業(yè)務系統(tǒng)安全基線及其工具化解決方案

業(yè)務系統(tǒng)安全基線及其工具化解決方案業(yè)務系統(tǒng)安全基線及其工具化解決方案業(yè)務系統(tǒng)安全基線及其工具化解決方案中聯(lián)綠盟信息技術(shù)（北京）有限公司1安全基線的理論基礎FISMA的全稱是TheFederalInformationSecurityManagementAct（聯(lián)邦信息安全管理法案），是由美國國家標準和技術(shù)研究所（NIST）牽頭制定。FISMA把責任分配到各種各樣的機構(gòu)上來確保聯(lián)邦政府的信息系統(tǒng)和數(shù)據(jù)安全.FISMA的推出使得一直忽視計算機安全的聯(lián)邦政府開始關(guān)注計算機安全.FISMA提出了一個包含八個步驟的信息安全生命周期模型,這個模型的執(zhí)行過程涉及面非常廣泛且全面，但實施、落地的難度也非常大。如圖1所示，F(xiàn)ISMA規(guī)范落地的過程好像從高空到地面，真正實施起來非常復雜。圖1FISMA法案的落地為了實現(xiàn)FISMA法案的落地，由NIST牽頭針對其中的技術(shù)安全問題提出了一套自動化的計劃稱為ISAP,informationsecurityautomationprogram，來促進FISMA的執(zhí)行，ISAP出來后延伸出SCAP框架,securitycontentautomationprotocol,,SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6個支撐標準構(gòu)成，檢查的標準，一致性標準等,.這6個支撐標準需要檢查的內(nèi)容、檢查的方式由NVD和NCP來提供，由此SCAP框架就實現(xiàn)了標準化和自動化安全檢1252010中國通信業(yè)百個成功解決方案評選獲獎方案查，及形成了一套針對系統(tǒng)的安全檢查基線。SCAP及安全基線的最重要成果和成功案例當屬FDCC,FederalDesktopCoreConfiguration,聯(lián)邦桌面的核心配置，項目，F(xiàn)DCC是在美國政府支持下建立的桌面系統(tǒng),WindowsXP、Windowsvista等，相關(guān)安全基線要求規(guī)范，并通過自動化的工具進行檢查。FDCC基于NVD、NCP等內(nèi)容進行基線安全核查。NVD,NationalVulnerabilityDatabase,國家漏洞數(shù)據(jù)庫，為自動化漏洞管理、安全評估和合規(guī)性檢查提供數(shù)據(jù)支撐，包含安全核查名單、與安全相關(guān)的軟件漏洞、配置錯誤以及量化影響等。NVD數(shù)據(jù)庫針對數(shù)據(jù)庫中的漏洞等提出了一整套核查名單,Checklist,,劃歸到NCP，NationalChecklistProgram，計劃中。簡言之FDCC體現(xiàn)了兩個方面的特性，，標準化，在NVD、NCP的基礎上，構(gòu)建了一套針對桌面系統(tǒng)的安全基線，檢查項，，這些檢查項由安全漏洞、安全配置等有關(guān)檢查內(nèi)容構(gòu)成,為標準化的技術(shù)安全操作提供了框架。,自動化,針對桌面系統(tǒng)的特性，采用標準化的檢查內(nèi)容和檢查方法，通過自動化的工具來執(zhí)行，為自動化的技術(shù)安全操作提供支持。NVD和NCP的邏輯關(guān)系如圖2所示.圖2NVD和NCP邏輯關(guān)系綜上,安全基線的重要理論基礎之一就是美國的NVD以及SCAP體系.在運營商行業(yè)中業(yè)務系統(tǒng)可以很容易地找到安全基線的應用價值，比如某運營商的智能網(wǎng)系統(tǒng)在各省級公司中的業(yè)務應用環(huán)境、網(wǎng)絡連接情況、內(nèi)部組網(wǎng)結(jié)構(gòu)、內(nèi)部系統(tǒng)構(gòu)成等都存在很大的相似性，因此這就為構(gòu)建一套運營商自身業(yè)務系統(tǒng)的“SCAP”計劃提供了基礎。2安全基線的定義1，安全基線的概念安全基線是一個信息系統(tǒng)的最小安全保證，即該信息系統(tǒng)最基本需要滿足的安全要求。信息系統(tǒng)安全往往需要在安全付出成本與所能夠承受的安全風險之間進行平衡，而安全基線正是126業(yè)務系統(tǒng)安全基線及其工具化解決方案這個平衡的合理的分界線。不滿足系統(tǒng)最基本的安全需求，也就無法承受由此帶來的安全風險，而非基本安全需求的滿足同樣會帶來超額安全成本的付出，所以構(gòu)造信息系統(tǒng)安全基線己經(jīng)成為系統(tǒng)安全工程的首要步驟，同時也是進行安全評估、解決信息系統(tǒng)安全性問題的先決條件.,2,安全基線的框架在充分考慮行業(yè)的現(xiàn)狀和行業(yè)最佳實踐，并參考了運營商下發(fā)的各類安全政策文件，繼承和吸收了國家等級保護、風險評估的經(jīng)驗成果等基礎上,構(gòu)建出基于業(yè)務系統(tǒng)的基線安全模型如圖3所示.圖3基線安全模型基線安全模型以業(yè)務系統(tǒng)為核心，分為業(yè)務層、功能架構(gòu)層、系統(tǒng)實現(xiàn)層三層架構(gòu),第一層是業(yè)務層，這個層面中主要是根據(jù)不同業(yè)務系統(tǒng)的特性，定義不同安全防護的要求，是一個比較宏觀的要求。第二層是功能架構(gòu)層，將業(yè)務系統(tǒng)分解為相對應的應用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡設備、安全設備等不同的設備和系統(tǒng)模塊，這些模塊針對業(yè)務層定義的安全防護要求細化為此層不同模塊應該具備的要求.第三層是系統(tǒng)實現(xiàn)層，將第二層模塊根據(jù)業(yè)務系統(tǒng)的特性進一步分解，如將操作系統(tǒng)可分解為Windows、Solaris等系統(tǒng)模塊，網(wǎng)絡設備分解為華為路由器、Cisco路由器等系統(tǒng)模塊……這些模塊中又具體地把第二層的安全防護要求細化到可執(zhí)行和實現(xiàn)的要求，稱為Windows安全基線、華為路由器安全基線等。下面以運營商的WAP系統(tǒng)為例對模型的應用進行說明。1272010中國通信業(yè)百個成功解決方案評選獲獎方案首先WAP系統(tǒng)要對互聯(lián)網(wǎng)用戶提供服務，存在互聯(lián)網(wǎng)的接口，那么就會受到互聯(lián)網(wǎng)中各種蠕蟲的攻擊威脅，在第一層中就定義需要防范蠕蟲攻擊的要求。蠕蟲攻擊的防護要求對于功能架構(gòu)層的操作系統(tǒng)、網(wǎng)絡設備、網(wǎng)絡架構(gòu)、安全設備等都存在可能的影響，因此在這些不同的模塊中需要定義相對應的防范要求，而針對這些防范要求，如何來實現(xiàn)呢，這就需要定義全面、有效的第三層模塊要求了.針對不同類型蠕蟲病毒的威脅，在Windows.Solaris等系統(tǒng)的具體防范要求是不一樣的，第三層中就是針對各種安全威脅針對不同的模塊定義不同的防護要求,這些不同模塊的防護要求就統(tǒng)一稱為WAP業(yè)務系統(tǒng)的安全基線.針對WAP業(yè)務系統(tǒng)安全基線的檢查,就可以轉(zhuǎn)化為針對操作系統(tǒng)、網(wǎng)絡設備等的脆弱性檢查上面。，3,安全基線的內(nèi)容根據(jù)業(yè)界通行的一些安全風險評估方法及運營商日常安全維護經(jīng)驗，我們將安全基線的內(nèi)容分為三個方面，1,系統(tǒng)存在的安全漏洞。2,系統(tǒng)配置的脆弱性。3,系統(tǒng)狀態(tài)的檢查。業(yè)務系統(tǒng)的安全基線由以上三方面必須滿足的最小要求組成。具體組成如圖4所示。圖4安全基線的組成具體來說，安全基線的三個組成部分分別為，漏洞信息，漏洞通常是由于軟件或協(xié)議等系統(tǒng)自身存在缺陷引起的安全風險，一般包括了登錄漏洞、拒絕服務漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況處置錯誤等，反映了系統(tǒng)自身的安全脆弱性。由于漏洞信息由相應的國際標準如CVE，CommonVulnerabilities&Exposures，公共漏洞和暴露，列出了各種已知的安全漏洞，因此系統(tǒng)的初始漏洞安全基線可以采用通用標準。安全配置，通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性.在安全配置基線方面，移動集團下發(fā)了操作系統(tǒng)安全配置規(guī)范、路由器安全配置規(guī)范、數(shù)據(jù)庫安全配置規(guī)范等一系列規(guī)范，因為系統(tǒng)初始安全配置基線可以采用集體下發(fā)的標準。系統(tǒng)重要狀態(tài)，包含系統(tǒng)端口狀態(tài)、進程、賬號以及重要文件變化的監(jiān)控。這些內(nèi)容反映了系統(tǒng)當前所處環(huán)境的安全狀況，有助于我們了解業(yè)務系統(tǒng)運行的動態(tài)情況。由于系統(tǒng)狀態(tài)基線隨著業(yè)務應用不同而不同，沒有標準模板可借鑒。我們通過對系統(tǒng)的狀態(tài)信息進行一個快照，128業(yè)務系統(tǒng)安全基線及其工具化解決方案對非標準的進程端口、關(guān)鍵文件MD5校驗值等信息確認后作為初始的系統(tǒng)狀態(tài)安全基線。業(yè)務系統(tǒng)的安全基線建立起來后，可以形成針對不同系統(tǒng)的詳細漏洞要求和檢查項,Checklist，，為標準化和自動化的技術(shù)安全操作提供可操作和可執(zhí)行的標準。3安全基線檢查的工具化實現(xiàn)思路3.1工具化安全檢查的方式3。1。1遠程檢查遠程檢查通常描述為漏洞掃描技術(shù)，主要是用來評估信息系統(tǒng)的安全性能，是信息安全防御中的一項重要技術(shù),其原理是采用不提供授權(quán)的情況下模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查，目標可以是終端設備、主機、網(wǎng)絡設備甚至數(shù)據(jù)庫等應用系統(tǒng)，見圖5。系統(tǒng)管理員可以根據(jù)掃描結(jié)果提供安全性分析報告，為提高信息安全整體水平產(chǎn)生重要依據(jù)。圖5遠程檢查示意圖在遠程評估技術(shù)方面，綠盟科技頗有建樹。其中，綠盟科技的漏洞掃描產(chǎn)品曾在移動集團組織的中外漏洞產(chǎn)品評測中名列第一，并獲得了英國西海岸實驗室的checkmark認證.基于多年的安全服務實踐經(jīng)驗，同時結(jié)合用戶對安全評估產(chǎn)品的實際應用需求，綠盟科技自主研發(fā)了遠程安全評估系統(tǒng)，它采用高效、智能的漏洞識別技術(shù)，第一時間主動對網(wǎng)絡中的資產(chǎn)進行細致深入的漏洞檢測、分析，并給用戶提供專業(yè)、有效的漏洞防護建議，讓攻擊者無機可乘，是您身邊專業(yè)的“漏洞管理專家”。極光具有以下特點，，1,依托專業(yè)的NSFOCUS安全小組，綜合運用NSIP，NSFOCUSIntelligentProfile，等多種領(lǐng)先技術(shù)，自動、高效、及時準確地發(fā)現(xiàn)網(wǎng)絡資產(chǎn)存在的安全漏洞，,2,對發(fā)現(xiàn)的網(wǎng)絡資產(chǎn)的安全漏洞進行詳細分析，并采用權(quán)威的風險評估模型將風險量化，給出專業(yè)的解決方案，,3,提供OpenVM,OpenVulnerabilityManagement開放漏洞管理，工作流程平臺，將先進的漏洞管理理念貫穿整個產(chǎn)品實現(xiàn)過程中，1292010中國通信業(yè)百個成功解決方案評選獲獎方案，4,通過國際權(quán)威漏洞管理機構(gòu)CVE最高級別認證 CVEcompatible，,5,亞太地區(qū)唯一獲得英國西海岸實驗室安全認證的漏洞掃描產(chǎn)品，，6,極光遠程安全評估系統(tǒng)在業(yè)界的廣泛認可，廣泛應用于測評機構(gòu)、運營商、金融、政企等行業(yè)，在中國移動、金財工程等多個入圍測評中排名第一。3。1。2本地檢查本地檢查是基于目標系統(tǒng)的管理員權(quán)限，通過Telnet/SSH/SNMP、遠程命令獲取等方式獲取目標系統(tǒng)有關(guān)安全配置和狀態(tài)信息，然后根據(jù)這些信息在檢查工具本地與預先制定好的檢查要求進行比較，分析符合情況，最后根據(jù)分析情況匯總出合規(guī)性檢查結(jié)果。見圖6。配置核查是本地檢查最常見的一項內(nèi)容.配置檢查工具主要是針對Windows.Solaris等操作系統(tǒng),華為、Cisco、Juniper等路由器和Oracle數(shù)據(jù)庫進行安全檢查.檢查項主要包括，賬號、口令、授權(quán)、日志、IP協(xié)議等有關(guān)的安全特性.圖6本地檢查示意圖綠盟科技配合移動集團在2008年11月開發(fā)了中國移動安全配置核查工具。中國移動針對業(yè)務系統(tǒng)的安全特性，制訂了針對性的《中國移動設備通用安全功能和配置規(guī)范》系列規(guī)范，以下簡稱《配置規(guī)范》，，規(guī)范的出臺讓運維人員有了檢查默認風險的標準，是整個安全基線的重要組成部分。隨著日常安全檢查、合規(guī)性安全檢查的開展，面對業(yè)務系統(tǒng)內(nèi)種類繁多、數(shù)量眾多的設備、系統(tǒng)，如何快速、有效的進行配置安全檢查成為一個難題.運用這一產(chǎn)品可以對中國移動網(wǎng)絡中的操作系統(tǒng)、網(wǎng)絡設備、數(shù)據(jù)庫等《配置規(guī)范》符合性檢查，從系統(tǒng)部署和集成的層面規(guī)避缺省脆弱性的存在。目前，該工具在中國移動集團以及14個省公司運維中使用。3.2安全基線檢查的工具化設計,1，安全基線檢查工具框架安全基線檢查工具基于業(yè)務系統(tǒng)安全運行的要求，最低/基本，，對目標系統(tǒng)的漏洞、配置和重要狀態(tài)進行檢查。130業(yè)務系統(tǒng)安全基線及其工具化解決方案從檢查的方式上來看，分為遠程檢查和本地檢查。遠程檢查體現(xiàn)為漏洞掃描的過程，本地檢查體現(xiàn)為對配置的檢查和對重要狀態(tài)的檢查。因此，以檢查手段為基礎,將安全基線檢查分為安全漏洞檢查、安全配置檢查和重要狀態(tài)監(jiān)控。最終，工具以系統(tǒng)快照的方式獲得安全檢查的結(jié)果，并與安全基線比對，獲得當前系統(tǒng)的安全狀況，并通過多次檢查的結(jié)果，梳理出系統(tǒng)的變化趨勢。圖7安全基線檢查工具框架，2,安全基線的建立安全基線的建立是基于對業(yè)務系統(tǒng)的安全評估和基線梳理。安全漏洞，通常是屬于系統(tǒng)自身的問題引起的安全風險，一般包括了登錄漏洞、拒絕服務漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況處置錯誤等，反映了系統(tǒng)自身的安全脆弱性.安全配置，通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。安全配置方面與系統(tǒng)的相關(guān)性非常大，同一個配置項在不同業(yè)務環(huán)境中的安全配置要求是不一樣的，如在Web系統(tǒng)邊界防火墻中需要開啟HTTP通信,但一個WAP網(wǎng)關(guān)邊界就沒有這樣的需求，因此在設計業(yè)務系統(tǒng)安全基線的時候,安全配置是一個需要關(guān)注的重點。重要狀態(tài)，包括端口、進程和重要文件，這些狀態(tài)的異?？赡芤馕吨鴣碜杂谕獠康母鞣N威脅因素，比如非法登錄嘗試、木馬后門、DDoS攻擊等都屬于安全異?；顒樱从沉讼到y(tǒng)當前所處環(huán)境的安全狀況和可能存在的外部風險。,3,安全基線檢查的應用業(yè)務系統(tǒng)的安全基線建立起來后，可以形成針對不同系統(tǒng)的詳細漏洞要求和checklist要求，為標準化的技術(shù)安全操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業(yè)務系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)性安全檢查，上級檢查，、日常安全檢查等。通過對目標系統(tǒng)展開合規(guī)安全檢查，找出不符合的項并選擇和實施安全措施來