版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、 企业安全配置核查管理系统解决方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc530427654 一. 背景 PAGEREF _Toc530427654 h 3 HYPERLINK l _Toc530427655 二. 需求分析 PAGEREF _Toc530427655 h 3 HYPERLINK l _Toc530427656 三. 安全基线研究 PAGEREF _Toc530427656 h 3 HYPERLINK l _Toc530427657 四. 安全基线的建立和应用 PAGEREF _Toc530427657 h 4 HYPERLINK l _Toc5
2、30427658 五. 项目概述 PAGEREF _Toc530427658 h 5 HYPERLINK l _Toc530427659 六. 解决方案建议 PAGEREF _Toc530427659 h 5 HYPERLINK l _Toc530427660 6.1 组网部署 PAGEREF _Toc530427660 h 6 HYPERLINK l _Toc530427661 6.2 特点及优势总结 PAGEREF _Toc530427661 h 7 HYPERLINK l _Toc530427662 七. 支持型安全服务 PAGEREF _Toc530427662 h 11 HYPERL
3、INK l _Toc530427663 7.1 安全预警 PAGEREF _Toc530427663 h 11 HYPERLINK l _Toc530427664 7.2 安全加固 PAGEREF _Toc530427664 h 11 HYPERLINK l _Toc530427665 7.3 安全职守 PAGEREF _Toc530427665 h 11 HYPERLINK l _Toc530427666 7.4 安全培训 PAGEREF _Toc530427666 h 12 HYPERLINK l _Toc530427667 八. 方案总结和展望 PAGEREF _Toc530427667
4、 h 12背景近年来,从中央到地方各级政府的日常政务、以及各行业企业的业务开展对IT系统依赖度的不断增强,信息系统运维人员的安全意识和安全技能也在逐步提高。最直接的体现为传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。从典型的信息安全建设过程来看,是由业务需求导出的安全需求在驱动着安全建设的全过程。而如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务,如何建立一套行之有效的风险控制与管理手段,是每一个信息化主管所面临的共同挑战。而在Xx行业里,随着各类通信和IT设备采用通用操作系统、数据库,及各类设备间越来越多的使用
5、IP协议进行通信,其网络安全问题更为凸出。为了维持XX的通信网、业务系统和支撑系统设备安全,必须从入网测试、工程验收和运行维护等,设备全生命周期各个阶段加强和落实安全要求。需要有一种方式进行风险的控制和管理。需求分析通过对安全事件的分析,发现安全事件主要由3个方面引起,安全漏洞方面、安全配置方面,以及异常事件等方面。安全配置通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。由安全配置的不足可能带来非常多的安全隐患,因此对安全配置进行有效的检查和加固成为整体安全体系建设中的重要一环。(安全漏洞和异常事件方面本文不做讨论)安全基线研究针对
6、用户需求,可以采用安全基线的思想进行风险的控制和管理。顾名思义,“安全基线”概念借用了传统的“基线”概念。字典上对“基线”的解释是:一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者说,是最基本的安全要求。假如我们将企业信息系统建立安全基线,如对每个网元、应用系统都定义安全基准点,即设定满足最基本安全要求的条件,并在设备入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全基线要求,则可以进行风险的度量,做到风险可控可管。安全基线模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层架构:第一层是业
7、务层,这个层面中主要是根据不同业务系统的特性,定义不同安全防护的要求,是一个比较宏观的要求。形成基于某业务系统的风险管理系统。第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统类型,这些设备类型针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。即在技术手段上实现脆弱性、安全策略以及重要信息的监控。第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,找到基准安全配置项和重要策略文件等,即建立安全基线弱点库。如将操作系统可分解为Windows、Linux等具体系统模块。这些模块中又具体的把第二层的安全防护要求细化到可执
8、行和实现的要求,称为该业务系统的Windows安全基线、Linux安全基线等网元的安全基线。下面以近期关注度比较高的WEB网站安全为例对模型的应用进行说明:首先WEB网站要对公众用户提供服务,存在互联网的接口,那么就会受到互联网中各种攻击威胁,造成例如网页内容篡改、网站挂马等结果。在第一层业务需求中就定义需要防范网页内容篡改、网站挂马的要求。而这些防护要求对于功能架构层的WEB Server、操作系统、安全设备等都存在可能的影响,因此在这些不同的模块中需要定义相对应的防范要求。而针对这些防范要求,如何来实现呢?这就需要定义全面、有效的第三层模块要求了。第三层中就是依据WEB应用的承载系统,针对
9、各种安全威胁在不同的模块定义不同的防护要求,这些不同模块的防护要求就统一称为该WEB网站的安全基线。针对该WEB网站安全基线的检查,就可以转化为针对WEB Server、承载系统等的脆弱性检查上面。安全基线的建立和应用首先根据企业状况,建立一套本组织在当前时期的“理想化安全水平基准点”,即“安全基线”。这个“安全基线”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等,然后通过一些手段(比如自动化的评估工具)对组织现有的安全水平进行分析。通过对比“理想化安全水平基准点”,就形成了一套差距分析结论。企业自身针对这个差距进行适时监测、确认和跟踪即可,对任何违规情况进行预
10、警或通报,提出“补足差距”的建议方案;而这个“理想安全水平基准点”就是该组织的最优安全状态。追求规避全部风险也是不现实的,信息系统在达到基线水平之后,部分风险自然会被转移或降低。这样便可以实现持续定义安全基线,持续监管和持续改进,可以使每一时期每一阶段的安全水平都是可控的。同时,收集完数据后,根据企业安全状况进行风险的度量,输出结合政策法规要求的风险报表。图3配置核查控制图项目概述启明星辰安全配置核查管理系统,主要实现集中自动化的对目标区域中的主机设备、数据库、中间件、网络设备、防火墙等设备的配置进行安全检查,检查后自动生成符合情况报告,并对不符合项提出详细的改进方案。支持型安全服务,主要提供
11、安全告警、安全加固、安全咨询等专业安全服务,为该XX提供完善的网络设备安全风险管理,提高移动各中心对新业务系统上线、第三方系统接入和日常安全运维检查和加固的实际效果,有效降低安全风险的发生概率。解决方案建议基于该XX目前的网络系统现状和组织结构,计划采用多级部署安全配置核查管理系统分级部署在上级中心、下级XX中心和下级XX中心内,实现分权分区自动化的配置安全核查。同时,为了实现对第三方接入系统、临时测试系统的配置安全核查,以及满足不可达设备安全核查的要求,为各个中心配置一套分布式采集器,并且在上级XX部署一套管理中心作统一的数据收集、任务下发和管理。通过该方案的部署实施,形成全部XX系统范围内
12、各中心设备配置安全核查数据的汇总与分析能力。通过分析处理汇总的核查数据,形成全面的安全配置现状,利于有效利用资源,解决关键问题,降低系统的脆弱性,提高抗风险的能力。同时,也能周期性的根据XX公司的“安全运维要求”进行合规检查,促进上级安全检查的成果。组网部署图4 配置安全核查系统部署示意图(请根据情况裁剪)配置安全核查系统的组网模式比较简单,可以将其旁路部署在既有网络中。管理员通过WEB页面登录系统下达核查任务,检查任务既可以远程执行也可以本地执行。对于网络不可达的设备提供离线的脚本方式:配置核查管理系统实现按照设备类型的离线脚本核查方式,在系统中下载对应的离线脚本,也可以自定义核查内容来适应
13、不同需求,将离线脚本拷贝到目标设备上运行,再将结果导入到系统即可,整改过程不修改目标设备任何配置,特点是不需要获得设备的登录信息即可完成配置核查信息的采集。离线脚本这种方式需要逐台的采集,效率偏低,因此我们还提供了批量的离线核查方式来提高离线设备的核查效率,需要分布式采集器配合完成,大大提高了对于不可达网络中的设备核查效率。安全配置核查系统的应用非常灵活,只要待查设备为支持范围内的设备等都能够自动化的进行安全配置检查,就主要的应用情况来看,主要有以下几种应用:日常运维核查,对现有正在运行的系统设备进行定期检查,发现配置漏洞和错误。新上线系统核查,在新部署的系统设备上线之前进行必要的配置安全检查
14、,提前发现配置漏洞和错误。第三方接入核查,对接入移动系统的第三方设备进行配置检查,提前发现配置漏洞和错误。重大事件前核查,在重大社会活动、集团安全巡检等事件前期,对重点设备、系统进行配置安全核查,提前发现配置漏洞和错误。特点及优势总结复杂网络的多渠道检查支持主要考虑用户对于设备的管理细粒度和网络复杂度,从这两个维度出发,实现多种方式的核查任务管理:立即扫描:从资产入手,立即检查,并对检查结果及时呈现,并完成历次检查情况的展现、结果对比分析。定时扫描:针对组合的检查任务指定在某个时间开始核查,需要指定被检查的设备群,并对检查结果进行呈现,提供对比分析及趋势分析。周期扫描:针对组合的检查任务提供周
15、期性核查,需要指定被检查的设备群以及周期形态(每小时、每天、每周、每月),并对检查结果进行呈现,提供对比分析及趋势分析。离线扫描:1.离线脚本:在目标主机上运行脚本并把结果导入到任务中即可,实现vbs和session log方式。2.离线采集器,将任务下发到离线采集器,携带离线采集器到达目标网络执行任务后将结果上传回管理中心代理核查:可将Windows/linux系统部署代理方式,完成核查。 网络不可达的离线检查技术配置核查管理系统实现按照设备类型的离线脚本核查方式,在系统中下载对应的离线脚本,也可以自定义核查内容来适应不同需求,将离线脚本拷贝到目标设备上运行,再将结果导入到系统即可,整改过程
16、不修改目标设备任何配置,特点是不需要获得设备的登录信息即可完成配置核查信息的采集。离线脚本这种方式需要逐台的采集,效率偏低,因此我们还提供了批量的离线核查方式来提高离线设备的核查效率,需要分布式采集器配合完成,大大提高了对于不可达网络中的设备核查效率。 基于Windows/linux系统的代理技术针对大多数OA办公敏感设备及个人pc设备这类不便于提供登录信息的情况,代理技术将得到广泛使用,其特点是不需要登录的用户及密码,保护了设备本身的隐私及文件安全,同时又能对其基线配置情况进行检查。对于部署到主机上的数据库及中间件可实现一并核查。高效的多协议支持在负责的网络环境下,因承载的业务不同,目标设备
17、所开放的登录协议也不同,这就要求基线检查必须支持多种协议的登录方式来满足检查工作的完成,支持SSH/Telnet/SMB/RDP/JDBC/Agent/WinRm等协议。SMB是基于NetBIOS的API,所有的Windows 操作系统都支持SMB协议,使用SMB协议对windows操作系统进行基线检查不需要安装代理服务和启动特定的服务,并且配置方便防火墙默认放行445端口,可以实现点对点检查也可以实现批量检查。RDP是微软终端服务应用的协议,服务端基于win2000/winNT。协议基于T.128(T.120协议族)提供多通道通信。1、自定义端口:通常情况下,世界上的所有黑客都知道终端服务器
18、使用的是端口3389进行RDP通信。在这种情况下,提高终端服务器环境安全以及抵御黑客攻击的最快方法就是更改这种默认端口分配设置。2、支持广泛:所有Windows主机都支持RDP3、轻量级部署:不需要安装代理服务或启动特定服务强大的自动探测功能系统可自动探测被核查的操作系统类型及版本,并自动发现中间件及数据库的安装路径,节约数据采集录入的时间,更智能更准确智能的错误提醒机制安全配置核查系统需要强大只能的错误消息机制,核查失败时准确定位错误,提升产品核查效率。基于不同检查标准的自定义参数检查项当我们面对越来越多的设备种类,多元化的操作系统时,如何分门别类的应对各式各样的设备,在安全防护的工作中又如
19、何有针对性的开展工作呢,那么配置核查系统通过可用户自定义的检查项有效的解决了这个问题。按照不同的设备类型、不同的操作系统,通过系统中的检查项配置功能完成用户的自定义检查项,支持Windows系统的doc命令、批处理,Linux系统的shell命令、shell脚本,甚至支持多个命令集合来完成复杂的配合核查,例如命令1的结果作为命令2的参数传递,从而轻松得出需要大量人力付出才能得到的结果,节约了人力成本和时间成本,同时自定义检查项的功能也为自定义核查的标准提供了有力的保障与现有安全管理平台的无缝整合安全配置核查管理系统可与现有的启明星辰安全管理平台进行无缝整合,可作为子模块完成基线检查的工作,也可
20、通过安全管理平台下发基线检查策略,驱动基线管理平台共同完成安全运营管理工作。同时安全基线配置核查系统检查结果可以返回安全管理平台管理,安全管理平台可以针对安全基线的不同检查规范和不同检查目的的检查结果进行过程管控,了解基线检查配置弱点的整改过程情况,为安全管理工作提供更有利的过程管控信息。集中自动化的配置安全核查运用离线核查与本地核查相结合的方式,在多种复杂应用环境下均可实现自动化的大规模性安全配置检查。图5系统工作图多级多用户分权使用针对现有的组织结构和网络环境中,支持多级多用户分权使用。多管理员使用配置安全核查系统,对每个使用者能够设定其允许检查的范围,检查过程中不能对目标系统的配置进行任
21、何修改,只能进行安全基线检查工作。支持集中的管理员功能,能对所有配置安全核查的结果进行统一的查阅和分析。全面灵活的报表功能综合运用历史数据搜索、对比分析、汇总查看、趋势分析等工具,不仅可直观了解单个系统的问题分布及危害,还可同时掌握多个业务系统的综合风险变化情况,从而最终做出安全对比评定。可为网络安全状况的评定和未来网络建设提供了强有力的决策支撑。图6报表输出图详尽可读性强的配置加固指南针对每一条不符合规范的配置项,系统都提供了详细的配置安全加固指南。加固指南切合具体的设备类型、系统版本,提出对应的执行命令、参数供加固人员参考,能有效的指导加固操作。支持型安全服务启明星辰支持安全服务以安全运维
22、管理为核心,根据实际环境和需求进行服务的组合及服务形式的调整,提供定期、不定期、实时等形式的服务。通过各种表现形式的安全服务,在业务系统内部建立PDCA循环机制,实现对信息系统的整体安全运维保障。安全预警目前,信息安全问题正以每周新增几十甚至几百例的速度在全世界得到体现,如何及时、准确的获取这些信息,已成为运行维护部门最迫切的需求之一。安全预警服务通过多种方式为运维人员提供最新的安全行业动态信息,主要内容包括:厂商安全通告:提供主流厂商的中文安全通告,包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。安全通告:自身安全研究发现的安全问题通告(业界未公布)和针对网络中已有设备的安
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年苏州市吴中区事业单位人员招聘笔试参考试题及答案详解
- 2026年南通市港闸区事业单位人员招聘考试参考试题及答案详解
- 2026年绍兴市越城区事业单位人员招聘笔试参考试题及答案详解
- 培育积极心理构建幸福校园小学主题班会课件
- 2026云南玉溪市红塔区医共体第三批就业见习岗位招募23人考试备考试题及答案详解
- 2026年渝中区渝北区事业单位人员招聘考试模拟试题及答案详解
- 项目进度滞后催办催缴函5篇范本
- 2026年襄樊市襄阳区事业单位人员招聘笔试参考试题及答案详解
- 2026年内蒙古自治区呼和浩特市事业单位人员招聘考试参考试题及答案详解
- 2026年武威市凉州区事业单位人员招聘考试参考试题及答案详解
- 2025年下半年江苏苏州太仓市医疗保障基金管理中心招聘重点基础提升(共500题)附带答案详解
- 安全管理降本增效的方法和措施
- 2025成人高考思政真题及答案
- 2025贵州遵义市大数据集团有限公司招聘工作人员及笔试历年参考题库附带答案详解
- Unit 7 A Day to Remember 第一课时Section A 1a-1d 说课稿 2024-2025学年人教版(2024)七年级英语下册
- 隐蔽工程监理实施细则范本
- 算力支撑的智能金融风控系统研究报告
- 外贸订单项目跟进甘特图(今日线)
- 船舶电气系统的可靠性分析
- (高清版)JTG 3810-2017 公路工程建设项目造价文件管理导则
- 人教版四年级数学下册期末试卷-
评论
0/150
提交评论