業(yè)務(wù)系統(tǒng)安全基線及其工具化解決方案

1、業(yè)務(wù)系統(tǒng)安全基線及其工具化解決方案業(yè)務(wù)系統(tǒng)安全基線及其工具化解決方案業(yè)務(wù)系統(tǒng)安全基線及其工具化解決方案中聯(lián)綠盟信息技術(shù)（北京）有限公司1安全基線的理論基礎(chǔ)FISMA的全稱是 The Federal Information Security Management Act（ 聯(lián)邦信 息安全管理法案），是由美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）牽頭制定。FISMAf巴責(zé)任 分配到各種各樣的機(jī)構(gòu)上來確保聯(lián)邦政府的信息系統(tǒng)和數(shù)據(jù)安全。FISMA的推出使得一直忽視計(jì)算機(jī)安全的聯(lián)邦政府開始關(guān)注計(jì)算機(jī)安全。FISMA提出了一個(gè)包含八個(gè)步驟的信息安全生命周期模型，這個(gè)模型的執(zhí)行過程涉及面非常廣泛且全面，但實(shí)施、落

2、地的難度也非常大。如圖1所示,FISMA規(guī)范落地的過程好像從高空到地面，真正實(shí)施起來非常復(fù)雜。h> iji ap *1 ： 1«1 x圖1 FISMA法案的落地為了實(shí)現(xiàn)FISMA法案的落地,由NIST牽頭針對(duì)其中的技術(shù)安全問題提出了一套自動(dòng)化的計(jì)戈U稱為 ISAP,information security automation program, 來促進(jìn) FISMA的執(zhí)行,ISAP 出來后延伸出 SCAFPI架,security content automationprotocol,SCAP 框架由 CVE CCE CPE XCCDF OVAL CVSS=? 6 個(gè)支撐標(biāo)準(zhǔn)構(gòu)成,

3、 檢查的標(biāo)準(zhǔn)，一致性標(biāo)準(zhǔn)等，。這6個(gè)支撐標(biāo)準(zhǔn)需要檢查的內(nèi)容、檢查的方式由 NVD 和NC詠提供，由此SCAP®架就實(shí)現(xiàn)了標(biāo)準(zhǔn)化和自動(dòng)化安全檢 【工工工：1252010中國(guó)通信業(yè)百個(gè)成功解決方案評(píng)選獲獎(jiǎng)方案查，及形成了一套針對(duì)系統(tǒng)的安全檢查基線。SCA吸安全基線的最重要成果和成功案例當(dāng)屬FDCC,Federal Desktop CoreConfiguration,聯(lián)邦桌面的核心配置，項(xiàng)目，F(xiàn)DCC是在美國(guó)政府支持下建立的桌面 系統(tǒng),Windows XP、Windows vista等，相關(guān)安全基線要求規(guī)范，并通過自動(dòng)化的工 具進(jìn)行檢查。FDCCS于NVD NC將內(nèi)容進(jìn)行基線安全核查。NV

4、D,National Vulnerability Database,國(guó)家漏洞數(shù)據(jù)庫(kù)，為自動(dòng)化漏洞管理、安全評(píng)估和合規(guī)性檢查提供數(shù)據(jù)支撐，包含安全核查名單、與安全相關(guān)的軟件漏洞、配置錯(cuò)誤以及量 化影響等。NVDK據(jù)庫(kù)針對(duì)數(shù)據(jù)庫(kù)中的漏洞等提出了一整套核查名單Checklist,劃歸到NCP,National Checklist Program, 計(jì)劃中。簡(jiǎn)言之FDCCft現(xiàn)了兩個(gè)方面 的特性，,標(biāo)準(zhǔn)化,在NVD NCP勺基礎(chǔ)上，構(gòu)建了一套針對(duì)桌面系統(tǒng)的安全基線，檢查 項(xiàng),，這些檢查項(xiàng)由安全漏洞、安全配置等有關(guān)檢查內(nèi)容構(gòu)成 ，為標(biāo)準(zhǔn)化的技術(shù)安全 操作提供了框架。自動(dòng)化,針對(duì)桌面系統(tǒng)的特性，采用標(biāo)準(zhǔn)化

5、的檢查內(nèi)容和檢查方法，通過自動(dòng)化的工具來執(zhí)行，為自動(dòng)化的技術(shù)安全操作提供支持。NVDf口 NCP勺邏輯關(guān)系如圖2所示圖2 NVD和NCP®輯關(guān)系綜上，安全基線的重要理論基礎(chǔ)之一就是美國(guó)的 NVDW及SCAPES。在運(yùn)營(yíng)商 行業(yè)中業(yè)務(wù)系統(tǒng)可以很容易地找到安全基線的應(yīng)用價(jià)值，比如某運(yùn)營(yíng)商的智能網(wǎng)系統(tǒng)在各省級(jí)公司中的業(yè)務(wù)應(yīng)用環(huán)境、網(wǎng)絡(luò)連接情況、內(nèi)部組網(wǎng)結(jié)構(gòu)、內(nèi)部系統(tǒng)構(gòu)成 等都存在很大的相似性，因此這就為構(gòu)建一套運(yùn)營(yíng)商自身業(yè)務(wù)系統(tǒng)的“ SCAP計(jì)劃 提供了基礎(chǔ)。2安全基線的定義,1,安全基線的概念安全基線是一個(gè)信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿足的安 全要求。信息系統(tǒng)安全往往需

6、要在安全付出成本與所能夠承受的安全風(fēng)險(xiǎn)之間進(jìn)行 平衡，而安全基線正是126業(yè)務(wù)系統(tǒng)安全基線及其工具化解決方案這個(gè)平衡的合理的分界線。不滿足系統(tǒng)最基本的安全需求，也就無法承受由此帶來的安全風(fēng)險(xiǎn)，而非基本安全需求的滿 足同樣會(huì)帶來超額安全成本的付出，所以構(gòu)造信息系統(tǒng)安全基線己經(jīng)成為系統(tǒng)安全 工程的首要步驟，同時(shí)也是進(jìn)行安全評(píng)估、解決信息系統(tǒng)安全性問題的先決條件。,2,安全基線的框架在充分考慮行業(yè)的現(xiàn)狀和行業(yè)最佳實(shí)踐，并參考了運(yùn)營(yíng)商下發(fā)的各類安全政策文件，繼承和吸收了國(guó)家等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)成果等基礎(chǔ)上，構(gòu)建出基于業(yè)務(wù)圖3基線安全模型基線安全模型以業(yè)務(wù)系統(tǒng)為核心，分為業(yè)務(wù)層、功能架構(gòu)層、系統(tǒng)實(shí)現(xiàn)

7、層三層架構(gòu)，第一層是業(yè)務(wù)層，這個(gè)層面中主要是根據(jù)不同業(yè)務(wù)系統(tǒng)的特性，定義不同安全防 護(hù)的要求，是一個(gè)比較宏觀的要求。第二層是功能架構(gòu)層，將業(yè)務(wù)系統(tǒng)分解為相對(duì)應(yīng)的應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等不同的設(shè)備和系統(tǒng)模塊 ，這些模塊針對(duì)業(yè)務(wù)層定義的安 全防護(hù)要求細(xì)化為此層不同模塊應(yīng)該具備的要求。第三層是系統(tǒng)實(shí)現(xiàn)層，將第二層模塊根據(jù)業(yè)務(wù)系統(tǒng)的特性進(jìn)一步分解，如將操作 系統(tǒng)可分解為 Windows Solaris等系統(tǒng)模塊,網(wǎng)絡(luò)設(shè)備分解為華為路由器、Cisco 路由器等系統(tǒng)模塊這些模塊中又具體地把第二層的安全防護(hù)要求細(xì)化到可執(zhí)行 和實(shí)現(xiàn)的要求,稱為Windows安全基線、華為路由器安全基線

8、等。下面以運(yùn)營(yíng)商的WA陳統(tǒng)為例對(duì)模型的應(yīng)用進(jìn)行說明。an1272010中國(guó)通信業(yè)百個(gè)成功解決方案評(píng)選獲獎(jiǎng)方案首先WA朦統(tǒng)要對(duì)互聯(lián)網(wǎng)用戶提供服務(wù)，存在互聯(lián)網(wǎng)的接口，那么就會(huì)受到互聯(lián) 網(wǎng)中各種蠕蟲的攻擊威脅，在第一層中就定義需要防范蠕蟲攻擊的要求。蠕蟲攻擊 的防護(hù)要求對(duì)于功能架構(gòu)層的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)、安全設(shè)備等都存在 可能的影響，因此在這些不同的模塊中需要定義相對(duì)應(yīng)的防范要求 ，而針對(duì)這些防范 要求，如何來實(shí)現(xiàn)呢，這就需要定義全面、有效的第三層模塊要求了。針對(duì)不同類型 蠕蟲病毒的威脅，在Windows Solaris等系統(tǒng)的具體防范要求是不一樣的，第三層 中就是針對(duì)各種安全威脅針對(duì)不同

9、的模塊定義不同的防護(hù)要求，這些不同模塊的防護(hù)要求就統(tǒng)一稱為WA業(yè)務(wù)系統(tǒng)的安全基線。針對(duì) WA磯務(wù)系統(tǒng)安全基線的檢查， 就可以轉(zhuǎn)化為針對(duì)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等的脆弱性檢查上面。,3,安全基線的內(nèi)容根據(jù)業(yè)界通行的一些安全風(fēng)險(xiǎn)評(píng)估方法及運(yùn)營(yíng)商日常安全維護(hù)經(jīng)驗(yàn)，我們將安全基線的內(nèi)容分為三個(gè)方面，1,系統(tǒng)存在的安全漏洞。2,系統(tǒng)配置的脆弱性。3,系統(tǒng)狀態(tài)的檢查。業(yè)務(wù)系統(tǒng)的安全基線由以上三方面必須滿足的最小要求組成。具體組成如圖4所示。5趟斜數(shù)據(jù)滯追於T班配置應(yīng)用嘉統(tǒng)配置財(cái)笫系統(tǒng)配近空全也需旭'置喃囪蹄圖4安全基線的組成具體來說，安全基線的三個(gè)組成部分分別為，漏洞信息，漏洞通常是由于軟件或協(xié)議等系統(tǒng)

10、自身存在缺陷引起的安全風(fēng)險(xiǎn)般包括了登錄漏洞、拒絕服務(wù)漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況 處置錯(cuò)誤等，反映了系統(tǒng)自身的安全脆弱性。由于漏洞信息由相應(yīng)的國(guó)際標(biāo)準(zhǔn)如CVE,Common Vulnerabilities &Exposures ,公共漏洞和暴露，列出了各種已知的安全漏洞，因此系統(tǒng)的初始漏 洞安全基線可以采用通用標(biāo)準(zhǔn)。安全配置，通常都是由于人為的疏忽造成，主要包括了賬號(hào)、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。在安全配置基線方面，移動(dòng)集團(tuán)下發(fā)了操作系統(tǒng)安全配置規(guī)范、路由器安全配置規(guī)范、數(shù)據(jù)庫(kù)安全配置規(guī)范 等一系列規(guī)范，因?yàn)橄到y(tǒng)初始安全配置基線可

11、以采用集體下發(fā)的標(biāo)準(zhǔn)。系統(tǒng)重要狀態(tài)，包含系統(tǒng)端口狀態(tài)、進(jìn)程、賬號(hào)以及重要文件變化的監(jiān)控。這些內(nèi)容反映了系統(tǒng)當(dāng)前所處環(huán)境的安全狀況，有助于我們了解業(yè)務(wù)系統(tǒng)運(yùn)行的動(dòng)態(tài) 情況。由于系統(tǒng)狀態(tài)基線隨著業(yè)務(wù)應(yīng)用不同而不同，沒有標(biāo)準(zhǔn)模板可借鑒。我們通 過對(duì)系統(tǒng)的狀態(tài)信息進(jìn)行一個(gè)快照，128業(yè)務(wù)系統(tǒng)安全基線及其工具化解決方案 對(duì)非標(biāo)準(zhǔn)的進(jìn)程端口、關(guān)鍵文件 MD5校驗(yàn)值等信息確認(rèn)后作為初始的系統(tǒng)狀態(tài)安全基線。業(yè)務(wù)系統(tǒng)的安全基線建立起來后，可以形成針對(duì)不同系統(tǒng)的詳細(xì)漏洞要求和檢查項(xiàng),Checklist,為標(biāo)準(zhǔn)化和自動(dòng)化的技術(shù)安全操作提供可操作和可執(zhí)行的標(biāo)準(zhǔn)。3安全基線檢查的工具化實(shí)現(xiàn)思路3.1 工具化安全檢查的方

12、式3.1.1 遠(yuǎn)程檢查遠(yuǎn)程檢查通常描述為漏洞掃描技術(shù)，主要是用來評(píng)估信息系統(tǒng)的安全性能，是信 息安全防御中的一項(xiàng)重要技術(shù)，其原理是采用不提供授權(quán)的情況下模擬攻擊的形式 對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查 ，目標(biāo)可以是終端設(shè)備、主機(jī)、網(wǎng)絡(luò) 設(shè)備甚至數(shù)據(jù)庫(kù)等應(yīng)用系統(tǒng)，見圖5。系統(tǒng)管理員可以根據(jù)掃描結(jié)果提供安全性分JLk機(jī)1界州 UM3 t軸傳M #1118圖5遠(yuǎn)程檢查示意圖在遠(yuǎn)程評(píng)估技術(shù)方面，綠盟科技頗有建樹。其中，綠盟科技的漏洞掃描產(chǎn)品曾在移動(dòng)集團(tuán)組織的中外漏洞產(chǎn)品評(píng)測(cè)中名列第一,并獲得了英國(guó)西海岸實(shí)驗(yàn)室的checkmark 認(rèn)證。基于多年的安全服務(wù)實(shí)踐經(jīng)驗(yàn)，同時(shí)結(jié)合用戶對(duì)安全評(píng)估產(chǎn)品的實(shí)

13、際應(yīng)用需求， 綠盟科技自主研發(fā)了遠(yuǎn)程安全評(píng)估系統(tǒng)，它采用高效、智能的漏洞識(shí)別技術(shù)，第一時(shí)間主動(dòng)對(duì)網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行細(xì)致深入的漏洞檢測(cè)、分析，并給用戶提供專業(yè)、有效的漏洞防護(hù)建議，讓攻擊者無機(jī)可乘，是您身邊專業(yè)的“漏洞管理專家”。極光具有 以下特點(diǎn)，,1,依托專業(yè)的NSFOCUS全小組，綜合運(yùn)用NSIP,NSFOCUS IntelligentProfile,等多種領(lǐng)先技術(shù)，自動(dòng)、高效、及時(shí)準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)存在的安全漏洞，,2,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)資產(chǎn)的安全漏洞進(jìn)行詳細(xì)分析，并采用權(quán)威的風(fēng)險(xiǎn)評(píng)估模型將 風(fēng)險(xiǎn)量化，給出專業(yè)的解決方案，,3,提供Open VM,Open Vulnerability Manag

14、ement 開放漏洞管理，工作流程平 臺(tái),將先進(jìn)的漏洞管理理念貫穿整個(gè)產(chǎn)品實(shí)現(xiàn)過程中，:廠廠二1292010中國(guó)通信業(yè)百個(gè)成功解決方案評(píng)選獲獎(jiǎng)方案,4,通過國(guó)際權(quán)威漏洞管理機(jī)構(gòu) CVE最高級(jí)別認(rèn)證CVE compatible,5,亞太地區(qū)唯一獲得英國(guó)西海岸實(shí)驗(yàn)室安全認(rèn)證的漏洞掃描產(chǎn)品，,6,極光遠(yuǎn)程安全評(píng)估系統(tǒng)在業(yè)界的廣泛認(rèn)可，廣泛應(yīng)用于測(cè)評(píng)機(jī)構(gòu)、運(yùn)營(yíng)商、金融、政企等行業(yè)，在中國(guó)移動(dòng)、金財(cái)工程等多個(gè)入圍測(cè)評(píng)中排名第一。3.1.2 本地檢查本地檢查是基于目標(biāo)系統(tǒng)的管理員權(quán)限，通過Telnet/SSH/SNMR遠(yuǎn)程命令獲取 等方式獲取目標(biāo)系統(tǒng)有關(guān)安全配置和狀態(tài)信息，然后根據(jù)這些信息在檢查工具本地與

15、預(yù)先制定好的檢查要求進(jìn)行比較，分析符合情況，最后根據(jù)分析情況匯總出合規(guī)性 檢查結(jié)果。見圖6。配置核查是本地檢查最常見的一項(xiàng)內(nèi)容。配置檢查工具主要是針對(duì)WindowsSolaris等操作系統(tǒng)，華為、Cisco、Juniper等路由器和Oracle數(shù)據(jù)庫(kù)進(jìn)行安全檢查。檢查項(xiàng)主要包括，賬號(hào)、口令、授權(quán)、日志、IP協(xié)議等有關(guān)的安全特性。圖6本地檢查示意圖綠盟科技配合移動(dòng)集團(tuán)在2008年11月開發(fā)了中國(guó)移動(dòng)安全配置核查工具。中國(guó)移動(dòng)針對(duì)業(yè)務(wù)系統(tǒng)的安全特性，制訂了針對(duì)性的中國(guó)移動(dòng)設(shè)備通用安全 功能和配置規(guī)范系列規(guī)范，以下簡(jiǎn)稱配置規(guī)范,規(guī)范的出臺(tái)讓運(yùn)維人員有了 檢查默認(rèn)風(fēng)險(xiǎn)的標(biāo)準(zhǔn)，是整個(gè)安全基線的重要組成部

16、分。隨著日常安全檢查、合規(guī) 性安全檢查的開展，面對(duì)業(yè)務(wù)系統(tǒng)內(nèi)種類繁多、數(shù)量眾多的設(shè)備、系統(tǒng) ，如何快速、 有效的進(jìn)行配置安全檢查成為一個(gè)難題。運(yùn)用這一產(chǎn)品可以對(duì)中國(guó)移動(dòng)網(wǎng)絡(luò)中的操 作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等配置規(guī)范符合性檢查 ，從系統(tǒng)部署和集成的層面 規(guī)避缺省脆弱性的存在。目前，該工具在中國(guó)移動(dòng)集團(tuán)以及14個(gè)省公司運(yùn)維中使 用。3.2 安全基線檢查的工具化設(shè)計(jì),1,安全基線檢查工具框架安全基線檢查工具基于業(yè)務(wù)系統(tǒng)安全運(yùn)行的要求 ，最低/基本,，對(duì)目標(biāo)系統(tǒng)的漏洞、配置和重要狀態(tài)進(jìn)行檢查。130業(yè)務(wù)系統(tǒng)安全基線及其工具化解決方案從檢查的方式上來看，分為遠(yuǎn)程檢查和本地檢查。遠(yuǎn)程檢查體現(xiàn)為漏洞掃描的過

17、程，本地檢查體現(xiàn)為對(duì)配置的檢查和對(duì)重要狀態(tài)的檢查。因此，以檢查手段為基礎(chǔ) 將安全基線檢查分為安全漏洞檢查、安全配置檢查和重要狀態(tài)監(jiān)控。最終，工具以系統(tǒng)快照的方式獲得安全檢查的結(jié)果，并與安全基線比對(duì)，獲得當(dāng)前系統(tǒng)的安全狀況，并通過多次檢查的結(jié)果，梳理出系統(tǒng)的變化趨勢(shì)。安全松稅以展也化膽勢(shì)圖7安全基線檢查工具框架,2,安全基線的建立安全基線的建立是基于對(duì)業(yè)務(wù)系統(tǒng)的安全評(píng)估和基線梳理。安全漏洞，通常是屬于系統(tǒng)自身的問題引起的安全風(fēng)險(xiǎn)，一般包括了登錄漏洞、拒絕服務(wù)漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況處置錯(cuò)誤等，反映了系統(tǒng)自身的安全脆弱性。安全配置，通常都是由于人為的疏忽造成，主要包括了賬號(hào)、

18、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。安全配置方面與系統(tǒng)的相關(guān)性非常大，同一個(gè)配置項(xiàng)在不同業(yè)務(wù)環(huán)境中的安全配置要求是不一樣的，如在Web系統(tǒng)邊界防火墻中需要開啟 HTTP®信，但一個(gè)WA啊關(guān)邊界就沒有這樣的需求,因 此在設(shè)計(jì)業(yè)務(wù)系統(tǒng)安全基線的時(shí)候，安全配置是一個(gè)需要關(guān)注的重點(diǎn)。重要狀態(tài)，包括端口、進(jìn)程和重要文件，這些狀態(tài)的異?？赡芤馕吨鴣碜杂谕獠康母鞣N威脅因素，比如非法登錄嘗試、木馬后門、DDoS攻擊等都屬于安全異?；顒?dòng), 反映了系統(tǒng)當(dāng)前所處環(huán)境的安全狀況和可能存在的外部風(fēng)險(xiǎn)。,3,安全基線檢查的應(yīng)用業(yè)務(wù)系統(tǒng)的安全基線建立起來后，可以形成針對(duì)不同系統(tǒng)的詳細(xì)漏洞要求和 checklist要求，為標(biāo)準(zhǔn)化的技術(shù)安全操作提供了框架和標(biāo)準(zhǔn)。其應(yīng)用范圍非常廣 泛，主要包括新業(yè)務(wù)系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)性安全檢查，上級(jí)檢查，、日常安全檢查等。通過對(duì)目標(biāo)系統(tǒng)