安全配置核查系統(tǒng)測(cè)評(píng)工具指導(dǎo)書-10版

1、密級(jí)內(nèi)部測(cè) 評(píng) 指 導(dǎo) 書等級(jí)保護(hù)測(cè)評(píng)工具安全配置核查系統(tǒng)HD-DJCP-AQHC-2011091001V1.0貴州亨達(dá)集團(tuán)信息安全技術(shù)有限公司文檔編號(hào)：HD-DJCP-AQHC-2011091001文檔名稱：安全配置核查系統(tǒng)測(cè)評(píng)工具指導(dǎo)書V1.0版本說明修訂人修訂內(nèi)容修訂時(shí)間版本號(hào)審閱人測(cè)評(píng)服務(wù)部初稿2011-09-10V1.0文檔信息文檔名稱安全配置核查系統(tǒng)測(cè)評(píng)工具指導(dǎo)書 V1.0文檔編號(hào)HD-DJCP-AQHC-2011091001文檔版本號(hào)1.0保密級(jí)別內(nèi)部擴(kuò)散范圍內(nèi)部擴(kuò)散批準(zhǔn)人版權(quán)聲明本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬貴州亨達(dá)

2、集團(tuán)信息安全技術(shù)有限公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)貴州亨達(dá)集團(tuán)信息安全技術(shù)有限公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。©2011 貴州亨達(dá)集團(tuán)信息安全技術(shù)有限公司 目 錄1工具簡(jiǎn)介22設(shè)備安裝指導(dǎo)22.1設(shè)備面板說明22.2設(shè)備部署方式32.2設(shè)備登陸說明43設(shè)備操作說明63.1用戶管理63.2用戶權(quán)限劃分63.3模板管理73.4創(chuàng)建任務(wù)93.5創(chuàng)建空任務(wù)103.6創(chuàng)建正常任務(wù)103.7獲取主機(jī)信息144報(bào)表分析164.1在線報(bào)表164.1.1任務(wù)列表概覽164.1.2主機(jī)列表164.1.3主機(jī)信息174.2報(bào)表輸出185數(shù)據(jù)保存20附錄

3、A設(shè)備出廠參數(shù)21A.1初始網(wǎng)絡(luò)設(shè)置21A.2初始用戶帳號(hào)21A.3串口通訊參數(shù)21- 21 -文檔編號(hào)：HD-DJCP-AQHC-2011091001文檔名稱：安全配置核查系統(tǒng)測(cè)評(píng)工具指導(dǎo)書V1.01 工具簡(jiǎn)介綠盟安全配置核查系統(tǒng)（NSFOCUS Benchmark Verification System， 簡(jiǎn)稱：NSFOCUS BVS）。NSFOCUS BVS具備完善的安全配置庫(kù)，采用高效、智能的識(shí)別技術(shù)，主動(dòng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)設(shè)備自動(dòng)化的安全配置檢測(cè)、分析，并生成專業(yè)的安全配置建議與合規(guī)性報(bào)表. NSFOCUS BVS能幫助測(cè)評(píng)機(jī)構(gòu)了解被測(cè)機(jī)構(gòu)的信息系統(tǒng)的安全狀況從而提出有針對(duì)性的強(qiáng)化安全建

4、議。2 設(shè)備安裝指導(dǎo)2.1 設(shè)備面板說明 BVS的硬件外觀如圖2.1所示，產(chǎn)品硬件的前面板如圖2.2所示（實(shí)際產(chǎn)品會(huì)因批次不同而略有不同）。圖2.1BVS產(chǎn)品硬件外觀圖2.2 BVS前面板2.2設(shè)備部署方式請(qǐng)根據(jù)實(shí)際的網(wǎng)絡(luò)結(jié)構(gòu)，將BVS設(shè)備接入網(wǎng)絡(luò)，請(qǐng)根據(jù)自己網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)加以調(diào)整，如圖2.3所示。圖2.3BVS的網(wǎng)絡(luò)部署圖接入網(wǎng)絡(luò)時(shí)，需注意以下幾點(diǎn)：n 使用網(wǎng)絡(luò)直連線連接交換機(jī)和AURORA BVS設(shè)備的掃描口（SCAN口）。n AURORA BVS設(shè)備無(wú)論接入網(wǎng)絡(luò)何處都能使用，但考慮到使用性能建議將其接入到公司主干網(wǎng)的交換機(jī)上。n 使用網(wǎng)絡(luò)直連線將AURORA BVS設(shè)備連接到公司網(wǎng)絡(luò)中。

5、n 將AURORA BVS設(shè)備接入網(wǎng)絡(luò)后請(qǐng)立即修改網(wǎng)絡(luò)配置，適應(yīng)所在網(wǎng)絡(luò)。n 管理員也可以使用管理口（Config口）對(duì)AURORA BVS設(shè)備進(jìn)行管理。關(guān)于AURORA BVS設(shè)備各端口的出廠參數(shù)，請(qǐng)參見附錄。2.2 設(shè)備登陸說明 管理員將掃描接口配置完畢，即可將掃描接口接入網(wǎng)絡(luò)，并在網(wǎng)絡(luò)中的選擇一臺(tái)管理機(jī)，通過Web管理界面進(jìn)行網(wǎng)絡(luò)參數(shù)配置。下面介紹登錄BVS的Web管理界面的操作方法：（1）確定客戶端主機(jī)是否已正常聯(lián)網(wǎng)。（2）打開瀏覽器IE，用HTTPS方式連接BVS的IP地址，例如：。（3）回車后出現(xiàn)如圖2.4所示界面，單擊【是】，接受BVS證書加密

6、的通道。圖2.4登錄Web管理界面時(shí)的安全警報(bào)彈出框（4）在如圖2.5所示的登錄界面中，輸入初始用戶名和密碼，單擊【確認(rèn)】。圖2.5BVS的Web登錄界面（5）成功登錄后，進(jìn)入AURORA BVS的Web管理界面（以任務(wù)管理員user登錄為例），如圖2.6所示。圖2.6成功登錄AURORA BVS后的Web管理界面3 設(shè)備操作說明3.1 用戶管理 使用系統(tǒng)管理員admin賬戶登陸，選擇菜單【系統(tǒng)】è【用戶管理】，進(jìn)入用戶列表的頁(yè)面。如下圖所示，初始狀態(tài)下用戶列表中只有系統(tǒng)自帶的四個(gè)用戶。3.2用戶權(quán)限劃分BVS包括四類用戶：任務(wù)管理員、審計(jì)管理員、報(bào)表管理員和系統(tǒng)管理員，它們的權(quán)限如

7、下表所示。用戶名權(quán)限任務(wù)管理員user創(chuàng)建評(píng)估任務(wù)、查看任務(wù)信息、檢查任務(wù)結(jié)果、報(bào)表輸出、系統(tǒng)管理（查看系統(tǒng)狀態(tài)、重啟系統(tǒng)、關(guān)閉系統(tǒng)、查看授權(quán)注冊(cè)信息）、查看日志、下載配置規(guī)范檢查腳本、常用工具的使用、升級(jí)設(shè)置/（自定義）審計(jì)管理員auditor日志審計(jì)（查看日志、刪除日志、導(dǎo)出日志）報(bào)表管理員reportor查看任務(wù)信息、檢查任務(wù)結(jié)果、報(bào)表輸出、修改報(bào)表信息（修改使用模板配置檢查項(xiàng)的分值和主機(jī)檢查結(jié)果）系統(tǒng)管理員admin模板管理（新建模板、編輯模板、刪除模板、導(dǎo)入模板、導(dǎo)出模板）、用戶管理（創(chuàng)建任務(wù)管理員、刪除任務(wù)管理員、編輯除auditor以外的用戶）、系統(tǒng)管理（證書的導(dǎo)入/導(dǎo)出、查看系

8、統(tǒng)狀態(tài)、重啟系統(tǒng)、關(guān)閉系統(tǒng)、查看授權(quán)注冊(cè)信息、網(wǎng)絡(luò)配置、系統(tǒng)時(shí)間設(shè)置、升級(jí)設(shè)置、任務(wù)還原、系統(tǒng)服務(wù)）3.3模板管理模板是用來(lái)檢查和展示AURORA BVS報(bào)表信息的規(guī)范，根據(jù)不同的證書，系統(tǒng)自帶的模板也不同，主要包括以下六類：Windows配置規(guī)范、Solaris配置規(guī)范、Oracle配置規(guī)范、Juniper Router配置規(guī)范、Cisco Router配置規(guī)范和Huawei Router配置規(guī)范。只有系統(tǒng)管理員admin有權(quán)限對(duì)模板進(jìn)行管理操作。選擇菜單【系統(tǒng)】è【模板參數(shù)】，進(jìn)入模板管理的頁(yè)面，如圖3.1所示。圖3.1模板管理u 增加模板增加模板有以下兩種方法：方法一（1）在頁(yè)

9、面左側(cè)的模板列表下方，單擊【增加模板】，輸入模板名稱并選擇模板類型。（2）單擊剛剛添加成功的模板名稱，并在頁(yè)面右側(cè)選擇檢查項(xiàng)以及設(shè)置分值權(quán)重。（3）新的模板定制完畢，單擊右下方的【保存】。方法二（1）在模板列表中，單擊某個(gè)缺省模板，進(jìn)入該模板內(nèi)容的頁(yè)面。（2）在該模板內(nèi)容的右下角，單擊【另存為】，輸入新的模板名稱并保存。（3）單擊剛剛另存的模板名稱，并在頁(yè)面右側(cè)選擇檢查項(xiàng)以及設(shè)置分值權(quán)重。（4）新的模板定制完畢，單擊右下方的【保存】。u 修改模板在模板列表中，單擊某個(gè)模板名稱，并在頁(yè)面右側(cè)重新選擇檢查項(xiàng)以及設(shè)置分值權(quán)重，完成后單擊右下方的【保存】。系統(tǒng)自帶的報(bào)表模板不允許修改。u 刪除模板在模

10、板列表的“操作”一欄下，單擊圖標(biāo)確定后即可將對(duì)應(yīng)的報(bào)表模板刪除。3.4創(chuàng)建任務(wù)只有任務(wù)管理員（User）有權(quán)限創(chuàng)建任務(wù)。選擇菜單【新建任務(wù)】，進(jìn)入創(chuàng)建任務(wù)的頁(yè)面，如圖3.2所示。圖3.2創(chuàng)建任務(wù)創(chuàng)建任務(wù)時(shí)，各項(xiàng)參數(shù)含義如下：任務(wù)名稱檢查任務(wù)的名稱。檢查目標(biāo)接受安全配置檢查的主機(jī)（具體配置方法請(qǐng)參見4.2創(chuàng)建正常任務(wù)）。保存密碼選擇是，表示檢查目標(biāo)的登錄密碼被自動(dòng)保存，任務(wù)結(jié)束后可以進(jìn)行重新檢查的操作；否則，將不保存檢查目標(biāo)的登錄密碼，任務(wù)結(jié)束后無(wú)法重新檢查。設(shè)備信息填寫本次檢查目標(biāo)的設(shè)備管理人、所屬部門、設(shè)備用戶和備注信息（可選項(xiàng)）。創(chuàng)建任務(wù)時(shí)，頁(yè)面上方的紅色字體會(huì)提示目前允許用戶掃描的IP范

11、圍。通過修改用戶信息可以修改允許掃描的IP范圍.3.5創(chuàng)建空任務(wù)BVS允許創(chuàng)建空任務(wù)（即沒有實(shí)際檢查目標(biāo)的任務(wù)），任務(wù)管理員可以進(jìn)入該任務(wù)參數(shù)的頁(yè)面，通過導(dǎo)入單個(gè)主機(jī)的檢查結(jié)果文件到該任務(wù)，然后自動(dòng)生成相應(yīng)的報(bào)表。導(dǎo)入單個(gè)主機(jī)檢查結(jié)果的文件創(chuàng)建評(píng)估任務(wù) 導(dǎo)入數(shù)據(jù)到空任務(wù)中3.6創(chuàng)建正常任務(wù)創(chuàng)建正常任務(wù)，即在創(chuàng)建任務(wù)的頁(yè)面中單擊【增加主機(jī)】，設(shè)置檢查目標(biāo)的各項(xiàng)參數(shù)，并顯示目前系統(tǒng)授權(quán)IP數(shù)量。選擇不同的配置規(guī)范模板，需要設(shè)置不同的參數(shù)，下面分別介紹。u Windows配置規(guī)范創(chuàng)建任務(wù) 設(shè)置Windows配置規(guī)范模板的任務(wù)參數(shù)Windows配置規(guī)范模板的任務(wù)參數(shù)含義如下：選擇行業(yè)目前，只能選擇中國(guó)

12、移動(dòng)（此項(xiàng)與產(chǎn)品證書有關(guān)）。類型/端口檢查目標(biāo)的登錄方式和端口號(hào)。IP范圍檢查目標(biāo)的IP地址。一個(gè)檢查目標(biāo)最多支持一個(gè)C類網(wǎng)段，例如：192.168.*.*（具體的填寫格式請(qǐng)參見頁(yè)面的幫助說明）。用戶名/密碼登錄檢查目標(biāo)主機(jī)的用戶名和密碼。Windows配置規(guī)范模板支持域用戶登錄檢查，登錄方式是intraguest。u Solaris 配置規(guī)范選中此項(xiàng)，表示使用SU用戶登錄，保證檢查任務(wù)擁有完整的執(zhí)行權(quán)限。創(chuàng)建任務(wù) 設(shè)置Solaris配置規(guī)范模板的任務(wù)參數(shù)Solaris配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。u Oracle 配置規(guī)范選中此項(xiàng)，表示以指定的Oracl

13、e超級(jí)用戶權(quán)限登錄創(chuàng)建任務(wù) 設(shè)置Oracle配置規(guī)范模板的任務(wù)參數(shù)Oracle配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。u Juniper Router配置規(guī)范創(chuàng)建任務(wù) 設(shè)置Juniper Router配置規(guī)范模板的任務(wù)參數(shù)Juniper Router配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。Cisco Router配置規(guī)范缺省選中此項(xiàng)，必須設(shè)置Enable密碼創(chuàng)建任務(wù) 設(shè)置Cisco Router配置規(guī)范模板的任務(wù)參數(shù)Cisco Router配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。u Huawei Router配

14、置規(guī)范創(chuàng)建任務(wù) 設(shè)置Huawei Router配置規(guī)范模板的任務(wù)參數(shù)Huawei Router配置規(guī)范模板的任務(wù)參數(shù)含義，與Windows配置規(guī)范模板的基本相同。3.7獲取主機(jī)信息選擇菜單【系統(tǒng)】è【下載執(zhí)行】，即可下載配置規(guī)范檢查工具，便于任務(wù)管理員在被檢查的主機(jī)上執(zhí)行本地檢查任務(wù)，獲取主機(jī)信息。如下圖所示，列出了當(dāng)前系統(tǒng)自帶和用戶自定義的配置規(guī)范檢查工具，單擊“操作”一欄下的圖標(biāo)即可下載對(duì)應(yīng)的配置規(guī)范檢查工具。創(chuàng)建任務(wù) 配置規(guī)范檢查工具列表配置規(guī)范檢查工具下載完畢，即可執(zhí)行本地檢查任務(wù)，操作方法如下：（1）將下載的配置規(guī)范檢查工具文件解壓縮，然后運(yùn)行文件win.bat（運(yùn)行過程中

15、不要關(guān)閉窗口）。（2）win.bat運(yùn)行完畢，自動(dòng)關(guān)閉窗口，同時(shí)在該目錄下自動(dòng)生成一個(gè)XML文件（以被檢查主機(jī)IP命名），文件中包含了該主機(jī)被檢查的所有信息。（3）任務(wù)管理員登錄AURORA BVS，創(chuàng)建一個(gè)空任務(wù)并進(jìn)入任務(wù)參數(shù)頁(yè)面，將剛剛生成的主機(jī)檢查結(jié)果文件導(dǎo)入，即可生成相應(yīng)的報(bào)表。4 報(bào)表分析4.1在線報(bào)表4.1.1 任務(wù)列表概覽在任務(wù)列表中，單擊任務(wù)名稱即可查看當(dāng)前任務(wù)的在線報(bào)表，并可以根據(jù)檢查目標(biāo)的IP或者任務(wù)名稱進(jìn)行任務(wù)的篩選查詢，如下所示在線報(bào)表管理操作導(dǎo)入任務(wù)根據(jù)IP地址或任務(wù)名稱進(jìn)行篩選單擊任務(wù)名稱，進(jìn)入該任務(wù)的在線報(bào)表任務(wù)列表4.1.2 主機(jī)列表在主機(jī)列表中，默認(rèn)列出當(dāng)前被

16、檢查全部主機(jī)的IP地址、主機(jī)名、操作系統(tǒng)、平均符合讀和風(fēng)險(xiǎn)平均分，如下圖所示。在主機(jī)列表頁(yè)面的底部，單擊【保存為EXCEL】，即可將當(dāng)前任務(wù)的主機(jī)列表信息保存為xls格式的文件下載到本地。報(bào)表分析 主機(jī)列表4.1.3 主機(jī)信息在主機(jī)列表中，單擊某個(gè)主機(jī)的IP地址，即可查看它的詳細(xì)檢查信息，包括主機(jī)概況（包括IP地址、配置模板、主機(jī)名、平均符合度、風(fēng)險(xiǎn)平均分和操作系統(tǒng)/應(yīng)用程序）、檢查結(jié)果（主機(jī)使用模板檢查項(xiàng)的結(jié)果信息，表示對(duì)應(yīng)的檢查項(xiàng)不符合安全標(biāo)準(zhǔn)，表示對(duì)應(yīng)的檢查項(xiàng)符合安全標(biāo)準(zhǔn)）、需要手工判斷的檢查項(xiàng)以及輔助信息，如下圖所示。報(bào)表分析 查看單個(gè)主機(jī)的詳細(xì)檢查信息4.2 報(bào)表輸出只有報(bào)表管理員和任務(wù)管理員有權(quán)限進(jìn)行報(bào)表的輸出。除了可以查看在線報(bào)表，也可以選擇菜單【報(bào)表輸出】將檢查結(jié)果生成報(bào)告的形式并輸出查看。如下圖，報(bào)表輸出范圍的方式有以下兩種：n 按任務(wù)輸出輸出想要查看的評(píng)估任務(wù)。支持主機(jī)篩選和模板篩選，即只輸出想要查看的主機(jī)信息。n 按IP范圍輸出輸出想要查看的IP地址范圍。支持主機(jī)篩選和模板篩選，即只輸出想要查看的主機(jī)信息。報(bào)表分析 報(bào)表輸出輸出報(bào)表的各項(xiàng)參數(shù)含義如下：輸出格式報(bào)表輸出的格式有HTML和EXCEL（XML）。其中，HTML是系統(tǒng)默認(rèn)的報(bào)表格式；EXCEL（XML）報(bào)表用于高級(jí)用戶編輯輸出成想要的格式。報(bào)表標(biāo)題自定義輸出的報(bào)表標(biāo)題，默認(rèn)是“極光安全