攻防论道 | 聚铭脆弱性扫描系统安全生命周期检测应用实践 – 作者:南京聚铭网络

PART1.目的

本文规定了企业/用户维护管理业务系统上线前应当遵循的系统安全性符合性标准，旨在为企业的设备/系统上线、运维或安全检查工作提供规范性指导，指导系统管理人员或安全检查人员进行业务系统上线的安全合规性检查和配置。

PART2.适用范围

适用于企业/用户新业务系统上线检查、整改、备案等。

企业/用户对本系统的安全合规执行情况进行指导和督促，各信息系统的系统建设人员、系统运维人员、安全管理人员应根据实际情况严格参照执行。

本文档所列各项基本安全检查要求，仅可作为用户设备、系统的入网测试、安全验收、安全检查规范、安全上线要求等文档的参考，如需进行实际配置修改操作，还应在本基线的基础上制定合理的操作方案，并在实际环境中测试通过后方可操作。

PART3.使用方法

• 系统建设上线前的使用方法

信息系统在建设完成上线前应当根据各安全要求内容进行系统整体安全检查，等检查完成后再正式上线，使用人员包括但不限于各企业的系统建设人员及安全管理人员。

在系统建设上线前，系统建设人员应在安全管理人员的协助下，严格参照风险检查系统中的“漏洞扫描”、“基线检查”、“web扫描”、“弱口令检查”来检测安全加固检查要求发现的问题，并通过整改备案后再完成上线。各基线中“安全漏洞检查要求：漏洞修复和端口检测”“安全配置要求：安全基线要求内容”和“安全配置要求：操作指南”的内容，对所涉及的网络、应用、主机、数据库、中间件等进行安全检查，明确其安全要求，并在系统上线前进行安全实施情况检查，检查通过后方可上线。

相关流程如下图所示：

图1  安全风险检查流程

• 调研确认业务系统类型

在系统上线检查前，先根据业务系统的类型情况确认待检查的系统类型情况，主要包括：

1.  主机系统类型，确认类型版本，比如：windows server 2003、Centos 6.7等

2.  数据库类型，比如：oracle 10g、mysql 5.5等

3.  Web中间件： Apache 2.2.3 、Tomcat 7.0.39等

3.1漏洞检查

信息系统在系统上线前应依照安全漏洞要求进行安全漏洞检查，安全漏洞风险检查使用人员包括但不限于各企业的系统运维人员和安全管理人员。

相关流程如下图所示：

图2  漏洞扫描在系统建设中的应用

相关要求：

1、针对扫描结果中的高级别的漏洞建议进行修复，修复高危漏洞可有效地避免和防止网络上的病毒和木马，以及黑客的恶意入侵和攻击，保护设备电脑系统和软件程序安全稳定地运行，特别是对经常在服务器运行重要服务和重要数据保护的设备；

2、针对业务系统正常运行的服务和端口要求做最小化权限控制处理。比如对不需要提供对外远程服务的设备和数据库关闭对应的远程服务，关闭相关端口如：3389/22/21/445/3306/1521等，从而把风险减低到最低；

3、针对业务系统正常使用必须使用的服务和端口（修复了有影响正常使用的），可以通过备案容忍机制进行备案。

3.2安全基线检查

信息系统在系统上线阶段应依照安全基线要求进行安全合规性检查，基线使用人员包括但不限于各企业的系统运维人员和安全管理人员。

在系统运维阶段，安全管理人员应在系统运维人员的协助下，严格参照各基线中“安全配置要求：符合性判定方法”的内容，结合“安全配置要求：操作指南”的相关操作步骤，对系统所涉及的网络、应用、主机、数据库、中间件等进行合规性检查，并记录相关检查结果。

安全合规性检查完成后，系统运维人员应在安全管理人员协助下，依照检查结果和各基线中“安全配置要求：操作指南”和“安全配置要求：符合性判定方法”的内容进行系统整改，整改完成后应由安全管理人员进行复查。

相关流程如下图所示：

图2  安全配置基线在安全检查中的应用

相关要求：

1、 根据不同系统类型，如操作系统、数据库、中间件等设备类型选择相关检查标准规范；

2、对于检查到的不合格项按照解决方案和修复建议进行修复；

3、针对业务系统正常使用必须使用的（修复了有影响正常使用的），可以通过备案容忍机制进行备案。

3.3弱口令扫描

信息系统在系统上线前应依照安全漏洞要求进行弱口令检查，弱口令风险检查使用人员包括但不限于各企业的系统运维人员和安全管理人员。

相关流程如下图所示：

相关要求：

1、根据不同弱口令检查的协议类型等设备类型选择相关检查标准规范；

2、对于检查到的不合格项按照解决方案和修复建议进行修复。

如： SMB弱口令检查、TELNET弱口令检查、SSH弱口令检查、FTP弱口令检查、EMAIL弱口令检查、Windows远程服务等弱口令检查。

3.4WEB漏扫

信息系统在系统上线前应依照安全漏洞要求进行web漏洞扫描检查，web漏洞风险检查使用人员包括但不限于各企业的系统运维人员和安全管理人员。

相关流程如下图所示：

常见的WEB漏洞为：

• 网站挂马：使访问该网站的用户感染木马，对网站信誉造成极大的不良影响。

• 数据泄露：泄露该网站所有用户信息，直接影响到用户的信息、财产安全问题。

• 数据篡改：篡改者在网站上留下虚假信息，对用户实施诈骗手段。

• 钓鱼网站：伪装成银行、购物网站等，获取用户信息。

• SQL注入：通过SQL注入恶意语句，导入数据库无法正常工作，以达到不法目的。

• … …

相关要求：

1、根据业务系统的web页面设置检查任务；

2、对于检查到的不合格项按照解决方案和修复建议进行修复；

3、针对业务系统正常使用、必须使用的（修复了有影响正常使用的或者确认不需要修复的），可以通过备案容忍机制进行备案。

3.5变更检查

信息系统在建设完成做好安全加固，通过变更检查，形成安全基线标准；通过周期性安全变更检查（如每月或每周定期检查），及时发现变更情况。对变更进行恢复或跟踪记录，修正安全基线标准，对业务系统或设备进行整个安全生命周期检测。

PART4.参考标准

《中华人民共和国网络安全法》

GBT22239-2019《信息安全技术网络安全等级保护基本要求》

GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

GBT28448-2019《信息安全技术网络安全等级保护测评要求》

关于聚铭网络脆弱性扫描系统

聚铭网络脆弱性扫描系统是一款自动化全面安全检测系统，系统可主动地对内网中的主机、Web、弱口令、配置基线、配置变更五个层面进行扫描检测，通过探测和匹配（漏洞库、基线策略）找出问题隐患，最终生成带有解决方案的检查报告，帮助企业针对系统进行安全加固，解决安全隐患。

系统提供定期巡检服务，能给IT系统提供全面的体检，有序运维，并且能对资产进行智能探测、智能发现和集中管理。

对于关注的脆弱性可以配置策略，系统发现此类脆弱性后可以告警，主动通知，可让安全管理人员不再担心日益繁重的安全漏洞及安全配置管理问题，提高网络安全管理工作效率。

—- END —-

来源：freebuf.com 2021-03-16 16:18:36 by: 南京聚铭网络