安全基线与配置核查技术与方法.ppt

安全基线与配置核查技术与方法 公安部第一研究所2014年5月 2 目录 什么是安全基线 安全基线检查的技术方法 如何建立一套基线管理体系 举例 企业面临的困惑与运维挑战 最早的安全基线安全基线最早可以追溯到上个实际的六十年代 美国军服保密制度 九十年代初期等级保护立法成为国家法律 1991年欧共体发布了信息安全评估标准 ITSEC 1999年正式列为国际标准系列ITSEC主要提出了资产的CIA三性 机密性 完整性 可用性的安全属性 对国际信息安全研发产生了重要影响 并一直沿用至今 国内的安全基线发展1994年 我国首次颁布 中华人民共和国计算机信息系统安全保护条例 1999年推出 计算机信息系统安全保护等级划分准则 2007年 信息安全等级保护管理办法 GB T22239 2008 基本要求 和GB T28448 2012 测评要求 2010年 公安部发布 关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知 觉得在全国部署开展信息安全等保测评工作 安全基线的发展历程 3 国内外信息安全评估标准演化视图 4 5 目录 什么是安全基线 安全基线检查的技术方法 如何建立一套基线管理体系 举例 企业面临的困惑与运维挑战 安全运维的困境一 漏洞 配置 端口 进程 文件 账号口令 这些都怎么查啊 这么多的设备 难道要我一台一台手工来查吗 何处开始 有什么工具能帮助我吗 我又不是安全专家 我怎么知道哪些是安全的 安全运维的困境二 老大 这是上个月的报告 系统有X个高危漏洞 Y个配置问题 当前的系统到底是安全还是不安全呢 最近一次的安全整改到底有没有效果呢 安全状况同比和环比有什么变化呢 以上问题我们通过什么方式验证呢 问题分析 我们忽略了什么 数据库 中间件是支持业务的重要组件 是不是都按照默认配置 使用出厂设置 这些配置是否适用于我们企业的安全要求 如何发现潜在的风险呢 为了保证业务安全 信息系统及数据安全 我们部署了很多安全设备 防火墙 入侵检测 网络设备 审计系统 安全平台等等 那么这些安全设备的自身安全谁来管理呢 端口 进程 帐号安全 目前我们的关注点是保证业务安全 数据安全 但所有系统平台的支撑最终还是落实到设备上 设备安全了 业务支撑才安全 目前我们的关注点是保证业务安全 数据安全 但所有系统平台的支撑最终还是落实到设备上 设备安全了 业务支撑才安全 谁来关注它们的安全 安全基线能给烟草用户带来什么 能够及时发现当前业务应用系统所面临的安全问题并可以提供有效的解决办法 可以成为用户对业务系统进行等级合规的有力检查和合规工具 出具符合国家局要求的合规检查报告 依据等保和 三全 的要求进行自动化检查 71个指标项的检查要求 35个技术指标 36个管理类 共计380项 安全基线与配置核查 13 目录 什么是安全基线 安全基线检查的技术方法 如何建立一套基线管理体系 举例 企业面临的困惑与运维挑战 目标业务系统 支持业务所需要的支撑系统及应用软件 例如 Tomcat weblogic IIS Apache Oracle Mysql 操作系统及一些设备 例如 WindowsLinux 交换路由设备 防火墙设备 业务层 支撑支撑层 系统实现层 什么是安全基线工具 安全基线的根本目的是保障业务系统的安全 使业务系统的风险维持在可控范围内 为了避免人为疏忽或错误 或使用默认的安全配置 给业务系统安全造成风险 而制定安全检查标准 并且采取必要的安全检查措施 使业务系统达到相对的安全指标要求 安全基线检查工具是采用技术手段 自动完成安全配置检查的产品 并提供详尽的解决方案 安全基线与漏洞的区别 同属于扫描类产品 同属主动安全范畴 主动安全的核心是弱点管理 弱点有两类 漏洞 系统自身固有的安全问题 软硬件BUG配置缺陷 也叫暴露 一般是配置方面的错误 并会被攻击者利用 相同点 来源不同漏洞 系统自身固有的安全问题 软硬件BUG 是供应商的技术问题 用户是无法控制的 与生俱来的配置缺陷 配置是客户自身的管理问题 配置不当 主要包括了账号 口令 授权 日志 IP通信等方面内容检查方式不同漏洞 黑盒扫描配置缺陷 白盒扫描 不同点 安全基线的分类 16 基线体系BaseLine 组织机构 其它 人与技术 标准策略 对比 调研 优化 筛选 对比 筛选 调研 对比各地区 行业内及安全厂商多年实践的基线规范 筛选出各自基线规范中的不同点 结合实际情况 使用反馈 对现有资产的梳理 自定义 优化 结合业务特点做局部调整 完善 安全基线规范梳理的方法论 ITIL ISO27001 三全标准 建立安全基线是系统安全运维第一步建立信息系统的安全基线 包括系统安全配置以及重要信息 如 服务 进程 端口 帐号等 安全基线建立的原则是 符合设备特点生产厂商 上线年限 性能上限 硬件老化适应系统特性部署方式和位置 分布能力 存储能力满足业务需求主要业务需求 建立合理的安全基线体系 18 建立安全基线的管理体系的必要性 19 首先根据组织状况 建立一套在当前时期或一段时期内的 理想化的综合基线指标 即 基线体系 这个 基线体系 可以同时包含政策合规性的需求 自身的安全建设发展需求 特殊时期的安全保障需求等 然后通过一些手段 比如自动化的评估工具 对组织现有的安全指标进行分析 通过对比 理想化的综合基线指标 形成了一套差距分析结论 组织自身针对这个差距进行适时监测 确认和跟踪即可 对任何在此水平以下的情况进行预警或通报 提出 补足差距 的建议方案 而这个 理想化的综合基线指标 就是该组织的最优安全状态 追求规避全部风险是不现实的 信息系统在达到这个指标水平之后 部分风险自然会被转移或降低 如此便可以实现持续定义升高这个综合基线指标 持续监管和持续改进 可以使每一时期每一阶段的安全水平都是可控的 同时 收集完数据后 根据企业安全状况进行风险的度量 输出结合政策法规要求的整体安全建设报表 自动化安全基线工具框架 安全状况以及变化趋势 基线策略库 系统快照 当前基线指标 安全运行基本要求 安全基线指标库 21 目录 什么是安全基线 安全基线检查的技术方法 如何建立一套基线管理体系 举例 企业面临的困惑与运维挑战 安全配置核查关注什么 网络设备配置 主机配置 数据库配置 中间件配置 应用配置 安全设备配置 口令策略检查口令重复使用次数限制检查口令生存周期要求文件权限检查关键权限指派安全要求 取得文件或其他对象的所有权查看每个共享文件夹的共享权限 只允许授权的账户拥有权限共享此文件夹用户账号检查是否禁用guest用户删除匿名用户空链接系统服务检查是否配置nfs服务限制检查是否禁止ctrl alt del 举例 具体检查哪些内容 认证授权对于VPN用户 必须按照其访问权限不同而进行分组 并在访问控制规则中对该组的访问权限进行严格限制 检查口令生存周期要求配置访问控制规则 拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问 网络通信防火墙以UDP TCP协议对外提供服务 供外部主机进行访问 如作为NTP服务器 TELNET服务器 TFTP服务器 FTP服务器 SSH服务器等 应配置防火墙 只允许特定主机访问 日志审计设备配置远程日志功能 将需要重点关注的日志内容传输到日志服务器 举例 启用远程日志功能 举例 启用远程日志功能 29 目录 什么是安全基线 安全基线检查的技术方法 如何建立一套基线管理体系 举例 企业面临的困惑与运维挑战 安全基线的工作介绍 工作步骤获取要检查目标的基本信息IP地址设备类型 Windows Linux Apache将安全基线产品接入网络 直连检查 做好准备 进行目标设备的配置核查工作 通过检查报告导出检查结果 结果分析 确定检查结论并给出加固方案 获取要检查目标的基本信息 系统类型 确定检查基线策略是否提供登录信息 网络是否可达 确定使用哪种检查方式 在线或离线需要设备维护人员在场补充设备信息 将安全基线工具介入网络 被扫描主机 Internet 客户端 Internet 管理口 接扫描操作计算机扫描口 接目标网络 核查工具使用说明 被扫描环境 建立扫描任务 3 选择添加的扫描目标 1 填写任务名称 4 确定开始扫描 2 选择扫描策略模版 添加被核查目标 1 填写IP地址 2 选择设备类型 3 协议及登录信息 4 自动探测匹配 扫描结果查看 1 确定扫描完成 2 点击报告生成按钮 3 选择预览或下载