网络设备安全配置基线合规管控方案简析.docx

网络设备安全配置基线合规管控方案简析马铮王光全 夏俊杰中国联通网络技术研究院高级工程师中国联通网络技术研究院教授级高级工程师 中国联通网络技术研究院高级工程师摘要介绍了网络设备安全配置基线的定义、管控对象和分类，分析了安全配置基线保障工作的难点，探讨了安全配置基线核查系统的功能需求、体系架构和部署模式，初步形成了安全配置基线核查解 决方案，并从技术和管理层面提出了完善安全配置基线保障工作的相关建议。关键词安全配置基线核查自动化基线核查系统1引言2.2 管控对象配置基线要求涵盖范围包括通信网络中的所有网 络设备（如路由器、交换机、dns、aaa 等）、主机设备（如各种业务平台服务器、网管终端等）、安全设备（如 防火墙、vpn 服务器、入侵检测设备、入侵防御设备等） 以及运行在这些设备中的操作系统、应用程序、数据 库、中间件等软硬件实体。2.3 基线分类目前，业界一般将网络设备安全配置基线划分为 安全漏洞基线、安全配置基线、运行状态基线。（1）安全漏洞基线 安全漏洞问题一般是指网络单元的硬件、软件、协议的具体实现或执行策略上存在缺陷，攻击者可以通 过这些缺陷非授权访问网络资源、非法利用或破坏网 络单元操作，该类漏洞主要是由于操作系统、数据库、 应用系统等未能及时进行版本更新或补丁加固造成 的，属于设备自身的安全脆弱性，与承载的业务及应用 的关联度较小。（2）安全配置基线 安全配置问题主要存在于网络单元的账号口令、授权、计费策略、日志等方面，往往由于操作疏忽、规划 不严谨、执行不规范引起，该问题主要反映了网络单元 受人为因素影响造成的脆弱性，此类基线与网络单元 承载的业务及应用的关联度较大。随着我国互联网、移动互联网业务模式进一步丰富，设备数量急剧增加，网络规模成倍扩展，网元设备 参数和策略配置变得更加复杂，容易出现误配置或策 略漏洞，造成设备带病入网和运营，增大了非法入侵、 信息泄露的安全威胁，提高了后续运维的安全防护成 本，降低了网络可靠性。为了提高网络的整体安全防 护水平，减少安全隐患，需要进一步细化配置要求，规 范设备上线和日常运行的安全配置核查流程，提高核 查工作的自动化水平。2网络设备安全配置基线概述2.1 基线定义网络设备安全基线是对一个通信网元的最小安全 保证，即网元需要满足现网运维和业务运维安全需求 最基本、最重要的软硬件版本、参数设置，从而在不大 规模增加网络复杂性和维护投资的前提下，使通信网 络中所有系统、设备能够得到统一的、最低要求的安全 保障，减少一些初级的、可预知的安全隐患，便于维护 与管理，提高全网安全防护水平。需要强调的是，安全配置基线应该是企业各部门 需要统一遵循的规范要求，可以应用于设计建设、入网 检测、日常维护、合规性检查、退网等网络单元全生命 周期的各个阶段。89七七产七七品七与七七技七七术七七方七七案七七telecommunications network technologyno.10product and technology scheme（3）运行状态基线运行状态基线一般包括网络单元的端口状态、进 程状态、登陆账号状态、资源使用状态及重要数据的存 取状态等，通过对上述状态参数进行实时监控，并与事 先预设的阈值进行对比，可以掌握网络单元的运行态 势和趋势，及时发现异常风险，此类基线与网络单元承 载的业务及应用的关联度较大。44.1安全配置基线合规管控方案制定基线标准体系实现自动化核查的首要前提就是要制定统一的、可量化表示的基线评价标准体系，明确参数种类和取值范围，并在此基础上，形成参数查询操作规程，建立 待查参数和查询命令的对应关系，从而为形成自动化 采集脚本和评判程序奠定理论基础。但是，由于不同类型、不同版本的设备配置要求和 操作命令存在较大差异（甚至相同设备部署在不同位 置所对应的安全配置要求也不尽相同），所以要想确保 全网配置操作的安全合规性，就需要针对每款设备类 型和应用场景制定相应的基线标准和操作规程，确保 配置基线库的全面性。另外，随着新技术、新应用的不断引入，网元安全 配置基线体系也不是一成不变的，必须要随着技术发 展、网络升级、管理创新等外部条件的改变，同步进行 修订和优化，以满足网络安全运营的现实需要。4.2 研发自动化核查系统4.2.1 自动化核查系统基本功能需求（1）基本连接功能支持通过 telnet、ssh 等方式登陆被核查设备，系 统内部组网支持分布和级联部署。（2）数据采集功能 支持本地和远程方式的配置参数提取功能，通过事先预置的口令和访问模式连接核查目标，通过自动 化脚本收集相关设备安全配置信息，并确保系统能够 在具有各种安全防护措施的实际场景下收集到完整的 配置数据。（3）数据分析功能 自动化核查系统在采集到相关配置数据后，可以在本地进行分析也可以将配置参数上报上级分析平 台，由上级分析平台进行分析，相关分析功能如下：能够依据网络运维标准规范，判断目标主机上 的检查项目达标与否，并对不达标项进行高亮显示。支持对各种安全规范要求中的所有检查项目进 行等级区分，能够进行权重调整，能够依照百分制对目 标主机的达标情况进行打分，每个检查参数的分值可 以预先设置。能够进行历史数据查询、任务合并、汇总查看、3安全基线核查的难点分析3.1 涉及数量众多，配置基线难统一目前，在网络中部署的路由器、交换机、主机服务 器、专用设备数量巨大、版本多样，功能要求、性能指标 和操作指令存在差异，难以制定统一的配置参数要求 和核查规范，需要根据厂家类型、软硬件版本、部署位 置制定不同的安全基线要求，因此工作量十分巨大。3.2 技术更新和设备升级快，容易存在基线空白信息技术更新换代十分迅速，ipv6、移动互联网、 物联网等新技术层出不穷，需要网络不断引入新设备 或对现有设备进行升级改造，而且业务逻辑和控制策 略也要进行相应地修订优化。但是，相关安全配置基 线要求的制定往往难以快速跟进，在技术和管理层面 存在空白，容易导致新设备带病入网和运行。3.3 配置合规和运维灵活性难平衡由于运营商网络的最终目标是对公众提供方便快 捷的通信服务，而安全基线管理对设备参数和策略的 控制往往会在一定程度上影响网络的开放性和灵活 性，尤其国家发布的相关安全标准没有充分考虑到运 营商网络的业务特点，关闭了过多的互联互通、远程控 制功能，限制了运营商对外服务和管理维护的灵活性， 因此需要运营商根据自身需求制定安全配置基线要 求，做好平衡，在确保运维合规性前提下，兼顾业务提 供的灵活性。3.4 人工核查效率和一致性较低由于基线核查涉及相当多的硬件设备、软件系统， 每个设备和系统内又包含大量参数和策略配置检查 项，工作量巨大，且对人员的技术水平要求较高，目前 单纯依靠人工手动检查的方式，一方面耗费了运维人 员大量的精力，效率不高；另一方面由于不同人员对于 基线标准理解有差异，尺度把握不统一，容易造成核查 结果不一致，难以对全网合规性进行客观准确的评价。90产品与技术方案 电信网技术2014 年 10 月第 10 期对比分析、趋势分析等，能够进行多个检查任务或多个ip 风险对比。内置专家知识库，具备辅助分析的功能，能够对 网络安全合规性进行评估并给出完善建议。（4）任务管理功能 安全配置基线核查系统能够对核查任务进行配置管理，支持任务命名与分组设置；支持任务定时、周期 设置；支持核查模板的定制修改和导入导出；支持对核 查参数的权重赋值；支持访问口令和访问模式的设置； 支持核查扫描时间和周期的设置；支持核查结果上报 方式设置等。（5）图表输出功能 为了配合操作人员进行辅助决策，要求系统具备图表定制和输出功能：支持核查结果图表显示条目的自定义，除了包 括核查结果软硬件版本信息、配置信息、漏洞信息等基 本检查项，还要能够增加地理位置、机房信息、设备用 途等标示信息。 支 持 核 查 图 表 导 出 ，格 式 支 持 html、excel、 pdf、word 等主流格式，内容应包含整体概述、各设备 的检查列表等信息。支持图表远程上报。（6）系统管理功能该系统应能够提供用户、角色和组织机构管理权 限划分功能；实现对系统配置检查功能日志的记录与 查询；提供分布式组件管理，实现对分布式离线采集器 和单机代理的管理；提供对系统数据的维护配置管理， 支持系统自动、手动更新。4.2.2 自动化核查系统体系架构设计 根据功能和工作模式需求，核查系统应采用 j2ee的体系架构，主要采用 b/s 架构，控制和浏览终端均无 需安装客户端软件。系统的不同功能模块可以灵活地 以服务的形式部署在不同主机上。软件采用的系统架 构具有与平台无关性，便于合理分配现有资源和进行 系统性能调优。系统架构可分为展现层、业务层、存储层和接口层（见图 1）：展现层：主要是提供图表展示和查询、告警列表 展现、任务配置、系统管理、数据库管理等操作的用户 交互界面。业务层：是该系统的核心模块，主要实现检查 参数增删改、自动化脚本导入导出和定制编写、资产 信息录入和修改、采集模块配置和控制、告警级别设 置 、图 表 定 制 设 计 、系 统 运 行 参 数 配 置 、用 户 权 限 设图 1 安全核查系统体系架构91 telecommunications network technologyno.10product and technology scheme置等功能。存储层：保存各种核查任务模板、采集和分析 结 果、参 数 门 限 值、辅 助 决 策 知 识 库、用 户 账 号 信 息 等数据。接口层：为配置采集、告警上报、数据库导入导 出以及第三方功能调用提供内外部交互接口。4.3 部署自动化核查系统该系统应由探针模块和分析模块组成，探针模块 和分析模块即可合设也可进行分布式部署。合设时该 系统为便携式扫描仪表，可对某一网段内设备进行本 地核查；分布部署时探针模块扫描全网重点网元的参 数配置和运行状态，并将扫描结果上报分析模块进行 综合分析，有效评估全网自身的健壮性和合规性。分布部署时还可以细分为两级模式和 3 级模式。 如图 2 所示，两级模式是全网只有一个中心分析平台， 负责控制全网探针模块进行数据采集，并对上报数据 进行集中分析。该方式适用于网络规模较小或者在总部机关有专业技术维护团队的情况下。如图 3 所示，分布式 3 级模式是在中心分析平台和 探针模块中增加了一级分中心分析平台，一般情况下 中心分析平台不直接管控探针模块，而是由分中心分 析平台向探针模块下发核查任务，并收集探针模块扫 描结果进行分析，将分析结果上报中心分析平台，中心 分析平台负责对分中心分析平台上报的数据进行分 析，得出全网安全合规评价。该方式适用于分级管理 的网络，例如目前运营商的集团、省分、地市的多级运 维体系，中心分析凭条部署在集团层面，分中心分析平 台部署在省分层面，探针模块部署在地市层面，逐级控 制，逐级上报。5安全配置基线管理工作优化建议5.1 推动建立合规化大数据分析平台如前文所述，通过部署自动化核查系统，将能够实 现对全网重点设备参数配置和运行状态的自动化监测图 2 分布式两级部署92产品与技术方案 电信网技术2014 年 10 月第 10 期图 3 分布式 3 级部署采集，在此基础上，可以借鉴现有综合网管的工作模式，进一步推动建立合规化大数据集中分析平台，将各 地核查系统的扫描分析结果集中管理，对核查数据进 行深度挖掘和综合分析，从而掌握全网安全态势，并对 热点事件进行重点跟踪监测，为安全评估和故障排查 提供决策依据。5.2 增强安全基线考核力度安全检查和考核是推动各级单位积极落实安全管 理的重要手段，只有将安全合规率纳入对各级单位的 考核范畴才能引起各层面的重视，从而在人力、物力方 面加大投入。因此，运营商集团层面应基于安全基线 标准，形成统一的评测打分办法，配合使用安全基线自 动化工具，定期组织第三方核查和企业自查，并跟踪整 改效果、将考核和整改结果纳入当年考核成绩，保证安 全基线考核工作的常态化。5.3 强化运维人员安全意识要想真正有效确保通信网络安全配置基线的落实，除了强化规范制度，优化技术手段之外，相关人员的安全意识也是非常重要的决定因素，诸如弱口令、远 程控制端口误开放、补丁未及时更新这样的高危漏洞， 往往并不是由于技术复杂性导致的，而是由于相关人 员麻痹大意、掉以轻心、监管不力造成的。因此，需要 进一步加强安全合规教育力度，定期组织考试和培训， 不仅让安全专业人员，而且让规划、设计、建设、运维各 环节、各专业员工包括管理层都高度重视网络的合规 化运营。6结束语综上所述，安全配置基线是保证全网安全的第一道防线，是整个安全防护工作的基础，如果网络设备在上线初始化时就存在配置漏洞，那后续各种安全防护 策略就成了无本之木、空中楼阁，整个服务运营的可靠 性也就无从谈起。但是，安全配置基线涉及设备范围广泛，参数体系93 telecommunications network technology no.10product and technology scheme分组传送网络建设为 4g 移动时代打造坚实基础代谢寅烽火通信科技股份有限公司1引言质量及数据通信速度，4g 系统能够提供 100mbit/s 的用户下载速度，比拨号上网快 50 倍，上传速度也能达 到 50mbit/s，并能够满足几乎所有用户对于无线服务 的要求。要满足 4g lte 网络如此巨大的数据流量传送需 求，必须首先对作为承载其数据流量的传送网设备容 量和速率进行升级改造。武汉联通分组传送网络的接 入层使用烽火通信 citrans 640 设备，在 3g 时代，该 设 备 使 用 ge 速 率 搭 建 环 路 ，用 作 3g 基 站 的 业 务 接 入。为了应对 4g lte 试点测试，烽火通信对该设备进 行了 ge 向 10ge 速率的平滑升级，在无业务损伤、不 进行设备替换、有效节约武汉联通建网成本的基础上，今时今日，3g 已经走向稳定成熟，4g 也渐渐走入人们的视野。为了应对 4g lte 所提出的高速度、大带 宽、优质用户体验的要求，作为中国联通首批 lte 试点 网络，武汉联通积极备战，联合烽火通信对其承建的分 组传送网络进行了升级改造建设，为 4g 移动时代的到 来打下了坚实的基础。2速度提升、带宽增加是 4g 对分组传送网络的基本要求4g 是第四代移动通信及其技术的简称。与传统的通信技术相比，4g 通信技术最明显的优势在于通话复杂，评价标准动态变化，核查工作量大，对运维人员技术水平要求较高，传统的人工检查方式已无法适应 现网运维要求，需要在日常安全作业中推动安全基线 核查工作的自动化，结合符合现网需求的基线核查标 准体系和制度化的考核机制，进一步提高安全运维效 率和规范性，充分调动相关人员积极性，保障网络的基础安全。参考文献1 杨 庆 明. 信 息 安 全 基 线 管 理 在 企 业 信 息 化 中 的 应 用.2013,102 桂永宏. 业务系统安全基线的研究及应用. 2011,10the brief analysis of solutions