安全系統(tǒng)配置核查系統(tǒng)

1、實用標準安全配置核查系統(tǒng)謔著信息化建設(shè)的發(fā)展，各類IT設(shè)備種類和數(shù)量不斷增加，具安全管： !I:理問題日漸凸出。為了維持IT信息系統(tǒng)的安全并方便管理，必須從入 輸測試、工程驗收和運行維護等設(shè)備全生命周期各個階段加強和落實i:IaIiii安全要求，同時需要設(shè)立滿足安全要求的安全基準點。iIIaII針對行業(yè)的業(yè)務系統(tǒng)建立安全檢查點與操作指南的基準安全標準，則Iei法為各個行業(yè)安全管理人員最為緊迫的事情?；鶞拾踩珮藴蕦⑿纬舍?:對不同系統(tǒng)的詳細Checklist表格和操作指南，為標準化的技術(shù)安全| 操作提供了框架和標準。規(guī)范與安全基準點的出臺讓運維人員有了檢查默認風險的標桿，但是 面對網(wǎng)絡中種類繁雜

2、、數(shù)量眾多的設(shè)備和軟件，如何快速、有效的檢 查設(shè)備，又如何集中收集核查的結(jié)果，以及制作風險審核報告，并且 最終識別那些與安全規(guī)范不符合的項目，以達到整改合規(guī)的要求，這 :些是網(wǎng)絡運維人員面臨的新的難題。：在此背景下，綠盟科技推出了專用檢查工具綠盟安全配置核查系I:統(tǒng)(NSFOCUS Benchmark Verification System,簡稱：NSFOCUS|ii!Ihvs)系列產(chǎn)品。該產(chǎn)品基于綠盟科技多年安全服務的積累，形成完!§!善的安全配置知識庫，該知識庫涵蓋了操作系統(tǒng)、網(wǎng)絡設(shè)備、數(shù)據(jù)庫、! II；中間件等多類設(shè)備及系統(tǒng)的安全配置加固建議，通過該知識庫可以全i 面的指導it

3、信息系統(tǒng)的安全配置及加固工作。特別是通過該產(chǎn)品能夠i:采用機器語言，自動化的進行安全配置檢查，從而節(jié)省傳統(tǒng)的手動單I區(qū)安全配置檢查的時間，并避免傳統(tǒng)人工檢查方式所帶來的失誤風I險，同時能夠出具詳細的檢測報告。它可以大大提高您檢查結(jié)果的準 確性和合規(guī)性，節(jié)省您的時間成本，讓檢查工作變得簡單。本文將包含以下內(nèi)容：:運維人員面臨的挑戰(zhàn)|基線安全的研究；安全基線的建立和應用 I:綠盟安全配置核查系統(tǒng)!I，!IE：I；運維人員面臨的挑戰(zhàn)!I=III=I!：隨著業(yè)務不斷發(fā)展，網(wǎng)絡規(guī)模日益擴大，其生產(chǎn)、業(yè)務支撐系統(tǒng)的網(wǎng) !g!i絡結(jié)構(gòu)也變得越來越復雜。其中，重要應用和服務器的數(shù)量及種類日I=I§!

4、:益增多，一旦發(fā)生維護人員誤操作，或者采用一成不變的初始系統(tǒng)設(shè)!aII酒而忽略了對于安全控制的要求，就可能會極大的影響系統(tǒng)的正常運!:轉(zhuǎn)。!I -、人i旭此針對行業(yè)的業(yè)務系統(tǒng)建立安全檢查點與操作指南的基準安全標：II準，則成為各個行業(yè)安全管理人員最為緊迫的事情?；鶞拾踩珮藴蕦i游成針對不同系統(tǒng)的詳細Checklist表格和操作指南，為標準化的技|術(shù)安全操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業(yè)|務系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查（上級文檔大全采用機器語言，自動化的進行安全配置檢查，從而節(jié)省傳統(tǒng)的手動單 點安全配置檢查的時間，并避免傳統(tǒng)人工檢查方式所帶來的失誤風

5、 險，同時能夠出具詳細的檢測報告。它可以大大提高您檢查結(jié)果的準 確性和合規(guī)性，節(jié)省您的時間成本，讓檢查工作變得簡單。本文將包含以下內(nèi)容：運維人員面臨的挑戰(zhàn)基線安全的研究安全基線的建立和應用綠盟安全配置核查系統(tǒng)運維人員面臨的挑戰(zhàn)隨著業(yè)務不斷發(fā)展，網(wǎng)絡規(guī)模日益擴大，其生產(chǎn)、業(yè)務支撐系統(tǒng)的網(wǎng) 絡結(jié)構(gòu)也變得越來越復雜。其中，重要應用和服務器的數(shù)量及種類日 益增多，一旦發(fā)生維護人員誤操作，或者采用一成不變的初始系統(tǒng)設(shè) 置而忽略了對于安全控制的要求，就可能會極大的影響系統(tǒng)的正常運 轉(zhuǎn)。因此針對行業(yè)的業(yè)務系統(tǒng)建立安全檢查點與操作指南的基準安全標 準，則成為各個行業(yè)安全管理人員最為緊迫的事情?；鶞拾踩珮藴蕦?

6、形成針對不同系統(tǒng)的詳細Checklist表格和操作指南，為標準化的技 術(shù)安全操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業(yè) 務系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查（上級采用機器語言，自動化的進行安全配置檢查，從而節(jié)省傳統(tǒng)的手動單 點安全配置檢查的時間，并避免傳統(tǒng)人工檢查方式所帶來的失誤風 險，同時能夠出具詳細的檢測報告。它可以大大提高您檢查結(jié)果的準 確性和合規(guī)性，節(jié)省您的時間成本，讓檢查工作變得簡單。本文將包含以下內(nèi)容：運維人員面臨的挑戰(zhàn)基線安全的研究安全基線的建立和應用綠盟安全配置核查系統(tǒng)運維人員面臨的挑戰(zhàn)隨著業(yè)務不斷發(fā)展，網(wǎng)絡規(guī)模日益擴大，其生產(chǎn)、業(yè)務支撐系統(tǒng)的網(wǎng)

7、絡結(jié)構(gòu)也變得越來越復雜。其中，重要應用和服務器的數(shù)量及種類日 益增多，一旦發(fā)生維護人員誤操作，或者采用一成不變的初始系統(tǒng)設(shè) 置而忽略了對于安全控制的要求，就可能會極大的影響系統(tǒng)的正常運 轉(zhuǎn)。因此針對行業(yè)的業(yè)務系統(tǒng)建立安全檢查點與操作指南的基準安全標 準，則成為各個行業(yè)安全管理人員最為緊迫的事情?；鶞拾踩珮藴蕦?形成針對不同系統(tǒng)的詳細Checklist表格和操作指南，為標準化的技 術(shù)安全操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業(yè) 務系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查（上級采用機器語言，自動化的進行安全配置檢查，從而節(jié)省傳統(tǒng)的手動單 點安全配置檢查的時間，并避免傳統(tǒng)人

8、工檢查方式所帶來的失誤風 險，同時能夠出具詳細的檢測報告。它可以大大提高您檢查結(jié)果的準 確性和合規(guī)性，節(jié)省您的時間成本，讓檢查工作變得簡單。本文將包含以下內(nèi)容：運維人員面臨的挑戰(zhàn)基線安全的研究安全基線的建立和應用綠盟安全配置核查系統(tǒng)運維人員面臨的挑戰(zhàn)隨著業(yè)務不斷發(fā)展，網(wǎng)絡規(guī)模日益擴大，其生產(chǎn)、業(yè)務支撐系統(tǒng)的網(wǎng) 絡結(jié)構(gòu)也變得越來越復雜。其中，重要應用和服務器的數(shù)量及種類日 益增多，一旦發(fā)生維護人員誤操作，或者采用一成不變的初始系統(tǒng)設(shè) 置而忽略了對于安全控制的要求，就可能會極大的影響系統(tǒng)的正常運 轉(zhuǎn)。因此針對行業(yè)的業(yè)務系統(tǒng)建立安全檢查點與操作指南的基準安全標 準，則成為各個行業(yè)安全管理人員最為緊迫

9、的事情?；鶞拾踩珮藴蕦?形成針對不同系統(tǒng)的詳細Checklist表格和操作指南，為標準化的技 術(shù)安全操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業(yè) 務系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查（上級采用機器語言，自動化的進行安全配置檢查，從而節(jié)省傳統(tǒng)的手動單 點安全配置檢查的時間，并避免傳統(tǒng)人工檢查方式所帶來的失誤風 險，同時能夠出具詳細的檢測報告。它可以大大提高您檢查結(jié)果的準 確性和合規(guī)性，節(jié)省您的時間成本，讓檢查工作變得簡單。本文將包含以下內(nèi)容：運維人員面臨的挑戰(zhàn)基線安全的研究安全基線的建立和應用綠盟安全配置核查系統(tǒng)運維人員面臨的挑戰(zhàn)隨著業(yè)務不斷發(fā)展，網(wǎng)絡規(guī)模日益擴大，其

10、生產(chǎn)、業(yè)務支撐系統(tǒng)的網(wǎng) 絡結(jié)構(gòu)也變得越來越復雜。其中，重要應用和服務器的數(shù)量及種類日 益增多，一旦發(fā)生維護人員誤操作，或者采用一成不變的初始系統(tǒng)設(shè) 置而忽略了對于安全控制的要求，就可能會極大的影響系統(tǒng)的正常運 轉(zhuǎn)。因此針對行業(yè)的業(yè)務系統(tǒng)建立安全檢查點與操作指南的基準安全標 準，則成為各個行業(yè)安全管理人員最為緊迫的事情?；鶞拾踩珮藴蕦?形成針對不同系統(tǒng)的詳細Checklist表格和操作指南，為標準化的技 術(shù)安全操作提供了框架和標準。其應用范圍非常廣泛，主要包括新業(yè) 務系統(tǒng)的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查（上級 III I :安全漏洞：通常是系統(tǒng)自身的問題引起的安全風險，一般包括了

11、登錄 !|漏洞、拒絕服務漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、意外情況 I 處置錯誤等，反映了系統(tǒng)自身的安全脆弱性。業(yè)務系統(tǒng)的安全基線建立起來之后，將形成針對不同系統(tǒng)的詳細 Checklist表格和操作指南，為標準化的技術(shù)安全操作提供了框架和標 準。其應用范圍非常廣泛，主要包括新業(yè)務系統(tǒng)的上線安全檢查、第 三方入網(wǎng)安全檢查、合規(guī)安全檢查(上級檢查)、日常安全檢查等。 I:I I:綠盟安全配置核查系統(tǒng)I I:I II IE：i基于多年安全服務的執(zhí)著實踐，綠盟科技形成了國內(nèi)最完善的專業(yè)安:III全服務體系和專業(yè)安全服務方法論，制定了完善的安全配置檢查點，II同時結(jié)合用戶對安全評估產(chǎn)品的實際!=I

12、II II 應用需求，自主研發(fā)了綠盟安全配置核查系統(tǒng)(NSFOCUSBenchmark Verification System ,簡稱：NSFOCUS BVS )。NSFOCUS BVS具備完善的安全配置知識庫，通過該知識庫可以全 面的指導IT信息系統(tǒng)的安全配置及加固工作。特別是通過該產(chǎn)品能 夠采用機器語言，自動化的進行安全配置檢查，從而節(jié)省傳統(tǒng)的手動 單點安全配置檢查的時間，并避免傳統(tǒng)人工檢查方式所帶來的失誤風 險，同時能夠出具詳細的檢測報告。它可以大大提高您檢查結(jié)果的準確性和合規(guī)性，節(jié)省您的時間成本，讓檢查工作變得簡單，是您身邊 專業(yè)的安全配置專家依托專業(yè)的NSFOCUS安全服務團隊，提供

13、完善的安全配置知識庫， 通過該知識庫可以全面的指導IT信息系統(tǒng)的安全配置及加固工作；采用機器語言，運用遠程檢測與本地檢測相結(jié)合的方式， 綜合運用信 息重整化（NSIP）等多種領(lǐng)先技術(shù)，可以自動、高效、準確地發(fā)現(xiàn) 網(wǎng)絡資產(chǎn)存在的安全配置問題；針對安全加固的特點，NSFOCUS BVS首創(chuàng)自動化的安全加固功能， 可在安全配置檢查結(jié)束后，直接進行系統(tǒng)安全配置的加固；持續(xù)進行NSFOCUS BVS的更新和發(fā)展，不斷支持更多的設(shè)備類型， 同時提供檢查規(guī)則的持續(xù)更新，為您提供最完備的自動化檢查設(shè)備， 降低風險成本，保護您的投資。眼各黑檢檢犯系城運行模式圖產(chǎn)品體系結(jié)構(gòu)NSFOCUS BVS是基于WEB的管理

14、方式，用戶使用瀏覽器通過SSL 加密通道和系統(tǒng)WEB界面模塊進行交互，方便用戶管理。NSFOCUS BVS采用模塊化設(shè)計，內(nèi)部整體工作架構(gòu)如下圖所示。專用平臺統(tǒng)級塊 系升模整體模塊圖專用平臺專用平臺是經(jīng)過優(yōu)化的專用安全系統(tǒng)平臺， 具有很高的安全性和穩(wěn)定 性。調(diào)度核心模塊調(diào)度核心模塊是系統(tǒng)最重要的模塊之一，它負責完成目標的探測評估 工作，包括判定主機存活狀態(tài)、操作系統(tǒng)識別、模板解析匹配等。Checklist知識庫Checklist知識庫包含安全配置檢查點相關(guān)信息，是系統(tǒng)運行的基礎(chǔ),調(diào)度核心模塊和數(shù)據(jù)分析模塊都依賴它進行工作。掃描結(jié)果庫掃描結(jié)果庫包含了掃描任務的結(jié)果信息，是掃描結(jié)果報告生成的基礎(chǔ),

15、 也是查詢和分析結(jié)果的數(shù)據(jù)來源。數(shù)據(jù)分析模塊數(shù)據(jù)分析模塊是綜合分析、趨勢分析和報表合并的統(tǒng)計信息的數(shù)據(jù)來 源，是任務合并、分布式數(shù)據(jù)匯總之后的結(jié)果。配置模板庫管理員通過此模塊可以在進行評估任務之前， 對被檢查設(shè)備自定義相 應的安全配置檢查點，以及每項檢查點的權(quán)重。WEB界面模塊WEB界面模塊負責和用戶進行交互，配合用戶的請求完成管理工作。WEB管理模塊包含多個子模塊共同完成用戶的請求，其主要子模塊有：任務管理子模塊一一完成用戶評估任務的管理工作。報表子模塊一一讀取掃描結(jié)果庫，并根據(jù)漏洞描述信息和解決方案生 成掃描報表。用戶管理子模塊審計管理子模塊由于一些系統(tǒng)或網(wǎng)絡設(shè)置的原因，而不能遠程檢查的目

16、標系統(tǒng)（如 Windows系統(tǒng)），NSFOCUS BVS提供配套的本地執(zhí)行工具，在待 查設(shè)備本地執(zhí)行后可生成報表文件，該文件能導入到系統(tǒng)中進行匯總 分析。擴展模塊多類型設(shè)備檢測擴展模塊綠盟科技不斷根據(jù)安全服務的實踐經(jīng)驗，持續(xù)進行 NSFOCUS BVS 的更新和發(fā)展，即將支持更多的設(shè)備類型，通過此模塊可以不斷增強 系統(tǒng)所能夠檢測的系統(tǒng)與設(shè)備范圍。二次開發(fā)接口模塊通過此接口 NSFOCUS BVS可以與其他安全產(chǎn)品和管理平臺進行聯(lián) 動，以便于統(tǒng)一的平臺管理。產(chǎn)品特色權(quán)威、完備的Checklist知識庫綠盟科技擁有一支業(yè)內(nèi)領(lǐng)先的安全服務團隊。 經(jīng)過7年專業(yè)安全服務 的執(zhí)著實踐，形成了國內(nèi)最完善的專

17、業(yè)安全服務體系和專業(yè)安全服務 方法論，制定了完善詳細的安全配置檢查點。在這個部門中，擁有多 位 PMP、CISA、BS7799 LA、ISO 27001 LA、CISSP、CISP、CCIE、 CIW、COBIT、ITIL等國際/國內(nèi)認證專家，他們不斷在安全服務實踐中進行Checklist知識庫的完善，并將這些知識庫更新到NSFOCUS BVS 中。自定義安全配置檢查項目通常網(wǎng)絡環(huán)境的情況是，設(shè)備類型逐漸增多，各種服務平臺被應用， 應用軟件不斷更新升級，這些變化給安全配置檢查帶來一定的困難。作為Checklist知識庫的補充，NSFOCUS BVS提供自定義安全配置 檢查功能，可以由用戶根據(jù)需

18、要或者行業(yè)標準，自行制定對目標系統(tǒng) 執(zhí)行的各種安全配置檢查操作，可以形成針對自身企業(yè)或行業(yè)的自定 義安全配置檢查模板。自定義安全配置檢查的功能讓安全管理員能夠很好的適應網(wǎng)絡情況的變化，對產(chǎn)品暫不支持的安全規(guī)范或配置檢查點，都可以通過自定義安全配置檢查功能輕松實現(xiàn)?；谟脩粜袨槟Ｊ降墓芾砑軜?gòu)作為用戶體驗性很強的產(chǎn)品，NSFOCUS BVS始終秉承以人為本” 的理念，在產(chǎn)品設(shè)計過程充分考慮了實際用戶需求和使用習慣，從用戶角度完善了很多管理功能。設(shè)計了 工鍵式”任務模式，采用自動化 的數(shù)據(jù)收集、智能匹配檢查規(guī)范、快速結(jié)果報表、科學分值評定等功 能，最大限度的滿足您的操作簡易性和高效性的需求。NSFO

19、CUS BVS采用B/S管理架構(gòu)，能夠以SSL加密通訊方式通過 瀏覽器來遠程進行管理。NSFOCUS BVS的專用硬件能夠長期穩(wěn)定 地運行，很好地保證了任務的周期性自動處理。 能夠自動處理的任務 包括：評估任務下發(fā)、掃描結(jié)果自動分析、處理和發(fā)送、系統(tǒng)檢測插 件的自動升級等。同時，系統(tǒng)支持多用戶管理模式，能夠?qū)τ脩舻臋?quán) 限做出嚴格的限制，并且提供了登錄、操作和異常等日志審計功能， 方便用戶對系統(tǒng)的審計和管理。高效、智能的安全配置識別技術(shù)采用機器語言，運用遠程檢測與本地檢測相結(jié)合的方式，在多種復雜應用環(huán)境下均可實現(xiàn)自動化的大規(guī)模性安全配置檢查，從而為您節(jié)省手動單點安全配置檢查的時間，并避免傳統(tǒng)人工

20、檢查方式所帶來的失 誤風險。NSIP 技術(shù)（NSFOCUS Intelligent Profile ,綠盟科技智能 Profile 信 息識別技術(shù)）在國內(nèi)甚至在國際上都是非常領(lǐng)先的信息識別技術(shù)，它在提高NSFOCUS BVS的評估速度和準確率方面都起到了很大的促 進作用。NSIP技術(shù)就是采用多種技術(shù)通過不同途徑收集目標系統(tǒng)的 多種信息，這些信息就是目標系統(tǒng)的 Profile,評估過程中，Profile 不斷地對中間的結(jié)果數(shù)據(jù)進行調(diào)整，保障了最后評估結(jié)果的準確性?；趯嵺`的配置模板管理及展示不同的業(yè)務系統(tǒng)有著不同的重要性與不同的配置檢查需求。因此對應不同的業(yè)務系統(tǒng)會有不同的安全配置檢查側(cè)重點，

21、而且每項檢查點的 權(quán)重都會有區(qū)別。在每次進行安全配置評估之前，用戶需要根據(jù)自己 的業(yè)務系統(tǒng)確定所需要進行評估的資產(chǎn)，并且劃分資產(chǎn)的重要性。NSFOCUS BVS提供的配置模板庫”可根據(jù)用戶的資產(chǎn)類型及其重 要性會自動在其內(nèi)部對目標評估系統(tǒng)建立基于時間和基于風險等多 種安全評估模型。方便用戶定義符合切身需求的安全配置檢查項。多維、細粒度的統(tǒng)計分析NSFOCUS BVS不僅提供了常見的離線報表，還提供了強大的在線 報表系統(tǒng)。同時，NSFOCUS BVS為您提供了一個實用的 報表控制 器”，它能夠幫助客戶更好地獲得有效信息，生成基于不同角色、不 同內(nèi)容和不同格式的報表。系統(tǒng)不僅站在管理員的角度分析結(jié)

22、果， 也 站在公司決策層和網(wǎng)絡部門管理人員的角度考慮報告的生成。NSFOCUS BVS從宏觀和微觀兩個角度對風險進行了透徹地分析。宏觀上，系統(tǒng)從多個視角深刻反映網(wǎng)絡的整體安全狀況， 對問題分布、 危害、主機信息等多視角信息進行了細粒度的統(tǒng)計分析，并通過柱狀圖、餅圖等形式，直觀、清晰的從總體上反映了網(wǎng)絡資產(chǎn)的問題分布 情況；微觀上，系統(tǒng)對每個信息都提供了詳細的安全配置解決方案， 使得管理員可以快速準確地解決各種安全問題， 同時支持用戶自己輸 入關(guān)鍵字進行相關(guān)信息的檢索，以便用戶能夠具體了解某臺主機或者 某個配置的詳細信息。NSFOCUS BVS從多個視角深刻反映網(wǎng)絡的整體安全狀況，還提供歷史數(shù)據(jù)

23、搜索”與任意掃描任務之間的 匯總查看”和對比分析”功能, 不僅對單個掃描任務的漏洞分布、危害等進行了統(tǒng)計分析，還對多個 掃描過程進行綜合的風險變化和安全對比評定，為網(wǎng)絡安全狀況的評 定和未來網(wǎng)絡建設(shè)提供了強有力的決策支持。力三千率；，內(nèi)，£三配置咬T埼稼倒度會乖因:?_一._.里三：三二G工一二口 »)iisr 臥 F Wr75 Efe-ltr-)til. LCD 口小 j，弓二三一 鼻式再+六«- S:E :，_ '1at4二* 二：=/» + r '1 "；iOO? V5_t ® s' , fw主云三士三平

24、三之m"三廿三M二-=1一-T君三叵行近二年=母香"13荒2 ：,口Q m©串戶博書市國1 。：j.二千降=百"國電可三矛京運1箕0 E(£>：辛士二后；i 七i »劉= w三號i1°w01E>三平不區(qū)堂"i3：D W以葺MM*ER-MFttt5JEi n荒昌Hh口于三三 r v>.一3哥？i aQ Mi:二r三三i" r,"ftJtI Q'*含了斗？m不，m喘又i*：66忠有寫工工 工小丁二匚票3三:年蘭一丁王三士i:0. Z1%口嶺之孑W二J 二生士雷.K三七支一二港二，-三一:=L三L0 乏女更貢-以 kF號摹租Z=«h =iqE M=n h-菽fl-06JOC ME-fc s、十J='U = T -Q司聲軍號三三1g"»»- E'B置1三可充聿H masLT .-1TO4-='m羽口 .W三竄：T力*改1PI"G K匚H:安匕 n MMbte1qIC