《安全三同步》由会员分享,可在线阅读,更多相关《安全三同步(8页珍藏版)》请在金锄头文库上搜索。
1、安全三同步之构建高效网络设备安全入网验收工作体系邱岚,陆松(中国移动通信集团广西有限公司,南宁,530022)摘 要: 为了防止设备“带病入网”,必须加强设备入网安全接入管理,落实安全配置基线要求和修补 漏洞,从而在设备入网前减少和消除安全隐患,有效预防和规避安全事故的发生,安全入网验收工作 必不可少。通过大量的工作实践,构建起了一套较为完善的网络设备安全入网验收工作体系,并开发 了自评估工具,将漏洞扫描、配置核查、关键信息监控、日常巡检等功能整合在一起,形成了一个高 度综合的风险评估工具。后期工作将深入关注如何才能保证工程建设部门高度重视并严格执行管理办 法,如何保证每个项目在上线前提交入网
2、验收申请工单,如何保证每个项目通过入网验收后才允许入 网。关键词:安全验收 安全风险 自评估Efficient Mechanism of network equipment Security inspection beforeLicensed to productionAbstract: In order to prevent the new network equipment, we must strengthen the network equipment security access management, the implementation of security configur
3、ation baseline requirements and fix the leak, resulting in the network equipment to reduce and eliminate potential safety hazard. In this article, we build up a relatively perfect network equipment security network inspection system, took vulnerability scanning, configuration verification, key infor
4、mation monitoring, routine inspection and other functions into together, formed a highly integrated risk assessment tool. Late work will pay more attention to how to guarantee the engineering construction department attaches great importance to management approach, how to ensure that each project in
5、 the line prior to network acceptance application job, how to ensure that each project through the acceptance before they are permitted to access the net.Keyword: Security inspection, Safety risk, Self assessment1. 引言随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全 威胁。为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工 作刻不容缓。
6、而为了防止设备“带病入网”,必须加强设备入网安全接入管理,落实安全 配置基线要求和修补漏洞,从而在设备入网前减少和消除安全隐患,有效预防和规避安全 事故的发生,安全入网验收工作必不可少。安全入网验收是指在通信网、业务网和各支 撑系统的 IT 设备新入网、设备扩容入网、设备调整进入生产现网运行前,对其进行网络 与系统安全方面的评估和验收。内容包括但不限于网络结构评估、设备配置检查、帐号 口令核查、设备安全功能检验、外部渗透测试等,过程包括评估、验收、问题的整改和 处理。本文通过大量的技术以及管理实践,构建起了一套较为完善的网络设备安全入网 验收工作体系。向安全三同步中“同步建设”迈出坚实的一步,
7、在全集团范围首次将安 全工作往前移到建设验收阶段,建立制度加强设备入网安全接入管理,有效防止设备“带 病入网”,安全工作从缺乏评估以及量化手段到标准化管理的跨越。该项工作经验入选中 国移动集团基础信息安全解决方案汇编,已在全集团范围推广。2. 设备安全入网验收的组织职责设备安全入网验收工作,三分看技术,七分看管理。按照“谁主管、谁负责,谁维 护、谁负责,谁使用、谁负责,谁接入、谁负责”的原则,制定通信网、业务网和各支 撑系统维护管理部门各自安排专人负责所辖系统安全验收工作。同时规定了安全验收的 管理部门、系统安全设计部门、安全验收需求部门和安全验收执行部门,在流程上形成 闭环,各部门的职责如下
8、。2.1 安全验收管理部门根据集团要求及本地实际情况制定、细化、更新安全验收管理办法,定期组织宣 贯、学习;监督、检查广西公司安全验收执行情况;参与项目设计评审,配合项目管 理单位开展系统安全设计,提出明确的审核意见。2.2 系统安全设计部门在项目规划阶段,系统设计在满足业务功能的同时,从软硬件、网络结构、业务 逻辑、应急恢复等多方面考虑系统的安全性。例如:冗余备份、多链路、严密的业务 流程、紧急情况优先保证关键功能等。配套安全系统应与业务系统“同步规划、同步 建设、同步运行”,不能滞后业务系统发展,以避免安全漏洞。同时为使各类网络安全 管理办法能够更好的执行,在项目建设的设计阶段按照相关安全
9、规范进行设计,满足 安全管理和安全规范要求,由项目管理部门在设计阶段填写相关表格同时组织相关维 护单位的安全人员参与项目设计会审,维护单位必须参与设计和审核,同时必须提出 明确的审核意见和改进的具体要求,设计会审纪要中应明确在网络与信息安全方面的 审核意见。2.3 安全验收需求部门在安全验收前按规定落实安全配置要求,提出对准备入网设备的安全验收请求, 同时提供验收必需材料。此外,安全验收需求部门还应对安全验收结果进行确认,并 对需整改的问题进行限期整改,对整改不了的遗留问题督促设备供应商/系统集成商进 行备案,备案材料需对无法进行整改的问题进行说明,设备供应商/系统集成商需承诺 对于遗留问题可
10、能引发的信息安全问题负责并盖章确认,一式四份,分别归档至设备 供应商、安全验收需求部门、设备入网安全验收管理部门和系统维护部门。2.4 安全验收执行部门负责审核、确认验收工单,拟定验收方案;负责对入网验收工单的设备清单进行 必要的安全检查,提出相关检查报告;核查入网设备需求部门所提供验收必需材料是 否真实和是否符合安全验收标准;输出安全验收报告,提出入网意见;督促安全验收 需求部门对遗留问题进行整改,对完成整改的系统进行再次验收,并对遗留问题归档 做好确认工作。3. 设备安全入网验收工作流程安全验收需求部门应该在完成设备安全配置后申请安全方面的评估和验收,提交 入网安全验收任务工单,提交新设备
11、安全验收所需相关文档。安全验收执行部门自收 到入网安全验收工单后5个工作日内,组织相关人员组成验收小组,按本细则的安全 验收内容及标准进行验收,完成入网设备的安全评估,并提供验收报告及入网意见。 如该申请不符合审批条件,则不允许接入现网。如果在需求紧急等特殊情况下,经部 门领导特批许可后可予以批准,并同时要求需求部门制定整改计划和提供备案证明, 在完成整改前应实施有效的替代措施。图1安全入网验收流程本地具体的设备安全入网验收工作涉及到一方面的内容,包括安全域检 查、物理安全检查、账号安全检查,服务端口检查、防火墙策略检查、防病毒软 件检查、系统日志安全检查、漏洞扫描检查、安全配置检查、弱口令检
12、查、渗透 测试,各项工作均明确规定输出文档及检查内容,检查标准均有明确规定。网绪层泵统层应用层图2安全入网验收内容列表4. 安全入网验收工作关键点4.1账号安全检査所有操作系统、业务系统、数据库、网络设备等均需要支持基于帐号的访 问控制功能。所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥 善的保护。各网络/系统应能保存帐号增删、权限更改和登陆信息等有关安全内 容的日志。该日志的保存期限应不小于2年。各网络/系统应建立密码规则控制, 以保证密码规则的有效实施(如能自动拒绝创建不符合安全设置条件的帐号和口 令)。如系统本身无法实现该功能,必须加强人工安全管理,保证不存在不符合 安全设置
13、条件的帐号和口令。4.2防火墙策略检査根据项目基本信息表确认需要进行防火墙检查的资产范围。针对确定 的资产使用手工检查手段,采集各防火墙的配置文件,分析配置访问规则时,源 地址、目的地址的以及协议端口范围必须以实际访问需求为前提,尽可能的缩小 范围,以最小化权限的原则配置防护墙策略,不存在不明策略。安全验收需求部 门对所确定资产进行申报,明确防火墙策略的用途、访问规则的源地址和目的地 址的范围、访问端口使用的协议,填写防火墙策略检查表4.3防病毒软件检査根据项目基本信息表,确认需要进行防病毒软件检查的资产范围,即安 装了 Windows 操作系统的各类资产。针对确定的资产使用本地检测手段,记录
14、防 病毒软件的全称,记录防病毒软件详细版本号,记录当前防病毒库版本信息。如 发现未安装防病毒软件,必须及时安装。如当前已安装的防病毒软件的病毒库版 本未更新到最新,必须按照要求更新到最新的病毒库。安全验收需求部门对所确 定资产进行申报,明确各 Windows 系统当前已安装的防病毒软件名称,以及防病 毒软件版本和当前病毒库版本,填写防病毒软件检查表。4.4 防渗透测试按入网安全验收管理办法的要求,对网站系统进行模拟黑客的真实攻击 方法对系统和网络进行非破坏性质的攻击性测试,发现网站系统中存在的未知漏 洞,可以对信息系统的安全性得到较深的感性认知,有助于后续的安全建设,也 可以用于验证经过安全保
15、护后的网络是否真实的达到了预定安全目标、遵循了安 全策略。5. 自评估工具的应用5.1 安全入网验收的工作中的实际困难5.1.1 技能要求较高由于检查内容较多,包括帐号安全检查、服务端口检查、防病毒软件检查、 漏洞扫描检查、安全配置检查和弱口令检查等多个方面,不同检查内容需要使用 不同的安全检查工具(例如:帐号安全检查、服务端口使用命令和防病毒软件检 查通过人工方式进行检查、漏洞扫描检查使用漏洞扫描系统检查,安全配置检查 使用配置核查工具,弱口令检查使用 john 工具等),这样需要安全检查人员具备 较高的专业技术技能、丰富的知识经验,这样导致占用安全骨干人员时间,不能 很好的将工作交给一般员
16、工完成。5.1.2耗时耗力标准化的输出文档与不同安全检查工具输出的文档存在区别,需要将每种类 型的报告进行人工转换,耗时耗力。5.1.3业务关联性差安全检查工具输出的报告基本上是静态的,在设备入网后不能进行关联,不 便于系统管理员判断。例如设备A由于业务原因存在一个不可修改的漏洞,在设 备入网安全验收时进行备案,但入网后,进行定期安全检查重复发现该问题,系 统管理员和安全员花很多精力最后才能核实该漏洞已备案,导致工作重复耗时。 5.2自评估工具的引入为解决上述问题,实现安全入网验收工作自动化,并且实现业务关联分析, 特地开发了自评估工具,将漏洞扫描、配置核查、关键信息监控、日常巡检等功 能整合在一起,形成了一个高度综合的风险评估工具。5.2.1以风险为核心整体评估自评估工具的功能覆盖了风险因素的各个方面。允许创建和分发综合风险评 估任务、整合输出评
