谐润配置核查系统技术建议书-智恒科技.pdf

- 1 - ? 2018 智恒科技 中国电信配置核查技术建议书 中国电信 2011555 号文件内容如下： 根据关于印发中国电信通信网络安全防护管理办法的通知（中国电信2010 531 号）文件的规定，为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置工 作，集团公司组织编制操作系统、数据库、应用中间件在内的通用安全配置要求。现印发各 省电信公司，从下发之日起执行，相关要求如下： 一、配置要求应用范围 此配置要求是根据工信部颁布的安全防护标准、结合安全防护检查现状及主流安全厂商 的配置规范编制的，是安全配置的通用基本要求。所有网络系统及其相关配套设备、业务平 台、 IT 系统等在竣工验收、日常运行过程中需遵循此配置要求。 二、配置要求实施与问题反馈 各省须根据实际情况，结合专业维护和安全作业计划落实配置要求，并在实施过程中规 避对业务的影响。请各省注意收集配置要求实施过程中遇到的问题，并通过集团公司网络运 行维护事业部生产指挥网站运维专题网络安全防护专栏反馈，集团将跟踪各省的应用情况并 对相关问题及时解答。 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信编 制了一系列的安全配置要求及操作指南（中国电信集团555 号文），明确了操作系统、数据 库、应用中间件在内的通用安全配置要求及参考操作。 该系列安全配置要求及操作指南的结构及名称如下： （1）中国电信Windows 操作系统安全配置要求及操作指南 （2）中国电信AIX 操作系统安全配置要求及操作指南 （3）中国电信HP-UX 操作系统安全配置要求及操作指南 （4）中国电信Linux 操作系统安全配置要求及操作指南 （5）中国电信Solaris 操作系统安全配置要求及操作指南 （6）中国电信MS SQL server 数据库安全配置要求及操作指南 （7）中国电信MySQL 数据库安全配置要求及操作指南 （8）中国电信Oracle 数据库安全配置要求及操作指南 （9）中国电信Apache 安全配置要求及操作指南 - 2 - ? 2018 智恒科技 （10）中国电信IIS 安全配置要求及操作指南 （11）中国电信Tomcat 安全配置要求及操作指南 （12）中国电信 WebLogic 安全配置要求及操作指南 以上配置核查需要大量的人力对设备进行检查，工作效率较低。为此，我们针对电信集 团的 555 号文进行了相应产品的定制化开发智恒配置核查系统（简称 SURERUN CVS系 统），运用此系统可以实现自动化对网络设备、操作系统和数据库等与中国电信2011 555 号的符合性进行检查，从系统部署和集成的层面规避缺省脆弱性的存在。 通过对安全事件的分析，发现安全事件主要由3 个方面引起，安全漏洞方面、安全配置 方面，以及异常事件等方面。安全配置通常都是由于人为的疏忽造成，主要包括了账号、口 令、授权、日志、IP 通信等方面内容，反映了系统自身的安全脆弱性。由安全配置的不足可 能带来非常多的安全隐患，因此对安全配置进行有效的检查和加固成为整体安全体系建设中 的重要一环。（安全漏洞和异常事件方面本文不做讨论） 中国电信2011 555 号对网络设备、操作系统和数据库三大类设备和系统功能和 配置方面提出了基本和具体的安全要求。其中，配置要求适用于工程验收和日常维护，中国 电信集团希望通过配置核查系统进行配置的检查，依据相应的配置规范自动发现配置错误， 从而实现管理规定和流程信息化。 针对中国电信集团制订的中国电信2011 555 号系列规范，但在现网的实际落实 的过程中，由于人员配备不足和技术能力不够的情况，使得网络中的设备、系统等很大一部 分没有有效的执行造成规范在现网中存在较大的落地困难。同时，每年集团公司对省公司的 安全巡检内容中也将涉及中国电信2011 555 号中的内容，检查的结果直接关系到KPI 考核。因此在省公司层面对中国电信2011 555 号的落地执行非常关注。 同时，鉴于中国电信网络中的网络设备、主机系统和数据库具有很大的相似性，我们对 于中国电信2011 555 号规范规定的配置核查要求进行定制化开发的核查工具完全可 以应用到电信运营商的网络中。 与中国电信诸多合规性配置检查规范类似的有美国的SCAP 计划。由NIST 牵头针对技 术安全问题提出了一套自动化的计划称为ISAP （information security automation program） 来促进 FISMA 的执行， ISAP 出来后延伸出SCAP 框架（ security content automation protocol ）， SCAP 框架由 CVE 、CCE 、CPE 、XCCDF 、OVAL 、CVSS 等 6 个支撑标准构 成（检查的标准，一致性标准等）。这6 个支撑标准需要检查的内容、检查的方式由NVD 和 NCP 来提供，由此SCAP 框架就实现了标准化和自动化安全检查，及形成了一套针对系统的 安全检查基线。 - 3 - ? 2018 智恒科技 FDCC （Federal Desktop Core Configuration，联邦桌面的核心配置）是在美国政府以 SCAP 框架为基础，建立的桌面系统（Windows XP 、Windows vista等）相关安全基线要求 规范，并通过自动化的工具进行检查。此项目被媒体誉为美联邦最成功的安全项目，收到的 成效显著。 中国电信集团的中国电信2011 555 号正是制定了一系列类似SCAP 的核查规范， 针对规范进行自动化检查则成为SCAP 在中国电信落地的体现。 智恒配置核查系统，主要实现集中自动化的对省电信三大中心的网络设备、数据库、主 机系统等设备的配置进行安全检查，检查的标准遵照中国电信2011 555 号中相应的 检查项进行。检查后自动生成符合情况报告，并对不符合项提出详细的改进方案。能为电信 提供完善的网络设备安全风险管理，提高电信各中心对新业务系统上线、第三方系统接入和 日常安全运维检查和加固的实际效果，并有效降低安全风险的发生概率。 基于电信的网络系统现状和组织结构，计划采用多套硬件版智恒配置核查系统分级部署 在网管中心、新业务开发中心和业务支撑中心内，实现分权分区自动化的配置安全核查。同 时，为了实现对第三方接入系统、临时测试系统的配置安全核查，以及满足便携配置安全核 查的要求，为各个中心配置一套便携版智恒配置核查系统。 通过该方案的部署实施，形成省电信范围内各中心设备配置安全核查数据的汇总与分析 能力。通过分析处理汇总的核查数据，形成全面的安全配置现状，利于有效利用资源，解决 关键问题，降低系统的脆弱性，提高抗风险的能力。同时，也能周期性的根据集团公司的中 国电信 2011 555 号文件进行合规检查，促进集团安全检查的成果。 - 4 - ? 2018 智恒科技 配置安全核查系统部署示意图 配置安全核查系统的组网模式比较简单，可以将其旁路部署在既有网络中。管理员通过 WEB 页面登录系统下达核查任务，检查任务既可以远程执行也可以本地执行。远程执行，通 过 Telnet 、SMB 、SSH 、RDP 、winrm 等形式对待查设备进行配置安全核查，需要保证网络 IP 可达，并提供待查设备的管理帐户和口令；本地执行，对于网络中不便进行远程核查的目 标系统（ linux 、Windows系统），提供配套的自动化程序，可执行程序在待查设备本地执行 后生成报表文件，然后导入到配置安全核查系统中进行汇总和分析。 智恒配置核查系统的应用非常灵活，只要待查设备为支持范围内的网络设备、主机系统 等，都能对依据集团公司的中国电信2011 555 号进行合规性核查，就主要的应用情 况来看，主要有以下几种应用： 1. 日常运维核查，对现有正在运行的系统设备进行定期检查，发现配置漏洞和错误。 2. 新上线系统核查，在新部署的系统设备上线之前进行必要的配置安全检查，提前发 现配置漏洞和错误。 3. 第三方接入核查，对接入电信系统的第三方设备进行配置检查，提前发现配置漏洞 和错误。 4. 重大事件前核查，在重大社会活动、集团安全巡检等事件前期，对重点设备、系统 进行配置安全核查，提前发现配置漏洞和错误。 - 5 - ? 2018 智恒科技 多类型设备安全配置核查 能够根据依据中国电信555 号文规范，判断待查设备的检查项目达标与否，支持百分制 对目标系统的达标情况进行打分。 现有智恒配置核查系统的检查对象涵盖了：RedHat/SUSE/ Solaris/AIX/centos/Windows 2003/2008 Server中英文版本操作系统、Solaris 8/9/10中英文版本操作系统、思科交换机、 华为交换机。 LINUX 系统检查的内容包括以下部分，分类如下： 1. 账号 2. 口令 3. 授权 4. 远程登录 5. 补丁 6. 日志 7. 不必要的服务和端口 8. 系统 Banner 设置 9. 登录超时时间设置 10. 检查是否删除潜在危险文件 11. FTP 设置 windows系统检查的内容包括以下部分，分类如下： 1. 账号 2. 口令 3. 授权 4. 补丁 5. 防护软件 6. 防病毒软件 7. 日志安全要求 8. 不必要的服务 9. 启动项 10. 关闭自动播放功能 - 6 - ? 2018 智恒科技 11. 共享文件夹 12. 使用 NTFS 文件系统 13. 网络访问 14. 会话超时时间 15. 注册表设置 对于集团公司中国电信2011 555 号中新增设备安全规范正式下发后，将在3 个 月内对智恒配置核查系统完成更新开发，并上线使用；对于集团公司中国电信2011 555 号中出现修改的设备安全规范，将在1 个月完成更新开发，并上线使用。 集中自动化的配置安全核查 采用机器语言，运用远程核查与本地核查相结合的方式，在多种复杂应用环境下均可实 现自动化的大规模性安全配置检查。 支持协议自动识别，远程通过Telnet 、SMB 、 SSH 、RDP 、winrm 等形式对待查设备进 行安全检查，收集设备信息进行全面的合规分析；对于不能远程检查的目标系统，提供配套 的自动化程序进行信息获取，并能导入配置安全核查系统中与远程核查任务统一进行汇总分 析。 多级多用户分权使用 针对现有省电信的组织结构和网络环境中，支持多级多用户分权使用。多管理员使用配 置安全核查系统，对每个使用者能够设定其允许检查的范围，检查过程中不能对目标系统的 - 7 - ? 2018 智恒科技 配置进行任何修改，只能进行安全基线检查工作。支持集中的管理员功能，能对所有配置安 全核查的结果进行统一的查阅和分析。 全面灵活的报表功能 综合运用历史数据搜索、对比分析、汇总查看、趋势分析等工具，不仅可直观了解单个 系统的问题分布及危害，还可同时掌握多个不同省、市公司、业务系统的综合风险变化情况， 从而最终做出安全对比评定。可为网络安全状况的评定和未来网络建设提供了强有力的决策 支撑。 根据不同阅读人员的需要生成各种自定义报告，提供所需的相关数据，从多个视角反映 网络的整体配置安全状况。可对不同的检查点，定义不同的风险分值，对不安全配置分布、 危害、平均符合度、设备信息等多视角进行细粒度的统计分析，生成基于不同角色、不同内 容和不同格式的报表。 配置加固指南 针对每一条不符合规范的配置项，智恒配置核查系统提供了详细的配置安全加固指南。 加固指南切合具体的设备类型、系统版本，提出对应的执行命令、参数供加固人员参考，能 有效的指导加固操作。 通过上述工具的应用，可以快速、有效地开展基于行业配置基线规范的日常安全检查工 作，促进用户企业安全体系建设的开展，减低总体投入成本。同时，由于基线规范与业务系 统之间存在着密切的关联性，智恒科技希望能够运用自身在安全领域的积累，不断参与到各 运营商客户基线安全规范的完善过程中，为中国电信的安全建设与业务发展贡献一份力量。