业务系统安全基线及其工具化解决方案

《业务系统安全基线及其工具化解决方案》由会员分享，可在线阅读，更多相关《业务系统安全基线及其工具化解决方案（9页珍藏版）》请在金锄头文库上搜索。

1、业务系统安全基线及其工具化解决方案业务系统安全基线及其工具化解决方案业务系统安全基线及其工具化解决方 案中联绿盟信息技术（北京）有限公司1 安全基线的理论基础FISMA 的全称是 The Federal Information Security Management Act （联邦信 息安全管理法案），是由美国国家标准和技术研究所（NIST）牵头制定.FISMA把责 任分配到各种各样的机构上来确保联邦政府的信息系统和数据安全。FISMA的推出 使得一直忽视计算机安全的联邦政府开始关注计算机安全。FISMA提出了一个包含八个步骤的信息安全生命周期模型,这个模型的执行过程 涉及面非常广泛且全面，但

2、实施、落地的难度也非常大。如图1所示,FISMA规范落 地的过程好像从高空到地面，真正实施起来非常复杂。图1 FISMA法案的落地为了实现FISMA法案的落地，由NIST牵头针对其中的技术安全问题提出了一套 自动化的计划称为 ISAP,information security automation program，来促进 FISMA 的执行，ISAP 出来后延伸出 SCAP 框架，securi ty con tent aut oma tion protocol, SCAP 框架由 CVE、CCE、CPE、XCCDF、OVAL、CVSS 等 6 个支撑标准构 成，检查的标准，一致性标准等，。这6

3、个支撑标准需要检查的内容、检查的方式 由NVD和NCP来提供，由此SCAP框架就实现了标准化和自动化安全检1252010中国通信业百个成功解决方案评选获奖方案查，及形成了一套针对系统的安全检查基线。SCAP及安全基线的最重要成果和成功案例当属FDCC, Federal Desk top CoreConfiguration,联邦桌面的核心配置，项目，FDCC是在美国政府支持下建立的桌 面系统Windows XP、Windows vis ta等，相关安全基线要求规范，并通过自动化的 工具进行检查.FDCC基于NVD、NCP等内容进行基线安全核查。NVD,National Vulnerability

4、 Database,国家漏洞数据库，为自动化漏洞管理、安全评估和合规 性检查提供数据支撑，包含安全核查名单、与安全相关的软件漏洞、配置错误以及 量化影响等。NVD数据库针对数据库中的漏洞等提出了一整套核查名单,Checklist,划归到 NCP, National Checklist Program，计划中.简言之 FDCC 体现了两个方面的特性，,标准化，在NVD、NCP的基础上，构建了一套针对桌面系统的安全基线，检查 项,这些检查项由安全漏洞、安全配置等有关检查内容构成,为标准化的技术安 全操作提供了框架。, 自动化,针对桌面系统的特性,采用标准化的检查内容和检查方法,通过自 动化的工具来

5、执行,为自动化的技术安全操作提供支持。NVD和NCP的逻辑关系如图2所示。图2 NVD和NCP逻辑关系综上，安全基线的重要理论基础之一就是美国的NVD以及SCAP体系。在运营 商行业中业务系统可以很容易地找到安全基线的应用价值,比如某运营商的智能网 系统在各省级公司中的业务应用环境、网络连接情况、内部组网结构、内部系统构 成等都存在很大的相似性，因此这就为构建一套运营商自身业务系统的“SCAP计划 提供了基础。2 安全基线的定义，1,安全基线的概念安全基线是一个信息系统的最小安全保证， 即该信息系统最基本需要满足的 安全要求.信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进 行平

6、衡， 而安全基线正是 126业务系统安全基线及其工具化解决方案 这个平衡的合理的分界线.不满足系统 最基本的安全需求, 也就无法承受由此带来的安全风险， 而非基本安全需求的满 足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全 工程的首要步骤， 同时也是进行安全评估、解决信息系统安全性问题的先决条 件。,2,安全基线的框架 在充分考虑行业的现状和行业最佳实践，并参考了运营商下发的各类安全政策 文件,继承和吸收了国家等级保护、风险评估的经验成果等基础上,构建出基于业务 系统的基线安全模型如图 3 所示.图 3 基线安全模型 基线安全模型以业务系统为核心，分为业务层、功能架

7、构层、系统实现层三层 架构，第一层是业务层，这个层面中主要是根据不同业务系统的特性,定义不同安全 防护的要求，是一个比较宏观的要求。第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系 统、网络设备、安全设备等不同的设备和系统模块，这些模块针对业务层定义的安 全防护要求细化为此层不同模块应该具备的要求。第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解，如将操 作系统可分解为 Windows、Solaris 等系统模块，网络设备分解为华为路由器、 Cisco 路由器等系统模块这些模块中又具体地把第二层的安全防护要求细化到 可执行和实现的要求,称为 Windows 安全

8、基线、华为路由器安全基线等。下面以运营商的WAP系统为例对模型的应用进行说明。1272010中国通信业百个成功解决方案评选获奖方案首先WAP系统要对互联网用户提供服务，存在互联网的接口，那么就会受到互联 网中各种蠕虫的攻击威胁,在第一层中就定义需要防范蠕虫攻击的要求。蠕虫攻击 的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在 可能的影响，因此在这些不同的模块中需要定义相对应的防范要求，而针对这些防 范要求，如何来实现呢，这就需要定义全面、有效的第三层模块要求了.针对不同类 型蠕虫病毒的威胁，在Windows、Solaris等系统的具体防范要求是不一样的，第三 层中就是针

9、对各种安全威胁针对不同的模块定义不同的防护要求，这些不同模块的 防护要求就统一称为WAP业务系统的安全基线。针对WAP业务系统安全基线的检查, 就可以转化为针对操作系统、网络设备等的脆弱性检查上面。，3，安全基线的内容 根据业界通行的一些安全风险评估方法及运营商日常安全维护经验，我们将安 全基线的内容分为三个方面，1，系统存在的安全漏洞。2，系统配置的脆弱性.3，系 统状态的检查。业务系统的安全基线由以上三方面必须满足的最小要求组成。具体 组成如图4所示。图4 安全基线的组成具体来说，安全基线的三个组成部分分别为，漏洞信息，漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险， 一般包括了

10、登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情 况处置错误等，反映了系统自身的安全脆弱性.由于漏洞信息由相应的国际标准如 CVE，Common Vulnerabilities Exposures ,公共漏洞和暴露,列出了各种已知的安全漏洞，因此系统的初始漏 洞安全基线可以采用通用标准.安全配置，通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日 志、IP通信等方面内容，反映了系统自身的安全脆弱性。在安全配置基线方面， 移动集团下发了操作系统安全配置规范、路由器安全配置规范、数据库安全配置规 范等一系列规范,因为系统初始安全配置基线可以采用集体下发的标准。系统重要状态，包

11、含系统端口状态、进程、账号以及重要文件变化的监控。这 些内容反映了系统当前所处环境的安全状况,有助于我们了解业务系统运行的动态 情况。由于系统状态基线随着业务应用不同而不同,没有标准模板可借鉴。我们通 过对系统的状态信息进行一个快照，128业务系统安全基线及其工具化解决方案 对非标准的进程端口、关键文件MD5 校验值等信息确认后作为初始的系统状态安全基线。业务系统的安全基线建立起来后,可以形成针对不同系统的详细漏洞要求和检查项,Checklist,为标准化和自动化的技术安全操作提供可操作和可执行的标 准。 3安全基线检查的工具化实现思路3。 1工具化安全检查的方式3.1。1远程检查远程检查通常

12、描述为漏洞扫描技术，主要是用来评估信息系统的安全性能,是 信息安全防御中的一项重要技术，其原理是采用不提供授权的情况下模拟攻击的形 式对目标可能存在的已知安全漏洞进行逐项检查,目标可以是终端设备、主机、网 络设备甚至数据库等应用系统，见图5。系统管理员可以根据扫描结果提供安全性 分析报告，为提高信息安全整体水平产生重要依据.图5远程检查示意图在远程评估技术方面，绿盟科技颇有建树。其中，绿盟科技的漏洞扫描产品曾 在移动集团组织的中外漏洞产品评测中名列第一,并获得了英国西海岸实验室的checkmark 认证。基于多年的安全服务实践经验,同时结合用户对安全评估产品的实际应用需 求，绿盟科技自主研发了

13、远程安全评估系统，它采用高效、智能的漏洞识别技术, 第一时间主动对网络中的资产进行细致深入的漏洞检测、分析,并给用户提供专 业、有效的漏洞防护建议,让攻击者无机可乘,是您身边专业的“漏洞管理专家”。 极光具有以下特点，,1,依托专业的NSFOCUS安全小组，综合运用NSIP, NSFOCUS IntelligentProf ile,等多种领先技术，自动、高效、及时准确地发现网络资产存在的安全漏 洞,，2,对发现的网络资产的安全漏洞进行详细分析,并采用权威的风险评估模型 将风险量化,给出专业的解决方案，,3，提供 Open VM， Open Vulnerability Management 开放

14、漏洞管理，工作流程平台,将先进的漏洞管理理念贯穿整个产品实现过程中，1292010中国通信业百个成功解决方案评选获奖方案,4,通过国际权威漏洞管理机构CVE最高级别认证CVE compatible,5，亚太地区唯一获得英国西海岸实验室安全认证的漏洞扫描产品， ,6，极光远程安全评估系统在业界的广泛认可，广泛应用于测评机构、运营 商、金融、政企等行业，在中国移动、金财工程等多个入围测评中排名第一。3.1。2 本地检查本地检查是基于目标系统的管理员权限，通过Telnet/SSH/SNMP、远程命令获取 等方式获取目标系统有关安全配置和状态信息，然后根据这些信息在检查工具本地 与预先制定好的检查要求

15、进行比较，分析符合情况,最后根据分析情况汇总出合规 性检查结果.见图 6。配置核查是本地检查最常见的一项内容。配置检查工具主要是针对 Windows、 Solaris等操作系统,华为、Cisco、Juniper等路由器和Oracle数据库进行安全 检查。检查项主要包括，账号、口令、授权、日志、IP协议等有关的安全特性.图 6 本地检查示意图绿盟科技配合移动集团在 2008年 11 月开发了中国移动安全配置核查工具。 中国移动针对业务系统的安全特性,制订了针对性的中国移动设备通用安全 功能和配置规范系列规范，以下简称配置规范,，规范的出台让运维人员有 了检查默认风险的标准，是整个安全基线的重要组

16、成部分.随着日常安全检查、合 规性安全检查的开展,面对业务系统内种类繁多、数量众多的设备、系统,如何快 速、有效的进行配置安全检查成为一个难题。运用这一产品可以对中国移动网络中 的操作系统、网络设备、数据库等配置规范符合性检查，从系统部署和集成的 层面规避缺省脆弱性的存在.目前，该工具在中国移动集团以及14个省公司运维中 使用。3.2 安全基线检查的工具化设计，1，安全基线检查工具框架 安全基线检查工具基于业务系统安全运行的要求,最低/基本,对目标系统的漏 洞、配置和重要状态进行检查。130业务系统安全基线及其工具化解决方案 从检查的方式上来看,分为远程检查和本地检查。远程检查体现为漏洞扫描的 过程，本地检查体现为对配置的检查和对重要状态的检查。因此,以检查手段为基 础,将安全基线检查分为安