諧潤(rùn)配置核查系統(tǒng)技術(shù)建議書智恒科技

1、中國(guó)電信配置核查技術(shù)建議書中國(guó)電信2011555 號(hào)文件內(nèi)容如下：根據(jù)關(guān)于印發(fā)中國(guó)電信通信網(wǎng)絡(luò)安全防護(hù)管理辦法的通知（中國(guó)電信2010531號(hào)）文件的規(guī)定，為了在工程驗(yàn)收、運(yùn)行維護(hù)、安全檢查等環(huán)節(jié)，規(guī)范并落實(shí)安全配置工作，集團(tuán)公司組織編制操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用中間件在內(nèi)的通用安全配置要求?，F(xiàn)印發(fā)各省電信公司，從下發(fā)之日起執(zhí)行，相關(guān)要求如下：一、配置要求應(yīng)用范圍 此配置要求是根據(jù)工信部頒布的安全防護(hù)標(biāo)準(zhǔn)、結(jié)合安全防護(hù)檢查現(xiàn)狀及主流安全廠商的配置規(guī)范編制的，是安全配置的通用基本要求。所有網(wǎng)絡(luò)系統(tǒng)及其相關(guān)配套設(shè)備、業(yè)務(wù)平臺(tái)、IT系統(tǒng)等在竣工驗(yàn)收、日常運(yùn)行過(guò)程中需遵循此配置要求。二、配置要求實(shí)施與問題

2、反饋 各省須根據(jù)實(shí)際情況，結(jié)合專業(yè)維護(hù)和安全作業(yè)計(jì)劃落實(shí)配置要求，并在實(shí)施過(guò)程中規(guī)避對(duì)業(yè)務(wù)的影響。請(qǐng)各省注意收集配置要求實(shí)施過(guò)程中遇到的問題，并通過(guò)集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部生產(chǎn)指揮網(wǎng)站運(yùn)維專題網(wǎng)絡(luò)安全防護(hù)專欄反饋，集團(tuán)將跟蹤各省的應(yīng)用情況并對(duì)相關(guān)問題及時(shí)解答。為了在工程驗(yàn)收、運(yùn)行維護(hù)、安全檢查等環(huán)節(jié)，規(guī)范并落實(shí)安全配置要求，中國(guó)電信編制了一系列的安全配置要求及操作指南（中國(guó)電信集團(tuán)555號(hào)文），明確了操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用中間件在內(nèi)的通用安全配置要求及參考操作。 該系列安全配置要求及操作指南的結(jié)構(gòu)及名稱如下： （1） 中國(guó)電信 Windows 操作系統(tǒng)安全配置要求及操作指南 （2） 中國(guó)電信

3、 AIX 操作系統(tǒng)安全配置要求及操作指南 （3） 中國(guó)電信 HP-UX 操作系統(tǒng)安全配置要求及操作指南 （4） 中國(guó)電信 Linux 操作系統(tǒng)安全配置要求及操作指南 （5） 中國(guó)電信 Solaris 操作系統(tǒng)安全配置要求及操作指南 （6） 中國(guó)電信 MS SQL server 數(shù)據(jù)庫(kù)安全配置要求及操作指南 （7） 中國(guó)電信 MySQL 數(shù)據(jù)庫(kù)安全配置要求及操作指南 （8） 中國(guó)電信 Oracle 數(shù)據(jù)庫(kù)安全配置要求及操作指南 （9） 中國(guó)電信 Apache 安全配置要求及操作指南 （10） 中國(guó)電信 IIS 安全配置要求及操作指南 （11） 中國(guó)電信 Tomcat 安全配置要求及操作指南 （1

4、2） 中國(guó)電信 WebLogic 安全配置要求及操作指南以上配置核查需要大量的人力對(duì)設(shè)備進(jìn)行檢查，工作效率較低。為此，我們針對(duì)電信集團(tuán)的555號(hào)文進(jìn)行了相應(yīng)產(chǎn)品的定制化開發(fā)智恒配置核查系統(tǒng)（簡(jiǎn)稱SURERUN CVS系統(tǒng)），運(yùn)用此系統(tǒng)可以實(shí)現(xiàn)自動(dòng)化對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫(kù)等與中國(guó)電信2011555號(hào)的符合性進(jìn)行檢查，從系統(tǒng)部署和集成的層面規(guī)避缺省脆弱性的存在。通過(guò)對(duì)安全事件的分析，發(fā)現(xiàn)安全事件主要由3個(gè)方面引起，安全漏洞方面、安全配置方面，以及異常事件等方面。安全配置通常都是由于人為的疏忽造成，主要包括了賬號(hào)、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。由安全配置的不

5、足可能帶來(lái)非常多的安全隱患，因此對(duì)安全配置進(jìn)行有效的檢查和加固成為整體安全體系建設(shè)中的重要一環(huán)。（安全漏洞和異常事件方面本文不做討論）中國(guó)電信2011555號(hào)對(duì)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫(kù)三大類設(shè)備和系統(tǒng)功能和配置方面提出了基本和具體的安全要求。其中，配置要求適用于工程驗(yàn)收和日常維護(hù)，中國(guó)電信集團(tuán)希望通過(guò)配置核查系統(tǒng)進(jìn)行配置的檢查，依據(jù)相應(yīng)的配置規(guī)范自動(dòng)發(fā)現(xiàn)配置錯(cuò)誤，從而實(shí)現(xiàn)管理規(guī)定和流程信息化。針對(duì)中國(guó)電信集團(tuán)制訂的中國(guó)電信2011555號(hào)系列規(guī)范，但在現(xiàn)網(wǎng)的實(shí)際落實(shí)的過(guò)程中，由于人員配備不足和技術(shù)能力不夠的情況，使得網(wǎng)絡(luò)中的設(shè)備、系統(tǒng)等很大一部分沒有有效的執(zhí)行造成規(guī)范在現(xiàn)網(wǎng)中存在較大的落地困

6、難。同時(shí)，每年集團(tuán)公司對(duì)省公司的安全巡檢內(nèi)容中也將涉及中國(guó)電信2011555號(hào)中的內(nèi)容，檢查的結(jié)果直接關(guān)系到KPI考核。因此在省公司層面對(duì)中國(guó)電信2011555號(hào)的落地執(zhí)行非常關(guān)注。同時(shí)，鑒于中國(guó)電信網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)和數(shù)據(jù)庫(kù)具有很大的相似性，我們對(duì)于中國(guó)電信2011555號(hào)規(guī)范規(guī)定的配置核查要求進(jìn)行定制化開發(fā)的核查工具完全可以應(yīng)用到電信運(yùn)營(yíng)商的網(wǎng)絡(luò)中。與中國(guó)電信諸多合規(guī)性配置檢查規(guī)范類似的有美國(guó)的SCAP計(jì)劃。由NIST牽頭針對(duì)技術(shù)安全問題提出了一套自動(dòng)化的計(jì)劃稱為ISAP（information security automation program）來(lái)促進(jìn)FISMA的執(zhí)行，ISA

7、P出來(lái)后延伸出SCAP框架（security content automation protocol），SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6個(gè)支撐標(biāo)準(zhǔn)構(gòu)成（檢查的標(biāo)準(zhǔn)，一致性標(biāo)準(zhǔn)等）。這6個(gè)支撐標(biāo)準(zhǔn)需要檢查的內(nèi)容、檢查的方式由NVD和NCP來(lái)提供，由此SCAP框架就實(shí)現(xiàn)了標(biāo)準(zhǔn)化和自動(dòng)化安全檢查，及形成了一套針對(duì)系統(tǒng)的安全檢查基線。FDCC（Federal Desktop Core Configuration，聯(lián)邦桌面的核心配置）是在美國(guó)政府以SCAP框架為基礎(chǔ)，建立的桌面系統(tǒng)（Windows XP、Windows vista等）相關(guān)安全基線要求規(guī)范，并通過(guò)自

8、動(dòng)化的工具進(jìn)行檢查。此項(xiàng)目被媒體譽(yù)為美聯(lián)邦最成功的安全項(xiàng)目，收到的成效顯著。中國(guó)電信集團(tuán)的中國(guó)電信2011555號(hào)正是制定了一系列類似SCAP的核查規(guī)范，針對(duì)規(guī)范進(jìn)行自動(dòng)化檢查則成為SCAP在中國(guó)電信落地的體現(xiàn)。智恒配置核查系統(tǒng)，主要實(shí)現(xiàn)集中自動(dòng)化的對(duì)省電信三大中心的網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、主機(jī)系統(tǒng)等設(shè)備的配置進(jìn)行安全檢查，檢查的標(biāo)準(zhǔn)遵照中國(guó)電信2011555號(hào)中相應(yīng)的檢查項(xiàng)進(jìn)行。檢查后自動(dòng)生成符合情況報(bào)告，并對(duì)不符合項(xiàng)提出詳細(xì)的改進(jìn)方案。能為電信提供完善的網(wǎng)絡(luò)設(shè)備安全風(fēng)險(xiǎn)管理，提高電信各中心對(duì)新業(yè)務(wù)系統(tǒng)上線、第三方系統(tǒng)接入和日常安全運(yùn)維檢查和加固的實(shí)際效果，并有效降低安全風(fēng)險(xiǎn)的發(fā)生概率?；陔娦诺?/p>

9、網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀和組織結(jié)構(gòu)，計(jì)劃采用多套硬件版智恒配置核查系統(tǒng)分級(jí)部署在網(wǎng)管中心、新業(yè)務(wù)開發(fā)中心和業(yè)務(wù)支撐中心內(nèi)，實(shí)現(xiàn)分權(quán)分區(qū)自動(dòng)化的配置安全核查。同時(shí)，為了實(shí)現(xiàn)對(duì)第三方接入系統(tǒng)、臨時(shí)測(cè)試系統(tǒng)的配置安全核查，以及滿足便攜配置安全核查的要求，為各個(gè)中心配置一套便攜版智恒配置核查系統(tǒng)。通過(guò)該方案的部署實(shí)施，形成省電信范圍內(nèi)各中心設(shè)備配置安全核查數(shù)據(jù)的匯總與分析能力。通過(guò)分析處理匯總的核查數(shù)據(jù)，形成全面的安全配置現(xiàn)狀，利于有效利用資源，解決關(guān)鍵問題，降低系統(tǒng)的脆弱性，提高抗風(fēng)險(xiǎn)的能力。同時(shí)，也能周期性的根據(jù)集團(tuán)公司的中國(guó)電信2011555號(hào)文件進(jìn)行合規(guī)檢查，促進(jìn)集團(tuán)安全檢查的成果。配置安全核查系統(tǒng)部署示

10、意圖配置安全核查系統(tǒng)的組網(wǎng)模式比較簡(jiǎn)單，可以將其旁路部署在既有網(wǎng)絡(luò)中。管理員通過(guò)WEB頁(yè)面登錄系統(tǒng)下達(dá)核查任務(wù)，檢查任務(wù)既可以遠(yuǎn)程執(zhí)行也可以本地執(zhí)行。遠(yuǎn)程執(zhí)行，通過(guò)Telnet、SMB、SSH、RDP、winrm等形式對(duì)待查設(shè)備進(jìn)行配置安全核查，需要保證網(wǎng)絡(luò)IP可達(dá)，并提供待查設(shè)備的管理帳戶和口令；本地執(zhí)行，對(duì)于網(wǎng)絡(luò)中不便進(jìn)行遠(yuǎn)程核查的目標(biāo)系統(tǒng)（linux、Windows系統(tǒng)），提供配套的自動(dòng)化程序，可執(zhí)行程序在待查設(shè)備本地執(zhí)行后生成報(bào)表文件，然后導(dǎo)入到配置安全核查系統(tǒng)中進(jìn)行匯總和分析。智恒配置核查系統(tǒng)的應(yīng)用非常靈活，只要待查設(shè)備為支持范圍內(nèi)的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等，都能對(duì)依據(jù)集團(tuán)公司的中國(guó)電信

11、2011555號(hào)進(jìn)行合規(guī)性核查，就主要的應(yīng)用情況來(lái)看，主要有以下幾種應(yīng)用：1. 日常運(yùn)維核查，對(duì)現(xiàn)有正在運(yùn)行的系統(tǒng)設(shè)備進(jìn)行定期檢查，發(fā)現(xiàn)配置漏洞和錯(cuò)誤。2. 新上線系統(tǒng)核查，在新部署的系統(tǒng)設(shè)備上線之前進(jìn)行必要的配置安全檢查，提前發(fā)現(xiàn)配置漏洞和錯(cuò)誤。3. 第三方接入核查，對(duì)接入電信系統(tǒng)的第三方設(shè)備進(jìn)行配置檢查，提前發(fā)現(xiàn)配置漏洞和錯(cuò)誤。4. 重大事件前核查，在重大社會(huì)活動(dòng)、集團(tuán)安全巡檢等事件前期，對(duì)重點(diǎn)設(shè)備、系統(tǒng)進(jìn)行配置安全核查，提前發(fā)現(xiàn)配置漏洞和錯(cuò)誤。多類型設(shè)備安全配置核查能夠根據(jù)依據(jù)中國(guó)電信555號(hào)文規(guī)范，判斷待查設(shè)備的檢查項(xiàng)目達(dá)標(biāo)與否，支持百分制對(duì)目標(biāo)系統(tǒng)的達(dá)標(biāo)情況進(jìn)行打分。現(xiàn)有智恒配置核查

12、系統(tǒng)的檢查對(duì)象涵蓋了：RedHat/SUSE/ Solaris/AIX/centos/Windows 2003/2008 Server中英文版本操作系統(tǒng)、Solaris 8/9/10中英文版本操作系統(tǒng)、思科交換機(jī)、華為交換機(jī)。LINUX系統(tǒng)檢查的內(nèi)容包括以下部分，分類如下：1. 賬號(hào)2. 口令3. 授權(quán)4. 遠(yuǎn)程登錄5. 補(bǔ)丁6. 日志7. 不必要的服務(wù)和端口8. 系統(tǒng)Banner設(shè)置9. 登錄超時(shí)時(shí)間設(shè)置10. 檢查是否刪除潛在危險(xiǎn)文件11. FTP設(shè)置windows系統(tǒng)檢查的內(nèi)容包括以下部分，分類如下：1. 賬號(hào)2. 口令3. 授權(quán)4. 補(bǔ)丁5. 防護(hù)軟件6. 防病毒軟件7. 日志安全要求

13、8. 不必要的服務(wù)9. 啟動(dòng)項(xiàng)10. 關(guān)閉自動(dòng)播放功能11. 共享文件夾12. 使用NTFS文件系統(tǒng)13. 網(wǎng)絡(luò)訪問14. 會(huì)話超時(shí)時(shí)間15. 注冊(cè)表設(shè)置對(duì)于集團(tuán)公司中國(guó)電信2011555號(hào)中新增設(shè)備安全規(guī)范正式下發(fā)后，將在3個(gè)月內(nèi)對(duì)智恒配置核查系統(tǒng)完成更新開發(fā)，并上線使用；對(duì)于集團(tuán)公司中國(guó)電信2011555號(hào)中出現(xiàn)修改的設(shè)備安全規(guī)范，將在1個(gè)月完成更新開發(fā)，并上線使用。集中自動(dòng)化的配置安全核查采用機(jī)器語(yǔ)言，運(yùn)用遠(yuǎn)程核查與本地核查相結(jié)合的方式，在多種復(fù)雜應(yīng)用環(huán)境下均可實(shí)現(xiàn)自動(dòng)化的大規(guī)模性安全配置檢查。支持協(xié)議自動(dòng)識(shí)別，遠(yuǎn)程通過(guò)Telnet、SMB、SSH、RDP、winrm等形式對(duì)待查設(shè)備進(jìn)行

14、安全檢查，收集設(shè)備信息進(jìn)行全面的合規(guī)分析；對(duì)于不能遠(yuǎn)程檢查的目標(biāo)系統(tǒng)，提供配套的自動(dòng)化程序進(jìn)行信息獲取，并能導(dǎo)入配置安全核查系統(tǒng)中與遠(yuǎn)程核查任務(wù)統(tǒng)一進(jìn)行匯總分析。多級(jí)多用戶分權(quán)使用針對(duì)現(xiàn)有省電信的組織結(jié)構(gòu)和網(wǎng)絡(luò)環(huán)境中，支持多級(jí)多用戶分權(quán)使用。多管理員使用配置安全核查系統(tǒng)，對(duì)每個(gè)使用者能夠設(shè)定其允許檢查的范圍，檢查過(guò)程中不能對(duì)目標(biāo)系統(tǒng)的配置進(jìn)行任何修改，只能進(jìn)行安全基線檢查工作。支持集中的管理員功能，能對(duì)所有配置安全核查的結(jié)果進(jìn)行統(tǒng)一的查閱和分析。全面靈活的報(bào)表功能綜合運(yùn)用歷史數(shù)據(jù)搜索、對(duì)比分析、匯總查看、趨勢(shì)分析等工具，不僅可直觀了解單個(gè)系統(tǒng)的問題分布及危害，還可同時(shí)掌握多個(gè)不同省、市公司、業(yè)務(wù)系統(tǒng)的綜合風(fēng)險(xiǎn)變化情況，從而最終做出安全對(duì)比評(píng)定?？蔀榫W(wǎng)絡(luò)安全狀況的評(píng)定和未來(lái)網(wǎng)絡(luò)建設(shè)提供了強(qiáng)有力的決策支撐。根據(jù)不同閱讀人員的需要生成各種自定義報(bào)告，提供所需的相關(guān)數(shù)據(jù)，從多個(gè)視角反映網(wǎng)絡(luò)的整體配置安全狀況?？蓪?duì)不同的檢查點(diǎn)，定義不同的風(fēng)險(xiǎn)分值，對(duì)不安全配置分布、危害、平均符合度、設(shè)備信息等多視角進(jìn)行細(xì)粒度的統(tǒng)計(jì)分析，生成基于不同角色、不同內(nèi)容和不同格式的報(bào)表。配置加固指南針對(duì)每一條不符合規(guī)范的配置項(xiàng)，