安全配置核查管理系统白皮书

1、 安全配置核查管理系统白皮书Configuration Verification System 安全配置核查管理系统让安全变得简单目 录 TOC o 1-3 h z u HYPERLINK l _Toc9151466 1整体现状与需求 PAGEREF _Toc9151466 h 1 HYPERLINK l _Toc9151467 2产品综述 PAGEREF _Toc9151467 h 2 HYPERLINK l _Toc9151468 2.1产品简介 PAGEREF _Toc9151468 h 2 HYPERLINK l _Toc9151469 2.2系统组成 PAGEREF _Toc9151

2、469 h 2 HYPERLINK l _Toc9151470 2.3系统结构 PAGEREF _Toc9151470 h 3 HYPERLINK l _Toc9151471 3典型部署 PAGEREF _Toc9151471 h 4 HYPERLINK l _Toc9151472 3.1单级部署： PAGEREF _Toc9151472 h 4 HYPERLINK l _Toc9151473 3.2多级部署 PAGEREF _Toc9151473 h 4 HYPERLINK l _Toc9151474 4产品特点 PAGEREF _Toc9151474 h 5 HYPERLINK l _To

3、c9151475 4.1复杂网络的多渠道检查支持 PAGEREF _Toc9151475 h 5 HYPERLINK l _Toc9151476 4.2网络不可达的离线检查技术 PAGEREF _Toc9151476 h 6 HYPERLINK l _Toc9151477 4.3基于Windows/linux系统的代理技术 PAGEREF _Toc9151477 h 7 HYPERLINK l _Toc9151478 4.4基于不同检查标准的自定义检查项 PAGEREF _Toc9151478 h 7 HYPERLINK l _Toc9151479 4.5自定义多重检查标准支撑日常运维及各项检

4、查 PAGEREF _Toc9151479 h 8 HYPERLINK l _Toc9151480 4.6不断丰富完善的CheckList知识库 PAGEREF _Toc9151480 h 8 HYPERLINK l _Toc9151481 4.7高效的多协议支持 PAGEREF _Toc9151481 h 9 HYPERLINK l _Toc9151482 4.8强大的自动探测功能 PAGEREF _Toc9151482 h 9 HYPERLINK l _Toc9151483 4.9智能的错误提醒机制 PAGEREF _Toc9151483 h 9 HYPERLINK l _Toc91514

5、84 4.10与安全管理平台的无缝整合 PAGEREF _Toc9151484 h 9 HYPERLINK l _Toc9151485 5产品功能 PAGEREF _Toc9151485 h 10 HYPERLINK l _Toc9151486 5.1基础平台 PAGEREF _Toc9151486 h 10 HYPERLINK l _Toc9151487 5.2资产管理 PAGEREF _Toc9151487 h 10 HYPERLINK l _Toc9151488 5.3配置核查 PAGEREF _Toc9151488 h 10 HYPERLINK l _Toc9151489 5.4级联管

6、理 PAGEREF _Toc9151489 h 11 HYPERLINK l _Toc9151490 5.5参考知识管理 PAGEREF _Toc9151490 h 11 HYPERLINK l _Toc9151491 5.6系统管理 PAGEREF _Toc9151491 h 12 HYPERLINK l _Toc9151492 5.7用户及权限管理 PAGEREF _Toc9151492 h 12 HYPERLINK l _Toc9151499 6产品价值 PAGEREF _Toc9151499 h 13 HYPERLINK l _Toc9151500 6.1全面掌控IT系统建设风险，提供

7、有力运维支持 PAGEREF _Toc9151500 h 13 HYPERLINK l _Toc9151501 6.2全面提高工作效率，缩短风险存在时间 PAGEREF _Toc9151501 h 13 HYPERLINK l _Toc9151502 6.3为弱点管理/脆弱性过程管控提供有力支撑 PAGEREF _Toc9151502 h 14 HYPERLINK l _Toc9151503 7公司简介 PAGEREF _Toc9151503 h 14整体现状与需求由于服务和软件的不正确部署和配置造成安全配置漏洞，入侵者会利用这些安装时默认设置的安全配置漏洞进行操作从而造成威胁。随着攻击形式和

8、各种安全威胁事件的不断发生，越来越多的安全管理人员已经意识到正确进行安全配置的重要性，重点行业和一个管理部门已经制定了统一的安全配置标准和检查标准。但是随着业务系统网络结构越来越复杂，重要应用和服务器数量及种类繁多，很容易发生安全管理人员的配置操作失误造成极大的影响。安全工作需要深入结合业务系统的生命周期进行开展，难度十分大，相对应的现在各行业和单位专职安全岗位设置有限，安全技术水平参差不齐。同时，虽然一些重点行业和管理检查部门设定了统一的配置和检查标准规范，使得安全管理人员在进行安全配置时可以做到有据可依，但是面对种类繁杂、数量众多的业务系统和设备，真正能够完成配置合规检查和修复，将会是一个

9、十分巨大的工作。做一次细致的检查和修复耗费的时间会很长，对象越多工作越繁琐，而且人工效率不高。产品综述产品简介启明星辰针对各行业特点和安全基线规范基准，推出了专业检查平台安全配置核查管理系统，使安全检查过程达到自动化、标准化、持续化、可视化。它可以大大提高检查结果的准确性和合规性，用以在大型企业的上线安全检查、第三方入网安全检查、合规安全检查（上级检查）、日常安全检查和安全服务任务中，协助查找设备在安全配置中存在的差距，并与安全整改与安全建设相结合，提升各类业务系统的安全防护能力和达到整体合规要求.安全配置核查管理系统，主要应用于设备入网、工程验收、日常维护、合规检查等方面。通过对目标系统展开

10、合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。系统组成安全配置核查管理系统主要由管理调度中心、分布式采集器、单机代理、离线脚本组成。.管理调度中心提供网络方式的基线采集功能，管理调度中心本身是具备核查能力的，可将基线管理服务、单机代理、离线采集器一体化，负责接收、分析、比对信息，确认是否达到基线标准要求，出具核查任务的报告等单机代理。分布式采集器在线：由管理调度中心下发任务，分布式采集器持续在线对目标网络进行核查，并将结果回传到管理调度中心。离线：由管理调度中心下发任务，离线采集器可以脱机到不可达网络，批量的实现对不可达网络的安全基线检查，并实现不可达网络的数据采集与回传，实

11、现网络无死角单机代理基线管理平台的分布式组件，作为基线检查的一种方式，实现本地检查，特点是不需要登录用户信息，安全可靠。离线脚本通过管理调度中心配置导出要核查的设备类型及核查项，统称为离线脚本，在目标设备运行后导入到管理调度中心。系统结构高速数据通信平台，可以根据用户的实际需求制定相应策略来配置系统，达到对用户实际需求的无缝契合。模块化设计，使系统具有很高的灵活性，具备海量处理数据的功能，可提供电信级万兆互联网管理解决方案。典型部署单级部署：路由或网桥部署模式。多级部署产品特点复杂网络的多渠道检查支持主要考虑用户对于设备的管理细粒度和网络复杂度，从这两个维度出发，实现多种方式的核查任务管理：立

12、即扫描：从资产入手，立即检查，并对检查结果及时呈现，并完成历次检查情况的展现、结果对比分析。定时扫描：针对组合的检查任务指定在某个时间开始核查，需要指定被检查的设备群,并对检查结果进行呈现，提供对比分析及趋势分析。周期扫描：针对组合的检查任务提供周期性核查，需要指定被检查的设备群以及周期形态（每小时、每天、每周、每月），并对检查结果进行呈现，提供对比分析及趋势分析。离线扫描：1.离线脚本：在目标主机上运行脚本并把结果导入到任务中即可，实现vbs和session log方式。2.离线采集器，将任务下发到离线采集器，携带离线采集器到达目标网络执行任务后将结果上传回管理中心代理核查：可将Window

13、s/linux系统部署代理方式，完成核查。网络不可达的离线检查技术配置核查管理系统实现按照设备类型的离线脚本核查方式，在系统中下载对应的离线脚本，也可以自定义核查内容来适应不同需求，将离线脚本拷贝到目标设备上运行，再将结果导入到系统即可，整改过程不修改目标设备任何配置，特点是不需要获得设备的登录信息即可完成配置核查信息的采集。离线脚本这种方式需要逐台的采集，效率偏低，因此我们还提供了批量的离线核查方式来提高离线设备的核查效率，需要分布式采集器配合完成，大大提高了对于不可达网络中的设备核查效率。通过系统Server端的离线采集方式，对网络不可达设备群组配置相关检查策略并通过服务器下发任务给离线采

14、集器，离线采集器脱机后连接到目标网络，执行任务检查目标设备，完成检查后，当与系统Server连接成功后会将结果上报给基线系统Server，从而达到检查网络不可达设备的目的，减少了在网络中单独建立连接，彻底排除“打孔”现象。基于Windows/linux系统的代理技术针对大多数OA办公敏感设备及个人pc设备这类不便于提供登录信息的情况，代理技术将得到广泛使用，其特点是不需要登录的用户及密码，保护了设备本身的隐私及文件安全，同时又能对其基线配置情况进行检查。对于部署到主机上的数据库及中间件可实现一并核查。基于不同检查标准的自定义检查项当我们面对越来越多的设备种类，多元化的操作系统时，如何分门别类的

15、应对各式各样的设备，在安全防护的工作中又如何有针对性的开展工作呢，那么配置核查系统通过可用户自定义的检查项有效的解决了这个问题。按照不同的设备类型、不同的操作系统，通过系统中的检查项配置功能完成用户的自定义检查项，支持Windows系统的doc命令、批处理，Linux系统的shell命令、shell脚本，甚至支持多个命令集合来完成复杂的配合核查，例如命令1的结果作为命令2的参数传递，从而轻松得出需要大量人力付出才能得到的结果，节约了人力成本和时间成本，同时自定义检查项的功能也为自定义核查的标准提供了有力的保障。自定义多重检查标准支撑日常运维及各项检查良好的日常运维是保障安全防护的基础，但一般情

16、况下，难免我们需要制定特殊的标准将某些设备的和大部分设备的标准分开界定，这不是我们希望的，但一定会是我们要面对的，类似一些已在网运行正常的设备对于安全防护的标准和一般设备的标准是无法一致的，同时一些预装了一些软件的设备在某些业务系统运行时的配置要求与我们的安全防护配置核查标准发生相悖的时候，我们如何去解决呢？通过系统中的自定义检查策略可以很好的解决此类问题，对于同一种设备我们可以自定义不同的检查项、相同的检查项也可以定义不同的检查标准，类似关闭敏感端口中可以根据实现情况制定需要关闭的端口，这样就很好的解决了不同情况不同标准的问题，不会很生硬的按照相同的标准去检查不同情况的设备，完成了从检查标准

17、中体现行业化的特点，为我们的日常维护提供了更人性化的支撑，使我们的安全防护工作更容易开展。对于上级或者有关部门的检查，可以根据每次检查的标准，提前制定策略自查，及时整改，更可以灵活多变的制定不同检查强度的标准。不断丰富完善的CheckList知识库启明星辰多年安全服务经验积累，形成了国内最完善的专业安全服务体系和专业安全服务方法论，制定了完善详细的安全配置检查点。不断丰富基线配置检查系统Checklist知识库，同时可根据不同行业相关基线规范，对知识库实现定制管理，匹配各行业安全配置需求。高效的多协议支持提供SSH/Telnet/SMB/RDP/JDBC/Agent/WinRm等协议支持SMB

18、是基于NetBIOS的API，所有的Windows 操作系统都支持SMB协议，使用SMB协议对windows操作系统进行基线检查不需要安装代理服务和启动特定的服务，并且配置方便防火墙默认放行445端口，可以实现点对点检查也可以实现批量检查。RDP是微软终端服务应用的协议，服务端基于win2000/winNT。协议基于T.128（T.120协议族）提供多通道通信。自定义端口：通常情况下，世界上的所有黑客都知道终端服务器使用的是端口3389进行RDP通信。在这种情况下，提高终端服务器环境安全以及抵御黑客攻击的最快方法就是更改这种默认端口分配设置。支持广泛：所有Windows主机都支持RDP轻量级部

19、署：不需要安装代理服务或启动特定服务强大的自动探测功能系统可自动探测被核查的操作系统类型及版本，并自动发现中间件及数据库的安装路径，节约数据采集录入的时间，更智能更准确。智能的错误提醒机制区别与其它厂商产品，启明星辰安全配置核查系统提出全新的错误消息机制，核查失败时准确定位错误，提升产品核查效率。与安全管理平台的无缝整合安全配置核查管理系统可与现有的启明星辰安全管理平台进行无缝整合，可作为子模块完成基线检查的工作，也可通过安全管理平台下发基线检查策略，驱动基线管理平台共同完成安全运营管理工作。同时安全基线配置核查系统检查结果可以返回安全管理平台管理，安全管理平台可以针对安全基线的不同检查规范和

20、不同检查目的的检查结果进行过程管控，了解基线检查配置弱点的整改过程情况，为安全管理工作提供更有利的过程管控信息产品功能基础平台安全配置核查管理系统模块组成：资产管理、配置核查、策略管理、级联管理、参考知识管理、系统管理、用户管理、权限管理。资产管理系统提供资产管理功能，可以对网络中的管理对象资产进行管理。除基本资产信息外，用户还可以自定义资产标签，按照自定义维度展示，实现资产的可视化。配置核查配置核查是本系统的核心模块，主要按照核查作业的维度进行管理，主要考虑用户对于设备的管理细粒度和网络复杂度，从这两个维度出发，实现多种方式的核查任务管理：立即扫描：从资产入手，立即检查，并对检查结果及时呈现

21、，并完成历次检查情况的展现、结果对比分析。定时扫描：针对组合的检查任务指定在某个时间开始核查，需要指定被检查的设备群,并对检查结果进行呈现，提供对比分析及趋势分析。周期扫描：针对组合的检查任务提供周期性核查，需要指定被检查的设备群以及周期形态（每小时、每天、每周、每月），并对检查结果进行呈现，提供对比分析及趋势分析。离线扫描：1.离线脚本：在目标主机上运行脚本并把结果导入到任务中即可，实现vbs和session log方式。2.离线采集器，将任务下发到离线采集器，携带离线采集器到达目标网络执行任务后将结果上传回管理中心代理核查：可将Windows/linux系统部署代理方式，完成核查。任务启动

22、后可实时作业的进度百分比，针对每个核查失败的设备，将提供错误信息，以便及时掌握失败原因，及时调整执行，错误信息包括：连接超时，路由不可达协议与登录端口不匹配不能打开到主机的连接账号或者密码填写错误不是内部或外部命令，也不是可运行的程序路由不可达协议与登录端口不匹配主机没有开启相应的访问协议账号密码有误或者不允许特权账号远程登录登录失败切换用户失败，密码填写错误切换的用户不存在切换用户失败，切换命令不正确核查策略提供跨设备类型的组合方式，可依据不同的规范要求或检查重点自定义核查策略，依据策略中的设备类型匹配到核查对象来完成核查作业。对于每个设备的每个检查项提供如下属性帮助：分类、重要性、权重、核

23、查内容描述、判断步骤、判断说明、加固方案。权重参与配置核查评估分的算法级联管理级联管理分为两张模式:一种是与分布式采集器的级联，系统平台自身默认提供本地采集器，同时可添加或删除离线或在线采集器，对采集器集中管理，管理范围包括：采集器地址、运行时间、CPU利用率、内存情况。对于管理的采集器可直接查看其正在执行的任务信息，核查扫描设备的情况，任务状态等信息。另一种是与其它配置核查系统实现上下级级联，上级可下发任务及策略到下级，下级根据策略完成核查并上报结果，上级可实施实时监控下级的核查情况，并且可以将任务下发到下级节点的分布式采集器，完成深层的级联。参考知识管理提供按设备类型的检查项知识管理，便于

24、管理及运维人员学习参考，为安全核查的工作开展提供支撑。系统管理系统具有丰富的自身配置管理功能，包括自身安全配置、系统运行参数配置、审计资源配置等。系统具有系统自身运行监控与告警、系统日志记录等功能。用户及权限管理系统提供三权分立的设计，内置系统管理员、用户管理员和审计管理员。系统提供用户集中管理的功能，对用户可以访问的资源进行细致的权限划分，具备安全可靠的分级及分类用户管理功能，支持用户的身份认证、授权、用户口令修改等功能。不同的操作员具有功能操作权限。产品价值全面掌控IT系统建设风险，提供有力运维支持安全配置核查管理系统可以全面实现IT系统建设脆弱性管理，为IT系统建设和发展提供有力的支持。

25、结合安全基线管理功能，推进新业务IT系统规范流程化管理。结合安全基线管理功能，促进原有IT系统的检查、整改和约束。实现安全管理工作的同步实施、发展的规范化和流程化。全面提高工作效率，缩短风险存在时间安全配置核查管理系统可以实现复杂网络多设备的自动化和周期性检查，大大缩短人工检查的时间，自动进行数据的收集比对，并提供丰富详实的报表数据，对配置漏洞项提供详细可靠的安全加固建议。使得日常安全检查可以自动化常态化，大大提高管理员的工作效率。安全配置核查管理系统提高工作效率的同时，大大缩短了业务系统和设备配置漏洞的存在时间，降低安全风险，保障了网络的安全运行。为弱点管理/脆弱性过程管控提供有力支撑安全配

26、置核查管理系统为脆弱性过程管控提供了有力的工具和数据支持，使得脆弱性过程管控变得可行。结合安全基线周期性检查和加固整改，安全管理可以全面的了解不同检查的周期性检查结果和过程整改结果，全面的掌握脆弱性的发展，同时也为IT系统建设和发展提供有力的过程指导依据。公司简介启明星辰公司成立于1996年，由留美博士严望佳女士创建，是国内最具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。2010年6月23日，启明星辰在深交所中小板正式挂牌上市。启明星辰拥有完善的专业安全产品线，横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域，共有百余个产品型号，并根据客户需求不断增加。启明星辰解决方案为客户的安全需求与信息安全产品、服务之间架起桥梁，将客户的安全保障体系与信息安全核心技术紧密相连，帮助其建立完善的安全保障体系。自2002年起，启明星辰就持续保持国内入侵检测、漏洞扫描市场占有率第一。近年来，发展成为国内统一威胁管理、安全管理平台国内市场第一位，安全性审计、安全专业服务市场领导者。目前，公司在全国各省市自治区设立三十多家分支机构，拥有