谐润配置核查系统技术建议书-智恒科技.pdf
《谐润配置核查系统技术建议书-智恒科技.pdf》由会员分享,可在线阅读,更多相关《谐润配置核查系统技术建议书-智恒科技.pdf(7页珍藏版)》请在三一文库上搜索。
1、- 1 - ? 2018 智恒科技 中国电信配置核查技术建议书 中国电信 2011555 号文件内容如下: 根据关于印发中国电信通信网络安全防护管理办法的通知(中国电信2010 531 号)文件的规定,为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置工 作,集团公司组织编制操作系统、数据库、应用中间件在内的通用安全配置要求。现印发各 省电信公司,从下发之日起执行,相关要求如下: 一、配置要求应用范围 此配置要求是根据工信部颁布的安全防护标准、结合安全防护检查现状及主流安全厂商 的配置规范编制的,是安全配置的通用基本要求。所有网络系统及其相关配套设备、业务平 台、 IT 系统等在竣工
2、验收、日常运行过程中需遵循此配置要求。 二、配置要求实施与问题反馈 各省须根据实际情况,结合专业维护和安全作业计划落实配置要求,并在实施过程中规 避对业务的影响。请各省注意收集配置要求实施过程中遇到的问题,并通过集团公司网络运 行维护事业部生产指挥网站运维专题网络安全防护专栏反馈,集团将跟踪各省的应用情况并 对相关问题及时解答。 为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,中国电信编 制了一系列的安全配置要求及操作指南(中国电信集团555 号文),明确了操作系统、数据 库、应用中间件在内的通用安全配置要求及参考操作。 该系列安全配置要求及操作指南的结构及名称如下: (1)
3、中国电信Windows 操作系统安全配置要求及操作指南 (2)中国电信AIX 操作系统安全配置要求及操作指南 (3)中国电信HP-UX 操作系统安全配置要求及操作指南 (4)中国电信Linux 操作系统安全配置要求及操作指南 (5)中国电信Solaris 操作系统安全配置要求及操作指南 (6)中国电信MS SQL server 数据库安全配置要求及操作指南 (7)中国电信MySQL 数据库安全配置要求及操作指南 (8)中国电信Oracle 数据库安全配置要求及操作指南 (9)中国电信Apache 安全配置要求及操作指南 - 2 - ? 2018 智恒科技 (10)中国电信IIS 安全配置要求及
4、操作指南 (11)中国电信Tomcat 安全配置要求及操作指南 (12)中国电信 WebLogic 安全配置要求及操作指南 以上配置核查需要大量的人力对设备进行检查,工作效率较低。为此,我们针对电信集 团的 555 号文进行了相应产品的定制化开发智恒配置核查系统(简称 SURERUN CVS系 统),运用此系统可以实现自动化对网络设备、操作系统和数据库等与中国电信2011 555 号的符合性进行检查,从系统部署和集成的层面规避缺省脆弱性的存在。 通过对安全事件的分析,发现安全事件主要由3 个方面引起,安全漏洞方面、安全配置 方面,以及异常事件等方面。安全配置通常都是由于人为的疏忽造成,主要包括
5、了账号、口 令、授权、日志、IP 通信等方面内容,反映了系统自身的安全脆弱性。由安全配置的不足可 能带来非常多的安全隐患,因此对安全配置进行有效的检查和加固成为整体安全体系建设中 的重要一环。(安全漏洞和异常事件方面本文不做讨论) 中国电信2011 555 号对网络设备、操作系统和数据库三大类设备和系统功能和 配置方面提出了基本和具体的安全要求。其中,配置要求适用于工程验收和日常维护,中国 电信集团希望通过配置核查系统进行配置的检查,依据相应的配置规范自动发现配置错误, 从而实现管理规定和流程信息化。 针对中国电信集团制订的中国电信2011 555 号系列规范,但在现网的实际落实 的过程中,由
6、于人员配备不足和技术能力不够的情况,使得网络中的设备、系统等很大一部 分没有有效的执行造成规范在现网中存在较大的落地困难。同时,每年集团公司对省公司的 安全巡检内容中也将涉及中国电信2011 555 号中的内容,检查的结果直接关系到KPI 考核。因此在省公司层面对中国电信2011 555 号的落地执行非常关注。 同时,鉴于中国电信网络中的网络设备、主机系统和数据库具有很大的相似性,我们对 于中国电信2011 555 号规范规定的配置核查要求进行定制化开发的核查工具完全可 以应用到电信运营商的网络中。 与中国电信诸多合规性配置检查规范类似的有美国的SCAP 计划。由NIST 牵头针对技 术安全问
7、题提出了一套自动化的计划称为ISAP (information security automation program) 来促进 FISMA 的执行, ISAP 出来后延伸出SCAP 框架( security content automation protocol ), SCAP 框架由 CVE 、CCE 、CPE 、XCCDF 、OVAL 、CVSS 等 6 个支撑标准构 成(检查的标准,一致性标准等)。这6 个支撑标准需要检查的内容、检查的方式由NVD 和 NCP 来提供,由此SCAP 框架就实现了标准化和自动化安全检查,及形成了一套针对系统的 安全检查基线。 - 3 - ? 2018 智
8、恒科技 FDCC (Federal Desktop Core Configuration,联邦桌面的核心配置)是在美国政府以 SCAP 框架为基础,建立的桌面系统(Windows XP 、Windows vista等)相关安全基线要求 规范,并通过自动化的工具进行检查。此项目被媒体誉为美联邦最成功的安全项目,收到的 成效显著。 中国电信集团的中国电信2011 555 号正是制定了一系列类似SCAP 的核查规范, 针对规范进行自动化检查则成为SCAP 在中国电信落地的体现。 智恒配置核查系统,主要实现集中自动化的对省电信三大中心的网络设备、数据库、主 机系统等设备的配置进行安全检查,检查的标准遵
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 配置 核查 系统 技术 建议书 科技
链接地址:https://www.31doc.com/p-4562034.html