BVS產(chǎn)品使用與排錯

BVS產(chǎn)品使用與排錯2024/3/26BVS產(chǎn)品使用與排錯1BVS工作原理3BVS常見問題處理2BVS產(chǎn)品使用BVS產(chǎn)品使用與排錯BVS—安全配置核查一、設(shè)備解釋：BVS是用來對網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)的配置（安全方面）進(jìn)行自動化檢查的工具。具備完善的安全配置庫（該知識庫涵蓋了WINDOWS、LINUX等操作系統(tǒng)，CISCO、H3C等網(wǎng)絡(luò)設(shè)備，ORACLE、SQLSERVER等數(shù)據(jù)庫，中間件等多類設(shè)備及系統(tǒng)的安全配置加固建議），可以實(shí)現(xiàn)對網(wǎng)絡(luò)資產(chǎn)設(shè)備自動化的安全配置檢測、分析，并提供專業(yè)的安全配置建議與合規(guī)性報表。二、主要功能：①CISCO、H3C等網(wǎng)絡(luò)設(shè)備配置的基準(zhǔn)核查②WINDOWS、LINUX等操作系統(tǒng)的基準(zhǔn)核查③ORACLE、SQLSERVER、DB2、SYBASE等數(shù)據(jù)庫及中間件的基準(zhǔn)核查全稱：BenchmarkVerificationSystem——安全配置核查系統(tǒng)（基線核實(shí)系統(tǒng)）廠家：北京綠盟BVS產(chǎn)品使用與排錯設(shè)備功能要求規(guī)范規(guī)定了適用范圍內(nèi)設(shè)備必須滿足的最低安全功能要求和推薦（可選）滿足的安全功能要求。功能要求內(nèi)容和具體廠家產(chǎn)品無關(guān)設(shè)備配置要求規(guī)范規(guī)定了適用范圍內(nèi)設(shè)備最低安全配置要求和推薦（可選）采用的安全配置要求規(guī)范應(yīng)用設(shè)備入網(wǎng)：保證新設(shè)備達(dá)到功能要求工程驗收：保證驗收上線的設(shè)備符合配置要求日常維護(hù)：保證在網(wǎng)設(shè)備持續(xù)符合配置要求設(shè)備需求BVS產(chǎn)品使用與排錯配置安全評估的應(yīng)用特點(diǎn)配置安全評估是否可以自動化快速高效執(zhí)行？是否可以從設(shè)備入網(wǎng)、工程驗收、運(yùn)行維護(hù)等全生命周期落實(shí)規(guī)范?是否有統(tǒng)一的安全檢測標(biāo)準(zhǔn)？BVS產(chǎn)品使用與排錯安全（基線）核查內(nèi)容（范圍）賬號口令授權(quán)日志IP其他{按用戶分配帳號、賬號鎖定、限制遠(yuǎn)程登錄}{主要針對靜態(tài)口令，口令復(fù)雜性，生存期、歷史口令、口令修改、口令存放等方面的內(nèi)容}{授權(quán)分級，對文件和表支持讀、寫、執(zhí)行的權(quán)限}{記錄登錄、操作日志，遠(yuǎn)程日志}{查詢功能、過濾功能}{鎖屏、補(bǔ)丁、consol口保護(hù)}BVS產(chǎn)品使用與排錯檢查范圍賬號口令授權(quán)日志IP其他互聯(lián)網(wǎng)/數(shù)據(jù)業(yè)務(wù)城域網(wǎng)數(shù)據(jù)業(yè)務(wù)互聯(lián)網(wǎng)業(yè)務(wù)支撐系統(tǒng)運(yùn)營支撐系統(tǒng)管理支撐系統(tǒng)BVSIDCBVS產(chǎn)品使用與排錯BVS（安全配置核查系統(tǒng)）做什么用的？BVS是什么？安全加固，合規(guī)檢查BVS產(chǎn)品使用與排錯不同的行業(yè)模板檢查依據(jù)不一樣：客戶自己的安全基線規(guī)范中國移動網(wǎng)絡(luò)部，管信部，中國電信綠盟科技——公司多年的安全經(jīng)驗從行業(yè)規(guī)范到行業(yè)模板檢查依據(jù)是什么？checklistBVS產(chǎn)品使用與排錯基本思想獲取配置展示結(jié)果在線獲取登錄目標(biāo)系統(tǒng)上傳核查腳本至目標(biāo)遠(yuǎn)程執(zhí)行腳本，生成配置結(jié)果文件下載配置結(jié)果文件離線獲取目標(biāo)系統(tǒng)手動執(zhí)行核查腳本，生成配置結(jié)果文件上傳配置結(jié)果文件至BVS收集目標(biāo)相關(guān)配置信息，手動生成配置結(jié)果文件上傳配置結(jié)果文件至BVSORBVS產(chǎn)品使用與排錯1BVS工作原理3BVS常見問題處理2BVS產(chǎn)品使用BVS產(chǎn)品使用與排錯1BVS工作原理3BVS常見問題處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報表分析d模板管理e其他相關(guān)BVS產(chǎn)品使用與排錯系統(tǒng)配置BVS產(chǎn)品使用與排錯StepI:以user賬戶登錄（默認(rèn)user/nsfocus）StepII: 新建任務(wù)BVS產(chǎn)品使用與排錯1BVS工作原理3BVS常見問題處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報表分析d模板管理e其他相關(guān)BVS產(chǎn)品使用與排錯在線檢查行業(yè)類型：證書授權(quán)的行業(yè)模板創(chuàng)建空任務(wù)：離線導(dǎo)入結(jié)果時使用BVS產(chǎn)品使用與排錯在線添加主機(jī)設(shè)備類型：主機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備行業(yè)類型：選擇相應(yīng)白名單配置，可不選，默認(rèn)白名單為空登錄協(xié)議：需要正確選擇，協(xié)議并未和模板掛鉤，如window模板只能使用SMB主機(jī)跳轉(zhuǎn)：如需要主機(jī)跳轉(zhuǎn)方可到達(dá)目標(biāo)，可配置主機(jī)跳轉(zhuǎn)1）在同一個任務(wù)中，可以為每一個掃描目標(biāo)單獨(dú)設(shè)置跳轉(zhuǎn)主機(jī)。2）登錄協(xié)議為SMB時，不能使用跳轉(zhuǎn)主機(jī)。模板選擇：一臺主機(jī)可以對應(yīng)多個模板BVS產(chǎn)品使用與排錯白名單白名單規(guī)則：每一組（業(yè)務(wù)平臺+業(yè)務(wù)系統(tǒng)+系統(tǒng)模版）對應(yīng)一張系統(tǒng)模版白名單；

該白名單可以包括允許開放的端口和運(yùn)行的進(jìn)程列表；

若掃描結(jié)果中的端口或者進(jìn)程不在該白名單中，背景色為紅色。BVS產(chǎn)品使用與排錯Excel添加主機(jī)BVS產(chǎn)品使用與排錯Excel添加主機(jī)（續(xù)）BVS產(chǎn)品使用與排錯Excel添加主機(jī)（續(xù)）導(dǎo)入：BVS產(chǎn)品使用與排錯各模板參數(shù)說明詳細(xì)說明參見《用戶手冊》表5.2添加掃描目標(biāo)參數(shù)說明BVS產(chǎn)品使用與排錯離線檢查腳本獲取方法不同的行業(yè)模板，同樣基線的離線檢查腳本不同定制設(shè)備的全部腳本下載請參見wiki詞條：BVS主機(jī)配置信息收集腳本如何使用？BVS產(chǎn)品使用與排錯Windows：認(rèn)真閱讀readme執(zhí)行.vbs文件（vista以后的版本建議用管理員身份執(zhí)行cmd后運(yùn)行相關(guān).vbs文件）結(jié)果文件存在于當(dāng)前目錄下離線檢查腳本執(zhí)行方法Linux/Unix：認(rèn)真閱讀readme賦予.sh文件可執(zhí)行權(quán)限，執(zhí)行.sh文件結(jié)果文件存在于/tmp/下BVS產(chǎn)品使用與排錯離線檢查方法-網(wǎng)絡(luò)設(shè)備華為和思科的交換機(jī)路由器，僅限需要填表BVS產(chǎn)品使用與排錯版本除外在目標(biāo)設(shè)備上直接使用showrun/displaycurrent命令獲取全部配置信息，復(fù)制在txt文檔中即可最后結(jié)果中顯示的目標(biāo)設(shè)備ip與實(shí)際不符？若客戶希望在結(jié)果中顯示正確的目標(biāo)設(shè)備ip，可將該ip添加在txt文檔的第一行。華為，思科交換機(jī)離線檢查方法BVS產(chǎn)品使用與排錯離線檢查BVS產(chǎn)品使用與排錯1BVS工作原理3BVS常見問題處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報表分析d模板管理e其他相關(guān)BVS產(chǎn)品使用與排錯任務(wù)參數(shù)BVS產(chǎn)品使用與排錯綜述報表安全評估分：模板評估分—((各檢查項得分累計/模板各檢查項的總分)*100)

主機(jī)評估分—(各模板評估分累計/模板數(shù)量)

任務(wù)評估分—(各主機(jī)評估分累計/主機(jī)數(shù)量)

平均符合度：模板符合度—((通過的檢查項數(shù)量/檢查項總數(shù))*100%)

主機(jī)符合度—(各模板符合度累計/模板數(shù)量)

任務(wù)符合度—(各主機(jī)符合度累計/主機(jī)數(shù)量)BVS產(chǎn)品使用與排錯主機(jī)報表BVS產(chǎn)品使用與排錯1BVS工作原理3BVS常見問題處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報表分析d模板管理e其他相關(guān)BVS產(chǎn)品使用與排錯模板介紹系統(tǒng)模板用戶模板BVS產(chǎn)品使用與排錯BVS產(chǎn)品使用與排錯證書與模板行業(yè)模板：授權(quán)根據(jù)不同行業(yè)的規(guī)范發(fā)布的標(biāo)準(zhǔn)模板，不同的行業(yè)模板檢查方式也不同增值模板：授權(quán)可以使用的標(biāo)準(zhǔn)模板模板編號—UUID，各個模板的唯一標(biāo)識BVS產(chǎn)品使用與排錯新建用戶模板admin管理員可以手動新建兩種類型的用戶模板，即：WIN類型模板和UNIX類型模板，不同類型的用戶模板中可應(yīng)用的檢查方法略有不同。具體請參考“自定義模板使用方法.pptx”BVS產(chǎn)品使用與排錯用戶自定義腳本--離線腳本手工生成BVS產(chǎn)品使用與排錯1BVS工作原理3BVS常見問題處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報表分析d模板管理e其他相關(guān)BVS產(chǎn)品使用與排錯控制臺登陸波特率：115200默認(rèn)用戶名是conadmin，默認(rèn)密碼是nsfocusBVS產(chǎn)品使用與排錯產(chǎn)品型號與規(guī)格BVS產(chǎn)品使用與排錯系統(tǒng)管理BVS產(chǎn)品使用與排錯用戶管理BVS產(chǎn)品使用與排錯常用診斷工具oracle登陸的命令：sqlplususername/passwdBVS產(chǎn)品使用與排錯二次開發(fā)接口<formname="bvs"action="https://IP/httpRpc/develop?user=user&password=nsfocus00"method="post">data:<textareaname="data"cols=120rows=6><Aurora><Product><Code>1</Code><Version></Version></Product><Identitytype="UserPass"><User>user</User><Pass>nsfocus00</Pass></Identity><Action><Name>GetSystemInfo</Name><Data></Data></Action></Aurora></textarea><br/><inputtype="submit"value="Submit"></form>BVS產(chǎn)品使用與排錯1BVS工作原理3BVS常見問題處理2BVS產(chǎn)品使用BVS產(chǎn)品使用與排錯掃描沒有結(jié)果？？Windows系統(tǒng)掃描失?。?？離線掃描執(zhí)行出錯？？Xml結(jié)果導(dǎo)入報錯/無效？？……常見問題BVS產(chǎn)品使用與排錯掃描沒有結(jié)果？是否登錄失??？是否有可讀可寫權(quán)限？是否執(zhí)行結(jié)果有問題？登錄方式和端口是否正確？用戶名和密碼是否正確？———————————————SMB：使用\\ip\C$驗證telnet/ssh:用“診斷工具”驗證是否root或管理員權(quán)限?——————————-netshareC$目標(biāo)系統(tǒng)運(yùn)行“離線腳本”是否正常？結(jié)果文件導(dǎo)入設(shè)備是否正常？———————————————收集報錯信息查看結(jié)果文檔標(biāo)簽是否完整閉合,是否有亂碼？掃描原理BVS產(chǎn)品使用與排錯C$是否具有可讀可寫權(quán)限網(wǎng)絡(luò)訪問安全設(shè)置（gpedit.msc）相關(guān)wiki：BVS檢查windows系統(tǒng)失敗可能的原因如何查看和修改windows共享的讀寫權(quán)限Windows系統(tǒng)掃描失敗？是否啟動server服務(wù)（139和445是否已經(jīng)開啟）是否有防火墻阻斷139和445端口是否開放C$默認(rèn)共享（C$）驗證：開始—運(yùn)行---\\IP\C$（如：\\56\C$）登錄成功后請新建一個文件，然后刪除文件，保證可寫權(quán)限BVS產(chǎn)品使用與排錯離線腳本執(zhí)行出錯？Windows環(huán)境是否“使用管理員身份運(yùn)行”cmd文件，在腳本當(dāng)前目錄執(zhí)行腳本？（vista以后）Unix環(huán)境首先執(zhí)行perl-V

（判斷目標(biāo)服務(wù)器是否安裝了perl環(huán)境，如果沒有perl環(huán)境則不能腳本）打開檢查工具中的shell腳本，例如：hpux_chk.sh拷貝最后一行：perl./hpux_chk.pl--uuid86c221be-6ab2-ef53-1589-fe16877914f1--ip${1}將${1}替換成實(shí)際IP地址執(zhí)行即可。例如：perl./hpux_chk.pl--uuid86c221be-6ab2-ef53-1589-fe16877914f1--ip相關(guān)wiki為什么使用BVS本地檢查腳本，在本地執(zhí)行沒有結(jié)果？BVSLinux本地掃描腳本運(yùn)行異常排錯是否是裁剪版操作系統(tǒng)：secedit.exe/export/cfga.log（如果是沒有a.log則說明是裁剪版環(huán)境，不能進(jìn)行掃描）BVS產(chǎn)品使用與排錯XML結(jié)果導(dǎo)入無效？沒有錯誤提示，導(dǎo)入后沒有結(jié)果BVS產(chǎn)品使用與排錯Wiki詞條BVSv支持的業(yè)務(wù)系統(tǒng)及版本BVS檢查windows系統(tǒng)失敗可能的原因BVSWindows7、Vista、2008遠(yuǎn)程掃描注意事項windows

vista/2008/7

如何使用本地信息收集腳本檢查如何查看和修改windows共享的讀寫權(quán)限BVS主機(jī)配置信息收集腳本如何使用？為什么使用BVS本地檢查腳本，在本地執(zhí)行沒有結(jié)果？BVSLinux本地掃描腳本運(yùn)行異常排錯如何通過手工方式收集網(wǎng)絡(luò)設(shè)備的配置信息導(dǎo)