谐润配置核查系统技术建议书智恒科技

1、中国电信配置核查技术建议书中国电信2011555 号文件内容如下：根据关于印发中国电信通信网络安全防护管理办法的通知（中国电信2010531号）文件的规定，为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置工作，集团公司组织编制操作系统、数据库、应用中间件在内的通用安全配置要求。现印发各省电信公司，从下发之日起执行，相关要求如下：一、配置要求应用范围 此配置要求是根据工信部颁布的安全防护标准、结合安全防护检查现状及主流安全厂商的配置规范编制的，是安全配置的通用基本要求。所有网络系统及其相关配套设备、业务平台、IT系统等在竣工验收、日常运行过程中需遵循此配置要求。二、配置要求实施与问题

2、反馈 各省须根据实际情况，结合专业维护和安全作业计划落实配置要求，并在实施过程中规避对业务的影响。请各省注意收集配置要求实施过程中遇到的问题，并通过集团公司网络运行维护事业部生产指挥网站运维专题网络安全防护专栏反馈，集团将跟踪各省的应用情况并对相关问题及时解答。为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信编制了一系列的安全配置要求及操作指南（中国电信集团555号文），明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。 该系列安全配置要求及操作指南的结构及名称如下： （1） 中国电信 Windows 操作系统安全配置要求及操作指南 （2） 中国电信

3、 AIX 操作系统安全配置要求及操作指南 （3） 中国电信 HP-UX 操作系统安全配置要求及操作指南 （4） 中国电信 Linux 操作系统安全配置要求及操作指南 （5） 中国电信 Solaris 操作系统安全配置要求及操作指南 （6） 中国电信 MS SQL server 数据库安全配置要求及操作指南 （7） 中国电信 MySQL 数据库安全配置要求及操作指南 （8） 中国电信 Oracle 数据库安全配置要求及操作指南 （9） 中国电信 Apache 安全配置要求及操作指南 （10） 中国电信 IIS 安全配置要求及操作指南 （11） 中国电信 Tomcat 安全配置要求及操作指南 （1

4、2） 中国电信 WebLogic 安全配置要求及操作指南以上配置核查需要大量的人力对设备进行检查，工作效率较低。为此，我们针对电信集团的555号文进行了相应产品的定制化开发智恒配置核查系统（简称SURERUN CVS系统），运用此系统可以实现自动化对网络设备、操作系统和数据库等与中国电信2011555号的符合性进行检查，从系统部署和集成的层面规避缺省脆弱性的存在。通过对安全事件的分析，发现安全事件主要由3个方面引起，安全漏洞方面、安全配置方面，以及异常事件等方面。安全配置通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。由安全配置的不

5、足可能带来非常多的安全隐患，因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。（安全漏洞和异常事件方面本文不做讨论）中国电信2011555号对网络设备、操作系统和数据库三大类设备和系统功能和配置方面提出了基本和具体的安全要求。其中，配置要求适用于工程验收和日常维护，中国电信集团希望通过配置核查系统进行配置的检查，依据相应的配置规范自动发现配置错误，从而实现管理规定和流程信息化。针对中国电信集团制订的中国电信2011555号系列规范，但在现网的实际落实的过程中，由于人员配备不足和技术能力不够的情况，使得网络中的设备、系统等很大一部分没有有效的执行造成规范在现网中存在较大的落地困

6、难。同时，每年集团公司对省公司的安全巡检内容中也将涉及中国电信2011555号中的内容，检查的结果直接关系到KPI考核。因此在省公司层面对中国电信2011555号的落地执行非常关注。同时，鉴于中国电信网络中的网络设备、主机系统和数据库具有很大的相似性，我们对于中国电信2011555号规范规定的配置核查要求进行定制化开发的核查工具完全可以应用到电信运营商的网络中。与中国电信诸多合规性配置检查规范类似的有美国的SCAP计划。由NIST牵头针对技术安全问题提出了一套自动化的计划称为ISAP（information security automation program）来促进FISMA的执行，ISA

7、P出来后延伸出SCAP框架（security content automation protocol），SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成（检查的标准，一致性标准等）。这6个支撑标准需要检查的内容、检查的方式由NVD和NCP来提供，由此SCAP框架就实现了标准化和自动化安全检查，及形成了一套针对系统的安全检查基线。FDCC（Federal Desktop Core Configuration，联邦桌面的核心配置）是在美国政府以SCAP框架为基础，建立的桌面系统（Windows XP、Windows vista等）相关安全基线要求规范，并通过自

8、动化的工具进行检查。此项目被媒体誉为美联邦最成功的安全项目，收到的成效显著。中国电信集团的中国电信2011555号正是制定了一系列类似SCAP的核查规范，针对规范进行自动化检查则成为SCAP在中国电信落地的体现。智恒配置核查系统，主要实现集中自动化的对省电信三大中心的网络设备、数据库、主机系统等设备的配置进行安全检查，检查的标准遵照中国电信2011555号中相应的检查项进行。检查后自动生成符合情况报告，并对不符合项提出详细的改进方案。能为电信提供完善的网络设备安全风险管理，提高电信各中心对新业务系统上线、第三方系统接入和日常安全运维检查和加固的实际效果，并有效降低安全风险的发生概率。基于电信的

9、网络系统现状和组织结构，计划采用多套硬件版智恒配置核查系统分级部署在网管中心、新业务开发中心和业务支撑中心内，实现分权分区自动化的配置安全核查。同时，为了实现对第三方接入系统、临时测试系统的配置安全核查，以及满足便携配置安全核查的要求，为各个中心配置一套便携版智恒配置核查系统。通过该方案的部署实施，形成省电信范围内各中心设备配置安全核查数据的汇总与分析能力。通过分析处理汇总的核查数据，形成全面的安全配置现状，利于有效利用资源，解决关键问题，降低系统的脆弱性，提高抗风险的能力。同时，也能周期性的根据集团公司的中国电信2011555号文件进行合规检查，促进集团安全检查的成果。配置安全核查系统部署示

10、意图配置安全核查系统的组网模式比较简单，可以将其旁路部署在既有网络中。管理员通过WEB页面登录系统下达核查任务，检查任务既可以远程执行也可以本地执行。远程执行，通过Telnet、SMB、SSH、RDP、winrm等形式对待查设备进行配置安全核查，需要保证网络IP可达，并提供待查设备的管理帐户和口令；本地执行，对于网络中不便进行远程核查的目标系统（linux、Windows系统），提供配套的自动化程序，可执行程序在待查设备本地执行后生成报表文件，然后导入到配置安全核查系统中进行汇总和分析。智恒配置核查系统的应用非常灵活，只要待查设备为支持范围内的网络设备、主机系统等，都能对依据集团公司的中国电信

11、2011555号进行合规性核查，就主要的应用情况来看，主要有以下几种应用：1. 日常运维核查，对现有正在运行的系统设备进行定期检查，发现配置漏洞和错误。2. 新上线系统核查，在新部署的系统设备上线之前进行必要的配置安全检查，提前发现配置漏洞和错误。3. 第三方接入核查，对接入电信系统的第三方设备进行配置检查，提前发现配置漏洞和错误。4. 重大事件前核查，在重大社会活动、集团安全巡检等事件前期，对重点设备、系统进行配置安全核查，提前发现配置漏洞和错误。多类型设备安全配置核查能够根据依据中国电信555号文规范，判断待查设备的检查项目达标与否，支持百分制对目标系统的达标情况进行打分。现有智恒配置核查

12、系统的检查对象涵盖了：RedHat/SUSE/ Solaris/AIX/centos/Windows 2003/2008 Server中英文版本操作系统、Solaris 8/9/10中英文版本操作系统、思科交换机、华为交换机。LINUX系统检查的内容包括以下部分，分类如下：1. 账号2. 口令3. 授权4. 远程登录5. 补丁6. 日志7. 不必要的服务和端口8. 系统Banner设置9. 登录超时时间设置10. 检查是否删除潜在危险文件11. FTP设置windows系统检查的内容包括以下部分，分类如下：1. 账号2. 口令3. 授权4. 补丁5. 防护软件6. 防病毒软件7. 日志安全要求

13、8. 不必要的服务9. 启动项10. 关闭自动播放功能11. 共享文件夹12. 使用NTFS文件系统13. 网络访问14. 会话超时时间15. 注册表设置对于集团公司中国电信2011555号中新增设备安全规范正式下发后，将在3个月内对智恒配置核查系统完成更新开发，并上线使用；对于集团公司中国电信2011555号中出现修改的设备安全规范，将在1个月完成更新开发，并上线使用。集中自动化的配置安全核查采用机器语言，运用远程核查与本地核查相结合的方式，在多种复杂应用环境下均可实现自动化的大规模性安全配置检查。支持协议自动识别，远程通过Telnet、SMB、SSH、RDP、winrm等形式对待查设备进行

14、安全检查，收集设备信息进行全面的合规分析；对于不能远程检查的目标系统，提供配套的自动化程序进行信息获取，并能导入配置安全核查系统中与远程核查任务统一进行汇总分析。多级多用户分权使用针对现有省电信的组织结构和网络环境中，支持多级多用户分权使用。多管理员使用配置安全核查系统，对每个使用者能够设定其允许检查的范围，检查过程中不能对目标系统的配置进行任何修改，只能进行安全基线检查工作。支持集中的管理员功能，能对所有配置安全核查的结果进行统一的查阅和分析。全面灵活的报表功能综合运用历史数据搜索、对比分析、汇总查看、趋势分析等工具，不仅可直观了解单个系统的问题分布及危害，还可同时掌握多个不同省、市公司、业务系统的综合风险变化情况，从而最终做出安全对比评定。可为网络安全状况的评定和未来网络建设提供了强有力的决策支撑。根据不同阅读人员的需要生成各种自定义报告，提供所需的相关数据，从多个视角反映网络的整体配置安全状况。可对不同的检查点，定义不同的风险分值，对不安全配置分布、危害、平均符合度、设备信息等多视角进行细粒度的统计分析，生成基于不同角色、不同内容和不同格式的报表。配置加固指南针对每一条不符合规范的配置项，