安全基线与配置核查技术与方法课件

《安全基线与配置核查技术与方法课件》由会员分享，可在线阅读，更多相关《安全基线与配置核查技术与方法课件（43页珍藏版）》请在装配图网上搜索。

1、“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全基线与配置核查安全基线与配置核查技术与方法技术与方法公安部第一研究所2014年5月安全基线与配置核查技术与方法公安部第一研究所1“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战2目录什么是安全基线安全基线检查的技术方法如

2、何建立一套基线管理“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。最早的安全基线最早的安全基线安全基线最早可以追溯到上个实际的六十年代安全基线最早可以追溯到上个实际的六十年代美国军服保密制度美国军服保密制度，九，九十年代初期等级保护立法成为国家法律。十年代初期等级保护立法成为国家法律。1991年欧共体发布了信息安全评估标准（年欧共体发布了信息安全评估标准（ITSEC），），1999年正式列为年正式列为国际标准系列国际标准系列ITSEC主要提出了资产的主要提出了资产的CIA三性：

3、机密性、完整性、可用性的安全属性，三性：机密性、完整性、可用性的安全属性，对国际信息安全研发产生了重要影响，并一直沿用至今。对国际信息安全研发产生了重要影响，并一直沿用至今。国内的安全基线发展国内的安全基线发展1994年，我国首次颁布年，我国首次颁布中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例1999年推出年推出计算机信息系统安全保护等级划分准则计算机信息系统安全保护等级划分准则2007年，年，信息安全等级保护管理办法信息安全等级保护管理办法，GB/T22239-2008“基本要求基本要求”和和GB/T28448-2012“测评要求测评要求”2010年，公安

4、部发布年，公安部发布关于推动信息安全等级保护测评体系建设和开展等关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知级测评工作的通知，觉得在全国部署开展信息安全等保测评工作。，觉得在全国部署开展信息安全等保测评工作。安全基线的发展历程3最早的安全基线安全基线的发展历程3“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。国内外信息安全评估标准演化视图4国内外信息安全评估标准演化视图4“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网

5、格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战5目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全运维的困境一漏洞、配置、端口，进程、文件，账号口令，这些都怎么查啊?这么多的设备,难道要我一台一台手工来查吗？何处开始，有什么工具能帮助我吗？我又不是安全专家，我怎么知道哪些是安全的？安全运维的困境一漏

6、洞、配置、端口，进程、文件，账号口令，这些6“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全运维的困境二老大，这是上个月的报告。系统有X个高危漏洞，Y个配置问题。当前的系统到底是安全还是不安全呢？最近一次的安全整改到底有没有效果呢？安全状况同比和环比有什么变化呢？以上问题我们通过什么方式验证呢？安全运维的困境二老大，这是上个月的报告。当前的系统到底是安全7“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视

7、频监控联网应用为重点的“群众性治安防控工程”。问题分析问题分析8“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。我们忽略了什么数据库、中间件是支持业务的重要数据库、中间件是支持业务的重要组件，是不是都按照默认配置，使组件，是不是都按照默认配置，使用出厂设置，这些配置是否适用于用出厂设置，这些配置是否适用于我们企业的安全要求，如何发现潜我们企业的安全要求，如何发现潜在的风险呢？在的风险呢？为了保证业务安全，信息系统及数为了保证业务安全，信息系统及数据安全，我们部署了很多安全设备，

8、据安全，我们部署了很多安全设备，防火墙、入侵检测、网络设备、审防火墙、入侵检测、网络设备、审计系统、安全平台等等，那么这些计系统、安全平台等等，那么这些安全设备的自身安全谁来管理呢，安全设备的自身安全谁来管理呢，端口、进程、帐号安全？端口、进程、帐号安全？目前我们的关注点是保证业务安全、数目前我们的关注点是保证业务安全、数据安全，但所有系统平台的支撑最终还据安全，但所有系统平台的支撑最终还是落实到设备上，设备安全了，业务支是落实到设备上，设备安全了，业务支撑才安全撑才安全-目前我们的关注点是保证业务安全、数目前我们的关注点是保证业务安全、数据安全，但所有系统平台的支撑最终还据安全，但所有系统平

9、台的支撑最终还是落实到设备上，设备安全了，业务支是落实到设备上，设备安全了，业务支撑才安全撑才安全谁来关注它谁来关注它们的安全们的安全我们忽略了什么数据库、中间件是支持业务的重要组件，是不是都按9“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全基线能给烟草用户带来什么能够及时发现能够及时发现当前业务应用当前业务应用系统所面临的系统所面临的安全问题并可安全问题并可以提供有效的以提供有效的解决办法解决办法可以成为用户可以成为用户对业务系统进对业务系统进行等级合规的行等级合规的有

10、力检查和合有力检查和合规工具，出具规工具，出具符合国家局要符合国家局要求的合规检查求的合规检查报告报告依据等保和依据等保和“三全三全”的要求的要求进行自动化检进行自动化检查（查（71个指标个指标项的检查要求，项的检查要求，35个技术指标，个技术指标，36个管理类，个管理类，共计共计380项）项）安全基线能给烟草用户带来什么能够及时发现当前业务应用系统所面10“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全技术物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防

11、潮防静电温湿度控制电力供应电磁防护网络安全结构安全访问控制安全审计入侵防范恶意代码防范网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全及备份恢复数据完整性数据保密性备份和恢复安全管理安全管理制度管理制度制订和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理系统建设管理系统定级安全方案设计产品采购和使用软件开发工程实施测试验收系统交付系统备案等级测评系统运维管理环境管理资产管

12、理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理计算机应用管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理安全技术物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷11“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全基线与配置核查安全基线与配置核查12“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。目录什么是安全基

13、线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战13目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。目标业务系统支持业务所需要的支撑系统及应用软件，例如：Tomcat、weblogic、IIS、Apache、Oracle、Mysql操作系统及一些设备，例如：WindowsLinux、交换路由设备、防火墙设备业务层业务层支撑支撑层支撑支撑层系统实现层系统实现层什么是安全基线工具什么是安全基线工

14、具安全基线的根本目的是保障业务系统的安全，使业务系统的风险维持在可控范围内，为了避免人为疏忽或错误，或使用默认的安全配置，给业务系统安全造成风险，而制定安全检查标准，并且采取必要的安全检查措施，使业务系统达到相对的安全指标要求。安全基线检查工具是采用技术手段，自动完成安全配置检查的产品，并提供详尽的解决方案。目标业务系统支持业务所需要的支撑系统及应用软件，例如：操作系14“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全基线与漏洞的区别同属于扫描类产品，同属主动安全范畴，主动

15、安全的核心是弱点管理，弱点有两类：漏洞：系统自身固有的安全问题，软硬件BUG配置缺陷：也叫暴露，一般是配置方面的错误，并会被攻击者利用相同点来源不同漏洞：系统自身固有的安全问题，软硬件BUG，是供应商的技术问题，用户是无法控制的，与生俱来的配置缺陷：配置是客户自身的管理问题，配置不当，主要包括了账号、口令、授权、日志、IP通信等方面内容检查方式不同漏洞：黑盒扫描配置缺陷：白盒扫描不同点安全基线与漏洞的区别同属于扫描类产品，同属主动安全范畴，主动15“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众

16、性治安防控工程”。安全基线的分类 基基线线体系体系Base LineBase Line组织组织机构机构其它其它人与人与技技术术标标准准策略策略16安全基线的分类 基线体系组织其它人与标准16“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。对对比比调调研研优优化化筛选筛选对比筛选调研对比各地区、行业内及安全厂商多年实践的基线规范。筛选出各自基线规范中的不同点。结合实际情况，使用反馈，对现有资产的梳理，自定义。优化结合业务特点做局部调整，完善。安全基线规范梳理的方法论ITIL、IS

17、O27001、三全标准对比调研优化筛选对比筛选调研对比各地区、行业内及安全厂商多年17“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。建立安全基线是系统安全运维第一步建立信息系统的安全基线，包括系统安全配置以及重要信息，如：服务、进程、端口、帐号等。安全基线建立的原则是：符合设备特点生产厂商、上线年限、性能上限、硬件老化适应系统特性部署方式和位置、分布能力、存储能力满足业务需求主要业务需求建立合理的安全基线体系18建立安全基线是系统安全运维第一步建立合理的安全基线体系18“雪亮

18、工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。建立安全基线的管理体系的必要性首先根据组织状况，建立一套在当前时期或一段时期内的“理想化的综合基线指标”，即“基线体系”。这个“基线体系”可以同时包含政策合规性的需求、自身的安全建设发展需求、特殊时期的安全保障需求等。然后通过一些手段（比如自动化的评估工具）对组织现有的安全指标进行分析。通过对比“理想化的综合基线指标”，形成了一套差距分析结论。组织自身针对这个差距进行适时监测、确认和跟踪即可，对任何在此水平以下的情况进行预警或通报，提出

19、“补足差距”的建议方案；而这个“理想化的综合基线指标”就是该组织的最优安全状态。追求规避全部风险是不现实的，信息系统在达到这个指标水平之后，部分风险自然会被转移或降低。如此便可以实现持续定义升高这个综合基线指标，持续监管和持续改进，可以使每一时期每一阶段的安全水平都是可控的。同时，收集完数据后，根据企业安全状况进行风险的度量，输出结合政策法规要求的整体安全建设报表。19建立安全基线的管理体系的必要性首先根据组织状况，建立一套在“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。自动

20、化安全基线工具框架安全状况以及变化趋势基线策略库系统快照（当前基线指标）安全基线指标库自动化安全基线工具框架安全状况以及变化趋势基线策略库系统快照20“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战21目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联

21、网应用为重点的“群众性治安防控工程”。安全配置核查关注什么网络设备配置主机配置数据库配置中间件配置应用配置安全设备配置安全配置核查关注什么网络设备配置主机配置数据库配置中间件配置22“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。口令策略检查口令重复使用次数限制检查口令生存周期要求文件权限检查关键权限指派安全要求-取得文件或其他对象的所有权查看每个共享文件夹的共享权限，只允许授权的账户拥有权限共享此文件夹用户账号检查是否禁用guest用户删除匿名用户空链接系统服务检查是否配置n

22、fs服务限制检查是否禁止ctrl_alt_del举例：具体检查哪些内容认证授权对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。检查口令生存周期要求配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。网络通信防火墙以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置防火墙，只允许特定主机访问。日志审计设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。口令策略举例：具体检查哪些内容认证授权23“雪亮工程是以区（县）、乡

23、（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。检查项名称检查项名称：检查口令重复使用次数限制检查口令重复使用次数限制被检查设备类型：Windows系列所属分类：账号口令配置要求：对于采用静态口令认证技术的设备，应配置设备，对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近使用户不能重复使用最近5次（含次（含5次）内已使用的口令。次）内已使用的口令。检测方法及判定依据 检测步骤:一、进入“控制面板-管理工具-本地安全策略”，在“帐户策略-密码策略”：查看是否“强制密码历史”设置为“记住5

24、个密码”判定依据:强制密码历史=5则合规，否则不合规.加固方案参考配置参考配置:(1).进入进入“控制面板控制面板-管理工具管理工具-本地安全策略本地安全策略”，在，在“帐户策略帐户策略-密码策密码策略略”：“强制密码历史强制密码历史”设置为设置为“记住记住5个密码个密码”检查项名称：检查口令重复使用次数限制被检查设备类型：Win24“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。检查项名称检查项名称：检查关键权限指派安全要求检查关键权限指派安全要求-取得文件或其他对象的所有权

25、取得文件或其他对象的所有权被检查设备类型：Windows系列所属分类：认证授权配置要求：在本地安全设置中取得文件或其它对象的所有权仅指派给在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。检测方法及判定依据 检查步骤:一、进入“控制面板-管理工具-本地安全策略”，在“本地策略-用户权利指派”：查看是否“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。判定依据:“取得文件或其它对象的所有权”设置为“只指派给Administrators组”加固方案参考步骤参考步骤:(1).进入进入“控制面板控制面板-管理工具管理工具-本地安全策略本地安全

26、策略”，在，在“本地策略本地策略-用户权用户权利指派利指派”：“取得文件或其它对象的所有权取得文件或其它对象的所有权”设置为设置为“只指派给只指派给Administrators组组”。检查项名称：检查关键权限指派安全要求-取得文件或其他对象的25“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。举例：启用远程日志功能举例：启用远程日志功能检查项名称检查项名称：文件与目录缺省权限控制文件与目录缺省权限控制被检查设备类型：Linux系列所属分类：日志审计配置要求：设备配置远程日志功能

27、，将需要重点关注的日志内容传输到日志服务器。设备配置远程日志功能，将需要重点关注的日志内容传输到日志服务器。检测方法及判定依据 检测步骤:linux一、查看文件/etc/syslog.conf或者/etc/rsyslog.conf存在类似如下语句*.*192.168.56.168sue一、查看文件/etc/syslog-ng/syslog-ng.conf,存在类似如下内容:destination logserver udp(192.168.56.168 port(514);log source(src);destination(logserver);判定依据:步骤1或者步骤2满足其一则合规,否

28、则不合规加固方案参考步骤参考步骤:linux1).编辑文件编辑文件/etc/syslog.conf或者或者/etc/rsyslog.conf,增加如下内容增加如下内容:*.*suse1)编辑文件编辑文件/etc/syslog-ng/syslog-ng.conf,增加如下内容增加如下内容:destination logserver udp(192.168.56.168 port(514);log source(src);destination(logserver);#日志服务器日志服务器ip视实际情况来确定视实际情况来确定.2).重启重启syslog服务服务#/etc/init.d/syslog

29、 stop#/etc/init.d/syslog start举例：启用远程日志功能检查项名称：文件与目录缺省权限控制26“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。举例：启用远程日志功能举例：启用远程日志功能检查项名称检查项名称：检查是否配置检查是否配置DDOS攻击防护攻击防护被检查设备类型：华为防火墙所属分类：协议安全配置要求：可打开可打开DOS和和DDOS攻击防护功能。对攻击告警。攻击防护功能。对攻击告警。DDOS的攻击告警的参数可由维护人员根据网络环境进行调整。维护人

30、员的攻击告警的参数可由维护人员根据网络环境进行调整。维护人员可通过设置白名单方式屏蔽部分告警。可通过设置白名单方式屏蔽部分告警。检测方法及判定依据 一、检测方法执行命令 display current-configuration|include defend 检查判断 存在如下内容则合规。firewall defend*enable 备注：*表示任意字符。二、判定依据防火墙能够抵御DDoS攻击，并有相应的日志告警。加固方案参考配置操作参考配置操作1）在用户视图下执行命令）在用户视图下执行命令system-view，进入系统视图。，进入系统视图。2）执行命令）执行命令firewall defen

31、d syn-flood enable，开启，开启SYN Flood攻击防范攻击防范功能。功能。3）执行命令）执行命令firewall defend syn-flood interface GigabitEthernet 0/0/1 alert-rate 16000 max-rate 500000配置配置SYN Flood攻击防范的阈值。攻击防范的阈值。4）执行命令）执行命令firewall defend udp-flood enable，开启，开启UDP Flood攻击防攻击防范功能。范功能。5）执行命令）执行命令firewall defend udp-flood interface Giga

32、bitEthernet 0/0/1 max-rate 500000配置配置UDP Flood攻击防范的阈值。攻击防范的阈值。6）执行命令）执行命令firewall defend icmp-flood enable,开启开启ICMP Flood攻击防攻击防范功能。范功能。7）执行命令）执行命令firewall defend icmp-flood interface GigabitEthernet 0/0/1 max-rate 20000配置配置ICMP Flood攻击防范的阈值。攻击防范的阈值。举例：启用远程日志功能检查项名称：检查是否配置DDOS攻27“雪亮工程是以区（县）、乡（镇）、村（社区

33、）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。检查项名称检查项名称：文件与目录缺省权限控制文件与目录缺省权限控制所属分类：认证授权配置要求：控制用户缺省访问权限，当在创建新文件或目录时控制用户缺省访问权限，当在创建新文件或目录时 应屏蔽掉新文件或目录应屏蔽掉新文件或目录不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改不应有的访问允许权限。防止同属于该组的其它用户及别的组的用户修改该用户的文件或更高限制该用户的文件或更高限制检测方法及判定依据 检测步骤:查看文件/etc/profile的末尾是否设置um

34、ask值:#awk print$1:$2/etc/profile|grep umask|tail-n1判定条件:/etc/profile文件末尾存在umask 027加固方案参考步骤:一、首先对/etc/profile进行备份#cp/etc/profile/etc/profile.bak二、编辑文件/etc/profile,在文件末尾加上如下内容:umask 027三、执行以下命令让配置生效#source /etc/profile检查项名称：文件与目录缺省权限控制所属分类：认证授权配置28“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础

35、、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理体系举例企业面临的困惑与运维挑战29目录什么是安全基线安全基线检查的技术方法如何建立一套基线管理“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全基线的工作介绍工作步骤获取要检查目标的基本信息IP地址设备类型：Windows/Linux+Apache将安全基线产品接入网络（直连检查），做好准备。进行目标设备的配置核查工作，通过检查报告导出检查结果。结果分析，

36、确定检查结论并给出加固方案。安全基线的工作介绍工作步骤30“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。获取要检查目标的基本信息IPIP地址地址系统类型系统类型是否安装是否安装数据库数据库是否安装是否安装中间件中间件是否提供是否提供登录信息登录信息网络是否网络是否可达可达192.168.1.1192.168.1.1windowswindowsSQL ServerSQL Serverweblogicweblogic是是是是192.168.1.2192.168.1.2linuxl

37、inuxOracleOracleTomcatTomcat否否否否192.168.1.3192.168.1.3aixaix无无WebsphereWebsphere否否否否192.168.1.4192.168.1.4思科路由器思科路由器是是是是192.168.1.5192.168.1.5华为防火墙华为防火墙是是是是系统类型：确定检查基线策略系统类型：确定检查基线策略是否提供登录信息是否提供登录信息/网络是否可达：确定使用哪种检查方式，在线或离线网络是否可达：确定使用哪种检查方式，在线或离线需要设备维护人员在场补充设备信息需要设备维护人员在场补充设备信息获取要检查目标的基本信息IP地址系统类型是否安

38、装是否安装是否31“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。将安全基线工具介入网络被扫描主机Internet浏览器HTTPS访问客户端Internet管理口：接扫描操作计算机扫描口：接目标网络将安全基线工具介入网络被扫描主机Internet浏览器客户端32“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。核查工具使用说明安全配置核查演示环境地址登录账号登录密

39、码http:/10.5.64.180:8888/sysadminvenus.sysadminhttp:/10.5.64.181:8888/sysadminvenus.sysadmin核查设备地址核查设备类型操作系统登录账号操作系统登录密码10.5.64.190windows7administrator123qwevenus10.5.64.190tomcatadministrator123qwevenus10.5.64.190oracleadministrator123qwevenus（system/Qwe_1234）被扫描环境被扫描环境核查工具使用说明安全配置核查登录账号登录密码http:/1

40、33“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。建立扫描任务3、选择添加的扫描目标1、填写任务名称4、确定开始扫描2、选择扫描策略模版建立扫描任务3、选择添加的扫描目标1、填写任务名称4、确定开34“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。添加被核查目标1、填写IP地址2、选择设备类型3、协议及登录信息4、自动探测匹配添加被核查目标1、填写IP地址2、

41、选择设备类型3、协议及登录35“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。扫描结果查看1、确定扫描完成2、点击报告生成按钮3、选择预览或下载扫描结果查看1、确定扫描完成2、点击报告生成按钮3、选择预览36“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全基线与配置核查技术与方法课件37“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综

42、治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。安全基线与配置核查技术与方法课件38“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。点击链接查看单个设备的基线结果每个设备的安全基线合规汇总点击链接查看单个设备的基线结果每个设备的安全基线合规汇总39“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。单个设备安全基线分析展

43、开分析合规结果单个设备安全基线分析展开分析合规结果40“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。详尽的加固方案详尽的加固方案41“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。分析扫描结果如何分析扫描结果考虑被检查设备重要程度设备部署的位置设备承载的业务考虑单个不合规检查项的权重如何整改所有配置项目修改最好有建设厂商参与，先分析后整改避免修补过程影响系统正常运行，做好备份分析原则所有的设备都应重视所有的缺陷都应改进分析扫描结果如何分析扫描结果42“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。谢谢 谢谢！谢 谢！43