安全三同步之構建高效網(wǎng)絡設備安全入網(wǎng)驗收工作體系1

1、安全三同步之構建高效網(wǎng)絡設備安全入網(wǎng)驗收工作體系 邱嵐，陸松 （中國移動通信集團廣西有限公司，南寧，530022）摘 要: 為了防止設備“帶病入網(wǎng)”，必須加強設備入網(wǎng)安全接入管理，落實安全配置基線要求和修補漏洞,從而在設備入網(wǎng)前減少和消除安全隱患，有效預防和規(guī)避安全事故的發(fā)生，安全入網(wǎng)驗收工作必不可少。通過大量的工作實踐，構建起了一套較為完善的網(wǎng)絡設備安全入網(wǎng)驗收工作體系，并開發(fā)了自評估工具，將漏洞掃描、配置核查、關鍵信息監(jiān)控、日常巡檢等功能整合在一起，形成了一個高度綜合的風險評估工具。后期工作將深入關注如何才能保證工程建設部門高度重視并嚴格執(zhí)行管理辦法，如何保證每個項目在上線前提交入網(wǎng)驗收申

2、請工單，如何保證每個項目通過入網(wǎng)驗收后才允許入網(wǎng)。關鍵詞:安全驗收 安全風險 自評估Efficient Mechanism of network equipment Security inspection before Licensed to production Abstract: In order to prevent the new network equipment, we must strengthen the network equipment security access management, the implementation of security configurat

3、ion baseline requirements and fix the leak, resulting in the network equipment to reduce and eliminate potential safety hazard. In this article, we build up a relatively perfect network equipment security network inspection system, took vulnerability scanning, configuration verification, key informa

4、tion monitoring, routine inspection and other functions into together, formed a highly integrated risk assessment tool. Late work will pay more attention to how to guarantee the engineering construction department attaches great importance to management approach, how to ensure that each project in t

5、he line prior to network acceptance application job, how to ensure that each project through the acceptance before they are permitted to access the net.Keyword: Security inspection, Safety risk, Self assessment1.引言隨著網(wǎng)絡和通信技術的快速發(fā)展，網(wǎng)絡互聯(lián)與開放、信息共享帶來了日益增長的安全威脅。為了企業(yè)乃至國家的網(wǎng)絡與信息安全，為了保障客戶利益，加強各方面的安全工作刻不容緩。而為了防止

6、設備“帶病入網(wǎng)”，必須加強設備入網(wǎng)安全接入管理，落實安全配置基線要求和修補漏洞,從而在設備入網(wǎng)前減少和消除安全隱患，有效預防和規(guī)避安全事故的發(fā)生，安全入網(wǎng)驗收工作必不可少。安全入網(wǎng)驗收是指在通信網(wǎng)、業(yè)務網(wǎng)和各支撐系統(tǒng)的IT設備新入網(wǎng)、設備擴容入網(wǎng)、設備調(diào)整進入生產(chǎn)現(xiàn)網(wǎng)運行前，對其進行網(wǎng)絡與系統(tǒng)安全方面的評估和驗收。內(nèi)容包括但不限于網(wǎng)絡結構評估、設備配置檢查、帳號口令核查、設備安全功能檢驗、外部滲透測試等，過程包括評估、驗收、問題的整改和處理。本文通過大量的技術以及管理實踐，構建起了一套較為完善的網(wǎng)絡設備安全入網(wǎng)驗收工作體系。向安全三同步中“同步建設”邁出堅實的一步，在全集團范圍首次將安全工作往

7、前移到建設驗收階段，建立制度加強設備入網(wǎng)安全接入管理，有效防止設備“帶病入網(wǎng)”，安全工作從缺乏評估以及量化手段到標準化管理的跨越。該項工作經(jīng)驗入選中國移動集團基礎信息安全解決方案匯編，已在全集團范圍推廣。2.設備安全入網(wǎng)驗收的組織職責設備安全入網(wǎng)驗收工作，三分看技術，七分看管理。按照“誰主管、誰負責，誰維護、誰負責，誰使用、誰負責，誰接入、誰負責”的原則，制定通信網(wǎng)、業(yè)務網(wǎng)和各支撐系統(tǒng)維護管理部門各自安排專人負責所轄系統(tǒng)安全驗收工作。同時規(guī)定了安全驗收的管理部門、系統(tǒng)安全設計部門、安全驗收需求部門和安全驗收執(zhí)行部門，在流程上形成閉環(huán)，各部門的職責如下。2.1安全驗收管理部門根據(jù)集團要求及本地實

8、際情況制定、細化、更新安全驗收管理辦法，定期組織宣貫、學習；監(jiān)督、檢查廣西公司安全驗收執(zhí)行情況；參與項目設計評審，配合項目管理單位開展系統(tǒng)安全設計，提出明確的審核意見。2.2系統(tǒng)安全設計部門在項目規(guī)劃階段，系統(tǒng)設計在滿足業(yè)務功能的同時，從軟硬件、網(wǎng)絡結構、業(yè)務邏輯、應急恢復等多方面考慮系統(tǒng)的安全性。例如：冗余備份、多鏈路、嚴密的業(yè)務流程、緊急情況優(yōu)先保證關鍵功能等。配套安全系統(tǒng)應與業(yè)務系統(tǒng)“同步規(guī)劃、同步建設、同步運行”，不能滯后業(yè)務系統(tǒng)發(fā)展，以避免安全漏洞。同時為使各類網(wǎng)絡安全管理辦法能夠更好的執(zhí)行，在項目建設的設計階段按照相關安全規(guī)范進行設計，滿足安全管理和安全規(guī)范要求，由項目管理部門在設

9、計階段填寫相關表格同時組織相關維護單位的安全人員參與項目設計會審，維護單位必須參與設計和審核，同時必須提出明確的審核意見和改進的具體要求，設計會審紀要中應明確在網(wǎng)絡與信息安全方面的審核意見。2.3安全驗收需求部門在安全驗收前按規(guī)定落實安全配置要求，提出對準備入網(wǎng)設備的安全驗收請求，同時提供驗收必需材料。此外，安全驗收需求部門還應對安全驗收結果進行確認，并對需整改的問題進行限期整改，對整改不了的遺留問題督促設備供應商/系統(tǒng)集成商進行備案，備案材料需對無法進行整改的問題進行說明，設備供應商/系統(tǒng)集成商需承諾對于遺留問題可能引發(fā)的信息安全問題負責并蓋章確認，一式四份，分別歸檔至設備供應商、安全驗收需

10、求部門、設備入網(wǎng)安全驗收管理部門和系統(tǒng)維護部門。2.4安全驗收執(zhí)行部門負責審核、確認驗收工單，擬定驗收方案；負責對入網(wǎng)驗收工單的設備清單進行必要的安全檢查，提出相關檢查報告；核查入網(wǎng)設備需求部門所提供驗收必需材料是否真實和是否符合安全驗收標準；輸出安全驗收報告，提出入網(wǎng)意見；督促安全驗收需求部門對遺留問題進行整改，對完成整改的系統(tǒng)進行再次驗收，并對遺留問題歸檔做好確認工作。3.設備安全入網(wǎng)驗收工作流程安全驗收需求部門應該在完成設備安全配置后申請安全方面的評估和驗收，提交入網(wǎng)安全驗收任務工單，提交新設備安全驗收所需相關文檔。安全驗收執(zhí)行部門自收到入網(wǎng)安全驗收工單后5個工作日內(nèi)，組織相關人員組成驗

11、收小組，按本細則的安全驗收內(nèi)容及標準進行驗收，完成入網(wǎng)設備的安全評估，并提供驗收報告及入網(wǎng)意見。如該申請不符合審批條件，則不允許接入現(xiàn)網(wǎng)。如果在需求緊急等特殊情況下，經(jīng)部門領導特批許可后可予以批準，并同時要求需求部門制定整改計劃和提供備案證明，在完成整改前應實施有效的替代措施。圖1 安全入網(wǎng)驗收流程本地具體的設備安全入網(wǎng)驗收工作涉及到十一方面的內(nèi)容，包括安全域檢查、物理安全檢查、賬號安全檢查，服務端口檢查、防火墻策略檢查、防病毒軟件檢查、系統(tǒng)日志安全檢查、漏洞掃描檢查、安全配置檢查、弱口令檢查、滲透測試，各項工作均明確規(guī)定輸出文檔及檢查內(nèi)容，檢查標準均有明確規(guī)定。圖2 安全入網(wǎng)驗收內(nèi)容列表4.

12、安全入網(wǎng)驗收工作關鍵點4.1賬號安全檢查 所有操作系統(tǒng)、業(yè)務系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備等均需要支持基于帳號的訪問控制功能。所有需要使用口令的應用軟件、業(yè)務軟件都需要對口令文件提供妥善的保護。各網(wǎng)絡/系統(tǒng)應能保存帳號增刪、權限更改和登陸信息等有關安全內(nèi)容的日志。該日志的保存期限應不小于2年。各網(wǎng)絡/系統(tǒng)應建立密碼規(guī)則控制，以保證密碼規(guī)則的有效實施（如能自動拒絕創(chuàng)建不符合安全設置條件的帳號和口令）。如系統(tǒng)本身無法實現(xiàn)該功能，必須加強人工安全管理，保證不存在不符合安全設置條件的帳號和口令。4.2防火墻策略檢查根據(jù)項目基本信息表，確認需要進行防火墻檢查的資產(chǎn)范圍。針對確定的資產(chǎn)使用手工檢查手段，采集各防火

13、墻的配置文件，分析配置訪問規(guī)則時，源地址、目的地址的以及協(xié)議端口范圍必須以實際訪問需求為前提，盡可能的縮小范圍，以最小化權限的原則配置防護墻策略，不存在不明策略。安全驗收需求部門對所確定資產(chǎn)進行申報，明確防火墻策略的用途、訪問規(guī)則的源地址和目的地址的范圍、訪問端口使用的協(xié)議，填寫防火墻策略檢查表。4.3防病毒軟件檢查根據(jù)項目基本信息表，確認需要進行防病毒軟件檢查的資產(chǎn)范圍，即安裝了Windows操作系統(tǒng)的各類資產(chǎn)。針對確定的資產(chǎn)使用本地檢測手段，記錄防病毒軟件的全稱，記錄防病毒軟件詳細版本號，記錄當前防病毒庫版本信息。如發(fā)現(xiàn)未安裝防病毒軟件，必須及時安裝。如當前已安裝的防病毒軟件的病毒庫版本未

14、更新到最新，必須按照要求更新到最新的病毒庫。安全驗收需求部門對所確定資產(chǎn)進行申報，明確各Windows系統(tǒng)當前已安裝的防病毒軟件名稱，以及防病毒軟件版本和當前病毒庫版本，填寫防病毒軟件檢查表。4.4防滲透測試按入網(wǎng)安全驗收管理辦法的要求，對網(wǎng)站系統(tǒng)進行模擬黑客的真實攻擊方法對系統(tǒng)和網(wǎng)絡進行非破壞性質(zhì)的攻擊性測試，發(fā)現(xiàn)網(wǎng)站系統(tǒng)中存在的未知漏洞，可以對信息系統(tǒng)的安全性得到較深的感性認知，有助于后續(xù)的安全建設，也可以用于驗證經(jīng)過安全保護后的網(wǎng)絡是否真實的達到了預定安全目標、遵循了安全策略。信息收集 本地信息收集 權限提升 清除循環(huán)輸出報告 滲透測試圖3 滲透測試過程5.自評估工具的應用5.1安全入網(wǎng)

15、驗收的工作中的實際困難技能要求較高由于檢查內(nèi)容較多，包括帳號安全檢查、服務端口檢查、防病毒軟件檢查、漏洞掃描檢查、安全配置檢查和弱口令檢查等多個方面，不同檢查內(nèi)容需要使用不同的安全檢查工具（例如：帳號安全檢查、服務端口使用命令和防病毒軟件檢查通過人工方式進行檢查、漏洞掃描檢查使用漏洞掃描系統(tǒng)檢查，安全配置檢查使用配置核查工具，弱口令檢查使用john工具等），這樣需要安全檢查人員具備較高的專業(yè)技術技能、豐富的知識經(jīng)驗，這樣導致占用安全骨干人員時間，不能很好的將工作交給一般員工完成。耗時耗力標準化的輸出文檔與不同安全檢查工具輸出的文檔存在區(qū)別，需要將每種類型的報告進行人工轉換，耗時耗力。業(yè)務關聯(lián)性

16、差安全檢查工具輸出的報告基本上是靜態(tài)的，在設備入網(wǎng)后不能進行關聯(lián)，不便于系統(tǒng)管理員判斷。例如設備A由于業(yè)務原因存在一個不可修改的漏洞，在設備入網(wǎng)安全驗收時進行備案，但入網(wǎng)后，進行定期安全檢查重復發(fā)現(xiàn)該問題，系統(tǒng)管理員和安全員花很多精力最后才能核實該漏洞已備案，導致工作重復耗時。5.2 自評估工具的引入為解決上述問題，實現(xiàn)安全入網(wǎng)驗收工作自動化，并且實現(xiàn)業(yè)務關聯(lián)分析，特地開發(fā)了自評估工具，將漏洞掃描、配置核查、關鍵信息監(jiān)控、日常巡檢等功能整合在一起，形成了一個高度綜合的風險評估工具。以風險為核心整體評估自評估工具的功能覆蓋了風險因素的各個方面。允許創(chuàng)建和分發(fā)綜合風險評估任務、整合輸出評估結果報表

17、。風險評估任務包括漏洞掃描、配置核查和日常巡檢三方面內(nèi)容，創(chuàng)建任務的時候是以設備為索引的，既要考慮綜合性又要考慮靈活性，既可以創(chuàng)建包含三類工作的綜合任務，也可以創(chuàng)建只包含單一工作的任務。任務創(chuàng)建后，根據(jù)具體的內(nèi)容自動分發(fā)給相應的功能模塊去執(zhí)行。評估結果報表的輸出是以任務為導向的，既考慮了綜合性需要也兼顧了靈活性。對應綜合任務，可以針對其中的子任務輸出評估結果報表。圖3 評估結果界面以面向業(yè)務的動態(tài)基線為評估方法自評估工具中的基線概念有別于傳統(tǒng)意義上的安全基線概念，它綜合了各種風險因素，同時又面向業(yè)務并動態(tài)變化。圖4 基線管理界面自評估工具對初次上線的設備都會生成一個安全基線，并保存到基線庫里。

18、后續(xù)的評估都會以這個基線為參照點，確定風險是否存在。如果有突破基線的情況存在，視為有安全風險。運維人員也可以將最近的評估結果保存為新的基線，或手工修改基線項目的取值，以完成對基線的更新和修改。應用自評估工具后，安全入網(wǎng)驗收的大部分操作從手工變?yōu)樽詣踊瘓?zhí)行，大大提高了工作效率。項目名稱應用前耗時應用后耗時帳號安全檢查總耗時（包括檢查和輸出報表）30分鐘10分鐘服務端口總耗時（包括檢查和輸出報表）240分鐘10分鐘防病毒軟件檢查總耗時（包括檢查和輸出報表）30分鐘10分鐘漏洞掃描檢查總耗時（包括檢查和輸出報表）180分鐘10分鐘安全配置檢查總耗時（包括檢查和輸出報表）90分鐘10分鐘小計570分鐘50分鐘表2 應用自評