版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、安全配置核查系统|随着信息化建设的发展,各类IT设备种类和数量不断增加,其安全管理问题日渐凸出。为了维持IT信息系统的安全并方便管理,必须从入|网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全要求,同时需要设立满足安全要求的安全基准点。|针对行业的业务系统建立安全检查点与操作指南的基准安全标准,则成为各个行业安全管理人员最为紧迫的事情。基准安全标准将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全|操作提供了框架和标准。|规范与安全基准点的出台让运维人员有了检查默认风险的标杆,但是|面对网络中种类繁杂、数量众多的设备和软件,如何快速、有效的检查设备,又
2、如何集中收集核查的结果,以及制作风险审核报告,并且|最终识别那些与安全规范不符合的项目,以达到整改合规的要求,这些是网络运维人员面临的新的难题。|在此背景下,绿盟科技推出了专用检查工具一一绿盟安全配置核查系|统(NSFOCUSBenchmarkVerificationSystem,简称:NSFOCUS|BVS)系列产品。该产品基于绿盟科技多年安全服务的积累,形成完善的安全配置知识库,该知识库涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配置加固建议,通过该知识库可以全I面的指导IT信息系统的安全配置及加固工作。特别是通过该产品能够I采用机器语言,自动化的进行安全配置检查,从而节
3、省传统的手动单点安全配置检查的时间,并避免传统人工检查方式所带来的失误风II险,同时能够出具详细的检测报告。它可以大大提高您检查结果的准确性和合规性,节省您的时间成本,让检查工作变得简单。I本文将包含以下内容:运维人员面临的挑战I基线安全的研究I安全基线的建立和应用II绿盟安全配置核查系统j运维人员面临的挑战I随着业务不断发展,网络规模日益扩大,其生产、业务支撑系统的网I络结构也变得越来越复杂。其中,重要应用和服务器的数量及种类日I益增多,一旦发生维护人员误操作,或者采用一成不变的初始系统设I置而忽略了对于安全控制的要求,就可能会极大的影响系统的正常运转。因此针对行业的业务系统建立安全检查点与
4、操作指南的基准安全标II准,则成为各个行业安全管理人员最为紧迫的事情。基准安全标准将|形成针对不同系统的详细Checklist表格和操作指南,为标准化的技|术安全操作提供了框架和标准。其应用范围非常广泛,主要包括新业|务系统的上线安全检查、第三方入网安全检查、合规安全检查(上级|检查)、日常安全检查等。!通过采用统一的安全配置标准来规范技术人员在各类系统上的日常|操作,让运维人员有了检查默认风险的标杆,但是面对网络中种类繁杂、数量众多的设备和软件,真正完成合规性的系统配置检查和修复,却成为一个费时费力的事情:!安全配置检查及问题修复都需人工进行,对检查人员的技能和经验要求较高;|做一次普及性的
5、细致检查耗费时间较长,而如果改成抽查则检查的全I面性就很差;自查和检查都需要登录系统进行,对象越多工作越繁琐,工作效率也|不咼;I每项检查都要人工记录,稍有疏漏就需要重新补测。I|对自查或检查人员来说,需要花费大量的时间和精力来检查设备、收|集数据、制作和审核风险报告,以识别各项不符合安全规范要求的系|统。如何快速有效的在新业务系统上实现上线安全检查、第三方入网安全检查、合规安全检查(上级检查)、日常安全检查等全方位设备|检查,又如何集中收集核查的结果,以及制作风险审核报告,并且最|终识别那些与安全规范不符合的项目,以达到整改合规的要求,这些是网络运维人员面临的新的难题。iI基线安全的研究I在
6、研究和业务安全相结合的基准安全标准体系基础上,参考国内外的I标准、规范,充分考虑了行业的现状和行业最佳实践,继承和吸收了国家等级保护、风险评估的经验成果,形成了一套基于业务系统的基线安全模型,参见下图:I网螂賄应用垂览安全说蛰华対瞩由器CISCO?&由器JunipBfB器m泅数据阵Windows|Salads|pnLinuxI基线安全模型II基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层等3层架构:第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安全防护的要求,是一个比较宏观的要求。第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、I操作系
7、统、网络设备、安全设备等不同的设备系统模块,这些模块针I对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。第三层是系统实现层,将第二层的模块根据业务系统的特性进一步分解,将操作系统分解为Windows、Solaris等系统模块,网络设备分j|解为华为路由器、Cisco路由器等系统模块。这些模块中又具体的把|第二层的安全防护要求细化到可执行和实现的要求,称为Windows|安全基线,华为路由器安全基线等。I|我们以移动运营商WAP系统为例对模型的应用进行说明。首先WAP|系统要对互联网用户提供服务,因此存在互联网的链接,那么就会受|到互联网中各种蠕虫的攻击威胁,那么我们在第一层中就定义
8、需要防|范蠕虫攻击的要求,这个蠕虫攻击的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在可能的影响,因此在这些不同的模块中需要定义相对应的防范要求,而针对这些防范要I|求,如何来实现呢?这就需要定义全面、有效的第三层模块要求了,针对不同类型蠕虫病毒的威胁,在Windows、Solaris等系统的具体|防范要求就不一样了,因此在第三层中就是针对各种安全威胁针对不同的模块定义不同的防护要求。|安全基线的建立和应用j|建立安全基线首先需要对业务系统进行识别和梳理,然后结合基线安|全模型分析业务系统的功能架构,再将功能架构细化到系统层面的不同模块。在此基础上,就是针对业务系统特性
9、,分析可能存在的安全威胁,并将针对威胁的应对措施逐层分解到系统实现层。系统实现层中的安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构I成,这些检查项的覆盖面、有效性成为了基线安全实现的关键。安全酉SH*人疏惣错i吴的配置安全基线安全漏洞基线安全的应用应用第三层面安全基线的要求,可以对目标业务系统展开合规性安全检查,以找出不符合的项,并选择和实施安全措施来控制安全风险。安全配置:通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大,同一个配置项在不同业务环境中的安全配置要求是不一样的,如在WEB系统
10、边界防火墙中需要开启HTTP通信,但一个WAP网关边界就没有这样的需求,因此在设计业务系统安全基线的时候,安全配置是一个关注的重点。I安全漏洞:通常是系统自身的问题引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。I业务系统的安全基线建立起来之后,将形成针对不同系统的详细IChecklist表格和操作指南,为标准化的技术安全操作提供了框架和标|准。其应用范围非常广泛,主要包括新业务系统的上线安全检查、第三方入网安全检查、合规安全检查(上级检查)、日常安全检查等。绿盟安全配置核查系统i|基于多年安全服务的执着实践,绿
11、盟科技形成了国内最完善的专业安|全服务体系和专业安全服务方法论,制定了完善的安全配置检查点,同时结合用户对安全评估产品的实际i应用需求,自主研发了绿盟安全配置核查系统(NSFOCUSBenchmarkVerificationSystem,简称:NSFOCUSBVS)。NSFOCUSBVS具备完善的安全配置知识库,通过该知识库可以全面的指导IT信息系统的安全配置及加固工作。特别是通过该产品能够采用机器语言,自动化的进行安全配置检查,从而节省传统的手动单点安全配置检查的时间,并避免传统人工检查方式所带来的失误风险,同时能够出具详细的检测报告。它可以大大提高您检查结果的准确性和合规性,节省您的时间成
12、本,让检查工作变得简单,是您身边专业的“安全配置专家”。依托专业的NSFOCUS安全服务团队,提供完善的安全配置知识库,通过该知识库可以全面的指导IT信息系统的安全配置及加固工作;采用机器语言,运用远程检测与本地检测相结合的方式,综合运用信息重整化(NSIP)等多种领先技术,可以自动、高效、准确地发现网络资产存在的安全配置问题;针对安全加固的特点,NSFOCUSBVS首创自动化的安全加固功能,可在安全配置检查结束后,直接进行系统安全配置的加固;持续进行NSFOCUSBVS的更新和发展,不断支持更多的设备类型,同时提供检查规则的持续更新,为您提供最完备的自动化检查设备,降低风险成本,保护您的投资
13、。运行模式图产品体系结构NSFOCUSBVS是基于WEB的管理方式,用户使用浏览器通过SSL加密通道和系统WEB界面模块进行交互,方便用户管理oNSFOCUSBVS采用模块化设计,内部整体工作架构如下图所示。WEB界面模块数据分析模块扫描结果库配置模板库Checklist知识库扩展模块调度核心1模块专用平台整体模块图专用平台专用平台是经过优化的专用安全系统平台,具有很高的安全性和稳定性。调度核心模块调度核心模块是系统最重要的模块之一,它负责完成目标的探测评估工作,包括判定主机存活状态、操作系统识别、模板解析匹配等。Checklist知识库Checklist知识库包含安全配置检查点相关信息,是系
14、统运行的基础,调度核心模块和数据分析模块都依赖它进行工作。扫描结果库扫描结果库包含了扫描任务的结果信息,是扫描结果报告生成的基础也是查询和分析结果的数据来源。数据分析模块数据分析模块是综合分析、趋势分析和报表合并的统计信息的数据来源,是任务合并、分布式数据汇总之后的结果。配置模板库管理员通过此模块可以在进行评估任务之前,对被检查设备自定义相应的安全配置检查点,以及每项检查点的权重。WEB界面模块WEB界面模块负责和用户进行交互,配合用户的请求完成管理工作。WEB管理模块包含多个子模块共同完成用户的请求,其主要子模块有:任务管理子模块完成用户评估任务的管理工作。报表子模块读取扫描结果库,并根据漏
15、洞描述信息和解决方案生成扫描报表。用户管理子模块审计管理子模块由于一些系统或网络设置的原因,而不能远程检查的目标系统(如Windows系统),NSFOCUSBVS提供配套的本地执行工具,在待查设备本地执行后可生成报表文件,该文件能导入到系统中进行汇总分析。扩展模块多类型设备检测扩展模块绿盟科技不断根据安全服务的实践经验,持续进行NSFOCUSBVS的更新和发展,即将支持更多的设备类型,通过此模块可以不断增强系统所能够检测的系统与设备范围。二次开发接口模块通过此接口NSFOCUSBVS可以与其他安全产品和管理平台进行联动,以便于统一的平台管理。产品特色权威、完备的Checklist知识库绿盟科技
16、拥有一支业内领先的安全服务团队。经过7年专业安全服务的执着实践,形成了国内最完善的专业安全服务体系和专业安全服务方法论,制定了完善详细的安全配置检查点。在这个部门中,拥有多位PMP、CISA、BS7799LA、ISO27001LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL等国际/国内认证专家,他们不断在安全服务实践中进行Checklist知识库的完善,并将这些知识库更新到NSFOCUSBVS中。自定义安全配置检查项目通常网络环境的情况是,设备类型逐渐增多,各种服务平台被应用,应用软件不断更新升级,这些变化给安全配置检查带来一定的困难。作为Checklist知识库的补充,NS
17、FOCUSBVS提供自定义安全配置检查功能,可以由用户根据需要或者行业标准,自行制定对目标系统执行的各种安全配置检查操作,可以形成针对自身企业或行业的自定义安全配置检查模板。自定义安全配置检查的功能让安全管理员能够很好的适应网络情况的变化,对产品暂不支持的安全规范或配置检查点,都可以通过自定义安全配置检查功能轻松实现。基于用户行为模式的管理架构作为用户体验性很强的产品,NSFOCUSBVS始终秉承“以人为本”的理念,在产品设计过程充分考虑了实际用户需求和使用习惯,从用户角度完善了很多管理功能。设计了“一键式”任务模式,采用自动化的数据收集、智能匹配检查规范、快速结果报表、科学分值评定等功能,最
18、大限度的满足您的操作简易性和高效性的需求。NSFOCUSBVS采用B/S管理架构,能够以SSL加密通讯方式通过浏览器来远程进行管理。NSFOCUSBVS的专用硬件能够长期稳定地运行,很好地保证了任务的周期性自动处理。能够自动处理的任务包括:评估任务下发、扫描结果自动分析、处理和发送、系统检测插件的自动升级等。同时,系统支持多用户管理模式,能够对用户的权限做出严格的限制,并且提供了登录、操作和异常等日志审计功能,方便用户对系统的审计和管理。高效、智能的安全配置识别技术采用机器语言,运用远程检测与本地检测相结合的方式,在多种复杂应用环境下均可实现自动化的大规模性安全配置检查,从而为您节省手动单点安
19、全配置检查的时间,并避免传统人工检查方式所带来的失误风险。NSIP技术(NSFOCUSIntelligentProfile,绿盟科技智能Profile信息识别技术)在国内甚至在国际上都是非常领先的信息识别技术,它在提高NSFOCUSBVS的评估速度和准确率方面都起到了很大的促进作用。NSIP技术就是采用多种技术通过不同途径收集目标系统的多种信息,这些信息就是目标系统的Profile,评估过程中,Profile不断地对中间的结果数据进行调整,保障了最后评估结果的准确性。基于实践的配置模板管理及展示不同的业务系统有着不同的重要性与不同的配置检查需求。因此对应不同的业务系统会有不同的安全配置检查侧重
20、点,而且每项检查点的权重都会有区别。在每次进行安全配置评估之前,用户需要根据自己的业务系统确定所需要进行评估的资产,并且划分资产的重要性。NSFOCUSBVS提供的“配置模板库”可根据用户的资产类型及其重要性会自动在其内部对目标评估系统建立基于时间和基于风险等多种安全评估模型。方便用户定义符合切身需求的安全配置检查项。多维、细粒度的统计分析NSFOCUSBVS不仅提供了常见的离线报表,还提供了强大的在线报表系统。同时,NSFOCUSBVS为您提供了一个实用的“报表控制器”,它能够帮助客户更好地获得有效信息,生成基于不同角色、不同内容和不同格式的报表。系统不仅站在管理员的角度分析结果,也站在公司
21、决策层和网络部门管理人员的角度考虑报告的生成。NSFOCUSBVS从宏观和微观两个角度对风险进行了透彻地分析。宏观上,系统从多个视角深刻反映网络的整体安全状况,对问题分布、危害、主机信息等多视角信息进行了细粒度的统计分析,并通过柱状图、饼图等形式,直观、清晰的从总体上反映了网络资产的问题分布情况;微观上,系统对每个信息都提供了详细的安全配置解决方案,使得管理员可以快速准确地解决各种安全问题,同时支持用户自己输入关键字进行相关信息的检索,以便用户能够具体了解某台主机或者某个配置的详细信息。NSFOCUSBVS从多个视角深刻反映网络的整体安全状况,还提供“历史数据搜索”与任意扫描任务之间的“汇总查
22、看”和“对比分析”功能,不仅对单个扫描任务的漏洞分布、危害等进行了统计分析,还对多个扫描过程进行综合的风险变化和安全对比评定,为网络安全状况的评定和未来网络建设提供了强有力的决策支持。三二二獻至5,£jJP七骨N汕雯K1-Jft二莖T":;:ce-?5-:;:二乳芒工X-J-.'1"上*K-_-_.-FL-Fritali&巴M壬三W1於曲二号三就7-2-e-:-定皂三一:亏盲兰冠出:交uqg磁1口="弋严包舌护亏10300歲O.Zft?,耳三冠晉兰虫亘三齐决盍1Sz=r.=xx10soQ-3Q弓进三式進10:30°O.Oi三耳転
23、亜言=0S0”5-*'3言誉丁口寸艮社辰L0旳叵語空ff亦叵躺w空岂耳1-S7-.SFosoO.Oi芯篁m另口丁;.士话宁訣頁1Q口局&口云夕咲兰冠云_Ci.os£藤豔H植*1.OS93.右我1UL疋咅亘玄旦Y笛亘-蛊月立量舌黃兰或貢=nm直口严:w豈z.2."'ES& SkK*1 EX厲£宣20劭SO0D.亡矗二CC.3%口三壬芙筠壬云1s:弗三冠壬竜1巳工二弓丰无斗L4飞SO5ZclIOCow云台笠壬匸亘牙貪遊10觀o.a口壬=:立2;旻最皱圭10so0soCl匚云O.C口卞筑二辛M10-SOU.S再节益盂番迫二帝盂18002CO”X符合度银差能配背顶得會主榔黄分布西代电;一巨
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024至2030年中国早茶煮龙车数据监测研究报告
- 2024至2030年中国摩托车安全气囊服数据监测研究报告
- 2024至2030年中国弹簧机械数据监测研究报告
- 2024至2030年中国塑胶镜数据监测研究报告
- 2024至2030年中国吸尘吸水机数据监测研究报告
- 2024至2030年中国分户计量供暖系统数据监测研究报告
- 2024至2030年中国修布钳行业投资前景及策略咨询研究报告
- 2024年中国肌肉注射用人血丙种球蛋白市场调查研究报告
- 2024年中国涤棉T恤市场调查研究报告
- 2024年中国格栅筒灯市场调查研究报告
- 2023年11月北京地区成人本科学士学位英语真题及答案
- YY/T 0719.10-2022眼科光学接触镜护理产品第10部分:保湿润滑剂测定方法
- 风险分析-预期用途、目的的特征表
- GB/T 2423.2-2008电工电子产品环境试验第2部分:试验方法试验B:高温
- 国家奖学金申请答辩PPT
- GB/T 19682-2005翻译服务译文质量要求
- 建设工程施工安全技术操作规程
- 陶杰执笔、杨受成亲自口述自传-热门电子书杨受成《争气》
- 经典私募股权投资(PE)课程课件
- 创建三级综合性医院汇报材料课件
- 《管理会计》案例分析题案例分析一 经理的困惑e
评论
0/150
提交评论