图 2.2 安全基线的组成
具体来说,安全基线的三个组成部分分别为:
1) 漏洞信息:漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险,一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,反映了系统自身的安全脆弱性。由于漏洞信息由相应的国际标准,如CVE(Common Vulnerabilities & Exposures ,公共漏洞和暴露)就列出了各种已知的安全漏洞,因此系统的初始漏洞安全基线可以采用通用标准。
2) 安全配置:通常都是由于人为的疏忽造成,主要包括了账号、口令、授权、日志、IP通信等方面内容,反映了系统自身的安全脆弱性。在安全配置基线方面,移动集团下发了操作系统安全配置规范、路由器安全配置规范、数据库安全配置规范等一系列规范,因为系统初始安全配置基线可以采用集体下发的标准。
3) 系统重要状态:包含系统端口状态、进程、账号以及重要文件变化的监控。这些内容反映了系统当前所处环境的安全状况,有助于我们了解业务系统运行的动态情况。由于系统状态基线随着业务应用不同而不同,没有标准模板可借鉴。我们通过对系统的状态信息进行一个快照,对非标准的进程端口、关键文件MD5校验值等信息确认后作为初始的系统状态安全基线。
业务系统的安全基线建立起来后,可以形成针对不同系统的详细漏洞要求和检查项(Checklist),为标准化和自动化的技术安全操作提供可操作和可执行的标准。
三. 安全基线检查的工具化实现思路
3.1 工具化安全检查的方式
3.1.1 远程检查
远程检查通常描述为漏洞扫描技术,主要是用来评估信息系统的安全性能,是信息安全防御中的一项重要技术,其原理是采用不提供授权的情况下模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,目标可以是终端设备、主机、网络设备、甚至数据库等应用系统。系统管理员可以根据扫描结果提供安全性分析报告,为提高信息安全整体水平产生重要依据。
图 3.1 远程检查示意图
在远程评估技术方面,绿盟科技颇有建树。其中,绿盟科技的漏洞扫描产品曾在移动集团组织的中外漏洞产品评测中名列第一,并获得了英国西海岸实验室的checkmark认证。
基于多年的安全服务实践经验,同时结合用户对安全评估产品的实际应用需求,绿盟科技自主研发了远程安全评估系统,它采用高效、智能的漏洞识别技术,第一时间主动对网络中的资产进行细致深入的漏洞检测、分析,并给用户提供专业、有效的漏洞防护建议,让攻击者无机可乘,是您身边专业的“漏洞管理专家”。极光具有以下特点:
1.依托专业的NSFOCUS安全小组,综合运用NSIP(NSFOCUS Intelligent Profile)等多种领先技术,自动、高效、及时准确地发现网络资产存在的安全漏洞;
