安全配置核查管理系统介绍

1、安全配置核查管理系统介绍(Configuration Verification System)配置核查系统介绍2挑战与需求1安全配置核查功能3应用场景和部署方式4产品资质5安全需要提前防范：主动安全主动安全的核心是弱点管理弱点有两类漏洞：系统自身固有的安全问题，软硬件BUG配置：也叫暴露，一般是配置方面的错误，并会被攻击者利用以往，我们关注漏洞，现在我们更关注配置漏洞是供应商的技术问题，配置是客户自身的管理问题！通过配置核查减少攻击面、提高漏洞容忍度、提升防御强度配置核查的价值在哪里？运维挑战重要的应用和服务器数量及种类繁多生产、业务支撑系统网络结构复杂安全工作需要深入结合系统全生命周期开展，

2、难度大专职安全岗位有限、安全技术水平参差不齐安全服务和运维真的做好了吗？设备自身是还存在违规的配置问题？以上问题我们通过什么方式验证呢？安全检查、评估挑战安全检查安全评估时间紧，任务重、周期长系统多、设备多、人员少要求细致、安全配置项繁多依靠人的经验，缺乏统一的标准配置方式不统一无法自动化、快速、高效执行6事前预防事中控制事后稽查信息安全管理据权威统计机构调查显示事前预防可以减少90%的安全攻击！规范要求国际规范NIST：SP800-53 Rev. 3,117,126,126 Rev.1SCAP：XXCDF,OVAL,OCIL,CPE,CCE,CVE,CVSSSOX、GLBA、FISMA、PC

3、IFDCC国家标准公安部工信部金融、证券国家信息中心：CGDCC企业规范南方电网：安全基线技术规范中国移动：安全配置规范中国联通：安全配置指南中国电信：CTG-MBOSS 安全管理与技术防护基线标准其它行业规范电力等级保护基线配置核查对应表三级主机测评指导书三级网络测评指导书三级应用测评指导书工信部等级保护相关其他行业相关规范安全配置核查功能3应用场景和部署方式4配置核查系统介绍2挑战与需求1产品资质5获取配置信息登录/运行脚本10%15%20%55%分析比对 报告配置核查：根本目的是依据设备的部署环境、承载业务等因素，逐条核查是否满足基本安全配置要求的合集，并给出指导加固方案，可作为设备入网

4、、业务上线、日常运维、定期巡检的权威指南。安全漏洞通常是系统自身的问题引起的安全风险，反映了系统自身的安全脆弱性，安全配置通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，同样反映了系统自身的安全问题，但成因是不同的。安全配置与系统的安全性关联非常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，因此在设计业务系统安全基线的时候，安全配置是一个关注的重点。主动安全防御不能只关注传统的漏洞，更应该关注设备自身的配置，有研究表明80%对服务器的攻击中有63%通常是利用人为对系统参数配置的疏忽造成的安全隐患，而这种隐患更明显，更容易被利用，且对攻击者技术要求更

5、低，危害巨大。以上证实，系统配置与漏扫同样重要，作为系统脆弱性的重要组成部分加以防范。基本概念工作机理获取配置信息登录/运行脚本10%15%20%55%PlanDoCheckActionPDCA安全管理体系模拟人工核查的过程，围绕PDCA建模：登录信息获取登录设备（P）执行脚本获得结果（D）和要求值对比（C）加固方案（A）复查（P）分析比对 报告配置核查：是业务系统及所属设备在特定时期内，根据自身需求、部署环境和承载业务要求应满足的基本安全配置要求合集。安全管理平台配置核查模块：协助建立安全基线管理体系，实现系统安全配置检查的标准化、自动化，以及对安全基线结果的过程管控。基本概念特点一特点二特

6、点三通过对系统的安全基线自动核查作业，落实安全规范要求，提高工作效率和安全管控能力。特点四支持多种设备。内置灵活、丰富、完善的安全基线检查项，并支持检查项的自定义。提供即时、定时周期调度和离线多种核查方式。跨设备类型的策略组合定义，实现各设备类型检查项的策略组合，从而满足各个核查保证，为日常维护和检查提供多重标准。核查报告内容全面，支持多种格式。对检查过程中发现的不合规项给出相应的安全加固指导。功能框架核查流程 作业任务-导向和运维入口结合安全基线内置检查项制定自定义检查项组合检查项与安全对象检查执行组合检查项并完成检查项参数实例化创建作业模板应用检查策略并组合待检安全对象对作业模板进行调度形

7、成检查任务并执行检查1. 检查项管理2. 策略管理3. 作业模板4. 作业调度完成的作业核查结果由基线系统进行评估分析，并形成各种安全报告单设备立即检查对单设备的安全对象执行立即检查，并对检查结果进行分析，查看历次检查情况系统组成单机代理基线管理平台的分布式组件，作为基线检查的一种方式，实现本地检查，特点是不需要登录用户信息，安全可靠分布式采集器-在线：由管理调度中心下发任务，分布式采集器持续在线对目标网络进行核查，并将结果回传到管理调度中心。-离线：由管理调度中心下发任务，离线采集器可以脱机到不可达网络，批量的实现对不可达网络的安全基线检查，并实现不可达网络的数据采集与回传，实现网络无死角离

8、线脚本通过管理调度中心配置导出要核查的设备类型及核查项，统称为离线脚本，在目标设备运行后导入到管理调度中心。管理调度中心提供网络方式的基线采集功能，管理调度中心本身是具备核查能力的，可将基线管理服务、单机代理、离线采集器一体化，负责接收、分析、比对信息，确认是否达到基线标准要求，出具核查任务的报告等。离线核查（离线采集器）不可达网络1、下发任务2、离线核查3、上传结果1、通过在管理调度中心组合策略和资产形成可被执行的任务，在与分布式采集器网络可达的情况下下发给采集器。2、将采集器与不可达的目标网络连接，保证核查的设备连通性，直接运行任务完成批量核查。3、再将采集器连回到管理调度中心，将结果传递

9、到管理调度中心完成对不可达网络的批量核查，管理调度中心负责结果汇总出具报告适用网络：对于网络不可达且集中管理较好的设备群。核查效率：高 （可自定义任务，一次或分多任务核查）前置条件：1、需要核查的设备需已经纳入核查系统管理2、已知目标网络中的设备情况3、已知设备登录信息特点：对于不可达网络，防火墙及网络允许部署代理的设备群效率较高ResultResultResultResult安全配置核查管理系统下级节点下级节点下级节点核查脚本核查脚本核查脚本核查脚本中间件主机设备数据库离线核查（离线脚本）结果汇总中间件主机设备数据库中间件主机设备数据库中间件主机设备数据库适用网络：对于不可达及可达且零散或未

10、知的设备。核查效率： 中低（需要逐台设备运行核查脚本）前置条件：1、已知核查设备操作系统信息2、脚本下载或拷贝到目标设备特点：1、不考虑网络情况2、不需要登录信息3、操作简单，使用灵活 注册设备核查管理对于设备上包含数据库、中间件等多个应用情况，注册后，可同时核查上报安全配置核查管理系统数据库中间件 主机针对大多数OA办公敏感设备及个人pc设备这类不便于提供登录信息的情况，代理技术将得到广泛使用，其特点是不需要登录的用户及密码，保护了设备本身的隐私及文件安全，同时又能对其基线配置情况进行检查。单机代理适用网络：对于可达网络且持续运行的设备。核查效率： 高（单机采集效率非常高）前置条件：1、需要

11、安装单机代理2、需要注册到核查管理中心特点：1、不需要登录信息2、单机核查速度6-7s灵活便捷的多方式检查复杂网络的多渠道检查支持。安全配置核查管理系统支持在线、离线脚本、脱机、分布式采集等多种核查方式，并配备Windows代理来解决无登录信息的问题，实现在各类复杂情况下的核查采集。优势功能与安全管理平台的无缝整合。安全配置核查管理系统可与现有的启明星辰安全管理平台实现无缝整合，可作为子模块完成基线检查的工作，也可通过安全管理平台下发基线检查策略，驱动基线管理平台共同完成安全运营管理工作。同时安全基线配置核查系统检查结果可以返回安全管理平台管理，安全管理平台可以针对安全基线的不同检查规范和不同

12、检查目的的检查结果进行过程管控，了解基线检查配置弱点的整改过程情况，为安全管理工作提供更有利的过程管控信息和数据支撑。自定义多重检查标准支撑日常运维及各项检查。良好的日常运维是保障安全防护的基础，但一般情况下，难免我们需要制定特殊的标准将某些设备的和大部分设备的标准分开界定，这不是我们希望的，但一定会是我们要面对的，类似一些已在网运行正常的设备对于安全防护的标准和一般设备的标准是无法一致的，同时一些预装了一些软件的设备在某些业务系统运行时的配置要求与我们的安全防护配置核查标准发生相悖的时候，我们如何去解决呢？通过系统中的自定义检查策略可以很好的解决此类问题，对于同一种设备我们可以自定义不同的检

13、查项、相同的检查项也可以定义不同的检查标准，类似关闭敏感端口中可以根据实现情况制定需要关闭的端口，这样就很好的解决了不同情况不同标准的问题，不会很生硬的按照相同的标准去检查不同情况的设备，完成了从检查标准中体现行业化的特点，为我们的日常维护提供了更人性化的支撑，使我们的安全防护工作更容易开展。对于上级或者有关部门的检查，可以根据每次检查的标准，提前制定策略自查，及时整改，更可以灵活多变的制定不同检查强度的标准。优势功能自定义检查项及策略参数化win主机检查项CISCO防火墙检查项oracle数据库检查项bind中间件检查项工信部检查策略省级自查检查策略分布式采集器级联上下级级联1、管理中心管理

14、下级资产2、下发任务到分布式采集器3、监控采集器任务4、汇总所有核查结果信息，出具报告1、各个节点具备管理中心，各自管理 资产2、上级下发任务到下级，并监控执行情况3、可以通过登录下级去控制下级的CVC4、汇总所有核查结果信息，出具报告多级管理的两种模式多级管理-前提：细粒度的管理模式上下级资产同步上下级策略同步上下级检查项同步 多级任务管理上下级检查项同步上级自定义检查策略模版（制定标准）下级执行并反馈执行情况 多级模版管理多级管理按照上下级管理的细致度分为：多级任务管理和多级模版管理两种方案 同步下级节点的资产信息同步各设备类型检查项同步下级节点的检查策略下级节点下级节点上级节点定期执行上

15、级同步下来的任务将执行结果同步上传到上级节点执行任务1、瘦客户端2、上级管理的细粒度多级管理-任务管理 上级节点上报：任务执行的结果汇总：下级节点的核查报告12345多级管理-模版管理接收模版标准：上级节点的策略模版组合任务：策略模版+检查目标执行：立即、定时、周期、离线瘦服务端下级节点1、制定核查标准2、监督执行情况3、查看结果排名多级管理-升级下级节点下级节点下级节点下级节点下级节点2、本级可点击升级按钮完成升级功能3、对于本级需要自定义升级亦可自行导入升级文件完成升级功能1、接收到上级节点下方的升级文件，包含升级说明信息，补丁包大下4、记录上级或本级升级历史信息，操作人，便于审计5、如本

16、级也有下级节点，同样可实现对下级的分发升级功能上级节点多级部署：分发升级包单级部署：导入升级包功能升级：导入升级版脚本库升级：导入脚本包RDP协议支持轻量级部署 安全、可靠、高效广泛支持自定义端口RDP协议特点RDP是微软终端服务应用的协议，服务端基于win2000/winNT。协议基于T.128（T.120协议族）提供多通道通信通常情况下，世界上的所有黑客都知道终端服务器使用的是端口3389进行RDP通信。在这种情况下，提高终端服务器环境安全以及抵御黑客攻击的最快方法就是更改这种默认端口分配设置。支持广泛：所有Windows主机都支持RDP使用简单：不需要安装代理服务或启动特定服务远程显示协

17、议（Remote Display Protocol ）RDP主要的核查协议，简单方便，主要用于Windows系列SMBRDP之前的主流协议，但需要对目标主机配置，与RDP配合使用SSH包括SSH1/SSH2,主要用于Linux及网络设备TelnetWindows可选协议WinRMWindows远程管理代理（Agent）也是一种核查方式自动探测功能操作系统自动探测类型探测版本探测中间件数据库版本探测安装路径探测配置核查密码文件获取第三方接口获取数据库获取密码安全与多种方式的获取提供本地数据库的密码读取，本地密码加密存储，AES-高级加密标准（128位密钥）可定制与第三方接口的方式获取登录密码，例

18、如：BOMC、资源管理系统,4A系统。Excel文件方式导入密码，一次性使用，系统默认提供模版文件的下载。分布式组件通信及脚本安全篆改脚本会话劫持SSL认证加密RSA密钥加密 设备信息、恶意脚本下发SSL认证加密RSA密钥加密配置核查维度VenusTech Confidential31JDBCSMBTELNETSSH1SSH2系统服务配置文件权限配置用户帐号配置口令策略配置认证授权配置网络通信配置日志审计配置网络设备配置主机配置数据库配置中间件配置应用配置安全设备配置功能特点复杂网络多渠道检查支持自定义参数及任务的多方式执行不断丰富完善的Checklist知识库安全、高效、可靠的SMB/RDP

19、协议支持密码安全与多种方式的获取、会话传输加密可选择的多种级联模式与现有安全管理平台的无缝整合技术优势系统简单实用、界面美观大方、内置丰富的仪表板，适用于各级管理人员支持超过1600+ 种检查项的内置知识库储备，不段丰富的CheckList具有自定义核查告警及响应功能的核查系统实现多重标准同时线上核查的管理系统“一键任务化”操作模式，简单易用自动化的安全配置检测，节省时间，避免人工失误风险现有的启明星辰安全管理平台进行无缝整合强大的客户化定制能力，包括基于开放架构的管理平台和一支国内最专业的定制开发团队技术优势 应用场景和部署方式4挑战与需求1安全配置核查功能3配置核查系统介绍2产品资质5资产

20、类型管理资产管理即时检查资产管理资产连通性测试通过对新增资产的连通性测试提高资产录入的准确性，特别是对访问协议及端口的确定工作提供了有效的验证手段，并结合系统自带的诊断工具，在使用能效上得到了有力保障。策略模版检查项管理策略管理核查管理Wlang设备支持报告预览/导出/合并支持报告的在线预览，包括符合等保的要求，支持多种格式的报告导出，并支持多个任务的合并，生成一个合并后的大报告，便于集中汇总。用户管理角色管理系统日志系统管理在线用户服务器配置数据维护挑战与需求1配置核查系统介绍2应用场景和部署方式4安全配置核查功能3产品资质5 安全配置核查新业务IT系统建设 对新建设IT业务系统做到设备配置

21、信息统计与基线配置检查.业务系统整改约束对基线检查问题整改约束，实现业务系统建设的规范化和流程化.既有IT系统周期检查对原有IT系统周期性检查.结合安全基线管理功能，推进新业务IT系统规范流程化管理结合安全基线管理功能，促进原有IT系统的检查、整改和约束实现安全管理工作的同步实施、发展的规范化和流程化安全基线应用场景典型部署多级部署部分成功案例电信移动其它中国电信股份有限公司云南分公司 中国移动通信集团宁夏有限公司福建省公安厅中国电信集采十省SOC基线子模块中国移动通信集团陕西有限公司福建省邮政管理局广东电信、上海电信SOC基线子模块中国移动通信集团北京有限公司湖北省电力公司中国电信集团公司吉

22、林省电信分公司中国移动（深圳）有限公司南方电网贵州分公司中国电信宁夏公司中国海关总署中国电信天翼电子商务有限公司福建农村信用社广东联通北京联通陕西联通中国南方电网有限责任公司电网技术研究中心上海烟草集团有限责任公司福建省农村信用社联合社湖南省电子研究所中国国家认证认可监督管理委员会信息中心贵阳生产力促进中心中国国家工信部传输所中国船舶工业集团公司第六三五四研究所中国联合网络通信有限公司黑龙江省分公司入围中国电信集采，中国移动集采，中国联通集采都已经入围部署方式47安全基线应用服务器安全基线采集节器已接入74个系统、546台设备、总计支持1637个检查项资源接入情况接入业务系统-案例桌面虚拟化系

23、统无纸化会议系统规划管理系统TSM备份系统雷电定位系统统一桌面管理系统社保医保卡联网系统资产管理系统项目管理子系统用电安全系统营销综合分析系统银电联网系统省级监管中心南网异地数据级灾备中心GIS系统审计管理子系统49在线审计系统防病毒PKI系统文档加密系统信息专业化管理网企业新闻网业务数据统一平台综合计划管理系统舆情监控系统集中展现平台企业邮件南网党建系统省公司防火墙74个业务系统500余台设备合规率2014年8月2014年9月内部电子邮件47%90%移动安全接入平台44%74%TSM备份系统36%89%IT集中运行监控系统41%91% 依据XX基线规范，现阶段对用户现有设备安全配置进行自动化

24、核查，目前在入网验收、运行维护阶段已经投入使用，安全检查工作效率大幅度提高，促进业务系统落实安全合规的要求，践行了南方电网低成本、高效运营战略的要求。立即检查调度检查离线检查1、抽查2、依赖专业人员3、需督促4、掌控度低5、费时低效Vs1、全覆盖2、无需专业人员3、定时自动检查4、管理全掌握5、省时高效6、未来，结合复查自动调度和工单系统，可实现无人干预的基线管理自动化系统检查17分钟600台设备160万/次成本节约人工检查 分析报告一键生成多维度分析报告，全面掌握系统安全状况 加固指导完善的加固指导和指令提示，帮助维护人员进行系统加固ABCD 日常检查全量检查，促进系统安全整体提升 入网验收

25、实现入网安全验收，避免系统带病入网，打牢安全基础安全与效率双提升针对6大类（主机、网络、数据库等）设备，总结出面向贵网的330个标准化检查项，自动适配到各个业务系统中，生成核查报告。实际应用效果50提高安全掌控提高工作效率降低管理成本相对于人工方式或者半自动化工具，如对接入安全管理平台的所有设备全量检查，可以节约成本160万元/次。自动检查效率是人工检查的100倍；检查500台设备，共2万多个检查项，仅需19分钟。123合规率2014年8月2014年10月内部电子邮件47%90%移动安全接入41%91%TSM备份系统36%89%实际应用效果提高60%节约1800万提升100倍提高系统安全提高工作效率人工检查平均25台/8小时，系统自动检查平均2500台/8小时，一天提升100倍降低管理成本检查一个业务系统平均需3万元，若全网每月检查50个系统，一年可节约1800万元实际应用效果业务系统检查项2011年8月合规率201