安全基线与配置核查技术与方法.ppt

* 目录 什么是安全基线 安全基线检查的技术方法 如何建立一套基线管理体系 举例 企业面临的困惑与运维挑战 安全基线的工作介绍 工作步骤 获取要检查目标的基本信息 IP地址 设备类型：Windows/Linux+Apache 将安全基线产品接入网络（直连检查），做好准备。 进行目标设备的配置核查工作，通过检查报告导出检查结果。 结果分析，确定检查结论并给出加固方案。 获取要检查目标的基本信息 IP地址 系统类型 是否安装 数据库 是否安装 中间件 是否提供 登录信息 网络是否可达 windows SQL Server weblogic 是 是 linux Oracle Tomcat 否 否 aix 无 Websphere 否 否 思科路由器 是 是 华为防火墙 是 是 系统类型：确定检查基线策略 是否提供登录信息/网络是否可达：确定使用哪种检查方式，在线或离线 需要设备维护人员在场补充设备信息 将安全基线工具介入网络 被扫描主机 Internet 浏览器 HTTPS访问 客户端 Internet 管理口 ：接扫描操作计算机 扫描口 ：接目标网络 核查工具使用说明 安全配置核查 演示环境地址 登录账号 登录密码 80:8888/ sysadmin venus.sysadmin 81:8888/ sysadmin venus.sysadmin 核查设备地址 核查设备类型 操作系统登录账号 操作系统登录密码 90 windows7 administrator 123qwevenus 90 tomcat administrator 123qwevenus 90 oracle administrator 123qwevenus （system/Qwe_1234） 被扫描环境 建立扫描任务 3、选择添加的扫描目标 1、填写任务名称 4、确定开始扫描 2、选择扫描策略模版 添加被核查目标 1、填写IP地址 2、选择设备类型 3、协议及登录信息 4、自动探测匹配 扫描结果查看 1、确定扫描完成 2、点击报告生成按钮 3、选择预览或下载 点击链接查看单个设备的基线结果 每个设备的安全基线合规汇总 单个设备安全基线分析 展开分析合规结果 详尽的加固方案 分析扫描结果 如何分析扫描结果 考虑被检查设备重要程度 设备部署的位置 设备承载的业务 考虑单个不合规检查项的权重 如何整改 所有配置项目修改最好有建设厂商参与，先分析后整改 避免修补过程影响系统正常运行，做好备份 分析原则 所有的设备都应重视 所有的缺陷都应改进 谢 谢！ * 等保是最典型的安全基线的实践，也是大多数行业都需要遵循的，我们烟草行业三全的标准，也是脱胎与等级保护。 * * 烟草行业信息系统等级保护安全建设整改指标共有71个指标项，380个管控点，其中必达标管控点345个（强度标注为★）、参考达标管控点35个（强度标注为☆）。 * * 配置缺陷并会被攻击者利用：例如，我们某一个帐号的目录权限，修改配置的权限。 来源：配置缺陷---手机，默认打开共享位置，默认把日志，传到苹果公司云端服务器。那么我们的业务支持设备的默认配置 检查方式：举例，坚固的房子 * 如何梳理出一套比较符合我们烟草行业的安全基线标准呢？ 我想要从几个方向开展： 第一：对比 然后：筛选 再去细致的调研 再优化规范 同时符合： ITIL：ITIL即IT基础架构库，由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订，现由英国商务部OGC(Office of Government Commerce)负责管理，主要适用于IT服务管理（ITSM）。ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。 ISO27001： 信息安全管理体系规范，第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。 三全：全面梳理全面诊断全面加固，符合：边梳理边完善、边诊断边整改 * * 第一：目标明确，每个阶段都可以亮化，看得见，摸的着，可视化，可汇报 第二：每个阶段可控，安全变得像台阶一样 第三：安全掌握在自己手里 * 大多自动化的安全基线工具都只包含技术层面，或设备层面的管理，例如配置核查的自动化工具，但我建议要把管理方面的结合进去，可通过问卷或填报的方式 * Win：远程访问注册表 * * * 为了让大家更清晰更直观的了解自动化配置核查，会务组也准备了演示环境的工具，大家可以试着去操作一下，或者从ftp上下载安装包，里面也有使用说明，培训结束后或者回到省里，也可以