安全配置核查系统测评工具指导书-1.0版
网络安全评测指导书
1)Router ospf 100 area 1 authentication message_digest interface FastEthernet0/0
ip ospf message_digest_key 1 md5 xxx
2)Router eigrp 100
Redistribute ospf 100 metric 10000 100 1 255 1500 router-map cisco
1)检查在网络边界处是否对网络攻击进行检测的相关措施
1)在网络边界处部署了IDS(IPS)系统,或UTM启用了入侵检测(保护)功能
b)在检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
1)检查网络攻击检测日志
2)检查采用何种报警方式
1)有网络攻击相关日志记录;
或
Radius-server host 192.168.1.1 sigle-connecting
存在类似如下配置项:
Ip access-list extended 111
Deny ip x.x.x.0 0.0.0.255 any log
Interface f 0/0
Ip access-group 111 in
路由器一些不需要的服务都关闭
c)限制网络最大流量数及网络连接数
询问网络管理员,根据网络现状是否需要限制网络最大流量及网络连接数:
1)有如下类似配置:
Class-ma match-all voice
Match access-group 100
Policy-map voice-policy
Class voice
Bandwidth 60
等级保护2.0 三级-Linux 测评指导书V1.0
知识星球:网络安全等级保护交流
文件中的 SELINUX 参数的设定
1.1.3 安全审计
测评项: a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全 事件进行审计; 测评方法: 1)以 root 身份登录进入 Linux, 查看服务进程 2)若运行了安全审计服务,则查看安全审计的守护进程是否正常 # ps -ef|grep auditd 3)若未开启系统安全审计功能,则确认是否部署了第三方安全审计工具 4)以 root 身份登录进入 Linux 查看安全事件配置: #gerep“@priv-ops" /etc/audit/filter.conf .... more/etc/audit/audit.rules ..... 测评项: b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他 与审计相关的信息; 测评方法: 1)以有相应权限的身份登录进入 Linux,使用命令"ausearch-ts today ”,其 中,-ts 指定时间后的 log,或命令"tail -20 /var/log/audit/audit.log“查 看审计日志 测评项: c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 测评方法: 1)访谈审计记录的存储、备份和保护的措施,是否将操作系统日志定时发送 到日志服务器上等,并使用 sylog 方式或 smp 方式将日志发送到日志服务器。 2)如果部署了日志服务器,登录日志服务器查看操作系统的日志是否在收集的
知识星球:网络安全等级保护交流
范围内 测评项: d) 应对审计进程进行保护,防止未经授权的中断。 测评方法: 1)访谈对审计进程监控和保护的措施 2)测试使用非安全审计员中断审计进程,查看审计进程的访问权限是否设置合 理。 3)查看是否有第三方系统对被测操作系统的审计进程进行监控和保护
安全审查、检验工具配备清单
安全审查、检验工具配备清单1. 引言安全审查和检验工具的配备是确保公司信息技术系统的高效安全运行的重要措施。
本文档旨在列出必备的安全审查和检验工具,帮助公司全面配备相关设备,提高信息系统的保密性、可用性和完整性。
2. 安全审查工具清单- 防火墙:防火墙是保护公司内部网络不受未授权访问的重要设备。
它能监控网络流量,并根据预先设定的规则过滤恶意流量。
- 入侵检测系统(IDS):IDS能够监测和警示网络中的潜在入侵活动,并及时采取相应的防护措施,确保网络安全。
- 安全信息与事件管理系统(SIEM):SIEM是一种集中管理和分析安全事件的工具,能够帮助公司及时发现和处理安全威胁。
- 病毒扫描器:病毒扫描器能够检测和清除电脑系统中的病毒,确保电脑系统的安全性。
- 信息安全风险评估工具:这些工具能够评估公司信息系统的风险,并提供相应的建议和措施,帮助公司做出正确的安全决策。
3. 安全检验工具清单- 渗透测试工具:渗透测试工具能够模拟黑客攻击,发现系统中的漏洞并提供相应修复建议。
- 漏洞扫描器:漏洞扫描器能够自动化地扫描公司系统中的安全漏洞,帮助公司及时修复漏洞,提高系统的安全性。
- 数据包分析工具:数据包分析工具能够分析网络中传输的数据包,发现潜在的安全问题,并提供相应解决方案。
- 数据备份与恢复工具:数据备份与恢复工具能够帮助公司对重要数据进行备份,并在数据丢失或损坏时进行快速恢复。
4. 结论以上列出的安全审查和检验工具是保护公司信息技术系统安全不可或缺的重要设备。
公司应根据自身需求选择合适的工具,并合理配置和使用这些工具,以确保公司信息系统的安全性和稳定性。
信息系统安全测评工具
信息系统安全测评工具一、测评工具分类一)安全测试工具1、脆弱性扫描工具脆弱性扫描工具又称安全扫描器或漏洞扫描仪,是目前应用比较广泛的安全测试工具之一,主要用于识别网络、操作系统、数据库、应用的脆弱性,给出修补建议。
1)基于网络的扫描工具:通过网络实现扫描,可以看作是一钟漏洞信息收集工具,根据不同漏洞的特征,构造网络数据包,发给网络中的一个或多个目标,以判断某个特定的漏洞是否存在,能够检测防火墙、IDS等网络层设备的错误配置或者链接到网络中的网络服务器的关键漏洞。
常用工具:天镜脆弱性扫描与管理系统、极光远程安全评估系统、榕基网络隐患扫描系统、Nessus与Nmap等。
2)基于主机的扫描工具:通常在目标系统上安装一个代理(Agent)或者是服务(Services),以便能够访问所有的主机文件与进程,这也使得基于主机的漏洞扫描器能够扫描更多系统层面的漏洞。
常用工具:微软基线安全分析器、日志分析工具与木马查杀工具等。
3)数据库安全扫描工具:通过授权或非授权模式,自动、深入地识别数据库系统中存在的多种安全隐患,包括数据库的鉴别、授权、认证、配置等一系列安全问题,也可识别数据库系统中潜在的弱点,并依据内置的知识库对违背与不遵循数据库安全性策略的做法推荐修正措施。
常用工具:安信通数据库安全扫描工具、明鉴数据库弱点扫描器等商业产品,还有oscanner、Mysqlweak等专项审核工具。
4)Web应用安全扫描工具:通过构造多种形式的Web访问请求,远程访问目标应用特定端口的服务,记录反馈信息,并与内置的漏洞库进行匹配,判断确认Web应用程序中的安全缺陷,确认Web应用程序遭受恶意攻击的危险。
常用工具:AppScan、WebRavor、WebInspect、Acunetix Web Vulnerability Scanner、N-Stealth等。
2、渗透测试工具渗透测试需要以脆弱性扫描工具扫描的结果为基础信息,结合专用的渗透测试工具开展模拟探测与入侵,判断被非法访问者利用的可能性,从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。
资料1:安全基线配置核查使用工具说明.doc
1.下载基线配置核查工具(附件2)
2.下载完成后,运行安装SblCheckTool.msi。
注:若系统未安装.Net Framework 4.0,会提示安装该软件。
在基线配置核查工具下载页面下载.Net Framework 4.0并安装,该软件为微软公司推出的系统组件。
3.安装完成后,双击打开桌面“基线加固工具”快捷方式,进入软件界面。
4.首先输入自己的姓名,工作单位以及网络管理员提供的IP地址。
5. 资料填写完毕请点击测试连接,若无错误将提示“连接成功”,点击“确认”。
6. 点击开始检查,系统将展示出终端计算机的安全配置(检查过程依据计算机性能存在查
别,请耐心等待,一般不超过1分钟)。
Linux操作系统安全系统配置要求规范V1.0
L i n u x操作系统安全配置规范版本号:1.0.0目录1概述 (1)1.1适用范围 (1)1.2外部引用说明 (1)1.3术语和定义 (1)1.4符号和缩略语 (1)2LINUX设备安全配置要求 (1)2.1账号管理、认证授权 (2)2.1.1账号 (2)2.1.2口令 (4)2.1.3授权 (10)2.2日志配置要求 (11)2.3IP协议安全配置要求 (13)2.3.1IP协议安全 (13)2.4设备其他安全配置要求 (14)2.4.1检查SSH安全配置 (14)2.4.2检查是否启用信任主机方式,配置文件是否配置妥当 (15)2.4.3检查是否关闭不必要服务 (15)2.4.4检查是否设置登录超时 (16)2.4.5补丁管理 (17)1概述1.1适用范围本规范适用于LINUX操作系统的设备。
本规范明确了LINUX操作系统配置的基本安全要求,在未特别说明的情况下,适用于Redhat与Suse操作系统版本。
1.2外部引用说明1.3术语和定义1.4符号和缩略语(对于规范出现的英文缩略语或符号在这里统一说明。
)2LINUX设备安全配置要求本规范所指的设备为采用LINUX操作系统的设备。
本规范提出的安全配置要求,在未特别说明的情况下,均适用于采用LINUX操作系统的设备。
本规范从运行LINUX操作系统设备的认证授权功能、安全日志功能、IP网络安全功能,其他自身安全配置功能四个方面提出安全配置要求。
2.1账号管理、认证授权2.1.1账号2.1.1.1检查是否删除或锁定无关账号2.1.1.2检查是否限制root远程登录2.1.2口令2.1.2.1检查口令策略设置是否符合复杂度要求2.1.2.2检查口令生存周期要求2.1.2.3检查口令重复次数限制2.1.2.4检查口令锁定策略2.1.2.5检查FTP是否禁止匿名登录2.1.2.6检查是否存在弱口令2.1.3授权2.1.3.1检查帐号文件权限设置2.2日志配置要求本部分对LINUX操作系统设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
安全配置核查系统
安全配置核查系统精心整理随着信息化建设的发展,各类 IT 设备种类和数量不断增加,其安全管理问题日渐凸 出。
为了维持 IT 信息系统的安全并方便管理,必须从入网测试、工程验收和运行维 护等设备全生命周期各个阶段加强和落实安全要求,同时需要设立满足安全要求的安 全基准点。
针对行业的业务系统建立安全检查点与操作指南的基准安全标准,则成为各个行业安 全管理人员最为紧迫的事情。
基准安全标准将形成针对不同系统的详细 Checklist 表 格和操作指南,为标准化的技术安全操作提供了框架和标准。
?规范与安全基准点的出台让运维人员有了检查默认风险的标杆,但是面对网络中种类 繁杂、数量众多的设备和软件,如何快速、有效的检查设备,又如何集中收集核查的 结果,以及制作风险审核报告,并且最终识别那些与安全规范不符合的项目,以达到 整改合规的要求,这些是网络运维人员面临的新的难题。
在此背景下,绿盟科技推出了专用检查工具——绿盟安全配置核查系统 (NSFOCUSBenchmarkVerificationSystem,简称:NSFOCUSBVS)系列产品。
该 产品基于绿盟科技多年安全服务的积累,形成完善的安全配置知识库,该知识库涵盖 了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配置加固建议,通 过该知识库可以全面的指导 IT 信息系统的安全配置及加固工作。
特别是通过该产品 能够采用机器语言,自动化的进行安全配置检查,从而节省传统的手动单点安全配置 检查的时间,并避免传统人工检查方式所带来的失误风险,同时能够出具详细的检测 报告。
它可以大大提高您检查结果的准确性和合规性,节省您的时间成本,让检查工页脚内容精心整理作变得简单。
? 本文将包含以下内容:运维人员面临的挑战基线安全的研究安全基线的建立和应用绿盟安全配置核查系统运维人员面临的挑战随着业务不断发展,网络规模日益扩大,其生产、业务支撑系统的网络结构也变得越 来越复杂。
安全配置核查系统测评工具指导书-1.0版
测评指导书等级保护测评工具安全配置核查系统HD-DJCP-AQHC-2011091001V1.0贵州亨达集团信息安全技术有限公司版本说明文档信息版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属贵州亨达集团信息安全技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经贵州亨达集团信息安全技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
目录1工具简介 (3)2设备安装指导 (3)2.1设备面板说明 (3)2.2设备部署方式 (4)2.2设备登陆说明 (5)3设备操作说明 (7)3.1用户管理 (7)3.2用户权限划分 (7)3.3模板管理 (8)3.4创建任务 (10)3.5创建空任务 (11)3.6创建正常任务 (11)3.7获取主机信息 (15)4报表分析 (17)4.1在线报表 (17)4.1.1任务列表概览 (17)4.1.2主机列表 (18)4.1.3主机信息 (18)4.2报表输出 (19)5数据保存 (21)附录A设备出厂参数 (22)A.1初始网络设置 (22)A.2初始用户帐号 (22)A.3串口通讯参数 (22)1工具简介绿盟安全配置核查系统(NSFOCUS Benchmark Verification System,简称:NSFOCUS BVS)。
NSFOCUS BVS具备完善的安全配置库,采用高效、智能的识别技术,主动实现对网络资产设备自动化的安全配置检测、分析,并生成专业的安全配置建议与合规性报表. NSFOCUS BVS 能帮助测评机构了解被测机构的信息系统的安全状况从而提出有针对性的强化安全建议。
2设备安装指导2.1设备面板说明BVS的硬件外观如图2.1所示,产品硬件的前面板如图2.2所示(实际产品会因批次不同而略有不同)。
图2.1BVS产品硬件外观图2.2 BVS前面板2.2设备部署方式请根据实际的网络结构,将BVS设备接入网络,请根据自己网络的拓扑结构加以调整,如图2.3所示。
Leadsec-CVS-V6.0.80.3_U1.0-安全配置核查管理系统-用户手册-V1.0-20141105
4
资产 ................................................................................................................................................................ 41 4.1 4.2 资产管理 .............................................................................................................................................. 41 资产类型 .............................................................................................................................................. 46
6
参考知识 ........................................................................................................................................................52 6.1 6.2 6.2.1 6.2.2 各协议帮助 ...........................................................................................................................................52 知识 ........................................................................................................................................................52
中国石油信息安全基线配置核查系统操作手册-用户版
运行环境说明1.1 硬件环境中国石油信息安全基线配置核查系统分为客户端和服务端两个部分,分别用于计算机配置核查、数据展示分析。
软件可支持硬件设备主要包含如下:1)客户端: CPU:Intel奔腾4 及以上;内存:512MB及以上硬盘:20GB。
1.2 软件环境中国石油信息安全基线配置核查系统分为客户端和服务端两个部分,分别用于计算机配置核查、数据展示分析。
系统对软件版本要求如下:1)客户端:Windows XP及以上版本或 Windows Server 2003及以上版本;NET Framework 4.0及以上版本。
1.3 网络环境中国石油基线配置核查系统需计算机在内网环境下进行使用,可选择使用中石油内部局域网络(简称内网)或者公共互联网络(简称外网)均可。
用户使用说明中国石油基线配置核查系统分为客户端与服务端,下面将分别介绍客户端的功能。
1.4 下载与安装服务端硬件设备配置到公司内网中,访问服务端IP地址(10.27.70.35),即可进入下载页面下载客户端软件,如图1。
安装客户端软件过程中,若提示“未安装.NET Framework 4.0”则先安装.NET再继续客户端部署。
在Windows XP系统中,部分计算机需部署Windows XP 本地安全策略补丁才能进行检查,若提示则下载安装本地安全策略补丁。
1.5 客户端启动1. 基线配置核查工具安装成功后,双击桌面图标,进入客户端软件,如下图:1.6 连接服务端1. 基线配置核查工具启动后,需要用户手动配置数据上传路径(依据服务端IP地址而异)以及个人姓名及工作单位用于数据分析。
填写完成后点击“测试连接”,若IP地址无误则提示“连接成功”。
如图:请务必在公司内部统一填写单位名称,否则数据报表可能不完善。
2. 基线配置核查工具依据《中国石油信息系统安全基线》(Windows)版分为10个分类,展现在软件界面之上,若用户需要针对部分类别开展安全检查,勾选类别复选框;若需要对全部检查项开展安全检查,直接点击“开始检查”。
安全配置评估工具
安全配置评估工具安全配置评估工具是用于评估计算机系统、网络设备、应用程序等安全配置的工具,旨在帮助用户发现系统中存在的安全漏洞、风险和不安全配置,并提供相应的解决方案和建议。
以下是一些常见的安全配置评估工具:1. OpenSCAP:OpenSCAP是一个开源的安全配置评估工具,它提供了一系列的规则和标准,可以用于评估和验证系统的安全性。
同时,它还可以生成报告和建议,帮助用户修复发现的漏洞。
2. Nessus:Nessus是一款强大的漏洞扫描工具,它可以扫描系统、应用程序和网络设备,发现其中的安全漏洞和不安全配置,并提供修复建议。
Nessus可以对多种操作系统和应用程序进行评估。
3. Qualys:Qualys是一家专注于云安全和合规性的公司,其提供的云安全解决方案中包括了安全配置评估工具。
Qualys的工具可以扫描和评估系统和应用程序的安全配置,发现潜在的漏洞和风险,并进行修复建议。
4. OpenVAS:OpenVAS是一款开源的漏洞评估和管理工具。
它可以扫描系统和应用程序,发现其中的漏洞和不安全配置,并提供修复建议。
OpenVAS具有可定制性高和易用性好的特点。
5. Security Content Automation Protocol (SCAP):SCAP是一个开放的安全配置评估框架,它可以用于评估和验证系统的安全性。
SCAP包含一系列的规则和标准,可以帮助用户发现系统中存在的安全漏洞和风险,并提供解决方案和建议。
总结起来,安全配置评估工具是一类用于评估和验证系统、应用程序和网络设备安全配置的工具,通过扫描和分析系统配置,发现安全漏洞和风险,并提供相应的修复建议和解决方案。
使用这些工具可以帮助用户提高系统的安全性和合规性。
安全配置核查管理系统介绍
3、上传结果
2、将采集器与不可达的目标网络连接,保证核查 的设备连通性,直接运行任务完成批量核查。
3、再将采集器连回到管理调度中心,将结果传递到管理 调度中心完成对不可达网络的批量核查,管理调度中心负 责结果汇总出具报告 不可达网络
灵活便捷的多方式检查
优势功能
复杂网络的多渠道检查支持。 安全配置核查管理系统支持在线、离线脚本、脱机、分布式采集等多种 核查方式,并配备Windows代理来解决无登录信息的问题,实现在各类复杂情况 下的核查采集。
与安全管理平台的无缝整合。 安全配置核查管理系统可与现有的启明星辰安全管理平台实现无缝整合, 可作为子模块完成基线检查的工作,也可通过安全管理平台下发基线检查策略, 驱动基线管理平台共同完成安全运营管理工作。 同时安全基线配置核查系统检查结果可以返回安全管理平台管理,安全管理平台 可以针对安全基线的不同检查规范和不同检查目的的检查结果进行过程管控,了 解基线检查配置弱点的整改过程情况,为安全管理工作提供更有利的过程管控信 息和数据支撑。
多级模版管理
1. 上下级检查项同步 2. 上级自定义检查策略模版(制定标准) 3. 下级执行并反馈执行情况
多级管理-任务管理
上级节点
1、瘦客户端 2、上级管理的 细粒度
执行任务
下级节点
定期执行上级同步下来的任务 将执行结果同步上传到上级节 点
下级节点
多级管理-模版管理
上级节点
瘦服务端 1、制定核查标准 2、监督执行情况 3、查看结果排名
离线核查(离线脚本)
适用网络:对于不可达及可达且零散或未知的设备。 核查效率: 中低(需要逐台设备运行核查脚本) 安全配置核查管理系统 核查脚本 前置条件: 1、已知核查设备操作系统信息 2、脚本下载或拷贝到目标设备 结果汇总 特点: 1、不考虑网络情况 2、不需要登录信息 3、操作简单,使用灵活 Result 下级节点 Result
最新2015版-主机安全测评指导书
X X X市人民政府重要信息系统主机安全测评指导书测评单位名称:成都博和赢创信息技术有限公司被测单位名称: XXXX2015年 X 月 X 日V1.0一、系统概述本次需要进行测评的系统是XXX市人民政府XXX信息系统主机window server 2003系统。
XXX市人民政府XXX信息系统已经完成建设和验收工作。
为单位规范、高效和系统的管理提供了一个稳定的计算机和网络系统平台,从而需要对该系统进行等级保护工作。
二、安全保护等级XXX通过自主定级为三级等级保护。
本标准依据GB 17859-1999的五个安全保护等级的划分,根据数据安全在信息系统中的作用,规定了各个安全等级的数据安全所需要的基础安全技术的要求。
本标准适用于按等级化的要求进行的数据安全的设计和实现,对按等级化要求进行的数据安全的测试和管理可参照使用。
三、主机安全范围主机安全的范围包括:身份鉴别(S3)、访问控制(S3)、安全审计(G3)、剩余信息保护(S3)、入侵防范(G3)、恶意代码防范(G3)、资源控制(A3)。
四、测评指标1、身份鉴别(S3)本项要求包括:a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别;b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。
f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。
2、访问控制(S3)本项要求包括:a) 应启用访问控制功能,依据安全策略控制用户对资源的访问;b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;c) 应实现操作系统和数据库系统特权用户的权限分离;d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。
Windows安全配置检测指导书
Windows服务器安全配置指导书目录1. 常规检查内容 (1)1.1.Windows系统安全基线配置规范 (1)1.1.1.补丁管理 (1)1.1.1.1.补丁安装 (1)1.1.2.用户帐号与口令安全 (1)1.1.2.1.密码策略 (1)1.1.2.2.账户锁定策略 (2)1.1.2.3.用户权限设置 (3)1.1.2.4.禁用Guest(来宾)帐户 (7)1.1.2.5.修改管理员帐号名称 (8)1.1.2.6.停用不使用的帐号 (9)1.1.3.日志与审核 (10)1.1.3.1.审核策略 (10)1.1.3.2.设置系统日志 (11)1.1.4.服务优化 (13)1.1.4.1.关闭不必要的服务 (13)1.1.4.2.加固SNMP服务 (16)1.1.5.安全防护 (17)1.1.5.1.使用NTFS文件系统........................................................... 错误!未定义书签。
1.1.5.2.屏幕保护 (17)1.1.5.3.文件共享 (19)1.1.5.4.防病毒管理 (20)1.1.5.5.启用系统自带防火墙 (20)1.1.5.6.删除默认共享 (22)1.1.5.7.限制匿名用户连接 (23)1.1.5.8.检测网络服务挂起时间 (24)1.1.5.9.关闭驱动器自动运行 (25)1.1.5.10.检查数据执行保护 (26)1.1.5.11.检测DDOS 攻击保护设置 (27)1.1.5.12.检查日期服务器 (28)1.1.5.13.检查登录超时设置 (28)1.1.5.14.检测加密或数字签名安全通道的数据的设置 (29)1.1.5.15.检测会话限制 (30)1.1.5.16.关闭不要的自启动项 (31)2. 专项检查内容 (32)2.1.恶意或异常进程 (32)2.2.异常端口检测 (33)2.3.日志检查....................................................................................... 错误!未定义书签。
安全配置核查系统
安全配置核查系统随着信息化建设的发展,各类IT设备种类和数量不断增加,其安全管理问题日渐凸出。
为了维持IT信息系统的安全并方便管理,必须从入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全要求,同时需要设立满足安全要求的安全基准点。
针对行业的业务系统建立安全检查点与操作指南的基准安全标准,则成为各个行业安全管理人员最为紧迫的事情。
基准安全标准将形成针对不同系统的详细Checklist表格和操作指南,为标准化的技术安全操作提供了框架和标准。
规范与安全基准点的出台让运维人员有了检查默认风险的标杆,但是面对网络中种类繁杂、数量众多的设备和软件,如何快速、有效的检查设备,又如何集中收集核查的结果,以及制作风险审核报告,并且最终识别那些与安全规范不符合的项目,以达到整改合规的要求,这些是网络运维人员面临的新的难题。
在此背景下,绿盟科技推出了专用检查工具——绿盟安全配置核查系统(NSFOCUS Benchmark Verification System,简称:NSFOCUS BVS)系列产品。
该产品基于绿盟科技多年安全服务的积累,形成完善的安全配置知识库,该知识库涵盖了操作系统、网络设备、数据库、中间件等多类设备及系统的安全配置加固建议,通过该知识库可以全面的指导IT信息系统的安全配置及加固工作。
特别是通过该产品能够采用机器语言,自动化的进行安全配置检查,从而节省传统的手动单点安全配置检查的时间,并避免传统人工检查方式所带来的失误风险,同时能够出具详细的检测报告。
它可以大大提高您检查结果的准确性和合规性,节省您的时间成本,让检查工作变得简单。
本文将包含以下内容:运维人员面临的挑战基线安全的研究安全基线的建立和应用绿盟安全配置核查系统运维人员面临的挑战随着业务不断发展,网络规模日益扩大,其生产、业务支撑系统的网络结构也变得越来越复杂。
其中,重要应用和服务器的数量及种类日益增多,一旦发生维护人员误操作,或者采用一成不变的初始系统设置而忽略了对于安全控制的要求,就可能会极大的影响系统的正常运转。
安全基线与配置核查技术与方法
安全基线能给烟草用户带来什么
•能够及时发现 当前业务应用 系统所面临的 安全问题并可 以提供有效的 解决办法 • 可以成为用户 对业务系统进 行等级合规的 有力检查和合 规工具,出具 符合国家局要 求的合规检查 报告 • 依据等保和 “三全”的要 求进行自动化 检查(71个指 标项的检查要 求,35个技术 指标,36个管 理类,共计 380项)
安全管理制度
安全管理机构
人员安全管理
管理制度 制订和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 系统定级 安全方案设计 产品采购和使用 软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中 心 网络安全管理 系统安全管理 恶意代码防范管理 计算机应用管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
3
国内外信息安全评估标准演化视图
4
什么是安全基线
目录
企业面临的困惑与运维挑战 如何建立一套基线管理体系 安全基线检查的技术方法 举例
5
安全运维的困境一
我又不是安全专家,我怎 么知道哪些是安全的? 这么多的设备,难道要我 一台一台手工来查吗?
漏洞、配置、端口,进程、 文件,账号口令,这些都 怎么查啊?
些安全设备的自身安全谁来管理呢
,端口、进程、帐号安全? 数据库、中间件是支持业务的重要 组件,是不是都按照默认配置,使 用出厂设置,这些配置是否适用于 我们企业的安全要求,如何发现潜 在的风险呢?
谁来关注它 们的安全
-目前我们的关注点是保证业务安全、数 据安全,但所有系统平台的支撑最终还 是落实到设备上,设备安全了,业务支 撑才安全
LINUX_操作系统安全测评指导书三级v1.0
- -
操作系统平安测评指导书
LINUX
- -优质-
. .
1概述
1.1 适用围
本测评指导书适用于信息系统等级为三级的主机Linux操作系统测评。
1.2说明
本测评指导书基于?信息系统平安等级保护根本要求?的根底上进展设计。
本测评指导书是主机平安对于Linux操作系统身份鉴别、访问控制、平安审计、剩余信息保护、备份与恢复平安配置要求,对Linux操作系统主机的平安配置审计作起到指导性作用。
1.4 保障条件
1)需要相关技术人员〔系统管理员〕的积极配合
2)需要测评主机的管理员和口令
3)提前备份系统及配置文件
. -可修编.
- -。
应用安全测评指导书
1应用安全测评指导书应用系统安全测评序号测评指标测评项检查方法预期结果1身份鉴别a)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
访谈: 1)访谈应用系统管理员,询问应用系统的身份标识和鉴别机制采用何种措施实现; 2)登录应用系统,查看是否提示输入用户口令,然后以正确口令登录系统,再以错误口令或空口令重新登录,观察是否成功。
1)应用系统使用口令鉴别机制对用户进行身份标识和鉴别; 2)登录时提示输入用户名和口令;以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性;3)应用系统不存在密码为空的用户。
b)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
访谈: 1)访谈应用系统管理员,询问应用系统是否采用了两种及两种以上身份鉴别技术的组合来进行身份鉴别(如采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两种组合);手工检查:1)通过注册用户,并以一种身份鉴别技术登录,验证是否可以登录。
用户的认证方式选择两种或两种以上组合的鉴别技术,只用一种技术无法认证成功。
c)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处访谈: 1)访谈应用系统管理员,询问应用系统采取何种措施防止身份鉴别信息被冒用(如复杂性混有大、小写字母、数字和特殊字符,口令周期等);手工检查: 1)以弱口令用户注册,验证其用1)应用系统配备身份标识(如建立帐号)和鉴别(如口令等)功能;其身份鉴别信息具有不易被冒用的特点,规定字符混有大、小写字母、数字和特殊字符);2)以不符合复杂度要求和不符合长度要求理,如登录失败处理、登录连接超时等。
户是否注册成功。
的口令创建用户时均提示失败。
d)检查应用系统的身份标识与鉴别功能设置和使用配置情况;检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。
XX项目-安全配置核查表
WebLogic审核登录
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
。
5
WebLogic支持加密协议
对于通过HTTP协议进行远程维护的设备,设备应支持使用HTTPS等加密协议。
6
WebLogic限制应用服务器Socket数量
WebLogic错误页面重定向
10
WebLogic目录列表
禁止WebLogic列表显示文件
Sockets最大打操作系统文件描述符限制
7
WebLogic禁用Send Server Header
Sockets最大打开数目设置不当的话,容易受到拒绝服务攻击,超出操作系统文件描述符限制
8
WebLogic定时登出
更改WebLogic服务器默认端口
9
WebLogic错误页面处理
WebLogic Web服务器安全配置
序号
配置项
描述
检查结果
1
WebLogic启动账号安全基线要求项
要求限制账号,执行账号不可以是root和nobody。
2
WebLogic账号锁定
要求设定账号锁定次数和时间,错误输入密码10次,系统自动锁定,锁定时间5分钟。
3
WebLogic密码复杂度
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
测评指导书等级保护测评工具安全配置核查系统HD-DJCP-AQHC-2011091001V1.0亨达集团信息安全技术版本说明文档信息声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等容,除另有特别注明,均属亨达集团信息安全技术所有,受到有关产权及法保护。
任何个人、机构未经亨达集团信息安全技术的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
. .. ..目录1工具简介 (2)2设备安装指导 (2)2.1设备面板说明 (2)2.2设备部署方式 (3)2.2设备登陆说明 (4)3设备操作说明 (6)3.1用户管理 (6)3.2用户权限划分 (6)3.3模板管理 (7)3.4创建任务 (9)3.5创建空任务 (10)3.6创建正常任务 (10)3.7获取主机信息 (14)4报表分析 (15)4.1在线报表 (15)4.1.1任务列表概览 (15)4.1.2主机列表 (15)4.1.3主机信息 (16)4.2报表输出 (17)5数据保存 (19)附录A设备出厂参数 (20)A.1初始网络设置 (20)A.2初始用户 (20)A.3串口通讯参数 (20)1工具简介绿盟安全配置核查系统(NSFOCUS Benchmark Verification System,简称:NSFOCUS BVS)。
NSFOCUS BVS具备完善的安全配置库,采用高效、智能的识别技术,主动实现对网络资产设备自动化的安全配置检测、分析,并生成专业的安全配置建议与合规性报表. NSFOCUS BVS能帮助测评机构了解被测机构的信息系统的安全状况从而提出有针对性的强化安全建议。
2设备安装指导2.1设备面板说明BVS的硬件外观如图2.1所示,产品硬件的前面板如图2.2所示(实际产品会因批次不同而略有不同)。
图2.1BVS产品硬件外观图2.2 BVS前面板2.2设备部署方式请根据实际的网络结构,将BVS设备接入网络,请根据自己网络的拓扑结构加以调整,如图2.3所示。
图2.3BVS的网络部署图接入网络时,需注意以下几点:⏹使用网络直连线连接交换机和AURORA BVS设备的扫描口(SCAN口)。
⏹AURORA BVS设备无论接入网络何处都能使用,但考虑到使用性能建议将其接入到公司主干网的交换机上。
⏹使用网络直连线将AURORA BVS设备连接到公司网络中。
⏹将AURORA BVS设备接入网络后请立即修改网络配置,适应所在网络。
管理员也可以使用管理口(Config口)对AURORA BVS 设备进行管理。
关于AURORA BVS设备各端口的出厂参数,请参见附录。
2.2设备登陆说明管理员将扫描接口配置完毕,即可将扫描接口接入网络,并在网络中的选择一台管理机,通过Web管理界面进行网络参数配置。
下面介绍登录BVS的Web管理界面的操作方法:(1)确定客户端主机是否已正常联网。
(2)打开浏览器IE,用HTTPS方式连接BVS的IP地址,例如:https://192.168.1.1。
(3)回车后出现如图2.4所示界面,单击【是】,接受BVS证书加密的通道。
图2.4登录Web管理界面时的安全警报弹出框(4)在如图2.5所示的登录界面中,输入初始用户名和密码,单击【确认】。
图2.5BVS的Web登录界面(5)成功登录后,进入AURORA BVS的Web管理界面(以任务管理员user登录为例),如图2.6所示。
图2.6成功登录AURORA BVS后的Web管理界面3设备操作说明3.1用户管理使用系统管理员admin账户登陆,选择菜单【系统】 【用户管理】,进入用户列表的页面。
如下图所示,初始状态下用户列表中只有系统自带的四个用户。
3.2用户权限划分BVS包括四类用户:任务管理员、审计管理员、报表管理员和系统管理员,它们的权限如下表所示。
用户名权限任务管理员user 创建评估任务、查看任务信息、检查任务结果、报表输出、系统管理(查看系统状态、重启系统、关闭系统、查看授权注册信息)、查看日志、下载配置规检查脚本、常用工具的使用、升级设置/(自定义)审计管理员auditor 日志审计(查看日志、删除日志、导出日志)报表管理员reportor 查看任务信息、检查任务结果、报表输出、修改报表信息(修改使用模板配置检查项的分值和主机检查结果)系统管理员admin 模板管理(新建模板、编辑模板、删除模板、导入模板、导出模板)、用户管理(创建任务管理员、删除任务管理员、编辑除auditor以外的用户)、系统管理(证书的导入/导出、查看系统状态、重启系统、关闭系统、查看授权注册信息、网络配置、系统时间设置、升级设置、任务还原、系统服务)3.3模板管理模板是用来检查和展示AURORA BVS报表信息的规,根据不同的证书,系统自带的模板也不同,主要包括以下六类:Windows配置规、Solaris配置规、Oracle配置规、Juniper Router配置规、Cisco Router 配置规和Huawei Router配置规。
只有系统管理员admin有权限对模板进行管理操作。
选择菜单【系统】→【模板参数】,进入模板管理的页面,如图3.1所示。
图3.1模板管理◆增加模板增加模板有以下两种方法:方法一(1)在页面左侧的模板列表下方,单击【增加模板】,输入模板名称并选择模板类型。
(2)单击刚刚添加成功的模板名称,并在页面右侧选择检查项以及设置分值权重。
(3)新的模板定制完毕,单击右下方的【保存】。
方法二(1)在模板列表中,单击某个缺省模板,进入该模板容的页面。
(2)在该模板容的右下角,单击【另存为】,输入新的模板名称并保存。
(3)单击刚刚另存的模板名称,并在页面右侧选择检查项以及设置分值权重。
(4)新的模板定制完毕,单击右下方的【保存】。
◆修改模板在模板列表中,单击某个模板名称,并在页面右侧重新选择检查项以及设置分值权重,完成后单击右下方的【保存】。
系统自带的报表模板不允许修改。
◆删除模板在模板列表的“操作”一栏下,单击图标确定后即可将对应的报表模板删除。
3.4创建任务只有任务管理员(User)有权限创建任务。
选择菜单【新建任务】,进入创建任务的页面,如图3.2所示。
图3.2创建任务创建任务时,各项参数含义如下:任务名称——检查任务的名称。
检查目标——接受安全配置检查的主机(具体配置方法请参见4.2创建正常任务)。
保存密码——选择是,表示检查目标的登录密码被自动保存,任务结束后可以进行重新检查的操作;否则,将不保存检查目标的登录密码,任务结束后无法重新检查。
设备信息——填写本次检查目标的设备管理人、所属部门、设备用户和备注信息(可选项)。
创建任务时,页面上方的红色字体会提示目前允许用户扫描的IP围。
通过修改用户信息可以修改允许扫描的IP围.3.5创建空任务BVS允许创建空任务(即没有实际检查目标的任务),任务管理员可以进入该任务参数的页面,通过导入单个主机的检查结果文件到该任务,然后自动生成相应的报表。
导入单个主机检查结果的文件创建评估任务–导入数据到空任务中3.6创建正常任务创建正常任务,即在创建任务的页面中单击【增加主机】,设置检查目标的各项参数,并显示目前系统授权IP数量。
选择不同的配置规模板,需要设置不同的参数,下面分别介绍。
Windows配置规创建任务–设置Windows配置规模板的任务参数Windows配置规模板的任务参数含义如下:选择行业——目前,只能选择中国移动(此项与产品证书有关)。
类型/端口——检查目标的登录方式和端口号。
IP围——检查目标的IP地址。
一个检查目标最多支持一个C类网段,例如:192.168.*.*(具体的填写格式请参见页面的帮助说明)。
用户名/密码——登录检查目标主机的用户名和密码。
Windows配置规模板支持域用户登录检查,登录方式是intra\guest。
◆Solaris 配置规选中此项,表示使用SU用户登录,保证检查任务拥有完整的执行权限。
创建任务–设置Solaris配置规模板的任务参数Solaris配置规模板的任务参数含义,与Windows配置规模板的基本相同。
◆Oracle 配置规选中此项,表示以指定的Oracle超级用户权限登录创建任务–设置Oracle配置规模板的任务参数Oracle配置规模板的任务参数含义,与Windows配置规模板的基本相同。
Juniper Router配置规创建任务–设置Juniper Router配置规模板的任务参数Juniper Router配置规模板的任务参数含义,与Windows配置规模板的基本相同。
Cisco Router配置规缺省选中此项,必须设置Enable密码创建任务–设置Cisco Router配置规模板的任务参数Cisco Router配置规模板的任务参数含义,与Windows配置规模板的基本相同。
Huawei Router配置规创建任务–设置Huawei Router配置规模板的任务参数Huawei Router配置规模板的任务参数含义,与Windows配置规模板的基本相同。
3.7获取主机信息选择菜单【系统】 【下载执行】,即可下载配置规检查工具,便于任务管理员在被检查的主机上执行本地检查任务,获取主机信息。
如下图所示,列出了当前系统自带和用户自定义的配置规检查工具,单击“操作”一栏下的图标即可下载对应的配置规检查工具。
创建任务–配置规检查工具列表配置规检查工具下载完毕,即可执行本地检查任务,操作方法如下:(1)将下载的配置规检查工具文件解压缩,然后运行文件win.bat (运行过程中不要关闭窗口)。
(2)win.bat运行完毕,自动关闭窗口,同时在该目录下自动生成一个XML文件(以被检查主机IP命名),文件中包含了该主机被检查的所有信息。
(3)任务管理员登录AURORA BVS,创建一个空任务并进入任务参数页面,将刚刚生成的主机检查结果文件导入,即可生成相应的报表。
4 报表分析4.1在线报表4.1.1 任务列表概览在任务列表中,单击任务名称即可查看当前任务的在线报表,并可以根据检查目标的IP 或者任务名称进行任务的筛选查询,如下所示任务列表 4.1.2 主机列表在主机列表中,默认列出当前被检查全部主机的IP 地址、主机名、操作系统、平均符合读和风险平均分,如下图所示。
在主机列表在线报表管理操作 单击任务名称,进入该任务的在线报表根据IP 地址或任务名称进行筛选导入任务页面的底部,单击【保存为EXCEL】,即可将当前任务的主机列表信息保存为xls格式的文件下载到本地。
报表分析–主机列表4.1.3 主机信息在主机列表中,单击某个主机的IP地址,即可查看它的详细检查信息,包括主机概况(包括IP地址、配置模板、主机名、平均符合度、风险平均分和操作系统/应用程序)、检查结果(主机使用模板检查项的结果信息,表示对应的检查项不符合安全标准,表示对应的检查项符合安全标准)、需要手工判断的检查项以及辅助信息,如下图所示。