自动化工具保障系统安全

　　为了应对国内外日益复杂的信息安全形势，加深企业对信息安全防护工作重要性的认识，中国石油从2010年起，连续几年在整个集团公司范围内开展了信息系统安全检查工作，旨在查找信息系统的薄弱环节、落实防护措施并消除安全隐患，提高信息系统的整体安全防护水平，安全检查的依据即为安全基线。安全基线是落实信息系统安全管理的重要手段，是一项基础的安全工作，基线的来源主要是日常运维管理工作，并依据具体的工作总结出合理和可行的措施。

　　在实际的安全运维、安全检查以及安全评估工作中，需要经常面临对大量业务系统进行安全配置、安全漏洞以及主机状态（如端口开放情况、账号登录情况以及进程开启状况等）这三大方面信息安全标准化的合规性检查工作。

　　随着中国石油的持续发展，各种应用不断完善，信息系统规模也在逐年扩大，ERP系统更是重中之重，为了应对内外部各种安全威胁，对ERP系统的安全提出了新的要求，ERP系统需要按照纵深防御的思想，逐步构建成完整的信息安全体系。

　　ERP系统将按照国家信息安全等级保护有关要求，结合ERP系统安全管理实际，制定开发ERP系统、设备配置基线规范，包括帐号、口令、访问授权、安全日志、服务开启和通信协议等一系列的内容，协助ERP系统建立安全基线相关管理制度，并通过安全基线检查工具自动化地检查目标系统的配置与基线配置规范是否符合，同时，有针对性地提出安全配置的改进措施。

　　建立安全基线模型

　　针对ERP系统的安全需求，可以采用安全基线的思想进行风险的控制和管理。

　　建立安全基线模型要以业务系统为核心，首先需要对业务系统进行识别和梳理，然后分析业务系统的功能架构，再将功能架构细化到系统层面的不同模块。分为业务层、功能架构层、系统实现层等3层架构：第一层是系统实现层，将第二层的模块根据业务系统的特性进一步分解，将操作系统分解为Windows、AIX等系统模块，网络设备分解为华为路由器、中兴路由器等系统模块；第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备/系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求；第三层是业务层，这个层面中主要是根据ERP系统不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。

　　最终针对ERP系统网络及业务系统大量的安全评估实践，形成全面的安全检查一览表知识库。如网络层安全评估一览表库、网站安全评估一览表库、操作系统一览表库；网络设备一览表库；安全设备一览表库等。最终统一汇总形成ERP系统专版一览表知识库。

　　根据ERP系统的诸多安全规范以及日常运维工作的内容，参考实际的操作方式及常用的工具，我们将安全基线的内容分为三个方面：对系统存在安全漏洞的要求；对系统配置脆弱性的要求；系统状态的要求。业务系统的安全基线由以上三方面必须满足的最小要求组成。具体来说，安全基线的三个组成部分分别为漏洞信息、安全配置和系统重要状态。

　　安全基线是有生命周期的。在ERP系统的实际环境中，安全基线的生产即建立阶段，可以依据安全基线的三个来源，对安全配置、安全漏洞和系统状态进行基准点设定。其中，系统状态基线的设定比较特殊。可以通过业务梳理来确定出允许开发的端口、允许运行的进程、允许使用的账号以及不允许变化的重要文件列表。也可以通过对系统的状态信息进行一个快照，采集系统的进程、端口、关键文件MD5校验值以及账号使用情况等信息，经过确认后，作为初始的系统状态安全基线。

　　在使用阶段，需要随时监控和检查安全基线的应用情况。一旦发现基线不符合系统的要求（多发生于系统变更时），就需要对基线进行调整。当发现调整后的基线设置仍存在问题时，则需要再次进行审计和调整，或采取回滚的操作，恢复到之前的某个基线设置状态。

　　在废弃阶段，需要确保对废弃安全基线的隔离和删除，避免因操作不慎被错误地启用。

　　自动化安全基线工具

　　当自动化安全基线建立起来之后，利用工具化的方式进行自动化检查就是落实自动化安全基线的关键过程。

　　安全基线工具是落实安全基线的自动化系统，可以很大程度上方便操作人员对系统进行基于安全基线的检查工作，提高工作效率和准确度，降低工作难度。

　　首先，安全基线工具要基于业务系统安全运行的要求（最低/基本），对目标系统的脆弱性和重要状态进行检查。

　　其次，安全基线工具的核心是安全基线库（或安全基线模板库）。安全基线库包括系统漏洞库、系统配置模板和重要状态库。其中，重要状态基线是指目标资产上包含的进程白名单、端口白名单、账号白名单、重要文件列表的集合，作为安全检查的度量维度，称作状态基线。其中进程白名单对于目标资产，根据其服务或应用属性，限定该资产允许运行的进程集合；端口白名单是对于目标资产，根据其服务或应用属性，限定该资产允许开放的端口集合。端口通常和进程有关联关系；账号白名单是指对于目标资产，根据其资产应用属性，使用人范围等情况，限定该资产上所创建的系统登录账号、应用服务登录账号的集合；最后，重要文件列表是为保护和监视重要文件改动情况建立的文件快照列表，对于目标资产，根据其系统、服务属性，对重要文件的修改进行限定，不经允许的更改为非法操作。

　　最终，工具以系统快照的方式获得安全检查的结果，并与安全基线比对，获得当前系统的安全状况，并通过多次检查的结果，梳理出系统的变化趋势。

　　工具工作方式

　　从检查的方式上来看，分为远程检查和本地检查。远程检查体现为漏洞扫描的过程，本地检查体现为对配置的检查和对重要状态的检查。

　　远程检查通常描述为漏洞扫描技术，主要是用来评估信息系统的安全性能，是信息安全防御中的一项重要技术，其原理是采用不提供授权的情况下模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查，目标可以是终端设备、主机、网络设备、甚至数据库等应用系统。系统管理员可以根据扫描结果提供安全性分析报告，为提高信息安全整体水平产生重要依据。

　　本地检查是基于目标系统的管理员权限，通过Telnet/SSH/SNMP、远程命令获取等方式获取目标系统有关安全配置和状态信息；然后根据这些信息在检查工具本地与预先制定好的检查要求进行比较，分析符合情况；最后根据分析情况汇总出合规性检查结果。

　　配置核查是本地检查最常见的一项内容。配置检查工具主要是针对Windows、AIX等操作系统，华为、思科、H3C等路由器和MSSQL 数据库进行安全检查。检查项主要包括：账号、口令、授权、日志、IP协议等有关的安全特性。

　　方案的应用场景

　　业务系统的安全基线建立起来后，可以形成针对不同系统的详细漏洞要求和一览表要求，为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛。

　　用户使用基线检查工具可以分为三大场景：场景一，入网管理部门使用安全检查工具对入网设备进行入网安全检查；场景二，运维人员使用安全检查工具进行系统日常运行维护；场景三，上级部门使用安全检查工具对所属部门进行安全检查。

　　业务系统自动化安全基线方案的特点主要包括：

　　一、标准和可量化的安全检查。基于安全基线，实现标准化和可量化的安全检查和度量。结果数据可作为安全建设决策的参考；

　　二、与业务相结合。从端口、进程、账号、文件等维度对业务系统的正常工作进行检查，其中，业务端口和业务进程都是和实际业务密切相关的，异常的端口和进程开放/使用往往体现出业务层面安全问题的端倪；

　　三、高度集成和自动化的工具检查。方案突出工具化、自动化、以及便携性。在实际应用中，可以在入网、巡检和日常运维等多个场景中灵活使用。

　　可为 詹峰 苗宁 滕征岑