安全配置核查系统测评工具指导书-1.0版

密级内部测评指导书等级保护测评工具安全配置核查系统HD-DＪCP-AＱＨC-2011０９10０1Ｖ1.０贵州亨达集团信息安全技术有限公司文档编号：HD-DJCP-AQHC-2011091001文档名称：安全配置核查系统测评工具指导书V1.0©2011贵州亨达集团信息安全技术有限公司版本说明修订人修订内容修订时间版本号审阅人测评服务部初稿２0１1—09-10V1.0文档信息文档名称安全配置核查系统测评工具指导书V１．0文档编号HD-ＤJCP-AQHC-20１1091001文档版本号1．0保密级别内部扩散范围内部扩散批准人版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属贵州亨达集团信息安全技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经贵州亨达集团信息安全技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。-PAGE1- 目录TＯC＼o”1—3＂\h\z\uHＹPＥRＬＩＮK\l”_Tｏｃ3082680９5"1工具简介３0826８095\h2HＹPEＲLIＮK＼l"_Toc30８2６809６”２设备安装指导ＰAGEREF＿Tｏc308268０96\ｈ2HYPERLINK\l”＿Ｔoc30８2６8097"2．１设备面板说明PAGEＲEF_Toc308268097\h2HYＰERLＩNK\l”_Ｔoc3082６8098”2。２设备部署方式ＰAGERＥＦ_Ｔｏc30８２68098＼h3HYPEＲLINK\l"_Ｔoc308２680９9＂2.２设备登陆说明PAGERＥＦ_Toc3082680９９\h4HYPERLＩNK\l"＿Tｏc30826810０"3设备操作说明PAGEＲＥF_Tｏc308２6810０＼h６HYPERＬINK＼l＂_Tｏｃ３0８２6８1０１＂3.１用户管理ＰAGERＥF＿Ｔoc308２6810１\h6HＹＰERLINK＼l"_Tｏc30826８10２”3．2用户权限划分３0826８10２＼h6HYPＥRLIＮK\l”_Ｔoc３08２6８10３"３。3模板管理PAＧERＥF_Tｏc3082６８10３\h7HＹＰＥRLIＮK\ｌ＂_Toc3082６８10４”3.４创建任务ＰAＧＥREＦ_Toc308268104\ｈ9HYPEＲＬINK＼l”_Tｏc3０826８10５”3.5创建空任务ＰＡGEＲEＦ_Toc308268１05\ｈ1０HYPERＬIＮK＼l"_Toｃ3０8268106"3。6创建正常任务PAGＥREＦ_Ｔoc３０826810６\ｈ１0ＨYPEＲLINK＼l"_Ｔoc308268107＂3.7获取主机信息PAＧＥREF＿Ｔoc308２6８１０7\h14HＹPERLＩＮK＼l”_Toc308268１08”４报表分析PＡＧＥRＥＦ_Toｃ30８26８１08\ｈ16HYＰERLINK＼ｌ”_Ｔoｃ3０826８１09"4。1在线报表PAGEREF＿Toc3082６8109\h16HYPEＲLINK\l”_Tｏc3０82６8１1０"4。１。1任务列表概览PAGEREF＿Toc3０８２68110\h16ＨYＰＥRLIＮK\l”_Toc３08２６８１11"4.１．2主机列表PＡGERＥF_Tｏc３0８268１1１＼h16HYPERLINK\l＂＿Ｔoc3０8268112＂4.１.3主机信息PAGEＲＥF_Toc30826８112\h１7HYPERLＩNK\l"＿Ｔoｃ308268113”４.2报表输出PAＧEＲEF＿Ｔoｃ308２68１１3\h１８HYPEＲＬINK\l"_Ｔｏc30８2６8114"5数据保存PAＧERＥＦ_Toc3０８268114\ｈ20HＹPERＬINK\l"_Ｔoc３08268１1５”附录A设备出厂参数PAGEREＦ_Tｏc3０８2681１5\ｈ21HYPERＬINK\ｌ"＿Tｏc3082６8116＂Ａ.1初始网络设置８2６8116\h２1HYPＥRLIＮK\l"_Toc308268117＂Ａ.2初始用户帐号PAGEＲＥＦ＿Toc308２68117\h２１HＹＰERＬIＮK＼l"＿Toｃ3082６8118＂A。3串口通讯参数PAGEREF＿Ｔoc308268118\h21文档编号：HD-DJCP-AQHC-2011091001文档名称：安全配置核查系统测评工具指导书V1.0工具简介绿盟安全配置核查系统(NSFOＣUSBenchｍarkＶerificationSｙｓteｍ,简称：NSＦOCUSBＶS）。ＮＳFOＣUSBVS具备完善的安全配置库,采用高效、智能的识别技术,主动实现对网络资产设备自动化的安全配置检测、分析,并生成专业的安全配置建议与合规性报表。NSＦＯＣUSBVＳ能帮助测评机构了解被测机构的信息系统的安全状况从而提出有针对性的强化安全建议。设备安装指导设备面板说明BVS的硬件外观如图２.１所示，产品硬件的前面板如图2。２所示(实际产品会因批次不同而略有不同）。图２.1BVS产品硬件外观图２.2ＢVS前面板2.2设备部署方式请根据实际的网络结构,将BVＳ设备接入网络,请根据自己网络的拓扑结构加以调整,如图２.３所示。图２.３BVＳ的网络部署图接入网络时,需注意以下几点:使用网络直连线连接交换机和AURＯRABVS设备的扫描口(SＣAＮ口）。AUROＲABVS设备无论接入网络何处都能使用，但考虑到使用性能建议将其接入到公司主干网的交换机上.使用网络直连线将AUＲORAＢVS设备连接到公司网络中．将ＡURＯRAＢＶS设备接入网络后请立即修改网络配置，适应所在网络。管理员也可以使用管理口（Ｃoｎｆig口）对AUＲOＲABVＳ设备进行管理。关于ＡURＯＲＡBVS设备各端口的出厂参数,请参见HＹＰEＲLINK\l"附录＂附录。设备登陆说明管理员将扫描接口配置完毕,即可将扫描接口接入网络，并在网络中的选择一台管理机,通过Web管理界面进行网络参数配置。下面介绍登录BVS的Ｗeｂ管理界面的操作方法:（1）确定客户端主机是否已正常联网．（2）打开浏览器IE，用HTＴPS方式连接BＶS的ＩP地址,例如：hｔtpｓ：//192。168．１．1．（３)回车后出现如图2。4所示界面，单击【是】，接受BVＳ证书加密的通道。图2。４登录Weｂ管理界面时的安全警报弹出框(４）在如图２.5所示的登录界面中,输入初始用户名和密码,单击【确认】。图2.5BVS的Web登录界面(5)成功登录后,进入ＡURORABVS的Web管理界面（以任务管理员user登录为例）,如图2．6所示。图2.6成功登录AURORABVS后的Weｂ管理界面设备操作说明用户管理使用系统管理员aｄｍin账户登陆，选择菜单【系统】【用户管理】,进入用户列表的页面。如下图所示，初始状态下用户列表中只有系统自带的四个用户.３。2用户权限划分BVS包括四类用户:任务管理员、审计管理员、报表管理员和系统管理员，它们的权限如下表所示。用户名权限任务管理员uｓer创建评估任务、查看任务信息、检查任务结果、报表输出、系统管理(查看系统状态、重启系统、关闭系统、查看授权注册信息)、查看日志、下载配置规范检查脚本、常用工具的使用、升级设置/（自定义)审计管理员auditor日志审计（查看日志、删除日志、导出日志)报表管理员reportoｒ查看任务信息、检查任务结果、报表输出、修改报表信息(修改使用模板配置检查项的分值和主机检查结果)系统管理员aｄｍin模板管理（新建模板、编辑模板、删除模板、导入模板、导出模板）、用户管理(创建任务管理员、删除任务管理员、编辑除auｄitｏr以外的用户）、系统管理（证书的导入／导出、查看系统状态、重启系统、关闭系统、查看授权注册信息、网络配置、系统时间设置、升级设置、任务还原、系统服务)3。３模板管理模板是用来检查和展示ＡUROＲABVS报表信息的规范,根据不同的证书,系统自带的模板也不同,主要包括以下六类：Ｗｉｎdows配置规范、Solariｓ配置规范、Oracle配置规范、JuniｐeｒＲoｕter配置规范、CｉscoRouter配置规范和HｕaweiＲouter配置规范。只有系统管理员ａdmin有权限对模板进行管理操作。选择菜单【系统】【模板参数】,进入模板管理的页面，如图3.1所示.图３。１模板管理增加模板增加模板有以下两种方法:方法一(１)在页面左侧的模板列表下方，单击【增加模板】，输入模板名称并选择模板类型.(２)单击刚刚添加成功的模板名称,并在页面右侧选择检查项以及设置分值权重．(３)新的模板定制完毕,单击右下方的【保存】。方法二（1)在模板列表中，单击某个缺省模板，进入该模板内容的页面。（2）在该模板内容的右下角,单击【另存为】,输入新的模板名称并保存.(3)单击刚刚另存的模板名称,并在页面右侧选择检查项以及设置分值权重。（4)新的模板定制完毕,单击右下方的【保存】。修改模板在模板列表中，单击某个模板名称,并在页面右侧重新选择检查项以及设置分值权重,完成后单击右下方的【保存】。系统自带的报表模板不允许修改。删除模板在模板列表的“操作”一栏下,单击图标确定后即可将对应的报表模板删除。3.４创建任务只有任务管理员（Usｅr)有权限创建任务。选择菜单【新建任务】,进入创建任务的页面,如图3.2所示。图3。２创建任务创建任务时,各项参数含义如下:任务名称—-检查任务的名称。检查目标-－接受安全配置检查的主机（具体配置方法请参见HYPＥＲＬＩNK＼l”创建正常任务"4。２创建正常任务).保存密码——选择是，表示检查目标的登录密码被自动保存,任务结束后可以进行重新检查的操作;否则，将不保存检查目标的登录密码，任务结束后无法重新检查。设备信息-—填写本次检查目标的设备管理人、所属部门、设备用户和备注信息(可选项)。创建任务时,页面上方的红色字体会提示目前允许用户扫描的ＩP范围．通过修改用户信息可以修改允许扫描的ＩP范围.3。5创建空任务ＢＶS允许创建空任务（即没有实际检查目标的任务）,任务管理员可以进入该任务参数的页面,通过导入单个主机的检查结果文件到该任务,然后自动生成相应的报表。导入单个主机检查结果的文件导入单个主机检查结果的文件创建评估任务–导入数据到空任务中3。6创建正常任务创建正常任务,即在创建任务的页面中单击【增加主机】，设置检查目标的各项参数,并显示目前系统授权IＰ数量。选择不同的配置规范模板，需要设置不同的参数,下面分别介绍。Winｄows配置规范创建任务–设置Ｗindoｗs配置规范模板的任务参数Winｄoｗs配置规范模板的任务参数含义如下:选择行业-－目前,只能选择中国移动（此项与产品证书有关)。类型/端口－—检查目标的登录方式和端口号。IＰ范围-—检查目标的IＰ地址.一个检查目标最多支持一个C类网段,例如：19２。168.*.*（具体的填写格式请参见页面的帮助说明)．用户名／密码－—登录检查目标主机的用户名和密码。Windows配置规范模板支持域用户登录检查,登录方式是intra\guｅsｔ.Sｏｌaris配置规范选中此项，表示使用SU用户登录，保证检查任务拥有完整的执行权限选中此项，表示使用SU用户登录，保证检查任务拥有完整的执行权限。创建任务–设置Ｓolarｉs配置规范模板的任务参数Solaris配置规范模板的任务参数含义,与Wｉndoｗs配置规范模板的基本相同。Orａｃle配置规范选中此项，表示以指定的Oracle超级用户权限登录选中此项，表示以指定的Oracle超级用户权限登录创建任务–设置Ｏracle配置规范模板的任务参数Oraｃle配置规范模板的任务参数含义,与Windoｗs配置规范模板的基本相同.ＪuniｐｅrRouｔer配置规范创建任务–设置JunipeｒRouｔer配置规范模板的任务参数JｕnipｅrRoutｅr配置规范模板的任务参数含义,与Windows配置规范模板的基本相同.CiｓcoRouter配置规范缺省选中此项，必须设置Enable密码缺省选中此项，必须设置Enable密码创建任务–设置CiscoRoｕter配置规范模板的任务参数CiscoRoｕｔer配置规范模板的任务参数含义,与Wｉｎｄows配置规范模板的基本相同。HuａｗeiRｏuter配置规范创建任务–设置ＨｕaｗeｉＲｏuｔeｒ配置规范模板的任务参数HuａweiRoｕteｒ配置规范模板的任务参数含义，与Wｉndows配置规范模板的基本相同。3。7获取主机信息选择菜单【系统】【下载执行】,即可下载配置规范检查工具，便于任务管理员在被检查的主机上执行本地检查任务,获取主机信息。如下图所示,列出了当前系统自带和用户自定义的配置规范检查工具，单击“操作"一栏下的图标即可下载对应的配置规范检查工具。创建任务–配置规范检查工具列表配置规范检查工具下载完毕，即可执行本地检查任务,操作方法如下:（1)将下载的配置规范检查工具文件解压缩,然后运行文件win.bat(运行过程中不要关闭窗口).(２)win.baｔ运行完毕,自动关闭窗口,同时在该目录下自动生成一个XML文件(以被检查主机IP命名),文件中包含了该主机被检查的所有信息。（3）任务管理员登录AURORAＢＶＳ,创建一个空任务并进入任务参数页面,将刚刚生成的主机检查结果文件导入，即可生成相应的报表。报表分析４.１在线报表任务列表概览在任务列表中，单击任务名称即可查看当前任务的在线报表，并可以根据检查目标的IP或者任务名称进行任务的筛选查询，如下所示在线报表管理操作导入任务根据IP地址或任务名称进行筛选单击任务名称在线报表管理操作导入任务根据IP地址或任务名称进行筛选单击任务名称，进入该任务的在线报表任务列表主机列表在主机列表中，默认列出当前被检查全部主机的IP地址、主机名、操作系统、平均符合读和风险平均分,如下图所示.在主机列表页面的底部，单击【保存为EXＣEL】,即可将当前任务的主机列表信息保存为ｘls格式的文件下载到本地。报表分析–主机列表主机信息在主机列表中，单击某个主机的ＩP地址，即可查看它的详细检查信息,包括主机概况(包括IP地址、