安全产品介绍-基线配置核查系统.ppt

税务系统信息安全产品解读 信息安全产品解读 概要 (一) 防火墙 (二) 安全隔离与信息交换系统 (三)入侵检测系统 (四)入侵防御系统 (五)上网行为管理系统 (六)网络准入系统 (七)安全审计系统 (八)防病毒系统 (九)漏洞扫描系统 (十)基线配置核查系统(BVS) (十一)桌面管理系统 主要内容 1）背景 2）基线配置核查系统安全模型 3）基线配置核查系统体系结构 4）典型部署方式 背景 随着信息化建设的发展，各类IT设备种类和数量不断增加，其安全管理问题日渐凸出。为了维持IT信息系统的安全并方便管理，必须从入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全要求，同时需要设立满足安全要求的安全基准点。 规范与安全基准点的出台让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，如何快速、有效的检查设备，又如何集中收集核查的结果，以及制作风险审核报告，并且最终识别那些与安全规范不符合的项目，以达到整改合规的要求，这些是网络运维人员面临的新的难题。 运维人员面临的挑战 ? 安全配置检查及问题修复都需人工进行，对检查人员的技能和经验要求较高； ? 做一次普及性的细致检查耗费时间较长，而如果改成抽查则检查的全面性就很差； ? 自查和检查都需要登录系统进行，对象越多工作越繁琐，工作效率也不高； ? 每项检查都要人工记录，稍有疏漏就需要重新补测。 ? …… 背景 FDCC的目标是在美联邦政府45万多台计算机上部署整合了安全配置的标准桌面操作系统，以减少数百万联邦计算机中的安全漏洞和非法配置，同时降低采购和运行成本。这一项目最早是在美国空军内部进行，空军在NSA、NIST以及DISA的帮助下，创建了两种流行Windows操作系统的标准配置，然后在采购中确保所有相关的计算机供应商在配送时间内安装安全配置。 在2007年5月，NIST提出了信息安全自动化计划（ISAP）。该计划是由包括国家安全局、国防信息系统局、国家技术标准研究所、国土安全部等多个部门发起。它的目标就是让漏洞、配置的管理和安全测试及符合性能够自动化起来，同时抛出一个配套的姊妹篇安全内容自动化协议（SCAP），它是一个通过明确的、标准化的模式使得漏洞管理、安全检测和政策符合性与FISMA的要求一致起来的方法。 安全模型 体系结构 典型部署方式 目前用户网络环境中常见的网络拓扑结构有：总线拓扑、星形拓扑、树形拓扑和混合型拓扑。针对上述用户常见的网络拓扑，NSFOCUS BVS为用户“量身定做”了两种部署方式：独立式部署和分布式部署。 独立式部署 分布式部署 * * * 通过采用统一的安全配置标准来规范技术人员在各类系统上的日常操作，让运维人员有了检查默认风险的标杆，但是面对网络中种类繁杂、数量众多的设备和软件，真正完成合规性的系统配置检查和修复，却成为一个费时费力的事情： 安全配置检查及问题修复都需人工进行，对检查人员的技能和经验要求较高； ? 做一次普及性的细致检查耗费时间较长，而如果改成抽查则检查的全面性就很差； ? 自查和检查都需要登录系统进行，对象越多工作越繁琐，工作效率也不高； ? 每项检查都要人工记录，稍有疏漏就需要重新补测。 * 基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层等3层架构： 1. 第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。 2. 第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备/系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。 3. 第三层是系统实现层，将第二层的模块根据业务系统的特性进一步分解，将操作系统分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块。这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线，华为路由器安全基线等。 * NSFOCUS BVS是基于WEB的管理方式，用户使用浏览器通过SSL加密通道和系统WEB界面模块进行交互，方便用户管理。NSFOCUS BVS采用模块化设计，内部整体工作架构如下图所示。 ? 专用平台 专用平台是经过优化的专用安全系统平台，具有很高的安全性和稳定性。 ? 调度核心模块 调度核心模块是系统最重要的模块之一，它负责完成目标的探测评估工作，包括判定主机存活状态、操作系统识别、模板解析匹配等。 ? Checklist知识库 Checklist知识库包含安全配置检查点相关信息，是系统运行的基础，调度核心模块和数据分析模块都依赖它进行工作。 ? 扫描结果库