安全配置核查系统测评工具指导书

1、密级测评指导书等级保护测评工具安全配置核查系统HD-DJCP-AQHC-2011091001V1.0亨达集团信息安全技术版本说明修订人修订容修订时间版本号审阅人测评服务部初稿2011-09-10V1.0文档信息文档名称安全配置核查系统测评工具指导书V1.0文档编号HD-DJCP-AQHC-2011091001文档版本号1.0级别部扩散围部扩散批准人声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容，除另有特别注明，均属亨达集团信息安全技术所有，受到有关产权及法保护。任何个人、机构未经亨达集团信息安全技术的书面授权许可，不得以任何方式复制或引用本文件的任何片断。.c1工具简介2

2、2设备安装指导22.1 设备面板说明22.2 设备部署方式32.3 设备登陆说明43设备操作说明63.1 用户管理63.2 用户权限划分63.3 模板管理73.4 创建任务93.5 创建空任务103.6 创建正常任务103.7 获取主机信息144报表分析154.1 在线报表154.1.1 任务列表概览154.1.2 主机列表154.1.3 主机信息164.2 报表输出175数据保存19附录A设备出厂参数20A.1初始网络设置20A.2初始用户20A.3串口通讯参数201工具简介绿盟安全配置核查系统(NSFOCUSBenchmarkVerificationSystem,简称：NSFOCUSBVS

3、)。NSFOCUSBVS具备完善的安全配置库，采用高效、智能的识别技术，主动实现对网络资产设备自动化的安全配置检测、分析，并生成专业的安全配置建议与合规性报表.NSFOCUSBVS能帮助测评机构了解被测机构的信息系统的安全状况从而提出有针对性的强化安全建议。2设备安装指导2.1 设备面板说明BVS的硬件外观如图2.1所示，产品硬件的前面板如图2.2所示(实际产品会因批次不同而略有不同)图2.1BVS产品硬件外观2.2 设备部署方式请根据实际的网络结构，将BVS设备接入网络，请根据自己网络的拓扑结构加以调整，如图2.3所示控制台交兼机制路由建服分蓄数据年工作主机图2.3BVS的网络部署图接入网络

4、时，需注意以下几点:使用网络直连线连接交换机和AURORABVS设备的扫描口（SCAN口）。AURORABVS设备无论接入网络何处都能使用，但考虑到使用性能建议将其接入到公司主干网的交换机上。使用网络直连线将AURORABVS设备连接到公司网络中。将AURORABVS设备接入网络后请立即修改网络配置，适应所在网络。管理员也可以使用管理口(Config口)对AURORABVS设备进行管理。关于AURORABVS设备各端口的出厂参数，请参见附录。2.2设备登陆说明管理员将扫描接口配置完毕，即可将扫描接口接入网络，并在网络中的选择一台管理机，通过Web管理界面进行网络参数配置。下面介绍登录BVS的W

5、eb管理界面的操作方法：(1)确定客户端主机是否已正常联网。(2)打开浏览器IE,用HTTPS方式连接BVS的IP地址，例如:https:。(3)回车后出现如图2.4所示界面，单击【是，接受BVS证书加密的通道。图2.4登录Web管理界面时的安全警报弹出框(4)在如图2.5所示的登录界面中，输入初始用户名和密码,单击【确认】。.c图2.5BVS的Web登录界面(5)成功登录后，进入AURORABVS的Web管理界面(以任务管理员user登录为例)，如图2.6所示kMEnxHir*.XBSflU由miK>««*日际*nTWfcnr3USBFW4HM

6、FrV9Mi-M-iJll：14EW*"30-f>11<IT1irKirJSB-ta-J3n#rro-in-nps-1.MLrfiX-innA-nilHiiMnA"ih"的11tt“.Jn'l'r:rrEMfrlD-O11SbRNmM灯IB晶WE11KU<Rtaa*ii3KH-HJ-3311iAJftI1WB*膜即喷中嗔1*必价tl11祥irrJmQ-Ub-2|.e-ri>-2L90:1J?m-D-n.g耳mil-看童，-r,l!irr»-rfWl01”lltB14百界卧1#例弱幅n»-3i>

7、87;ii-»*rT>莒P,5>B-l>-'2il11Eli州H_J11'1',:r为一夜”值I14番Et<frD-aiH30Jjll'Eora-iD-rljfi演厂fj.1、J3M-L,3-i,T3C-34-1J,r一ws-rt-KUMJfflHZfIt*TI®/rX若SMrt-Lt-KHMasmi*al|K»JrrMCa楮番咖+mrnMZSB-JD-iniIDSTEHMZTW£Bilnaa国jEna-ca-17wit-2BM-MFL7HO.9«»虫璃itSEF-&*r

8、七刘如2TTMitE*jEpMId13：1L:r解1即苗qiHp3>*II>gr，查需-,®MbC&-iTHOS!Eumryim1厂+K:JUM-L3-2ii2：«!«-：1：5ir-的tift'_慎*WHjf支jaMaM"l4孤3fi&IBRHMEriAIIItIr®AW-f?图2.6成功登录AURORABVS后的Web管理界面3设备操作说明3.1 用户管理使用系统管理员admin账户登陆，选择菜单【系统】【用户管理】，进入用户列表的页面。如下图所示，初始状态下用户列表中只有系统自带的四个用户。变型用户帐号

9、用户姓名角色操作OuserUser任务管理员0nxiditarAuditor审请管理员宣QreportorReportor报表首理员窗O郢加inAdmin系统管理员3.2 用户权限划分BVS包括四类用户：任务管理员、审计管理员、报表管理员和系统管理员，它们的权限如下表所示用户名权限任务管理员user创建评估任务、查看任务信息、检查任务结果、报表输出、系统管理（查看系统状态、重启系统、关闭系统、查看授权注册信息）、查看日志、下载配置规检查脚本、常用工具的使用、升级设置/（自定义）审计管理员auditor日志审计（查看日志、删除日志、导出日志）报表管理员reportor查看任务信息、检查任务结果、

10、报表输出、修改报表信息（修改使用模板配置检查项的分值和主机检查结果）系统管理员admin模板管理（新建模板、编辑模板、删除模板、导入模板、导出模板）、用户管理（创建任务管理员、删除任务管理员、编辑除auditor以外的用户）、系统管理（证书的导入/导出、查看系统状态、重启系统、关闭系统、查看授权注册信息、网络配置、系统时间设置、升级设置、任务还原、系统服务）3.3模板管理模板是用来检查和展示AURORABVS报表信息的规，根据不同的证书，系统自带的模板也不同，主要包括以下六类：Windows配置规、Solaris配置规、Oracle配置规、JuniperRouter配置规、CiscoRoute

11、r配置规和HuaweiRouter配置规。只有系统管理员admin有权限对模板进行管理操作。选择菜单【系统】【模板参数】，进入模板管理的页面，如图3.1所示。柳藤名。AfiArtr，忸，u配贵，用ee厂4<!imCCBikMiTri)r19Siliwa-IEBISFr*63*niATLErnJuieju阉啤jxnrtt11总fcnAMLa”,hwi”4HA国冕出B一L*“4能句眼8-MUffcRr$MAIfAS配费查"H«-lt»rt专用笥用鼻震KUH云,右人1层鼻犬11隼闻911a皿用F*K!M*1_P虹B拿餐4人nPF俄商孑甲在CIAUin-T为商雷中二

12、不苧国m47打!卜由己勇加口.rwi.6.r-w陀两"有匚；d府用犬事用二百承UiF*K-kH1力工十下加sk”：l若旧了t*国事百色山|。孔尸百离于3皿单口|加档混1oa可密点*-引工，皿日留1；瞄青=肝节茶餐尸或重工言于上上.13,圈a岬芹鼻Hi事也用文#*MEEflCffiDMas：智于wiuHu凰匕s话,ItMJg直用中i*e/跳更占由iP制7生更/©巾界1*西厅用中<iH押第维EH*由金色，座号武左Uh*grE：呻a"/暄孱用用nz*用指不值*"仃日忘1口,充;展哀-&9tUK/T£*-仲胜*.舌E用rieiE蒙后Er理

13、N取p/-M-li花盘舌且用力HIE35房.餐辨值1_R/提工二中耳E醵4蕾词卷高帛Jg用.$f/Eg卜rfM不KJa£*N7/|>t【5E"e后事看算用eEVB若M口口4E±HT-tfifr-ir0i：«S-Bai-iT胜ALE.用丘丁在Ka蚕喊趣飘,1篇&京fgrcjEwflE*-”亨扰在之甘.鼻蠹制区幅人1R易更三才也il-TgC配"后般生"优*由«益<落电10>员晟窜喻.rtirm-明西H闲户*单目应,>P出稗/*J"DC*T3'W”JiU*,知闻如闲BWfgift/

14、百靠”TtEm1'9/况，事*，此睦内琶*$|*土1依“Mniij吾加与一田1时，口/镒-也;皿>：*74-L为为团laws以F：帙1p.加i«osew.MWe*旨甯-共，r«FE4F.（青1事LhflWI”黜。g1*>安二:丁-*-1皿睦*0-月上孙1百云玩电1P正至鼻京-HGtihk：雀士【rtfl?fWWS-flTRMfcpFq及”-mSx出番加省一拉电tgip4实鼻*存在*-11的1l本关会超njm我唱金至评mKn尤0.事见*1!*青>1婚黛4/fl3imQgT»l：*RMH3修由内项FETUrtV斯也mP*HN用如。用F-布环肝

15、胃造云*，F韩PA正立布-力，rEKTe-：M看旺井李文勺:此壬鼎悬骂的餐户碑*茶*安享iltM：立百p>蚓三员gr»ii-lek七七就干盘意/Ei”,Fir鼻-二川与中平善虹卦匚*寻鱼*mpjihxHrs-a"icniMu-n卧卿加1*StVrnnTW-ii.削旧前轴i亚踹间gLSii不而月,质=$加捋,也.gga-e百用B等.HGffW/WTPj*SiH*-ffii-icnDK<a-iin出3加后的解容中摩不在北引第E：a：用励外图3.1模板管理增加模板.c增加模板有以下两种方法：方法一(1)在页面左侧的模板列表下方，单击【增加模板】，输入模板名称并选择模板

16、类型。(2)单击刚刚添加成功的模板名称，并在页面右侧选择检查项以及设置分值权重。(3)新的模板定制完毕，单击右下方的【保存】。方法二(1)在模板列表中，单击某个缺省模板，进入该模板容的页面。(2)在该模板容的右下角，单击【另存为】，输入新的模板名称并保存。(3)单击刚刚另存的模板名称，并在页面右侧选择检查项以及设置分值权重。(4)新的模板定制完毕，单击右下方的【保存】。修改模板在模板列表中，单击某个模板名称，并在页面右侧重新选择检查项以及设置分值权重，完成后单击右下方的【保存】。系统自带的报表模板不允许修改。删除模板在模板列表的“操作”一栏下，单击图标糠确定后即可将对应的报表模板删除3.4创建

17、任务只有任务管理员（User）有权限创建任务。选择菜单【新建任务】，进入创建任务的页面，如图3.2所示。itM机售诋限血用般技用户名亩用上,用户ftftL用许用户指硝：F*任翳名点tZTI 1仲廉口鼻11-feS美生 若口呼宁图3.2创建任务创建任务时，各项参数含义如下：任务名称一一检查任务的名称。检查目标一一接受安全配置检查的主机（具体配置方法请参见4.2创建正常任务）。检存密码一一选择是，表示检查目标的登录密码被自动保存，任务结束后可以进行重新检查的操作；否则，将不保存检查目标的登录密码，任务结束后无法重新检查。设备信息一一填写本次检查目标的设备管理人、所属部门、设备用户和备注信息（可选项

18、）。创建任务时，页面上方的红色字体会提示目前允许用户扫描的IP围。通过修改用户信息可以修改允许扫描的IP围.c3.5 创建空任务BVS允许创建空任务（即没有实际检查目标的任务），任务管理员可以进入该任务参数的页面，通过导入单个主机的检查结果文件到该任务，然后自动生成相应的报表。在磐察熊任会名称七直I至仕为.c3.6 创建正常任务创建正常任务，即在创建任务的页面中单击【增加主机】，设置检查目标的各项参数，并显示目前系统授权IP数量选择不同的配置规模板，需要设置不同的参数，下面分别介绍Windows酉己置规诲加翁用横查口粽端二密码速降行吐用右射m密码E己直规范蟆抵苗一鹏园或旌立之闰屯丁说明:支持城

19、用尸期片检查蒋摄为：htrAir;iip<4授忸IP数里无限个IP捷机.C创建任务-设置Windows配置规模板的任务参数Windows配置规模板的任务参数含义如下：选择行业一一目前，只能选择中国移动（此项与产品证书有关）。类型/端口一一检查目标的登录方式和端口号。IP检查目标的IP地址。一个检查目标最多支持一个C类网段，例如：192.168.*（具体的填写格式请参见页面的帮助说明）。用户名/密码一一登录检查目标主机的用户名和密码。Windows配置规模板支持域用户登录检查，登录方式是intraguestSolaris配置规尊检叁目标选择行业配置勘苑程毂关型端口产范围选中此项，表示使用

20、SU用户登录，保证检查任务拥有完整的执行权限。i中国将动二j箱图能独在卬之间增加授或IF数量无限个部授权创建任务-设置Solaris配置规模板的任务参数Solaris配置规模板的任务参数含义，与Windows配置规模板的基本相同。Oracle配置规Oracle配置规模板的任务参数含义，与Windows配置规模板的基本相同。JuniperRouter配置规创建任务-设置JuniperRouter配置规模板的任务参数JuniperRouter配置规模板的任务参数含义，与Windows配置规模板的基本相同。CiscoRouter酉己置规CiscoRouter配置规模板的任务参数含义，与Windows

21、配置规模板的基本相同。HuaweiRouter酉己置规赤加警辑校查目标下趋困用户名知口范囚或独立ip1问酒人里碑选择行业配置城范槌槌茶型端口创建任务-设置HuaweiRouter配置规模板的任务参数HuaweiRouter配置规模板的任务参数含义，与Windows配置规模板的基本相同。3.7 获取主机信息选择菜单【系统】【下载执行】，即可下载配置规检查工具,便于任务管理员在被检查的主机上执行本地检查任务，获取主机信息。如下图所示，列出了当前系统自带和用户自定义的配置规检查工具，单击“操作”一栏下的图标比即可下载对应的配置规检查工具,检查工具奘型揉作怅九如心配置规范检查工具HHDOttSrLtg

22、t卷查工具CISCOKout4rSolaris配置视范检三工具SOLARIS0曰3电配置规范检查工具JunijEflut噌r配置视陋检查工具JUKEFERKonter一C送M我Ml七时配置规痛检查工具CISCORouterJtuawei此卡"3配置视范检查工具出Router创建任务-配置规检查工具列表配置规检查工具下载完毕，即可执行本地检查任务，操作方法如下：(1)将下载的配置规检查工具文件解压缩，然后运行文件win.bat(运行过程中不要关闭窗口)。(2)win.bat运行完毕，自动关闭窗口，同时在该目录下自动生成一个XML文件(以被检查主机IP命名)，文件中包含了该主机被检查的所

23、有信息。(3)任务管理员登录AURORABVS,创建一个空任务并进入任务参数页面，将刚刚生成的主机检查结果文件导入，即可生成相应的报表。4报表分析4.1 在线报表4.1.1 任务列表概览在任务列表中，单击任务名称即可查看当前任务的在线报表，并1 Irin根据ip地址或任48TEC IC ZQ JETO- l】ii42C.ua-10-t. H .142C£6-10- IL 29务名称进行筛选可以根据检查目标的IP或者任务名称进行任务的筛选查询，如下所单击任务名称，进入茫世岐记豪,幽粤该仟务的在线报表1-f工J<1注重印n：Itt介aujW-6导入任务*q上上田中土：,-用U wi

24、-； /昆王记录卷题 g I JD在线报表管理操作4fi|f苞总1|Jlift3amiorit?1HUIm班好T5底百Qi7。11ME2CCe-10-TJIT1KO*jQhiwW777O1&-1D-TIT国zrrfi-：n-r4s超趋查L醒itJ加EHAT16.522CO8-10-Tie.52s.iCOl(»r归n莅空【on”芯】ECDEHD-TIT719ZTOB-10-7ncdIirnigr同。4£SrTmtnH53部H54_iinnMr44S0益生1U；SS：«'lO-TH53ILQQSirMID花号EJrare-o-TE'5】ECtt

25、lLD7H胧；IFI.IA幽r则？tt3tJ血&-1CH14%a；Ud-lU-th:1LU*.r48GCftSt1处K.S32CC6-10-T1124,.1001r都65花查IC2Q3.5J-jBDL>ffir.lU-6瓦璃T口-TLl-5LIOCJ1山aim-lD-7IE37.TOB-lCi-J13ST4ii-发苴主理证IM检杳113M3-10-T1357T1m.旧r切曜智建E&it妙mH.IT!T11IB.irri&m4rIflfllSrCIICQ1iHrtrlC-l1t3.43HJJJ山rtN.一2C0S-0-7li.3|Ittl.r贻虻程查l1200101

26、1J.3rr*59楂登Jmuiz-sg检查111口步9Z14维JEMEHT124-qZr(B-lO-E3'DjLIE4,aZCfi-10-7tf4&I1UHMr阴ST装主rj4Jtip*r1£WE>10-TK.3工国TO-H3ILOWSr删E营邈<9i售哀中】：m+AT12'252rlOB-lCir1?lS-ln*这里)anw-io-T牌雅挂gfi注记M.是ii百于山里二支3jj6制任务列表4.1.2 主机列表在主机列表中，默认列出当前被检查全部主机的IP地址、主机名、操作系统、平均符合读和风险平均分，如下图所示。在主机列表页面的底部，单击【保存为

27、EXCEL】，即可将当前任务的主机列表信息保存为xls格式的文件下载到本地。口地址主机名噪作茶统AV*口-6509m孱uo平均符合度44嘱风随平均分4,4A102225.13RMJL3orcl92.1ical(kmiLKLinux52.9X5.3利1JRonterjuniper6口滥6.1A31Ml钟iwlQEwUS35.013.5RDIB.20.25.3SHAKEXPHndo-ws75Oft7.5报表分析-主机列表4.1.3 主机信息在主机列表中，单击某个主机的IP地址，即可查看它的详细检查信息，包括主机概况（包括IP地址、配置模板、主机名、平均符合度、风

28、险平均分和操作系统/应用程序）、检查结果（主机使用模板检查项的结果信息，表示对应的检查项不符合安全标准，。表示对应的检查项符合安全标准）、需要手工判断的检查项以及辅助信息，如下图所示。党随遇201IEBMKMCIECii.M常中lmJ口衣也通ns.!T-flBM材的质褥«»m平03我懂筝奸TkEi-l轴占f献物自勘*»f1£,£1咏户干鱼叫fg.肿鹏修血蚤i国背F户备号中通基.11但且香濯工料3命3*it,£E口才年十字米-守方-等1;四带京口备=看打了尸三':"O丁失主整事-也备-合同跄由uu-二粗用工若便用K可R

29、温*上二型点击口会10¥、£.24填底W主J!本-就普-署川咫d姮他R-T-可直检蔚温证燕线*圮*关口与神!蚊鼻部F茶蹄1O忠t-Ht土主e才，/3-也门n-i-*占典4者出矿if-V6H电圮，t上、京甘小.'炉IH出的配tLF之归*与u日1卑聆1OfMX抬-酬Hd措置置甘嘲ft;*二配骨三年小日秀近*口Ss塞畲时可逢上胃舌可R灯P步名屋讦耽向史早看而早0+.'内由t，&5?至京全餐求-港事-却也由后吊£彳-粗盘千言涉占三将富诲得否耳帮认证©X、学生：#-或£-£t|J4iai?-ffiE-l：楼四寸白芭融吉姆

30、7L3S1¥=否占单认证O工1上-曲*-总刊注目也一配1Y:L迪耳心侬W馋J.F中:UMWLOr4M3EP干呈生SjliT也r之叫性用也LtLium广"*包"勺"4-疝>13H(宇1*；卡秀才设。护ilM*«eit(frS'WP2明督#-ijMtiA喙。于洋贝亘生需GJI安如谏HK"瞬|品用*陟*1*.十口品1'B-1T修laii&ts±i*-a*-®«Ktts-fi®"LTfeIWirZKHUiiLiyrirad-i.|fjLilfrvklBfT4tji

31、SOSHI£.<出安全受父翌手:总备.虹JfeKH也£-9日相整宗座,星否小S&l,is出片金券吃霞口h”闻里奈踪人盘否弁白雪北0h工匕KF步1是手安生霍米“咫a-s<ih(uw-s!h-l-上修官心驻口£鼻;工龄二就1O虫K5*七口二EL1hFiTnnig,TByT7u*于二，*1即打可Jw曳£率T-十希莫科#中谭心一帮-：算传卜国产占如彳?£-fct-=(FlTift-*£-JtH鼻弓土耳后行.州/瞥二柞三三SAW史至鎏京-&4-三科嘉电营岳霞-VF7虫R于巨削i.尸ilztfeli*M交工里音-=(4

32、整士整点安-也当的L.NI.3位及葡外君制通苏乒.能祥4二主也访H男工更至-机3印/由圣TlB-i演中K蛀&,工卜提知正金票孑没山右幅出事片_±：I上加HRH天H日-节备-K科高市鼻«f-JB-lTift冏WBiAiF.E营:tr书Q;户尚中黑心得-川-疔让辛用1万巾二：件七号心M正勺l»，3#喇l-S牛向岸H±S*nftfr-£f3iE*8-SS-lfl在何庸世滕ftES卷宓国由肉议时，处置路也南止mtffl科由住工我上祖守-廿&-1¥*£时1ft-ii-Ll.&用11fhiiS+XttmS!.Ji开匚SfL£l.F.1?iS#4t£t#3lJEIt'A7甩出智由把