完整性檢查管理系統(tǒng)
完整性檢查管理系統(tǒng) |
一、安全運維面臨的問題 1. 誤操作或非法修改配置文件導致系統(tǒng)安全性下降,沒有相應的手段及時發(fā)現(xiàn) 2. 誤操作或非法開啟的進程、端口、服務等無法及時發(fā)現(xiàn) 3. 木馬程序無法及時發(fā)現(xiàn) 二、傳統(tǒng)手段無法解決
2.1 設備種類繁多 一般而言,日常運維人員需要收集和分析各種主機系統(tǒng)、網(wǎng)絡設備、數(shù)據(jù)庫系統(tǒng)以及其它中間件的配置;這些配置的收集和分析存在以下問題: 1. 部署位置多種多樣 2. 配置的表現(xiàn)形式和存儲樣式不盡相同,如有的在配置文件中、有的在注冊表中;有的配置文件是一般文本,而有的又是XML形式 3. 采集過程中可能還需要穿越網(wǎng)關設備或堡壘主機 4. 由于配置在形式上存在千差萬別,如何準確地分析則成為困難的事情2.2 自動化程度低 以往,對于設備或應用的配置審計,一般都是通過人工方式進行,僅在上線前進行一次評估(安全加固),這樣做的缺點是顯而易見的: 1. 純粹依賴手工方式,效率低下 2. 在設備或應用上線后,不能定時地或經(jīng)常性地進行評估,從而無法反映現(xiàn)網(wǎng)設備或應用的配置情況,這導致系統(tǒng)存在巨大的安全隱患(如未能按口令復雜度設置管理員賬號) 3. 結果比較零散,只能依賴于人工匯總。三、產(chǎn)品介紹
完整性檢查(配置變更)系統(tǒng)是靈狐網(wǎng)絡自主研發(fā)的擁有自主知識產(chǎn)權的專業(yè)安全配置檢查管理產(chǎn)品。它協(xié)助用戶實現(xiàn)企業(yè)內(nèi)安全配置的集中采集、風險分析、處理的工作,它是企業(yè)日常信息安全工作的重要支撐。
配置問題管理:全面集中檢查和分析各類系統(tǒng)存在的本地安全配置問題,減輕用戶因?qū)Σ煌O備分散管理而帶來的冗余工作。 安全運維管理:建立日常運維工作的服務保障體系;包括各種資產(chǎn)配置庫、報表管理、安全知識管理等 它主要解決企業(yè)日益繁重的安全配置管理問題。作為統(tǒng)一的安全配置核查和管理系統(tǒng),能夠準確、快速、及時地發(fā)現(xiàn)、匯總企業(yè)中不同廠商不同種類的網(wǎng)絡設備、主機、防火墻、數(shù)據(jù)庫、中間件的安全配置問題,它主要包括如下主要功能: 任務制定:提供靈活的功能用于制定不同類型或周期的配置檢查任務,任務中可以方便地設置檢查對象和檢查策略。 采集分析:全面集中檢查和分析各類系統(tǒng)存在的本地安全配置問題,減輕用戶因?qū)Σ煌O備分散管理而帶來的冗余工作。 檢查報告:提供全面、詳盡、清晰的掃描報告管理功能,并能對不同的檢查結果進行比對。 四、產(chǎn)品功能 完整性檢查(配置變更)管理系統(tǒng)是由綜合展現(xiàn)層、業(yè)務功能層、分析處理層、采集層等部分組成,如下圖所示:
在完整性檢查管理系統(tǒng)中,Web主要由安全配置變更管理、整體概覽、個人工作臺、資產(chǎn)管理、告警管理、報表管理、知識庫管理、系統(tǒng)管理組成。 4.1 變更檢查管理
變更管理檢查計算機系統(tǒng)的文件、端口、進程等的變化信息,以監(jiān)控系統(tǒng)的變更狀況發(fā)現(xiàn)其中的異常,以便及時采取相應措施保護系統(tǒng)安全。 目前,支持的系統(tǒng)或設備主要包括: 1. 主流操作系統(tǒng)(Linux/Unix、Windows) 2. 主流路由器/交換機 3. 主流防火墻 變更管理主要分以下模塊: 1. 配置變更項問題查看:列表查看登錄用戶權限范圍存在的配置項變更問題,顯示資產(chǎn)上存在哪些配置項變更的情況; 2. 任務管理:任務管理包括三個部分:任務列表、正在執(zhí)行的任務以及已完成的任務,檢查報告可以導出為Word、PDF、HTML等格式; 3. 策略管理:用戶可以自定義檢查策略??稍O定用戶自定義配置檢查項,例如文件、目錄、端口、進程等 4.2 安全儀表盤
安全儀表板是系統(tǒng)風險的集中展示區(qū)域,也是系統(tǒng)展現(xiàn)給用戶的第一個視覺界面;它支持以TAB頁及微件(Widget)形式展現(xiàn),用戶也可對儀表的布局和內(nèi)容進行定義和調(diào)整。 系統(tǒng)支持如下類型的儀表板: 1. 整體安全概況 2. 安全資產(chǎn)概況 3. 告警概況 4. 脆弱性概況 5. 任務概況 4.3 資產(chǎn)管理
1. 系統(tǒng)的資產(chǎn)管理支持用戶錄入、導入或自動發(fā)現(xiàn)資產(chǎn)。 2. 為了處理不同網(wǎng)絡的資產(chǎn)同IP問題,系統(tǒng)還支持對于網(wǎng)絡和IP地址段的管理。 3. 為了用戶便于集中、靈活地管理所轄范圍內(nèi)的資產(chǎn),系統(tǒng)支持用戶自定義資產(chǎn)管理視圖 4.4 告警管理
1. 告警監(jiān)控:監(jiān)控系統(tǒng)內(nèi)存在的各種告警;用戶可以通過定義過濾器以監(jiān)控需要特別關注的告警信息;用戶也可以根據(jù)個人需求,設置告警的提示音、界面顯示方式等; 2. 告警處理:處理監(jiān)控列表中相關告警;針對告警,用戶可以清除、確認(不能確定是否需要處理)或轉(zhuǎn)工單; 3. 策略定義:用戶可以定義各類告警產(chǎn)生的策略(系統(tǒng)內(nèi)置了部分策略);在告警策略中可以設定對于安全數(shù)據(jù)的篩選條件、歸并字段、時長和次數(shù)以及命中后產(chǎn)生何種響應;響應包括包含發(fā)送郵件、發(fā)送Syslog或SNMP Trap、執(zhí)行外部程序或腳本等。 4.5 報表管理
報表管理的作用為展示系統(tǒng)安全工作的結果。報表內(nèi)容包含各種信息的統(tǒng)計情況,包括:告警報表、資產(chǎn)報表、配置變更報表等。 用戶可以定義相關條件以生成報表,它們均可以導出為PDF、Word、HTML等格式。五、部署方式
六、產(chǎn)品優(yōu)勢 6.1 配置變更的自動分析 支持定期的配置收集和審計,實現(xiàn)了人工評估的自動化和常態(tài)化。 6.2 靈活通用的系統(tǒng)設計 1. 可配置的系統(tǒng)功能菜單; 2. 支持用戶自定義檢查策略和告警策略; 3. 無需在被檢查設備上安裝任何程序; 4. 可配置的安全儀表板。 6.3 極快的處理性能 快速檢查、網(wǎng)絡占用帶寬小。 |