PDF《绿盟安全配置核查系统》

2000 亿元人民币.因此,配合安全制度要求, -

2 - 密级:完全公开 ?

2014 绿盟科技 绿盟安全配置核查系统产品白皮书 对信息系统进行定期安全漏洞修补以及人员配置操作进行安全检查,已经成为安全运维人员 的日常性工作. 但是对网络中种类繁多的设备和软件,真正完成满足安全要求的系统配置检查和修复, 需要安全运维人员熟悉业务系统并有较高的技术能力和经验.鉴于此,国内许多企业和行业 制定了安全配置指导标准和规范. 依据企业和行业安全配置指导标准和规范进行安全配置检查,是对信息系统安全的最基 本要求,通过采用统一的安全配置标准来规范技术人员在各类系统上的日常操作,让运维人 员有了检查默认风险的标杆,但安全运维人员在实际工作中仍然会遇到 ? 安全配置检查及问题修复都需人工进行,对检查人员的技能和经验要求较高;

? 做一次普及性的细致检查耗费时间较长,而如果改成抽查则检查的全面性就很差;

? 自查和检查都需要登录系统进行,对象越多工作越繁琐,工作效率也不高;

? 每项检查都要人工记录,稍有疏漏就需要重新补测. ? …… 对自查或检查人员来说,需要花费大量的时间和精力来检查设备、收集数据、制作和审 核风险报告,以识别各项不符合安全规范要求的系统.如何快速有效的在新业务系统上实现 上线安全检查、第三方入网安全检查、合规安全检查(上级检查)、日常安全检查等全方位 设备检查,又如何集中收集核查的结果,以及制作风险审核报告,并且最终识别那些与安全 规范不符合的项目,以达到整改合规的要求,这些是网络运维人员面临的新的难题. 二. 遵循等级保护进行配置检查的实践 等级保护是我国促进信息安全发展的一项基本制度,国家围绕等级保护制度制定了一系 列的管理规范和技术标准,这些规范和标准明确了信息系统分等级开展实施、监督、管理工 作的基本要求. 等级保护规划和技术标准要求是原则性的指导要求,在实际工作中,如何参考等级保护 要求,对每一个业务系统的每一种设备类型进行安全配置检查并没有明确的技术指引,这需 要安全运维人员以及安全厂商在实践中不断摸索. 绿盟科技服务团队作为专业的安全专家,参与了大量业务系统的等级保护实施和维护工 作,在实际工作中根据等级保护定级,对信息系统所属资产进行全面安全检查,并给出了安 全改进意见.经过多年的经验和技术积累,并结合经过市场验证的绿盟安全配置核查系统, 推出了新版的绿盟安全配置核查系统-等级保护专版,能够根据等级保护资产定级,维护业 -

3 - 密级:完全公开 ?

2014 绿盟科技 绿盟安全配置核查系统产品白皮书 务系统资产信息,并提供符合不同等级保护级别的安全配置检查模板近

50 种,能对大多数常 见操作系统、网络设备、数据库、中间件进行检查,并出具等级保护符合性报告. 三. 绿盟安全配置核查系统 基于多年安全服务的执着实践,绿盟科技形成了国内最完善的专业安全服务体系和专业 安全服务方法论,根据经验总结了完善的安全配置检查体系,同时结合用户对自动化安全评 估产品的实际应用需求,自主研发了绿盟安全配置核查系统(NSFOCUS Benchmark Verification System, 简称:NSFOCUS BVS). NSFOCUS BVS 具备符合多个行业安全配置要求的安全配置知识库,以及绿盟科技专家 推荐的安全配置知识库,全面的指导 IT 信息系统的安全配置及加固工作,保障安全运维并满 足行业规划要求.同时也根据等级保护定级、系统建设、等级测评、监督检查各个环节要求, 完善了产品操作功能,保障等级保护工作高效准确执行. NSFOCUS BVS 通过自动化的进行安全配置检查,从而节省传统的手动单点安全配置检 查的时间,并避免传统人工检查方式所带来的失误风险,同时能够出具详细的检测报告.它 可以大大提高您检查结果的准确性和合规性,节省您的时间成本,让检查工作变得简单,是 您身边专业的 安全配置专家 . ? 丰富、权威的安全配置检查知识库,经过 NSFOCUS 安全团队实践考验,为业务系统安 全配置检查及加固提供专业指导. ? 结合等级保护进行安全配置检查,围绕等保定级开展业务系统资产管理、安全配置检查、 安全配置报告和建议,保障等级保护工作准确高效执行. ? 结合授权认证系统自动化安全配置检查,减少人员维护业务系统账号的工作量,减少失 误带来的账号信息泄露风险,提供安全配置检查工作效率. ? 多种部署和管理方式,简单的嵌入到安全管理体系中,并为集中安全管理系统提供基础 数据,为安全管理提供全面准确的安全配置风险依据. 3.1 产品体系结构 NSFOCUS BVS 是基于 WEB 的管理方式,用户使用浏览器通过 SSL 加密通道和系统 WEB 界面模块进行交互,方便用户管理.NSFOCUS BVS 采用模块化设计,从底层到上层分 为基础平台层、系统服务层、系统核心层、系统接入层,内部整体工作架构如下图所示. -