安全三同步之构建高效网络设备安全入网验收工作体系(1)

 邱岚，陆松 

（中国移动通信集团广西有限公司，南宁，530022）

摘 要: 为了防止设备“带病入网”，必须加强设备入网安全接入管理，落实安全配置基线要求和修补漏洞,从而在设备入网前减少和消除安全隐患，有效预防和规避安全事故的发生，安全入网验收工作必不可少。通过大量的工作实践，构建起了一套较为完善的网络设备安全入网验收工作体系，并开发了自评估工具，将漏洞扫描、配置核查、关键信息监控、日常巡检等功能整合在一起，形成了一个高度综合的风险评估工具。后期工作将深入关注如何才能保证工程建设部门高度重视并严格执行管理办法，如何保证每个项目在上线前提交入网验收申请工单，如何保证每个项目通过入网验收后才允许入网。

关键词:安全验收 安全风险 自评估

Efficient Mechanism of network equipment Security inspection before Licensed to production

Abstract: In order to prevent the new network equipment, we must strengthen the network equipment security access management, the implementation of security configuration baseline requirements and fix the leak, resulting in the network equipment to reduce and eliminate potential safety hazard. In this article, we   build up a relatively perfect network equipment security network inspection system, took vulnerability scanning, configuration verification, key information monitoring, routine inspection and other functions into together, formed a highly integrated risk assessment tool. Late work will pay more attention to how to guarantee the engineering construction department attaches great importance to management approach, how to ensure that each project in the line prior to network acceptance application job, how to ensure that each project through the acceptance before they are permitted to access the net.

Keyword: Security inspection, Safety risk, Self assessment

1.引言

    随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓。而为了防止设备“带病入网”，必须加强设备入网安全接入管理，落实安全配置基线要求和修补漏洞,从而在设备入网前减少和消除安全隐患，有效预防和规避安全事故的发生，安全入网验收工作必不可少。安全入网验收是指在通信网、业务网和各支撑系统的IT设备新入网、设备扩容入网、设备调整进入生产现网运行前，对其进行网络与系统安全方面的评估和验收。内容包括但不限于网络结构评估、设备配置检查、帐号口令核查、设备安全功能检验、外部渗透测试等，过程包括评估、验收、问题的整改和处理。本文通过大量的技术以及管理实践，构建起了一套较为完善的网络设备安全入网验收工作体系。向安全三同步中“同步建设”迈出坚实的一步，在全集团范围首次将安全工作往前移到建设验收阶段，建立制度加强设备入网安全接入管理，有效防止设备“带病入网”，安全工作从缺乏评估以及量化手段到标准化管理的跨越。该项工作经验入选中国移动集团《基础信息安全解决方案汇编》，已在全集团范围推广。

2.设备安全入网验收的组织职责

设备安全入网验收工作，三分看技术，七分看管理。按照“谁主管、谁负责，谁维护、谁负责，谁使用、谁负责，谁接入、谁负责”的原则，制定通信网、业务网和各支撑系统维护管理部门各自安排专人负责所辖系统安全验收工作。同时规定了安全验收的管理部门、系统安全设计部门、安全验收需求部门和安全验收执行部门，在流程上形成闭环，各部门的职责如下。

2.1安全验收管理部门

根据集团要求及本地实际情况制定、细化、更新安全验收管理办法，定期组织宣贯、学习；监督、检查广西公司安全验收执行情况；参与项目设计评审，配合项目管理单位开展系统安全设计，提出明确的审核意见。

2.2系统安全设计部门

在项目规划阶段，系统设计在满足业务功能的同时，从软硬件、网络结构、业务逻辑、应急恢复等多方面考虑系统的安全性。例如：冗余备份、多链路、严密的业务流程、紧急情况优先保证关键功能等。配套安全系统应与业务系统“同步规划、同步建设、同步运行”，不能滞后业务系统发展，以避免安全漏洞。同时为使各类网络安全管理办法能够更好的执行，在项目建设的设计阶段按照相关安全规范进行设计，满足安全管理和安全规范要求，由项目管理部门在设计阶段填写相关表格同时组织相关维护单位的安全人员参与项目设计会审，维护单位必须参与设计和审核，同时必须提出明确的审核意见和改进的具体要求，设计会审纪要中应明确在网络与信息安全方面的审核意见。

2.3安全验收需求部门

在安全验收前按规定落实安全配置要求，提出对准备入网设备的安全验收请求，同时提供验收必需材料。此外，安全验收需求部门还应对安全验收结果进行确认，并对需整改的问题进行限期整改，对整改不了的遗留问题督促设备供应商/系统集成商进行备案，备案材料需对无法进行整改的问题进行说明，设备供应商/系统集成商需承诺对于遗留问题可能引发的信息安全问题负责并盖章确认，一式四份，分别归档至设备供应商、安全验收需求部门、设备入网安全验收管理部门和系统维护部门。

2.4安全验收执行部门

负责审核、确认验收工单，拟定验收方案；负责对入网验收工单的设备清单进行必要的安全检查，提出相关检查报告；核查入网设备需求部门所提供验收必需材料是否真实和是否符合安全验收标准；输出安全验收报告，提出入网意见；督促安全验收需求部门对遗留问题进行整改，对完成整改的系统进行再次验收，并对遗留问题归档做好确认工作。

3.设备安全入网验收工作流程

安全验收需求部门应该在完成设备安全配置后申请安全方面的评估和验收，提交入网安全验收任务工单，提交新设备安全验收所需相关文档。安全验收执行部门自收到入网安全验收工单后5个工作日内，组织相关人员组成验收小组，按本细则的安全验收内容及标准进行验收，完成入网设备的安全评估，并提供验收报告及入网意见。如该申请不符合审批条件，则不允许接入现网。如果在需求紧急等特殊情况下，经部门领导特批许可后可予以批准，并同时要求需求部门制定整改计划和提供备案证明，在完成整改前应实施有效的替代措施。

图1 安全入网验收流程

本地具体的设备安全入网验收工作涉及到十一方面的内容，包括安全域检查、物理安全检查、账号安全检查，服务端口检查、防火墙策略检查、防病毒软件检查、系统日志安全检查、漏洞扫描检查、安全配置检查、弱口令检查、渗透测试，各项工作均明确规定输出文档及检查内容，检查标准均有明确规定。

图2 安全入网验收内容列表

4.安全入网验收工作关键点

4.1账号安全检查

 所有操作系统、业务系统、数据库、网络设备等均需要支持基于帐号的访问控制功能。所有需要使用口令的应用软件、业务软件都需要对口令文件提供妥善的保护。各网络/系统应能保存帐号增删、权限更改和登陆信息等有关安全内容的日志。该日志的保存期限应不小于2年。各网络/系统应建立密码规则控制，以保证密码规则的有效实施（如能自动拒绝创建不符合安全设置条件的帐号和口令）。如系统本身无法实现该功能，必须加强人工安全管理，保证不存在不符合安全设置条件的帐号和口令。

4.2防火墙策略检查

根据《项目基本信息表》，确认需要进行防火墙检查的资产范围。针对确定的资产使用手工检查手段，采集各防火墙的配置文件，分析配置访问规则时，源地址、目的地址的以及协议端口范围必须以实际访问需求为前提，尽可能的缩小范围，以最小化权限的原则配置防护墙策略，不存在不明策略。安全验收需求部门对所确定资产进行申报，明确防火墙策略的用途、访问规则的源地址和目的地址的范围、访问端口使用的协议，填写《防火墙策略检查表》。

4.3防病毒软件检查

根据《项目基本信息表》，确认需要进行防病毒软件检查的资产范围，即安装了Windows操作系统的各类资产。针对确定的资产使用本地检测手段，记录防病毒软件的全称，记录防病毒软件详细版本号，记录当前防病毒库版本信息。如发现未安装防病毒软件，必须及时安装。如当前已安装的防病毒软件的病毒库版本未更新到最新，必须按照要求更新到最新的病毒库。安全验收需求部门对所确定资产进行申报，明确各Windows系统当前已安装的防病毒软件名称，以及防病毒软件版本和当前病毒库版本，填写《防病毒软件检查表》。

4.4防渗透测试

按《入网安全验收管理办法》的要求，对网站系统进行模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试，发现网站系统中存在的未知漏洞，可以对信息系统的安全性得到较深的感性认知，有助于后续的安全建设，也可以用于验证经过安全保护后的网络是否真实的达到了预定安全目标、遵循了安全策略。

图3 渗透测试过程

5.自评估工具的应用

5.1安全入网验收的工作中的实际困难

5.1.1技能要求较高

由于检查内容较多，包括帐号安全检查、服务端口检查、防病毒软件检查、漏洞扫描检查、安全配置检查和弱口令检查等多个方面，不同检查内容需要使用不同的安全检查工具（例如：帐号安全检查、服务端口使用命令和防病毒软件检查通过人工方式进行检查、漏洞扫描检查使用漏洞扫描系统检查，安全配置检查使用配置核查工具，弱口令检查使用john工具等），这样需要安全检查人员具备较高的专业技术技能、丰富的知识经验，这样导致占用安全骨干人员时间，不能很好的将工作交给一般员工完成。

5.1.2耗时耗力

标准化的输出文档与不同安全检查工具输出的文档存在区别，需要将每种类型的报告进行人工转换，耗时耗力。

5.1.3业务关联性差

安全检查工具输出的报告基本上是静态的，在设备入网后不能进行关联，不便于系统管理员判断。例如设备A由于业务原因存在一个不可修改的漏洞，在设备入网安全验收时进行备案，但入网后，进行定期安全检查重复发现该问题，系统管理员和安全员花很多精力最后才能核实该漏洞已备案，导致工作重复耗时。

5.2 自评估工具的引入

为解决上述问题，实现安全入网验收工作自动化，并且实现业务关联分析，特地开发了自评估工具，将漏洞扫描、配置核查、关键信息监控、日常巡检等功能整合在一起，形成了一个高度综合的风险评估工具。

5.2.1以风险为核心整体评估

自评估工具的功能覆盖了风险因素的各个方面。允许创建和分发综合风险评估任务、整合输出评估结果报表。风险评估任务包括漏洞扫描、配置核查和日常巡检三方面内容，创建任务的时候是以设备为索引的，既要考虑综合性又要考虑灵活性，既可以创建包含三类工作的综合任务，也可以创建只包含单一工作的任务。任务创建后，根据具体的内容自动分发给相应的功能模块去执行。评估结果报表的输出是以任务为导向的，既考虑了综合性需要也兼顾了灵活性。对应综合任务，可以针对其中的子任务输出评估结果报表。

图3 评估结果界面

5.2.2以面向业务的动态基线为评估方法

自评估工具中的基线概念有别于传统意义上的安全基线概念，它综合了各种风险因素，同时又面向业务并动态变化。

图4 基线管理界面

自评估工具对初次上线的设备都会生成一个安全基线，并保存到基线库里。后续的评估都会以这个基线为参照点，确定风险是否存在。如果有突破基线的情况存在，视为有安全风险。运维人员也可以将最近的评估结果保存为新的基线，或手工修改基线项目的取值，以完成对基线的更新和修改。

应用自评估工具后，安全入网验收的大部分操作从手工变为自动化执行，大大提高了工作效率。

6.验收效果

2010年4月至2011年9月，入网安全验收工作一共耗时445个人日，共开展151个入网安全验收任务，平均每任务耗时2.9个人日，所有入网安全验收任务均已按要求完成入网安全验收工作，工作执行情况良好完成率为100%，有效防止设备“带病入网”。漏洞风险整改降幅为80.9%，配置风险降幅为81%，弱口令整改降幅为100%。

7.小结

安全入网工作才只是开了一个头，后期工作将深入关注如何进一步落实安全三同步,如何才能保证工程建设部门高度重视并严格执行管理办法，如何保证每个项目在上线前提交入网验收申请工单，如何保证每个项目通过入网验收后才允许入网。