信息安全合规监测解决方案.doc

I 信息安全合规监测解决方案 南瑞集团公司南瑞集团公司 信息通信技术分公司信息通信技术分公司 II 20142014 年年 1 1 月月 I 目目 录录 第第 1 1 章章信息系统安全风险分析信息系统安全风险分析 1 1 1 1风险产生的背景 1 1 2风险产生的原因 1 1 3国家信息安全政策法规 1 第第 2 2 章章信息安全合规监测技术研究信息安全合规监测技术研究 2 2 2 1信息系统安全发展趋势 2 2 2安全合规技术研究 3 2 3安全监测与控制研究 5 2 4信息安全研究成果 7 第第 3 3 章章信息安全合规监测解决方案信息安全合规监测解决方案 7 7 3 1解决思路 7 3 2总体目标 9 3 3总体架构 9 3 4方案特色 10 第第 4 4 章章典型案例典型案例 1111 第第 5 5 章章结束语结束语 1313 1 第第 1 1 章章信息系统安全风险分析信息系统安全风险分析 1 11 1风险产生的背景风险产生的背景 随着信息化建设的全面推广 网络规模的日益扩大 使得支持业务系统的网络结 构也变得越来越复杂 重要应用 网络设备 安全设备 服务器 数据库 中间件等 的数量及种类日益增多 而各单位信息化运维人员不足 存在因维护人员误操作的风 险 或者采用一成不变的初始系统设置而忽略了对于安全控制的要求 从而极大的影 响系统的正常运转 应用的深度融合 系统与数据的集中 带来了更高的风险集中 高度集中的数据既是业务的焦点 同样也是威胁的焦点 虚拟化 云计算等新技术的 引入 使 IT 技术设施的安全重心从终端转向服务端 使得带有明确界限的物理安全 域向逻辑安全域转变 对信息安全运维人员安全防护能力提出了新的挑战 1 21 2风险产生的原因风险产生的原因 分析近年信息安全事件本质及各类渗透方法与工具的原理 恶意用户能够成功实 现对信息系统的破坏或攻击 主要利用系统安全漏洞 安全配置 安全状态存在的脆 弱性 归纳如下 安全漏洞 由于系统自身的问题引发的安全缺陷 主要包括系统登录漏洞 拒绝 服务漏洞 缓冲区溢出 蠕虫后门 意外情况处置错误等 反映系统自身的安全脆弱 性 安全配置 由于人为的疏忽造成的安全缺陷 主要包括系统帐号 口令 授权认 证 日志管控 IP 通信管理等配置不当 反映系统配置的脆弱性 安全状态 由于系统运维管理不当引发的安全缺陷 主要包括系统运行状态 网 络端口状态 进程 审计 管理措施等 反映了系统当前所处环境的安全状况 1 31 3国家信息安全政策法规国家信息安全政策法规 国家制定了信息系统等级保护基本要求及相关标准和规范 明确规定了我国的信 息安全战略目标 并通过正式文件的形式将等级保护确认为国家信息安全的基本制度 和根本方法 2 国民经济和社会发展第十二个五年规划纲要 对 加强网络与信息安全保障 提出了明确要求 健全网络与信息安全标准规范 完善信息安全标准体系和认证认 可体系 实施信息安全等级保护 风险评估等制度 加快推进安全可控关键软硬件应 用试点示范和推广 加强信息网络监测 安全配置管控能力建设 确保基础信息网络 和重点信息系统安全 信息安全产业 十二五 发展规划 重点发展工作指出 重点发展系统及网 络脆弱性评估工具 安全配置核查类工具 信息安全等级保护支撑工具 信息系统风 险评估工具 信息安全技术与产品的标准符合性评估工具 以及其他信息安全管理与 服务支撑工具产品 并明确指出 网络与信息安全配置监测技术 为重点发展的 关键信息安全技术 第第 2 2 章章 信息安全合规监测技术研究信息安全合规监测技术研究 2 12 1信息系统安全发展趋势信息系统安全发展趋势 随着信息化的发展 业务人员的安全意识和安全技能也在逐步提高 最直接的体 现为 传统以安全事件和新兴安全技术为主要驱动的安全建设模式 已经逐渐演进为 以业务安全需求为驱动的主动式安全建设模式 从国际的安全发展动态来分析 NIST 推出了一套 SCAP 框架来促进安全建设的执 行 SCAP 是一种用开放性标准实现自动化脆弱性管理 衡量和策略符合性评估的方 法 SCAP 结合了一系列用来枚举软件缺陷和安全配置问题的开放性标准 SCAP 利用 这些标准衡量系统以寻找系统的脆弱性 并通过自动化的工具来进行检查和评估 此 框架和工具在美国得到大量的应用和高度评价 国际法中将陆地和海洋进行划分的分界线被称为基线 Baseline 随着计算机 的发展 基线被引入计算机领域 并将其定义为操作系统某一时期的配置的标准 微 软将基线的概念引入操作系统安全防护 建立微软安全防护体系 详细描述了实现安 全运行的相关配置设置 微软安全防护体系中安全基线的元素包括 服务和应用程序设置 例如 只有指定用户才有权启动服务或运行应用程序 操作系统组件的配置 例如 Internet 信息服务 IIS 自带的所有样本文 件必须从计算机上删除 3 权限和权利分配 例如 只有管理员才有权更改操作系统文件 管理规则 例如 计算机上的 administrator 密码每 30 天换一次 传统基于网络的防护虽依然是基础 但关注点逐渐转向对于数据内容 应用本身 用户身份和行为安全的管理 日益增长的 IT 资产数量 无论硬件设施还是各类软件 高效安全的管理已成为大型企业关注的话题 企业多年来的安全投资 是否产生了价 值 这使企业开始考虑如何正确了解和评价企业安全风险 以及衡量安全工作成效的 标准 并更加关注安全的监控和综合性分析的价值 威胁的不断发展变化 使企业认 识到安全投入的长期性 同时也更愿意获得在节约投资 加强主动性防御的安全建设 方面的借鉴 以技术平台支撑的合规管理工作正在越来越受到重视 随着信息技术的快速发展和广泛应用 基础信息网络和重要信息系统安全 信息 资源安全以及个人信息安全等问题与日俱增 应用安全日益受到关注 信息安全产 业 十二五 发展规划 明确提出主动防御技术成为信息安全技术发展的重点 信息 安全产品与服务演化为多技术 多产品 多功能的融合 多层次 全方位 全网络的 立体监测和综合防御趋势不断加强 信息安全发展趋势朝系统化 网络化 智能化 服务化方向发展 向系统化 主动防御方向发展 信息安全保障逐步由传统的被动防护转向 监测 响应式 的主动防御 信息安 全技术正朝着构建完整 联动 可信 快速响应的综合防护防御系统方向发展 向网络化 智能化方向发展 计算机技术的重心从计算机转向互联网 互联网正在逐步成为软件开发 部署 运行和服务的平台 对高效防范和综合治理的要求日益提高 信息安全向网络化 智 能化方向发展 向服务化方向发展 信息安全产业结构正从技术 产品主导向技术 产品 服务并重调整 安全服务 逐步成为信息安全产业发展重点 2 22 2安全合规技术研究安全合规技术研究 安全基线标准安全基线标准 4 充分依据信息安全技术体系和管理体系 借鉴 ISO27002 ISO 20000 SOX 等 级保护等技术和管理标准内容 创新信息安全基线标准和管理规范 通过建立信息安 全基线合规指标库 将信息系统等级保护基本要求 信息安全风险评估准则细化 进 一步分解根据具体设备特性形成设备级的基线指标 形成可执行 可实现的检测项 实现技术体系和管理体系指标内容的落地 安全基线标准包含以下三方面 1 漏洞信息 漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险 一般包括了登录漏洞 拒绝服务漏洞 缓冲区溢出 信息泄漏 蠕虫后门 意外情况 处置错误等 反映了系统自身的安全脆弱性 由于漏洞信息由相应的国际标准 如 CVE Common Vulnerabilities Exposures 公共漏洞和暴露 就列出了各种已知 的安全漏洞 因此系统的初始漏洞安全基线可以采用通用标准 2 安全配置 通常都是由于人为的疏忽造成 主要包括了账号 口令 授权 日志 IP 通信等方面内容 反映了系统自身的安全脆弱性 在安全配置基线方面 移动集团下发了操作系统安全配置规范 路由器安全配置规范 数据库安全配置规范 等一系列规范 因为系统初始安全配置基线可以采用集体下发的标准 3 系统重要状态 包含系统端口状态 进程 账号以及重要文件变化的监控 这些内容反映了系统当前所处环境的安全状况 有助于我们了解业务系统运行的动态 情况 由于系统状态基线随着业务应用不同而不同 没有标准模板可借鉴 我们通过 对系统的状态信息进行一个快照 对非标准的进程端口 关键文件 MD5 校验值等信息 确认后作为初始的系统状态安全基线 5 安全基线检测技术安全基线检测技术 安全基线检测是实现信息系统安全合规检测的基础和核心 即基于业务系统安全 运行的要求 最低 基本 对目标系统的漏洞 配置和重要运行状态进行检查 通 过对检查结果的深度分析 获得检查对象的安全合规性结论 安全基线检测对象涵盖主机 数据库 网络设备 安全设备 中间件 应用系统 等六大类 检测方式包括远程检查和本地检查两种形式 检测内容为目标对象的安全 漏洞扫描 关键配置对标 重要运行状态检查 安全日志采集 针对不同类型 不同 型号的设备及不同检测内容 采用一套自动化检测体系架构 综合不同的远程访问协 议 技术手段实现安全基线检测 以插件思想搭建全面的基线检测数据采集工具集合 通过自由组装实现基线检测可扩展性 安安全全基基线线合合规规检检测测体体系系 Windows漏漏洞洞扫扫描描 LINUX漏漏洞洞扫扫描描 数数据据库库漏漏洞洞扫扫描描 Web应应用用漏漏洞洞扫扫描描 SNMP访访问问 SSH TELNET访访问问 HTTP HTTPS访访问问 SYSLOG访访问问 JDBC访访问问 网网络络设设备备 中间件安 全基线数据 网络设备安 全基线数据 安安全全设设备备主主机机数数据据库库中中间间件件应应用用系系统统 安全设备安 全基线数据 主机安全 基线数据 数据库安 全基线数据 应用安全 基线数据 2 32 3安全监测与控制研究安全监测与控制研究 安全状态度量技术安全状态度量技术 安全基线合规检查结果为安全评估提供了坚实的数据基础和评判依据 基于信息 安全风险评估模型 对安全问题 运行状态 漏洞情况进行综合评判 从网络 主机 6 数据库 中间件 应用等多方面度量信息系统安全状态 实现安全状态量化评估和展 现 信息安全闭环管理信息安全闭环管理 遵循 PDCA 思想 基于基线的信息安全闭环管理包括由策略 标准 执行 检查 四个步骤组成的主流程 及具体化 自动化构成的分支流程 主流程由安全策略形成 安全标准 指导安全控制的执行 进一步进行事前 事中 事后的合规检查 最终修 改完善安全策略 分支流程通过对安全标准具体化实现标准落地 并进行自动化合规 检查 简化检查过程 策略 结合应用环境下的安全防护需求 进行安全策略定义 发布和管理 总结 上一循环中检查后的结果和问题 进行安全策略修改 重新发布和管理 标准 根据安全策略 进一步形成安全技术标准和安全管理标准 安全技术标准 包括设备安全配置基线 系统安全控制要求 安全管理标准包括项目管理流程安全要 求 安全运维流程管理要求 执行 以安全标准指导各项信息安全工作开展 根据管理标准进行项目管理 安 全运维等流程控制 根据系统安全控制要求进行技术和安全管理控制 根据安全设备 配置基线执行安全配置 7 具体化 将安全标准细化分解成设备级可执行的指标 量化基线控制取值 形成 控制项库和基线库 实现安全标准的落地 自动化 基于控制项库和基线库实施自动化的安全状态和安全配置核查及合规分 析 辅助事前 事中 事后的合规检查 提供更客观 更可信的检查分析结果 检查 定时对信息安全执行状况进行核查 通过事前的安全配置检查和安全漏洞 扫描 事中的违规审计分析 事后的取证调查完成安全合规检查 2 42 4信息安全研究成果信息安全研究成果 南瑞信通公司根据十余年丰富的信息安全实践经验和扎实的技术积累 并对 FISMA Federal Information Security Management Act 联邦信息安全管理法案 微软服务器与桌面防护体系 华为 ManagerOne 等国内外信息安全防护技术进行调研 与分析 参考了国家下发的各类安全政策文件 继承和吸收了国家等级保护 风险评 估的经验成果 总结出信息安全防护路线逐步从 SOC 演进到安全基线 最终实现信息 安全的 ERP 基于此 南瑞信通结合现行安全防护标准规范建立安全基线规范 开发 信息安全合规与监控系统 采用通用的网络访问协议 通过远程连接 IT 资产对象 进行安全配置数据的自动采集与基线合规分析 实现安全配置的在线监测和评估 增 强信息系统的主动防御能力 第第 3 3 章章 信息安全合规监测解决方案信息安全合规监测解决方案 3 13 1解决思路解决思路 首先 结合国家信息安全防护要求与近年国内外发生的信息安全事件为基础 制 定统一的安全配置原则 形成完整的安全字典库 其次 基于安全配置原则 制定安 全防护策略与配置采集方案 实现配置的自动化采集与合规分析 并对违规配置策略 进行管控与评价 最后 开发数据共享接口 实现与其他安全产品间的数据共享 为 网络与信息安全防护工作提供基础数据 8 通过配置采集引擎为驱动 采集网络设备 安全设备 主机 数据库 中间件 应用系统等资产对象配置信息 以配置策略库未标准规范 对各类资产配置进行合规 分析 实时发现信息系统配置存在的漏洞与风险 实时告警并指导管理员进行配置管 控 实现安全合规在线监测与管理 9 3 23 2总体目标总体目标 信息安全合规与监控系统的主要目标为形成统一的安全标准 针对不同设备 系 统生成详细 Checklist 表格和操作指南 为信息化安全防护工作提供框架和标准 规 范新业务系统的上线安全检查 第三方入网安全检查 合规安全检查 高级督查 日常安全检查等 统一安全标准 以信息安全技术和管理标准为依据 制定统一的安全配置原 则和合规评价准则 形成可执行的信息安全配置原则全集 消除安全漏洞 及时发现网络与信息系统中存在的登录漏洞 拒绝服务漏洞 缓冲区溢出 蠕虫后门 意外情况处置错误等安全漏洞 消除因系统自身安全漏洞引 发的安全缺陷 监控安全配置 实时主动发现冗余帐户 弱口令 配置脆弱 非法进程 安 全漏洞 异常端口等安全配置脆弱性 消除因人为疏忽造成的安全缺陷 管理安全状态 实时监测物理环境 系统运行状态 网络端口状态 进程 审计等信息系统的安全状态 消除因系统运维管理不当引发的安全缺陷 3 33 3总体架构总体架构 10 信息系统资产 配置采集 采集引擎 JDBC访问 工具 HTTP 访问工具 SNMP访问工具 WMI访问 工具 SMB访问工具 SSH访问工具 Telnet访问工具 网络设备安全设备主机系统中间件应用系统数据库 采集命令 度量指标 采集任务调度器 合规判定 判定规则引擎 规则逻辑运算条件判定运算 判定规则 定制访问 工具 定制访问 工具 防护状态分析 分析规则 配置合规 度量 状态监测 与评估 监测与分析引擎 安全告警模式匹配环境判定 监测及评估结果视图 状态监测 与评估可 视化 机房 定制 访问 工具 规则解析 事件处理 信息安全合规与监控以业务系统为核心 分为配置合规度量层 状态监测与评估 层 状态监测与评估可视化层 配置合规度量层 包括信息系统 配置采集 合规判 定 及度量指标 采集方法 判定规则 状态监测与评估层 该层基于基线度量的安 全评估方法思想 将基线度量结果转化成安全事件 并对事件进行关联分析 实现安 全防护状态监测与评估 包括防护状态分析 及分析规则 状态监测与评估可视化层 该层在状态监测与评估层基础上完成监测与评估结果的展现 由监测与评估结果视图 组成 展现角度根据数据源可分为监测结果视图和评估结果视图 监测结果视图展示 包括当前安全事件 安全告警相关数据 评估结果视图展示包括安全防护状态评估得 分 安全防护脆弱点分析等相关数据 3 43 4方案特色方案特色 信息安全合规与监控系统遵循等级保护基本要求建立了覆盖物理安全 网络架构 网络设备 安全设备 主机 数据库 中间件 应用系统 管理制度等的配置基线度 量指标 在配置采集方面 支持 SSH TELNET SNMP SMB WMI JDBC HTTP 等多种 远程访问方式进行各类型设备的配置信息采集 在安全评估方面 支持基于等级保护 11 基本要求 风险评估评价准测的安全防护状态评价 在可视化方面 支持网络拓扑模 式 资产清单模式 业务系统模式三种监测视图及等级保护和风险评估安全评价统计 视图 1 配置监控自动化与实时化 通过 SSH TELNET SNMP SMB WMI JDBC HTTP 等多种协议对各类 IT 设备的配置实时 采集并与基线规范进行合规比对 实时发现网络与信息系统存在的安全隐患 结合 安全建议字典库 及时为用户提供安全整改建议 2 安全防护可视化 提供网络拓扑模式 资产清单模式 业务系统模式等三种 模式的安全防护状态图 网络拓扑模式直观展现网络脆弱点 资产清单模式直观展 现每一类设备安全防护状态 业务系统模式直观展现各系统安全防护状态 3 基线标准定制化 提供基线修改与自定义功能 用户可根据不同的安全防护 要求调整基线 适应多种应用环境下的安全检查与整改 能有效的解决测评基线的 制定 避免基线过高导致的资源浪费和限制过度或基线过低导致难以达到充分的安 全等问题 4 安全事件闭环管理 统一收集和管理安全基线合规系统发现的安全事件 并 将安全告警事件 网络设备