安全基线与配置核查技术与方法.

合集下载

基于云计算虚拟化平台的安全基线配置核查研究

基于云计算虚拟化平台的安全基线配置核查研究

基于云计算虚拟化平台的安全基线配置核查研究刘金严聪袁喜(中移信息技术有限公司,广东深圳518000)[摘要]云计算是一个庞大的系统,其规模大小与复杂程度决定了解决云计算安全问题的难易程度。

云平台的安全管控是科技、规章和行为的复杂组合。

云计算环境的系统整体连通性和各级数据的完整性需综合考虑典型特征的网络、系统、应用和用户等诸多因素,将各解决方案相互联合、综合设计,才能保护云平台安全。

本文将围绕云计算虚拟化平台,展开基于云计算虚拟化平台的安全基线配置及核查方法的研究,并由此设计云平台安全基线自动化核查技术。

在此基础上,提出面向云平台组件安全基线配置的安全管控方法,旨在降低云计算虚拟化平台中各组件可能因配置不当所造成的安全风险,确保云平台系统安全、稳定地运行。

[关键词]安全基线;配置核查;云平台;安全管控方法;VMWware中图分类号:TP393.08文献标识码:A文章编号:1008-6609(2019)01-0028-071引言随着云计算的大量应用,云环境下的安全问题也日益突出。

云计算通过引入虚拟化技术,改变了传统的服务方式,当企业从传统业务环境转换到云计算环境后,如何能够安全、可靠地部署,是每一个企业不得不面临的问题。

当前用户更加关注从业务信息系统安全风险的角度所凸显的云内整体安全性,而非单一从安全威胁和防御机制的角度去主动地进行安全管理。

在云安全体系架构下,除了传统的安全问题,还衍生了大量、复杂的与虚拟化相关的安全问题。

服务器虚拟化增加了Hypervisor层应用程序,若Hypervisor层安全配置不当或漏洞被利用攻击,将会导致整个云平台无法正常使用;即便是微软的Hyper-V、VMware的ESX,或Citrix的XEN都曾暴露过相关安全风险问题。

为了应对安全风险,国家信息安全监管部门发布了多个与云计算安全相关的指导规范和标准,如《云计算环境安全检查与评估指标体系》《云计算信息安全等级保护基本要求》《云计算信息安全等级保护安全设计技术要求》《云计算信息安全等级保护测评要求》《信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求》等。

各类操作系统安全基线配置及操作指南

各类操作系统安全基线配置及操作指南

各类操作系统安全配置要求及操作指南检查模块支持系统版本号Windows Windows 2000 以上Solaris Solaris 8 以上AIX AIX 5.X以上HP-UNIX HP-UNIX 11i以上Linux 内核版本2.6以上Oracle Oracle 8i以上SQLServerMicrosoft SQL Server 2000 以上MySQL MySQL 5.x以上IIS IIS 5.x以上Apache Apache 2.x 以上Tomcat Tomcat 5.x以上WebLogic WebLogic 8.X以上Windows操作系统安全配置要求及操作指南I目录目录 (I)前言 (II)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 安全配置要求 (2)4.1 账号 (2)4.2 口令 (3)4.3 授权 (5)4.4 补丁 (7)4.5 防护软件 (8)4.6 防病毒软件 (8)4.7 日志安全要求 (9)4.8 不必要的服务 (11)4.9 启动项 (12)4.10 关闭自动播放功能 (13)4.11 共享文件夹 (13)4.12 使用NTFS 文件系统 (14)4.13 网络访问 (15)4.14 会话超时设置 (16)4.15 注册表设置 (17)附录A:端口及服务 (18)II前言为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,编制了一系列的安全配置要求及操作指南,明确了操作系统、数据库、应用中间件在内的通用安全配置要求及参考操作。

该系列安全配置要求及操作指南的结构及名称预计如下:(1)《Windows 操作系统安全配置要求及操作指南》(本规范)(2)《AIX操作系统安全配置要求及操作指南》(3)《HP-UX 操作系统安全配置要求及操作指南》(4)《Linux操作系统安全配置要求及操作指南》(5)《Solaris操作系统安全配置要求及操作指南》(6)《MS SQL server数据库安全配置要求及操作指南》(7)《MySQL 数据库安全配置要求及操作指南》(8)《Oracle数据库安全配置要求及操作指南》(9)《Apache安全配置要求及操作指南》(10)《IIS安全配置要求及操作指南》(11)《Tomcat 安全配置要求及操作指南》(12)《WebLogic 安全配置要求及操作指南》11 范围适用于使用Windows 操作系统的设备。

安全基线与配置核查技术与方法

安全基线与配置核查技术与方法

什么是安全基线
目录
企业面临的困惑与运维挑战 如何建立一套基线管理体系 安全基线检查的技术方法 举例
13
什么是安全基线工具
安全基线 的根本目的是保障业务系统的安全,使业务系统的风险维持在可控范围内,为了
避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险,而制定安全检 查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。安全基线 检查工具是采用技术手段,自动完成安全配置检查的产品,并提供详尽的解决方案。
– 主要业务需求
18
建立安全基线的管理体系的必要性
首先根据组织状况,建立一套在当前时期或一段时期内的“理想化 的综合基线指标”,即“基线体系”。这个“基线体系”可以同时包含政
策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等。 然后通过一些手段(比如自动化的评估工具)对组织现有的安全指 标进行分析。通过对比“理想化的综合基线指标”,形成了一套差距分 析结论。 组织自身针对这个差距进行适时监测、确认和跟踪即可,对任何在 此水平以下的情况进行预警或通报,提出“补足差距”的建议方案;而这 个“理想化的综合基线指标”就是该组织的最优安全状态。追求规避全部风 险是不现实的,信息系统在达到这个指标水平之后,部分风险自然会被转移 或降低。 量化 如此便可以实现持续定义升高这个综合基线指标, 差距 持续监管和持续改进,可以使每一时期每一阶段的安全 基本 保障 水平都是可控的。同时,收集完数据后,根据企业安全 合规落地 状况进行风险的度量,输出结合政策法规要求的整体安全 建设报表。
何处开始,有什么工具 能帮助我吗?
安全运维的困境二
老大,这是上个月的报告。 系统有X个高危漏洞,Y个配置问题。
• 当前的系统到底是安全还是不安全 呢? • 最近一次的安全整改到底有没有效 果呢? • 安全状况同比和环比有什么变化呢? • 以上问题我们通过什么方式验证呢?

服务器基线核查制度

服务器基线核查制度

服务器基线核查制度
1. 基本配置核查,包括操作系统版本、补丁更新、服务配置、
用户权限等方面的核查,确保服务器系统的基本配置符合安全标准。

2. 安全设置核查,包括防火墙配置、安全策略、加密设置等方
面的核查,以确保服务器系统的安全设置符合最佳实践。

3. 日志审计核查,包括日志记录设置、日志审计程序等方面的
核查,以确保服务器系统能够有效地记录和审计安全事件。

4. 威胁检测核查,包括病毒扫描、入侵检测等安全工具的部署
和运行情况的核查,以确保及时发现和应对安全威胁。

5. 授权访问核查,包括用户权限管理、访问控制列表等方面的
核查,以确保只有经过授权的用户能够访问服务器系统。

通过建立服务器基线核查制度,可以有效地提高服务器系统的
安全性和稳定性,降低安全风险。

同时,定期执行基线核查,及时
发现和纠正安全问题,确保服务器系统处于一个安全可靠的状态。

主机安全基线检查windows系统操作手册

主机安全基线检查windows系统操作手册
操作指南
1、参考配置操作
进入“控制面板->网络连接->本地连接”,在高级选项的设置中
启用Windows防火墙。
在“例外”中配置允许业务所需的程序接入网络。
在“例外->编辑->更改范围”编辑允许接入的网络地址范围。
检测方法
1、判定条件
启用Windows防火墙。
“例外”中允许接入网络的程序均为业务所需。
查看是否“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟
要求内容
非域环境中,关闭Windows硬盘默认共享,例如C$,D$。
操作指南
1、参考配置操作
进入“开始->运行->Regedit”,进入注册表编辑器,
SYSTEM\CurrentControlSet\Services\lanmanserver\parameter
检测方法
1、判定条件
审核登录事件,设置为成功和失败都审核。
2、检测操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,查看是否设置为成功和失败都审核。
要求内容
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
操作指南
1、参考配置操作
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看是否“应用日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
要求内容
对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议。

网络安全基线核查

网络安全基线核查

1.前言1.1.术语、定义(1)合规性(Compliance)企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序,以定期评价对适用法律法规的遵循情况的一项管理措施。

(2)资产(Asset)信息系统安全策略中所保护的信息或资源。

(3)计算机信息系统(Computer information system)由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

(4)保密性(Confidentiality)使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。

(5)安全服务(Security service)根据安全策略,为用户提供的某种安全功能及相关的保障。

2.服务概述2.1.服务概念基线核查服务是根据相关标准或规范,结合最佳实践,对客户的硬件资产(如:主机设备、网络设备、安全设备、办公终端等)和软件系统(如:操作系统、数据库、中间件和常用服务协议等)进行安全配置的核查,识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距,并提供相关优化建议。

2.2.服务必要性基线核查是检验信息系统安全措施中的一种检查方式,信息系统拥有者往往需要在达到相对安全状态下所需要付出的成本与承受安全风险带来的损失之间寻找平衡。

而安全基线正是这个平衡的合理分界线。

基线核查服务,一方面可以根据基线核查的结果进行安全加固提升安全防护能力,减少信息系统的脆弱性,进而降低信息系统面临的安全风险;一方面可以满足合规性检查和国家政策要求。

2.3.服务收益通过以工具为主,人工为辅的方法,对客户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查,输出专业的基线核查安全评估报告,通过该服务可以实现包括但不限于以下价值:●帮助客户充分掌握当前 IT 设备的配置情况,了解潜在的 IT 设备、系统的配置隐患和安全风险。

资料1:安全基线配置核查使用工具说明.doc

资料1:安全基线配置核查使用工具说明.doc

1.下载基线配置核查工具(附件2)
2.下载完成后,运行安装SblCheckTool.msi。

注:若系统未安装.Net Framework 4.0,会提示安装该软件。

在基线配置核查工具下载页面下载.Net Framework 4.0并安装,该软件为微软公司推出的系统组件。

3.安装完成后,双击打开桌面“基线加固工具”快捷方式,进入软件界面。

4.首先输入自己的姓名,工作单位以及网络管理员提供的IP地址。

5. 资料填写完毕请点击测试连接,若无错误将提示“连接成功”,点击“确认”。

6. 点击开始检查,系统将展示出终端计算机的安全配置(检查过程依据计算机性能存在查
别,请耐心等待,一般不超过1分钟)。

网络设备安全基线配置核查分析系统设计与实现

网络设备安全基线配置核查分析系统设计与实现

2019/04/DTPT——————————收稿日期:2019-02-131概述随着我国互联网业务模式进一步丰富,设备数量急剧增加,网络规模成倍扩展,导致网元设备参数和策略配置更加复杂,容易出现误配置或策略漏洞,造成设备带病入网和运营,增大了非法入侵、信息泄露的安全威胁,提高了后续运维的安全防护成本,降低了网络可靠性,除了影响人们的日常生活之外,还可能带来严重的经济损失,因此需要进一步提升配置合规性管理水平,但是由于设备类型版本多样,参数和力、客观性差,亟需一种平台化、自动化的解决方案,推动安全配置基线核查工作的常态化和标准化。

2安全基线定义网络设备安全基线是指对一个通信网元的最小安全保证,即网元需要满足现网运维和业务运维安全需求的最基本的、最重要的软硬件版本、参数设置,从而在不大规模增加网络复杂性和维护投资的前提下,使通信网络中所有系统、设备能够得到统一的、最低要求的安全保障,减少一些初级的、可预知的安全隐患,便于维护与管理,提高全网安全防护水平。

网络设备安全基线配置核查分析系统设计与实现Design and Implementation of Security Base⁃line Configuration Verification Analysis Systemof Network Device关键词:安全基线;配置核查;自动检测工具doi :10.12045/j.issn.1007-3043.2019.04.002中图分类号:TN915.08文献标识码:A文章编号:1007-3043(2019)04-0006-06摘要:随着网络规模扩展和业务深度融合,设备安全参数和策略的配置进一步复杂,容易出现错配漏配,降低了网络可靠性和稳定性,因此,亟需加强网元安全基线配置核查能力。

介绍了网络设备安全基线的定义、管控对象,分析了网络设备安全基线配置核查分析系统的功能需求,设计了系统总体架构,探讨了主要功能模块的具体实现方案。

(完整版)安全基线

(完整版)安全基线

安全基线项目项目简介:安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。

安全基准项目在NIST、CIS、OVAL等相关技术的基础上,形成了一系列以最佳安全实践为标准的配置安全基准。

二. 安全基线的定义2.1 安全基线的概念安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。

信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。

不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。

2.2 安全基线的框架在充分考虑行业的现状和行业最佳实践,并参考了运营商下发的各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果等基础上,构建出基于业务系统的基线安全模型如图2.1所示:图 2.1 基线安全模型基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层架构:1. 第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安全防护的要求,是一个比较宏观的要求。

2. 第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块,这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。

3. 第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,如将操作系统可分解为Windows、Solaris等系统模块,网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求,称为Windows安全基线、华为路由器安全基线等。

下面以运营商的WAP系统为例对模型的应用进行说明:首先WAP系统要对互联网用户提供服务,存在互联网的接口,那么就会受到互联网中各种蠕虫的攻击威胁,在第一层中就定义需要防范蠕虫攻击的要求。

安全(基线)配置核查系统技术方案-电力版

安全(基线)配置核查系统技术方案-电力版

电力安全配置核查服务解决方案2013年月目录一. 背景 (3)二. 需求分析 (3)三. 安全基线研究 (4)四. 安全基线的建立和应用 (7)五. 项目概述 (8)六. 解决方案建议 (9)6.1组网部署 (10)6.2产品特色功能 (11)七. 支持型安全服务 (13)7.1安全预警 (14)7.2安全加固 (14)7.3安全职守 (14)7.4安全培训 (14)八. 方案总结和展望 (15)一. 背景近年来,从中央到地方各级政府的日常政务、以及各行业企业的业务开展对IT系统依赖度的不断增强,信息系统运维人员的安全意识和安全技能也在逐步提高。

最直接的体现为——传统以安全事件和新兴安全技术为主要驱动的安全建设模式,已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。

从典型的信息安全建设过程来看,是由业务需求导出的安全需求在驱动着安全建设的全过程。

而如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务,如何建立一套行之有效的风险控制与管理手段,是每一个信息化主管所面临的共同挑战。

随着电力行业科技创新能力的日益提高,业务应用的日趋丰富,电力行业业务的开拓越来越依托于IT技术的进步;电力的发展对信息系统的依赖程度不断增强,对电力信息系统安全建设模式提出了更高更多的要求,信息安全建设工作已经是电力信息化建设中的重要内容,安全基线建设就是电力信息安全建设中一项新的举措和尝试。

在电力行业里,各类通信和IT设备采用通用操作系统、数据库,及各类设备间越来越多的使用IP协议进行通信,其网络安全问题更为凸出。

为了维持电力的通信网、业务系统和支撑系统设备安全,必须从入网测试、工程验收和运行维护等,设备全生命周期各个阶段加强和落实安全要求。

需要有一种方式进行风险的控制和管理。

本技术方案将以安全基线建设为例,系统介绍安全基线建设在电力信息安全建设工作中的设计与应用二. 需求分析传统的安全建设模式逐渐向新兴的安全建设模式转变,传统的安全建设模式主要是以安全事件和新兴的安全技术为主要驱动,在安全建设的过程中处于被动的状态。

工信部的基线配置核查标准 概述及解释说明

工信部的基线配置核查标准 概述及解释说明

工信部的基线配置核查标准概述及解释说明1. 引言1.1 概述在当今数字化时代,信息技术发展迅速,网络安全问题日益严峻。

为了确保国家信息基础设施的安全可靠,工信部(工业和信息化部)近年来发布了一系列的政策法规和标准,其中包括基线配置核查标准。

本文将对工信部的基线配置核查标准进行概述和解释说明。

1.2 文章结构本文按照如下顺序组织:引言、工信部的基线配置核查标准概述、工信部基线配置核查标准的解释说明、实际案例分析与应用实践、结论。

通过这样的结构布局,旨在系统全面地介绍和分析工信部的基线配置核查标准。

1.3 目的本文的目的是让读者深入了解工信部基线配置核查标准,并理解其定义、重要性以及工信部在此方面所扮演的角色和责任。

同时,文章还将详细解读该标准提出的具体要求,并对相关核查方法、流程以及常见问题进行分析和阐述。

通过实际案例分析与应用实践,读者可以进一步掌握该标准在不同行业领域的应用和效果评估。

最后,文章将总结主要观点和发现结果,并对未来工信部基线配置核查标准的发展做出展望,提出改进建议和实施策略推荐。

通过本文的阅读,读者将能够全面了解工信部的基线配置核查标准,掌握其实施要求和相关解释说明,并对其在实践中的应用与效果有所认识。

同时,本文也希望为相关行业提供借鉴与启示,促进网络安全事业的健康发展。

2. 工信部的基线配置核查标准概述:2.1 基线配置核查标准的定义工信部的基线配置核查标准是指在信息化建设中,为了确保计算机系统和网络安全,严格按照工信部的规范要求,对系统的基线配置进行检查和验证的过程。

基线配置是指计算机系统、网络设备以及软件应用中所必需具备并在合理设置条件下应该包含的一组通用安全策略、权限控制、服务配置等。

通过进行基线配置核查可以有效识别和解决可能存在的漏洞和风险,提高信息系统和网络的安全性。

2.2 基线配置核查的重要性基线配置核查对于保障信息系统和网络的安全至关重要。

首先,它能够及时发现并修复系统中可能存在的组件错误或者未修补漏洞,避免被黑客利用;其次,通过对基线配置进行检查验证,可以保证系统满足法律法规、行业标准等相关要求;最后,通过持续进行基线配置核查,能够提高信息系统运行效率,并有效预防潜在威胁。

安全基线检查要求

安全基线检查要求

安全基线检查要求
为确保企业信息安全,建立完善的安全体系,安全基线检查是必不可少的环节。

以下是安全基线检查要求:
1. 网络安全方面:
(1)网络拓扑结构图的绘制,包括主机、交换机、路由器等的位置和连接方式。

(2)网络设备的安全配置,包括路由器、交换机、防火墙等的配置,确保其安全性。

(3)网络设备的日志记录和监控,包括设置相关告警机制、日志记录等。

2. 信息安全方面:
(1)加密算法的使用,包括消息加密、数据加密等方面的使用。

(2)密码管理和控制,包括密码长度、复杂度、有效期等方面的管理和控制。

(3)安全策略的制定和实施,包括网络安全、应用安全、物理安全等方面的策略制定和实施。

3. 应用安全方面:
(1)应用程序安全的防范,包括代码审查、漏洞修复等方面的防范措施。

(2)应用程序的访问控制,包括权限管理、身份验证等方面的访问控制措施。

(3)应用程序的日志记录和监控,包括异常检测、操作记录等
方面的日志记录和监控。

以上是安全基线检查的主要要求,企业应根据自身的情况进行相应的检查和改进。

安全运维配置基线检查

安全运维配置基线检查

访问控制列表(ACL)
根据业务需求,合理配置文件和目录的访问控 制列表,限制用户对系统资源的访问。
远程访问控制
对于远程访问,应采用加密协议(如SSH),并限制远程登录的权限和时间。
安全审计与日志管理
审计策略配置
启用操作系统的审计功能,记录用户登录、操作等关 键事件,以便后续分析和追溯。
日志保存与备份
网络访问控制
限制数据库的网络访问,只允许必要 的IP地址和端口进行连接,防止未经
授权的远程访问。
数据库安全审计与日志管理
审计策略配置
启用数据库审计功能,记录所有对数据库的访问和 操作,以便后续分析和追溯。
日志保留与备份
定期备份和保留数据库日志,确保日志的完整性和 可恢复性。
日志分析与告警
对数据库日志进行分析,及时发现异常行为和潜在 威胁,并触发告警通知相关人员。
设备备份与恢复
定期对网络设备进行备份,确保在设备故障或数据丢失时能够及时恢 复。
07
应用系统安全配置基线检查
应用系统身份鉴别与访问控制
身份鉴别机制
应用系统应具备完善的身份鉴别机制,包括用户名/密码、数字证书、动态口令等多种 鉴别方式,确保用户身份的真实性和合法性。
访问控制策略
根据用户角色和权限,实施严格的访问控制策略,防止未经授权的访问和操作,确保应 用系统的安全性和数据的保密性。
02
03
安全漏洞管理
及时关注操作系统厂商发布的安全漏 洞信息,对存在漏洞的系统进行修补 和升级。
05
数据库安全配置基线检查
数据库访问控制
访问权限管理
确保只有授权用户能够访问数据库, 采用最小权限原则,避免权限滥用。
身份验证机制
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

目标业务系统
支持业务所需要的支撑系统及应用软件,例如: Tomcat、weblogic、IIS、Apache、Oracle、 Mysql
操作系统及一些设备,例如:Windows Linux、交换路由设备、防火墙设备
安全基线与漏洞的区别
相同点
同属于扫描类产品,同属主动安全范畴,主动安全的核心是 弱点管理,弱点有两类: •漏洞:系统自身固有的安全问题,软硬件BUG •配置缺陷:也叫暴露,一般是配置方面的错误,并会被攻击者利用
不同点
来源不同 • 漏洞:系统自身固有的安全问题,软硬件BUG,是供应商的 技术问题,用户是无法控制的,与生俱来的 • 配置缺陷:配置是客户自身的管理问题,配置不当,主要包括 了账号、口令、授权、日志、IP通信等方面内容 检查方式不同 漏洞:黑盒扫描 配置缺陷:白盒扫描
撑才安全
安全基线能给烟草用户带来什么
•能够及时发现 当前业务应用 系统所面临的 安全问题并可 以提供有效的 解决办法 • 可以成为用户 对业务系统进 行等级合规的 有力检查和合 规工具,出具 符合国家局要 求的合规检查 报告
• 依据等保和 “三全”的要 求进行自动化 检查(71个指 标项的检查要 求,35个技术 指标,36个管 理类,共计 380项)
物理安全
网络安全
安全技术
主机安全
应用安全
数据安全 及备份恢复
物理位置的选择 物理访问控制 防盗窃和防破坏 防雷击 防火 防水和防潮 防静电 温湿度控制 电力供应 电磁防护 结构安全 访问控制 安全审计 入侵防范 恶意代码防范 网络设备防护 身份鉴别 访问控制 安全审计 剩余信息保护 入侵防范 恶意代码防范 资源控制 身份鉴别 访问控制 安全审计 剩余信息保护 通信完整性 通信保密性 抗抵赖 软件容错 资源控制 数据完整性 数据保密性 备份和恢复
• 1991年欧共体发布了信息安全评估标准(ITSEC),1999年正式列为 国际标准系列
– ITSEC主要提出了资产的CIA三性:机密性、完整性、可用性的安全属性 ,对国际信息安全研发产生了重要影响,并一直沿用至今。
• 国内的安全基线发展
– 1994年,我国首次颁布《中华人民共和国计算机信息系统安全保护条例》 – 1999年推出《计算机信息系统安全保护等级划分准则》 – 2007年,《信息安全等级保护管理办法》,GB/T22239-2008“基本要求 ”和GB/T28448-2012“测评要求” – 2010年,公安部发布《关于推动信息安全等级保护测评体系建设和开展等 级测评工作的通知》,觉得在全国部署开展信息安全等保测评工作。
3
国内外信息安全评估标准演化视图
4
什么是安全基线
目录
企业面临的困惑与运维挑战
如何建立一套基线管理体系
安全基线检查的技术方法
举例
5
安全运维的困境一
我又不是安全专家,我怎 么知道哪些是安全的?
这么多的设备,难道要我 一台一台手工来查吗?
漏洞、配置、端口,进程、 文件,账号口令,这些都 怎么查啊?
何处开始,有什么工具 能帮助我吗?
安全运维的困境二
老大,这是上个月的报告。 系统有X个高危漏洞,Y个配置问题。 • 当前的系统到底是安全还是不安全 呢? • 最近一次的安全整改到底有没有效 果呢? • 安全状况同比和环比有什么变化呢? • 以上问题我们通过什么方式验证呢?
问题分析
何处下手,怎 么查 怎么衡量安全 与否 如何呈现安全 效果
审计系统、安全平台等等,那么这
些安全设备的自身安全谁来管理呢 ,端口、进程、帐号安全? 数据库、中间件是支持业务的重要
谁来关注它 们的安全
-目前我们的关注点是保证业务安全、数 据安全,但所有系统平台的支撑最终还 是落实到设备上,设备安全了,业务支
组件,是不是都按照默认配置,使
用出厂设置,这些配置是否适用于 我们企业的安全要求,如何发现潜 在的风险呢?
• 如何保证 效率 • 如何保证 质量
• 安全业务 数据价值 • 为安全决 策提供支 持
• 体系安全 工作效果 • 安全成果 的可视化
我们忽略了什么
为了保证业务安全,信息系统及数 据安全,我们部署了很多安全设备 ,防火墙、入侵检测、网络设备、
目前我们的关注点是保证业务安全、数
据安全,但所有系统平台的支撑最终还 是落实到设备上,设备安全了,业务支 撑才安全
什么是安全基线目录来自企业面临的困惑与运维挑战
如何建立一套基线管理体系
安全基线检查的技术方法
举例
13
什么是安全基线工具
安全基线 的根本目的是保障业务系统的安全,使业务系统的风险维持在可控范围内,为了 避免人为疏忽或错误,或使用默认的安全配置,给业务系统安全造成风险,而制定安全检 查标准,并且采取必要的安全检查措施,使业务系统达到相对的安全指标要求。安全基线 检查工具是采用技术手段,自动完成安全配置检查的产品,并提供详尽的解决方案。
安全管理
系统建设管理
系统运维管理
安全基线与配置核查
安全基线(BaseLine)是保持信息系统安全的 机密性、完整性、可用性的最小安全控制,是系 统的最小安全保证,最基本的安全要求。 安全基线包含配置核查,是人员、技术、组织、 标准的综合的最低标准要求,同时也还涵盖管理 类和技术类两个层面。 配置核查是业务系统及所属设备在特定时期内, 根据自身需求、部署环境和承载业务要求应满足 的基本安全配置要求合集。
安全基线与配置核查 技术与方法
公安部第一研究所
2014年5月
什么是安全基线
目录
企业面临的困惑与运维挑战
如何建立一套基线管理体系
安全基线检查的技术方法
举例
2
安全基线的发展历程
• 最早的安全基线
– 安全基线最早可以追溯到上个实际的六十年代《美国军服保密制度》,九 十年代初期等级保护立法成为国家法律。
安全管理制度
安全管理机构
人员安全管理
管理制度 制订和发布 评审和修订 岗位设置 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 人员考核 安全意识教育和培训 外部人员访问管理 系统定级 安全方案设计 产品采购和使用 软件开发 工程实施 测试验收 系统交付 系统备案 等级测评 环境管理 资产管理 介质管理 设备管理 监控管理和安全管理中 心 网络安全管理 系统安全管理 恶意代码防范管理 计算机应用管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理
相关文档
最新文档