諧潤配置核查系統(tǒng)技術建議書智恒科技

1、中國電信配置核查技術建議書中國電信2011555 號文件內容如下：根據(jù)關于印發(fā)中國電信通信網絡安全防護管理辦法的通知（中國電信2010531號）文件的規(guī)定，為了在工程驗收、運行維護、安全檢查等環(huán)節(jié)，規(guī)范并落實安全配置工作，集團公司組織編制操作系統(tǒng)、數(shù)據(jù)庫、應用中間件在內的通用安全配置要求?，F(xiàn)印發(fā)各省電信公司，從下發(fā)之日起執(zhí)行，相關要求如下：一、配置要求應用范圍 此配置要求是根據(jù)工信部頒布的安全防護標準、結合安全防護檢查現(xiàn)狀及主流安全廠商的配置規(guī)范編制的，是安全配置的通用基本要求。所有網絡系統(tǒng)及其相關配套設備、業(yè)務平臺、IT系統(tǒng)等在竣工驗收、日常運行過程中需遵循此配置要求。二、配置要求實施與問題

2、反饋 各省須根據(jù)實際情況，結合專業(yè)維護和安全作業(yè)計劃落實配置要求，并在實施過程中規(guī)避對業(yè)務的影響。請各省注意收集配置要求實施過程中遇到的問題，并通過集團公司網絡運行維護事業(yè)部生產指揮網站運維專題網絡安全防護專欄反饋，集團將跟蹤各省的應用情況并對相關問題及時解答。為了在工程驗收、運行維護、安全檢查等環(huán)節(jié)，規(guī)范并落實安全配置要求，中國電信編制了一系列的安全配置要求及操作指南（中國電信集團555號文），明確了操作系統(tǒng)、數(shù)據(jù)庫、應用中間件在內的通用安全配置要求及參考操作。 該系列安全配置要求及操作指南的結構及名稱如下： （1） 中國電信 Windows 操作系統(tǒng)安全配置要求及操作指南 （2） 中國電信

3、 AIX 操作系統(tǒng)安全配置要求及操作指南 （3） 中國電信 HP-UX 操作系統(tǒng)安全配置要求及操作指南 （4） 中國電信 Linux 操作系統(tǒng)安全配置要求及操作指南 （5） 中國電信 Solaris 操作系統(tǒng)安全配置要求及操作指南 （6） 中國電信 MS SQL server 數(shù)據(jù)庫安全配置要求及操作指南 （7） 中國電信 MySQL 數(shù)據(jù)庫安全配置要求及操作指南 （8） 中國電信 Oracle 數(shù)據(jù)庫安全配置要求及操作指南 （9） 中國電信 Apache 安全配置要求及操作指南 （10） 中國電信 IIS 安全配置要求及操作指南 （11） 中國電信 Tomcat 安全配置要求及操作指南 （1

4、2） 中國電信 WebLogic 安全配置要求及操作指南以上配置核查需要大量的人力對設備進行檢查，工作效率較低。為此，我們針對電信集團的555號文進行了相應產品的定制化開發(fā)智恒配置核查系統(tǒng)（簡稱SURERUN CVS系統(tǒng)），運用此系統(tǒng)可以實現(xiàn)自動化對網絡設備、操作系統(tǒng)和數(shù)據(jù)庫等與中國電信2011555號的符合性進行檢查，從系統(tǒng)部署和集成的層面規(guī)避缺省脆弱性的存在。通過對安全事件的分析，發(fā)現(xiàn)安全事件主要由3個方面引起，安全漏洞方面、安全配置方面，以及異常事件等方面。安全配置通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權、日志、IP通信等方面內容，反映了系統(tǒng)自身的安全脆弱性。由安全配置的不

5、足可能帶來非常多的安全隱患，因此對安全配置進行有效的檢查和加固成為整體安全體系建設中的重要一環(huán)。（安全漏洞和異常事件方面本文不做討論）中國電信2011555號對網絡設備、操作系統(tǒng)和數(shù)據(jù)庫三大類設備和系統(tǒng)功能和配置方面提出了基本和具體的安全要求。其中，配置要求適用于工程驗收和日常維護，中國電信集團希望通過配置核查系統(tǒng)進行配置的檢查，依據(jù)相應的配置規(guī)范自動發(fā)現(xiàn)配置錯誤，從而實現(xiàn)管理規(guī)定和流程信息化。針對中國電信集團制訂的中國電信2011555號系列規(guī)范，但在現(xiàn)網的實際落實的過程中，由于人員配備不足和技術能力不夠的情況，使得網絡中的設備、系統(tǒng)等很大一部分沒有有效的執(zhí)行造成規(guī)范在現(xiàn)網中存在較大的落地困

6、難。同時，每年集團公司對省公司的安全巡檢內容中也將涉及中國電信2011555號中的內容，檢查的結果直接關系到KPI考核。因此在省公司層面對中國電信2011555號的落地執(zhí)行非常關注。同時，鑒于中國電信網絡中的網絡設備、主機系統(tǒng)和數(shù)據(jù)庫具有很大的相似性，我們對于中國電信2011555號規(guī)范規(guī)定的配置核查要求進行定制化開發(fā)的核查工具完全可以應用到電信運營商的網絡中。與中國電信諸多合規(guī)性配置檢查規(guī)范類似的有美國的SCAP計劃。由NIST牽頭針對技術安全問題提出了一套自動化的計劃稱為ISAP（information security automation program）來促進FISMA的執(zhí)行，ISA

7、P出來后延伸出SCAP框架（security content automation protocol），SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6個支撐標準構成（檢查的標準，一致性標準等）。這6個支撐標準需要檢查的內容、檢查的方式由NVD和NCP來提供，由此SCAP框架就實現(xiàn)了標準化和自動化安全檢查，及形成了一套針對系統(tǒng)的安全檢查基線。FDCC（Federal Desktop Core Configuration，聯(lián)邦桌面的核心配置）是在美國政府以SCAP框架為基礎，建立的桌面系統(tǒng)（Windows XP、Windows vista等）相關安全基線要求規(guī)范，并通過自

8、動化的工具進行檢查。此項目被媒體譽為美聯(lián)邦最成功的安全項目，收到的成效顯著。中國電信集團的中國電信2011555號正是制定了一系列類似SCAP的核查規(guī)范，針對規(guī)范進行自動化檢查則成為SCAP在中國電信落地的體現(xiàn)。智恒配置核查系統(tǒng)，主要實現(xiàn)集中自動化的對省電信三大中心的網絡設備、數(shù)據(jù)庫、主機系統(tǒng)等設備的配置進行安全檢查，檢查的標準遵照中國電信2011555號中相應的檢查項進行。檢查后自動生成符合情況報告，并對不符合項提出詳細的改進方案。能為電信提供完善的網絡設備安全風險管理，提高電信各中心對新業(yè)務系統(tǒng)上線、第三方系統(tǒng)接入和日常安全運維檢查和加固的實際效果，并有效降低安全風險的發(fā)生概率。基于電信的

9、網絡系統(tǒng)現(xiàn)狀和組織結構，計劃采用多套硬件版智恒配置核查系統(tǒng)分級部署在網管中心、新業(yè)務開發(fā)中心和業(yè)務支撐中心內，實現(xiàn)分權分區(qū)自動化的配置安全核查。同時，為了實現(xiàn)對第三方接入系統(tǒng)、臨時測試系統(tǒng)的配置安全核查，以及滿足便攜配置安全核查的要求，為各個中心配置一套便攜版智恒配置核查系統(tǒng)。通過該方案的部署實施，形成省電信范圍內各中心設備配置安全核查數(shù)據(jù)的匯總與分析能力。通過分析處理匯總的核查數(shù)據(jù)，形成全面的安全配置現(xiàn)狀，利于有效利用資源，解決關鍵問題，降低系統(tǒng)的脆弱性，提高抗風險的能力。同時，也能周期性的根據(jù)集團公司的中國電信2011555號文件進行合規(guī)檢查，促進集團安全檢查的成果。配置安全核查系統(tǒng)部署示

10、意圖配置安全核查系統(tǒng)的組網模式比較簡單，可以將其旁路部署在既有網絡中。管理員通過WEB頁面登錄系統(tǒng)下達核查任務，檢查任務既可以遠程執(zhí)行也可以本地執(zhí)行。遠程執(zhí)行，通過Telnet、SMB、SSH、RDP、winrm等形式對待查設備進行配置安全核查，需要保證網絡IP可達，并提供待查設備的管理帳戶和口令；本地執(zhí)行，對于網絡中不便進行遠程核查的目標系統(tǒng)（linux、Windows系統(tǒng)），提供配套的自動化程序，可執(zhí)行程序在待查設備本地執(zhí)行后生成報表文件，然后導入到配置安全核查系統(tǒng)中進行匯總和分析。智恒配置核查系統(tǒng)的應用非常靈活，只要待查設備為支持范圍內的網絡設備、主機系統(tǒng)等，都能對依據(jù)集團公司的中國電信

11、2011555號進行合規(guī)性核查，就主要的應用情況來看，主要有以下幾種應用：1. 日常運維核查，對現(xiàn)有正在運行的系統(tǒng)設備進行定期檢查，發(fā)現(xiàn)配置漏洞和錯誤。2. 新上線系統(tǒng)核查，在新部署的系統(tǒng)設備上線之前進行必要的配置安全檢查，提前發(fā)現(xiàn)配置漏洞和錯誤。3. 第三方接入核查，對接入電信系統(tǒng)的第三方設備進行配置檢查，提前發(fā)現(xiàn)配置漏洞和錯誤。4. 重大事件前核查，在重大社會活動、集團安全巡檢等事件前期，對重點設備、系統(tǒng)進行配置安全核查，提前發(fā)現(xiàn)配置漏洞和錯誤。多類型設備安全配置核查能夠根據(jù)依據(jù)中國電信555號文規(guī)范，判斷待查設備的檢查項目達標與否，支持百分制對目標系統(tǒng)的達標情況進行打分?，F(xiàn)有智恒配置核查

12、系統(tǒng)的檢查對象涵蓋了：RedHat/SUSE/ Solaris/AIX/centos/Windows 2003/2008 Server中英文版本操作系統(tǒng)、Solaris 8/9/10中英文版本操作系統(tǒng)、思科交換機、華為交換機。LINUX系統(tǒng)檢查的內容包括以下部分，分類如下：1. 賬號2. 口令3. 授權4. 遠程登錄5. 補丁6. 日志7. 不必要的服務和端口8. 系統(tǒng)Banner設置9. 登錄超時時間設置10. 檢查是否刪除潛在危險文件11. FTP設置windows系統(tǒng)檢查的內容包括以下部分，分類如下：1. 賬號2. 口令3. 授權4. 補丁5. 防護軟件6. 防病毒軟件7. 日志安全要求

13、8. 不必要的服務9. 啟動項10. 關閉自動播放功能11. 共享文件夾12. 使用NTFS文件系統(tǒng)13. 網絡訪問14. 會話超時時間15. 注冊表設置對于集團公司中國電信2011555號中新增設備安全規(guī)范正式下發(fā)后，將在3個月內對智恒配置核查系統(tǒng)完成更新開發(fā)，并上線使用；對于集團公司中國電信2011555號中出現(xiàn)修改的設備安全規(guī)范，將在1個月完成更新開發(fā)，并上線使用。集中自動化的配置安全核查采用機器語言，運用遠程核查與本地核查相結合的方式，在多種復雜應用環(huán)境下均可實現(xiàn)自動化的大規(guī)模性安全配置檢查。支持協(xié)議自動識別，遠程通過Telnet、SMB、SSH、RDP、winrm等形式對待查設備進行

14、安全檢查，收集設備信息進行全面的合規(guī)分析；對于不能遠程檢查的目標系統(tǒng)，提供配套的自動化程序進行信息獲取，并能導入配置安全核查系統(tǒng)中與遠程核查任務統(tǒng)一進行匯總分析。多級多用戶分權使用針對現(xiàn)有省電信的組織結構和網絡環(huán)境中，支持多級多用戶分權使用。多管理員使用配置安全核查系統(tǒng)，對每個使用者能夠設定其允許檢查的范圍，檢查過程中不能對目標系統(tǒng)的配置進行任何修改，只能進行安全基線檢查工作。支持集中的管理員功能，能對所有配置安全核查的結果進行統(tǒng)一的查閱和分析。全面靈活的報表功能綜合運用歷史數(shù)據(jù)搜索、對比分析、匯總查看、趨勢分析等工具，不僅可直觀了解單個系統(tǒng)的問題分布及危害，還可同時掌握多個不同省、市公司、業(yè)務系統(tǒng)的綜合風險變化情況，從而最終做出安全對比評定?？蔀榫W絡安全狀況的評定和未來網絡建設提供了強有力的決策支撐。根據(jù)不同閱讀人員的需要生成各種自定義報告，提供所需的相關數(shù)據(jù)，從多個視角反映網絡的整體配置安全狀況?？蓪Σ煌臋z查點，定義不同的風險分值，對不安全配置分布、危害、平均符合度、設備信息等多視角進行細粒度的統(tǒng)計分析，生成基于不同角色、不同內容和不同格式的報表。配置加固指南針對每一條不符合規(guī)范的配置項，