1、安全三同步之構建高效網絡設備安全入網驗收工作體系 邱嵐，陸松 （中國移動通信集團廣西有限公司，南寧，530022）摘 要: 為了防止設備“帶病入網”，必須加強設備入網安全接入管理，落實安全配置基線要求和修補漏洞,從而在設備入網前減少和消除安全隱患，有效預防和規避安全事故的發生，安全入網驗收工作必不可少。通過大量的工作實踐，構建起了一套較為完善的網絡設備安全入網驗收工作體系，并開發了自評估工具，將漏洞掃描、配置核查、關鍵信息監控、日常巡檢等功能整合在一起，形成了一個高度綜合的風險評估工具。后期工作將深入關注如何才能保證工程建設部門高度重視并嚴格執行管理辦法，如何保證每個項目在上線前提交入網驗收申

2、請工單，如何保證每個項目通過入網驗收后才允許入網。關鍵詞:安全驗收 安全風險 自評估Efficient Mechanism of network equipment Security inspection before Licensed to production Abstract: In order to prevent the new network equipment, we must strengthen the network equipment security access management, the implementation of security configurat

3、ion baseline requirements and fix the leak, resulting in the network equipment to reduce and eliminate potential safety hazard. In this article, we build up a relatively perfect network equipment security network inspection system, took vulnerability scanning, configuration verification, key informa

4、tion monitoring, routine inspection and other functions into together, formed a highly integrated risk assessment tool. Late work will pay more attention to how to guarantee the engineering construction department attaches great importance to management approach, how to ensure that each project in t

5、he line prior to network acceptance application job, how to ensure that each project through the acceptance before they are permitted to access the net.Keyword: Security inspection, Safety risk, Self assessment1.引言隨著網絡和通信技術的快速發展，網絡互聯與開放、信息共享帶來了日益增長的安全威脅。為了企業乃至國家的網絡與信息安全，為了保障客戶利益，加強各方面的安全工作刻不容緩。而為了防止

6、設備“帶病入網”，必須加強設備入網安全接入管理，落實安全配置基線要求和修補漏洞,從而在設備入網前減少和消除安全隱患，有效預防和規避安全事故的發生，安全入網驗收工作必不可少。安全入網驗收是指在通信網、業務網和各支撐系統的IT設備新入網、設備擴容入網、設備調整進入生產現網運行前，對其進行網絡與系統安全方面的評估和驗收。內容包括但不限于網絡結構評估、設備配置檢查、帳號口令核查、設備安全功能檢驗、外部滲透測試等，過程包括評估、驗收、問題的整改和處理。本文通過大量的技術以及管理實踐，構建起了一套較為完善的網絡設備安全入網驗收工作體系。向安全三同步中“同步建設”邁出堅實的一步，在全集團范圍首次將安全工作往

7、前移到建設驗收階段，建立制度加強設備入網安全接入管理，有效防止設備“帶病入網”，安全工作從缺乏評估以及量化手段到標準化管理的跨越。該項工作經驗入選中國移動集團基礎信息安全解決方案匯編，已在全集團范圍推廣。2.設備安全入網驗收的組織職責設備安全入網驗收工作，三分看技術，七分看管理。按照“誰主管、誰負責，誰維護、誰負責，誰使用、誰負責，誰接入、誰負責”的原則，制定通信網、業務網和各支撐系統維護管理部門各自安排專人負責所轄系統安全驗收工作。同時規定了安全驗收的管理部門、系統安全設計部門、安全驗收需求部門和安全驗收執行部門，在流程上形成閉環，各部門的職責如下。2.1安全驗收管理部門根據集團要求及本地實

8、際情況制定、細化、更新安全驗收管理辦法，定期組織宣貫、學習；監督、檢查廣西公司安全驗收執行情況；參與項目設計評審，配合項目管理單位開展系統安全設計，提出明確的審核意見。2.2系統安全設計部門在項目規劃階段，系統設計在滿足業務功能的同時，從軟硬件、網絡結構、業務邏輯、應急恢復等多方面考慮系統的安全性。例如：冗余備份、多鏈路、嚴密的業務流程、緊急情況優先保證關鍵功能等。配套安全系統應與業務系統“同步規劃、同步建設、同步運行”，不能滯后業務系統發展，以避免安全漏洞。同時為使各類網絡安全管理辦法能夠更好的執行，在項目建設的設計階段按照相關安全規范進行設計，滿足安全管理和安全規范要求，由項目管理部門在設

9、計階段填寫相關表格同時組織相關維護單位的安全人員參與項目設計會審，維護單位必須參與設計和審核，同時必須提出明確的審核意見和改進的具體要求，設計會審紀要中應明確在網絡與信息安全方面的審核意見。2.3安全驗收需求部門在安全驗收前按規定落實安全配置要求，提出對準備入網設備的安全驗收請求，同時提供驗收必需材料。此外，安全驗收需求部門還應對安全驗收結果進行確認，并對需整改的問題進行限期整改，對整改不了的遺留問題督促設備供應商/系統集成商進行備案，備案材料需對無法進行整改的問題進行說明，設備供應商/系統集成商需承諾對于遺留問題可能引發的信息安全問題負責并蓋章確認，一式四份，分別歸檔至設備供應商、安全驗收需

10、求部門、設備入網安全驗收管理部門和系統維護部門。2.4安全驗收執行部門負責審核、確認驗收工單，擬定驗收方案；負責對入網驗收工單的設備清單進行必要的安全檢查，提出相關檢查報告；核查入網設備需求部門所提供驗收必需材料是否真實和是否符合安全驗收標準；輸出安全驗收報告，提出入網意見；督促安全驗收需求部門對遺留問題進行整改，對完成整改的系統進行再次驗收，并對遺留問題歸檔做好確認工作。3.設備安全入網驗收工作流程安全驗收需求部門應該在完成設備安全配置后申請安全方面的評估和驗收，提交入網安全驗收任務工單，提交新設備安全驗收所需相關文檔。安全驗收執行部門自收到入網安全驗收工單后5個工作日內，組織相關人員組成驗

11、收小組，按本細則的安全驗收內容及標準進行驗收，完成入網設備的安全評估，并提供驗收報告及入網意見。如該申請不符合審批條件，則不允許接入現網。如果在需求緊急等特殊情況下，經部門領導特批許可后可予以批準，并同時要求需求部門制定整改計劃和提供備案證明，在完成整改前應實施有效的替代措施。圖1 安全入網驗收流程本地具體的設備安全入網驗收工作涉及到十一方面的內容，包括安全域檢查、物理安全檢查、賬號安全檢查，服務端口檢查、防火墻策略檢查、防病毒軟件檢查、系統日志安全檢查、漏洞掃描檢查、安全配置檢查、弱口令檢查、滲透測試，各項工作均明確規定輸出文檔及檢查內容，檢查標準均有明確規定。圖2 安全入網驗收內容列表4.

12、安全入網驗收工作關鍵點4.1賬號安全檢查 所有操作系統、業務系統、數據庫、網絡設備等均需要支持基于帳號的訪問控制功能。所有需要使用口令的應用軟件、業務軟件都需要對口令文件提供妥善的保護。各網絡/系統應能保存帳號增刪、權限更改和登陸信息等有關安全內容的日志。該日志的保存期限應不小于2年。各網絡/系統應建立密碼規則控制，以保證密碼規則的有效實施（如能自動拒絕創建不符合安全設置條件的帳號和口令）。如系統本身無法實現該功能，必須加強人工安全管理，保證不存在不符合安全設置條件的帳號和口令。4.2防火墻策略檢查根據項目基本信息表，確認需要進行防火墻檢查的資產范圍。針對確定的資產使用手工檢查手段，采集各防火

13、墻的配置文件，分析配置訪問規則時，源地址、目的地址的以及協議端口范圍必須以實際訪問需求為前提，盡可能的縮小范圍，以最小化權限的原則配置防護墻策略，不存在不明策略。安全驗收需求部門對所確定資產進行申報，明確防火墻策略的用途、訪問規則的源地址和目的地址的范圍、訪問端口使用的協議，填寫防火墻策略檢查表。4.3防病毒軟件檢查根據項目基本信息表，確認需要進行防病毒軟件檢查的資產范圍，即安裝了Windows操作系統的各類資產。針對確定的資產使用本地檢測手段，記錄防病毒軟件的全稱，記錄防病毒軟件詳細版本號，記錄當前防病毒庫版本信息。如發現未安裝防病毒軟件，必須及時安裝。如當前已安裝的防病毒軟件的病毒庫版本未

14、更新到最新，必須按照要求更新到最新的病毒庫。安全驗收需求部門對所確定資產進行申報，明確各Windows系統當前已安裝的防病毒軟件名稱，以及防病毒軟件版本和當前病毒庫版本，填寫防病毒軟件檢查表。4.4防滲透測試按入網安全驗收管理辦法的要求，對網站系統進行模擬黑客的真實攻擊方法對系統和網絡進行非破壞性質的攻擊性測試，發現網站系統中存在的未知漏洞，可以對信息系統的安全性得到較深的感性認知，有助于后續的安全建設，也可以用于驗證經過安全保護后的網絡是否真實的達到了預定安全目標、遵循了安全策略。信息收集 本地信息收集 權限提升 清除循環輸出報告 滲透測試圖3 滲透測試過程5.自評估工具的應用5.1安全入網

15、驗收的工作中的實際困難技能要求較高由于檢查內容較多，包括帳號安全檢查、服務端口檢查、防病毒軟件檢查、漏洞掃描檢查、安全配置檢查和弱口令檢查等多個方面，不同檢查內容需要使用不同的安全檢查工具（例如：帳號安全檢查、服務端口使用命令和防病毒軟件檢查通過人工方式進行檢查、漏洞掃描檢查使用漏洞掃描系統檢查，安全配置檢查使用配置核查工具，弱口令檢查使用john工具等），這樣需要安全檢查人員具備較高的專業技術技能、豐富的知識經驗，這樣導致占用安全骨干人員時間，不能很好的將工作交給一般員工完成。耗時耗力標準化的輸出文檔與不同安全檢查工具輸出的文檔存在區別，需要將每種類型的報告進行人工轉換，耗時耗力。業務關聯性

16、差安全檢查工具輸出的報告基本上是靜態的，在設備入網后不能進行關聯，不便于系統管理員判斷。例如設備A由于業務原因存在一個不可修改的漏洞，在設備入網安全驗收時進行備案，但入網后，進行定期安全檢查重復發現該問題，系統管理員和安全員花很多精力最后才能核實該漏洞已備案，導致工作重復耗時。5.2 自評估工具的引入為解決上述問題，實現安全入網驗收工作自動化，并且實現業務關聯分析，特地開發了自評估工具，將漏洞掃描、配置核查、關鍵信息監控、日常巡檢等功能整合在一起，形成了一個高度綜合的風險評估工具。以風險為核心整體評估自評估工具的功能覆蓋了風險因素的各個方面。允許創建和分發綜合風險評估任務、整合輸出評估結果報表

17、。風險評估任務包括漏洞掃描、配置核查和日常巡檢三方面內容，創建任務的時候是以設備為索引的，既要考慮綜合性又要考慮靈活性，既可以創建包含三類工作的綜合任務，也可以創建只包含單一工作的任務。任務創建后，根據具體的內容自動分發給相應的功能模塊去執行。評估結果報表的輸出是以任務為導向的，既考慮了綜合性需要也兼顧了靈活性。對應綜合任務，可以針對其中的子任務輸出評估結果報表。圖3 評估結果界面以面向業務的動態基線為評估方法自評估工具中的基線概念有別于傳統意義上的安全基線概念，它綜合了各種風險因素，同時又面向業務并動態變化。圖4 基線管理界面自評估工具對初次上線的設備都會生成一個安全基線，并保存到基線庫里。

18、后續的評估都會以這個基線為參照點，確定風險是否存在。如果有突破基線的情況存在，視為有安全風險。運維人員也可以將最近的評估結果保存為新的基線，或手工修改基線項目的取值，以完成對基線的更新和修改。應用自評估工具后，安全入網驗收的大部分操作從手工變為自動化執行，大大提高了工作效率。項目名稱應用前耗時應用后耗時帳號安全檢查總耗時（包括檢查和輸出報表）30分鐘10分鐘服務端口總耗時（包括檢查和輸出報表）240分鐘10分鐘防病毒軟件檢查總耗時（包括檢查和輸出報表）30分鐘10分鐘漏洞掃描檢查總耗時（包括檢查和輸出報表）180分鐘10分鐘安全配置檢查總耗時（包括檢查和輸出報表）90分鐘10分鐘小計570分鐘50分鐘表2 應用自評