WAP系统为例对模型的应用进行说明。
1272010中国通信业百个成功解决方案评选获奖方案首先WAP系统要对互联网用户提供服务,存在互联网的接口,那么就会受到互联网中各种蠕虫的攻击威胁,在第一层中就定义需要防范蠕虫攻击的要求。
蠕虫攻击的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在可能的影响,因此在这些不同的模块中需要定义相对应的防范要求,而针对这些防范要求,如何来实现呢,这就需要定义全面、有效的第三层模块要求了。
针对不同类型蠕虫病毒的威胁,在Windows、Solaris等系统的具体防范要求是不一样的,第三层中就是针对各种安全威胁针对不同的模块定义不同的防护要求,这些不同模块的防护要求就统一称为WAP业务系统的安全基线。
针对WAP业务系统安全基线的检查,就可以转化为针对操作系统、网络设备等的脆弱性检查上面。
,3,安全基线的内容根据业界通行的一些安全风险评估方法及运营商日常安全维护经验,我们将安全基线的内容分为三个方面,1,系统存在的安全漏洞。
2,系统配置的脆弱性。
3,系统状态的检查。
业务系统的安全基线由以上三方面必须满足的最小要求组成。
具体组成如图4所示。
图4 安全基线的组成具体来说,安全基线的三个组成部分分别为,漏洞信息,漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。
由于漏洞信息由相应的国际标准如CVE,Common Vulnerabilities &Exposures ,公共漏洞和暴露,列出了各种已知的安全漏洞,因此系统的初始漏洞安全基线可以采用通用标准。
安全配置,通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。
在安全配置基线方面,移动集团下发了操作系统安全配置规范、路由器安全配置规范、数据库安全配置规范等一系列规范,因为系统初始安全配置基线可以采用集体下发的标准。
系统重要状态,包含系统端口状态、进程、账号以及重要文件变化的监控。
这些内容反映了系统当前所处环境的安全状况,有助于我们了解业务系统运行的动态情况。
由于系统状态基线随着业务应用不同而不同,没有标准模板可借鉴。
我们通过对系统的状态信息进行一个快照,128业务系统安全基线及其工具化解决方案对非标准的进程端口、关键文件MD5校验值等信息确认后作为初始的系统状态安全基线。
业务系统的安全基线建立起来后,可以形成针对不同系统的详细漏洞要求和检查项,Checklist,,为标准化和自动化的技术安全操作提供可操作和可执行的标准。
3 安全基线检查的工具化实现思路3.1 工具化安全检查的方式3.1.1 远程检查远程检查通常描述为漏洞扫描技术,主要是用来评估信息系统的安全性能,是信息安全防御中的一项重要技术,其原理是采用不提供授权的情况下模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,目标可以是终端设备、主机、网络设备甚至数据库等应用系统,见图5。
系统管理员可以根据扫描结果提供安全性分析报告,为提高信息安全整体水平产生重要依据。
图5 远程检查示意图在远程评估技术方面,绿盟科技颇有建树。
其中,绿盟科技的漏洞扫描产品曾在移动集团组织的中外漏洞产品评测中名列第一,并获得了英国西海岸实验室的checkmark认证。
基于多年的安全服务实践经验,同时结合用户对安全评估产品的实际应用需求,绿盟科技自主研发了远程安全评估系统,它采用高效、智能的漏洞识别技术,第一时间主动对网络中的资产进行细致深入的漏洞检测、分析,并给用户提供专业、有效的漏洞防护建议,让攻击者无机可乘,是您身边专业的“漏洞管理专家”。
极光具有以下特点,,1,依托专业的NSFOCUS安全小组,综合运用NSIP,NSFOCUS Intelligent Profile,等多种领先技术,自动、高效、及时准确地发现网络资产存在的安全漏洞, ,2,对发现的网络资产的安全漏洞进行详细分析,并采用权威的风险评估模型将风险量化,给出专业的解决方案,,3,提供Open VM,Open Vulnerability Management开放漏洞管理,工作流程平台,将先进的漏洞管理理念贯穿整个产品实现过程中,1292010中国通信业百个成功解决方案评选获奖方案,4,通过国际权威漏洞管理机构CVE 最高级别认证——CVE compatible,,5,亚太地区唯一获得英国西海岸实验室安全认证的漏洞扫描产品,,6,极光远程安全评估系统在业界的广泛认可,广泛应用于测评机构、运营商、金融、政企等行业,在中国移动、金财工程等多个入围测评中排名第一。
3.1.2 本地检查本地检查是基于目标系统的管理员权限,通过Telnet/SSH/SNMP、远程命令获取等方式获取目标系统有关安全配置和状态信息,然后根据这些信息在检查工具本地与预先制定好的检查要求进行比较,分析符合情况,最后根据分析情况汇总出合规性检查结果。
见图6。
配置核查是本地检查最常见的一项内容。
配置检查工具主要是针对Windows、Solaris等操作系统,华为、Cisco、Juniper等路由器和Oracle 数据库进行安全检查。
检查项主要包括,账号、口令、授权、日志、IP协议等有关的安全特性。
图6 本地检查示意图绿盟科技配合移动集团在2008年11月开发了中国移动安全配置核查工具。
中国移动针对业务系统的安全特性,制订了针对性的《中国移动设备通用安全功能和配置规范》系列规范,以下简称《配置规范》,,规范的出台让运维人员有了检查默认风险的标准,是整个安全基线的重要组成部分。