业务系统安全基线及其工具化解决方案

1、业务系统安全基线及其工具化解决方案业务系统安全基线及其工具化解决方案业务系统安全基线及其工具化解决方案中联绿盟信息技术（北京）有限公司1安全基线的理论基础FISMA的全称是 The Federal Information Security Management Act（ 联邦信 息安全管理法案），是由美国国家标准和技术研究所（NIST）牵头制定。FISMAf巴责任 分配到各种各样的机构上来确保联邦政府的信息系统和数据安全。FISMA的推出使得一直忽视计算机安全的联邦政府开始关注计算机安全。FISMA提出了一个包含八个步骤的信息安全生命周期模型，这个模型的执行过程涉及面非常广泛且全面，但实施、落

2、地的难度也非常大。如图1所示,FISMA规范落地的过程好像从高空到地面，真正实施起来非常复杂。h> iji ap *1 ： 1«1 x图1 FISMA法案的落地为了实现FISMA法案的落地,由NIST牵头针对其中的技术安全问题提出了一套自动化的计戈U称为 ISAP,information security automation program, 来促进 FISMA的执行,ISAP 出来后延伸出 SCAFPI架,security content automationprotocol,SCAP 框架由 CVE CCE CPE XCCDF OVAL CVSS=? 6 个支撑标准构成,

3、 检查的标准，一致性标准等，。这6个支撑标准需要检查的内容、检查的方式由 NVD 和NC咏提供，由此SCAP®架就实现了标准化和自动化安全检 【工工工：1252010中国通信业百个成功解决方案评选获奖方案查，及形成了一套针对系统的安全检查基线。SCA吸安全基线的最重要成果和成功案例当属FDCC,Federal Desktop CoreConfiguration,联邦桌面的核心配置，项目，FDCC是在美国政府支持下建立的桌面 系统,Windows XP、Windows vista等，相关安全基线要求规范，并通过自动化的工 具进行检查。FDCCS于NVD NC将内容进行基线安全核查。NV

4、D,National Vulnerability Database,国家漏洞数据库，为自动化漏洞管理、安全评估和合规性检查提供数据支撑，包含安全核查名单、与安全相关的软件漏洞、配置错误以及量 化影响等。NVDK据库针对数据库中的漏洞等提出了一整套核查名单Checklist,划归到NCP,National Checklist Program, 计划中。简言之FDCCft现了两个方面 的特性，,标准化,在NVD NCP勺基础上，构建了一套针对桌面系统的安全基线，检查 项,，这些检查项由安全漏洞、安全配置等有关检查内容构成 ，为标准化的技术安全 操作提供了框架。自动化,针对桌面系统的特性，采用标准化

5、的检查内容和检查方法，通过自动化的工具来执行，为自动化的技术安全操作提供支持。NVDf口 NCP勺逻辑关系如图2所示图2 NVD和NCP®辑关系综上，安全基线的重要理论基础之一就是美国的 NVDW及SCAPES。在运营商 行业中业务系统可以很容易地找到安全基线的应用价值，比如某运营商的智能网系统在各省级公司中的业务应用环境、网络连接情况、内部组网结构、内部系统构成 等都存在很大的相似性，因此这就为构建一套运营商自身业务系统的“ SCAP计划 提供了基础。2安全基线的定义,1,安全基线的概念安全基线是一个信息系统的最小安全保证，即该信息系统最基本需要满足的安 全要求。信息系统安全往往需

6、要在安全付出成本与所能够承受的安全风险之间进行 平衡，而安全基线正是126业务系统安全基线及其工具化解决方案这个平衡的合理的分界线。不满足系统最基本的安全需求，也就无法承受由此带来的安全风险，而非基本安全需求的满 足同样会带来超额安全成本的付出，所以构造信息系统安全基线己经成为系统安全 工程的首要步骤，同时也是进行安全评估、解决信息系统安全性问题的先决条件。,2,安全基线的框架在充分考虑行业的现状和行业最佳实践，并参考了运营商下发的各类安全政策文件，继承和吸收了国家等级保护、风险评估的经验成果等基础上，构建出基于业务图3基线安全模型基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现

7、层三层架构，第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防 护的要求，是一个比较宏观的要求。第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块 ，这些模块针对业务层定义的安 全防护要求细化为此层不同模块应该具备的要求。第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，如将操作 系统可分解为 Windows Solaris等系统模块,网络设备分解为华为路由器、Cisco 路由器等系统模块这些模块中又具体地把第二层的安全防护要求细化到可执行 和实现的要求,称为Windows安全基线、华为路由器安全基线

8、等。下面以运营商的WA陈统为例对模型的应用进行说明。an1272010中国通信业百个成功解决方案评选获奖方案首先WA朦统要对互联网用户提供服务，存在互联网的接口，那么就会受到互联 网中各种蠕虫的攻击威胁，在第一层中就定义需要防范蠕虫攻击的要求。蠕虫攻击 的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在 可能的影响，因此在这些不同的模块中需要定义相对应的防范要求 ，而针对这些防范 要求，如何来实现呢，这就需要定义全面、有效的第三层模块要求了。针对不同类型 蠕虫病毒的威胁，在Windows Solaris等系统的具体防范要求是不一样的，第三层 中就是针对各种安全威胁针对不同

9、的模块定义不同的防护要求，这些不同模块的防护要求就统一称为WA业务系统的安全基线。针对 WA矶务系统安全基线的检查， 就可以转化为针对操作系统、网络设备等的脆弱性检查上面。,3,安全基线的内容根据业界通行的一些安全风险评估方法及运营商日常安全维护经验，我们将安全基线的内容分为三个方面，1,系统存在的安全漏洞。2,系统配置的脆弱性。3,系统状态的检查。业务系统的安全基线由以上三方面必须满足的最小要求组成。具体组成如图4所示。5趟斜数据滞追於T班配置应用嘉统配置财笫系统配近空全也需旭'置喃囱蹄图4安全基线的组成具体来说，安全基线的三个组成部分分别为，漏洞信息，漏洞通常是由于软件或协议等系统

10、自身存在缺陷引起的安全风险般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况 处置错误等，反映了系统自身的安全脆弱性。由于漏洞信息由相应的国际标准如CVE,Common Vulnerabilities &Exposures ,公共漏洞和暴露，列出了各种已知的安全漏洞，因此系统的初始漏 洞安全基线可以采用通用标准。安全配置，通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。在安全配置基线方面，移动集团下发了操作系统安全配置规范、路由器安全配置规范、数据库安全配置规范 等一系列规范，因为系统初始安全配置基线可

11、以采用集体下发的标准。系统重要状态，包含系统端口状态、进程、账号以及重要文件变化的监控。这些内容反映了系统当前所处环境的安全状况，有助于我们了解业务系统运行的动态 情况。由于系统状态基线随着业务应用不同而不同，没有标准模板可借鉴。我们通 过对系统的状态信息进行一个快照，128业务系统安全基线及其工具化解决方案 对非标准的进程端口、关键文件 MD5校验值等信息确认后作为初始的系统状态安全基线。业务系统的安全基线建立起来后，可以形成针对不同系统的详细漏洞要求和检查项,Checklist,为标准化和自动化的技术安全操作提供可操作和可执行的标准。3安全基线检查的工具化实现思路3.1 工具化安全检查的方

12、式3.1.1 远程检查远程检查通常描述为漏洞扫描技术，主要是用来评估信息系统的安全性能，是信 息安全防御中的一项重要技术，其原理是采用不提供授权的情况下模拟攻击的形式 对目标可能存在的已知安全漏洞进行逐项检查 ，目标可以是终端设备、主机、网络 设备甚至数据库等应用系统，见图5。系统管理员可以根据扫描结果提供安全性分JLk机1界州 UM3 t轴传M #1118图5远程检查示意图在远程评估技术方面，绿盟科技颇有建树。其中，绿盟科技的漏洞扫描产品曾在移动集团组织的中外漏洞产品评测中名列第一,并获得了英国西海岸实验室的checkmark 认证。基于多年的安全服务实践经验，同时结合用户对安全评估产品的实

13、际应用需求， 绿盟科技自主研发了远程安全评估系统，它采用高效、智能的漏洞识别技术，第一时间主动对网络中的资产进行细致深入的漏洞检测、分析，并给用户提供专业、有效的漏洞防护建议，让攻击者无机可乘，是您身边专业的“漏洞管理专家”。极光具有 以下特点，,1,依托专业的NSFOCUS全小组，综合运用NSIP,NSFOCUS IntelligentProfile,等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏洞，,2,对发现的网络资产的安全漏洞进行详细分析，并采用权威的风险评估模型将 风险量化，给出专业的解决方案，,3,提供Open VM,Open Vulnerability Manag

14、ement 开放漏洞管理，工作流程平 台,将先进的漏洞管理理念贯穿整个产品实现过程中，:厂厂二1292010中国通信业百个成功解决方案评选获奖方案,4,通过国际权威漏洞管理机构 CVE最高级别认证CVE compatible,5,亚太地区唯一获得英国西海岸实验室安全认证的漏洞扫描产品，,6,极光远程安全评估系统在业界的广泛认可，广泛应用于测评机构、运营商、金融、政企等行业，在中国移动、金财工程等多个入围测评中排名第一。3.1.2 本地检查本地检查是基于目标系统的管理员权限，通过Telnet/SSH/SNMR远程命令获取 等方式获取目标系统有关安全配置和状态信息，然后根据这些信息在检查工具本地与

15、预先制定好的检查要求进行比较，分析符合情况，最后根据分析情况汇总出合规性 检查结果。见图6。配置核查是本地检查最常见的一项内容。配置检查工具主要是针对WindowsSolaris等操作系统，华为、Cisco、Juniper等路由器和Oracle数据库进行安全检查。检查项主要包括，账号、口令、授权、日志、IP协议等有关的安全特性。图6本地检查示意图绿盟科技配合移动集团在2008年11月开发了中国移动安全配置核查工具。中国移动针对业务系统的安全特性，制订了针对性的中国移动设备通用安全 功能和配置规范系列规范，以下简称配置规范,规范的出台让运维人员有了 检查默认风险的标准，是整个安全基线的重要组成部

16、分。随着日常安全检查、合规 性安全检查的开展，面对业务系统内种类繁多、数量众多的设备、系统 ，如何快速、 有效的进行配置安全检查成为一个难题。运用这一产品可以对中国移动网络中的操 作系统、网络设备、数据库等配置规范符合性检查 ，从系统部署和集成的层面 规避缺省脆弱性的存在。目前，该工具在中国移动集团以及14个省公司运维中使 用。3.2 安全基线检查的工具化设计,1,安全基线检查工具框架安全基线检查工具基于业务系统安全运行的要求 ，最低/基本,，对目标系统的漏洞、配置和重要状态进行检查。130业务系统安全基线及其工具化解决方案从检查的方式上来看，分为远程检查和本地检查。远程检查体现为漏洞扫描的过

17、程，本地检查体现为对配置的检查和对重要状态的检查。因此，以检查手段为基础 将安全基线检查分为安全漏洞检查、安全配置检查和重要状态监控。最终，工具以系统快照的方式获得安全检查的结果，并与安全基线比对，获得当前系统的安全状况，并通过多次检查的结果，梳理出系统的变化趋势。安全松税以展也化胆势图7安全基线检查工具框架,2,安全基线的建立安全基线的建立是基于对业务系统的安全评估和基线梳理。安全漏洞，通常是属于系统自身的问题引起的安全风险，一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性。安全配置，通常都是由于人为的疏忽造成，主要包括了账号、

18、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，如在Web系统边界防火墙中需要开启 HTTP®信，但一个WA啊关边界就没有这样的需求,因 此在设计业务系统安全基线的时候，安全配置是一个需要关注的重点。重要状态，包括端口、进程和重要文件，这些状态的异常可能意味着来自于外部的各种威胁因素，比如非法登录尝试、木马后门、DDoS攻击等都属于安全异常活动, 反映了系统当前所处环境的安全状况和可能存在的外部风险。,3,安全基线检查的应用业务系统的安全基线建立起来后，可以形成针对不同系统的详细漏洞要求和 checklist要求，为标准化的技术安全操作提供了框架和标准。其应用范围非常广 泛，主要包括新业务系统的上线安全检查、第三方入网安全检查、合规性安全检查，上级检查，、日常安全检查等。通过对目标系统