信息安全合规监测解决方案.doc

信息平安合规监测解决方案
南瑞集团公司·信息通信技术分公司
2021年1月
I
目 录
第1章 信息系统平安风险分析 1
风险产生的背景码每30天换一次。
4
传统基于网络的防护虽依然是根底，但关注点逐渐转向对于数据内容、应用本身、用户身份和行为平安的管理。日益增长的IT资产数量，无论硬件设施还是各类软件，高效平安的管理已成为大型企业关注的话题。企业多年来的平安投资，是否产生了价值？这使企业开始考虑如何正确了解和评价企业平安风险，以及衡量平安工作成效的标准，并更加关注平安的监控和综合性分析的价值。威胁的不断开展变化，使企业认识到平安投入的长期性，同时也更愿意获得在节约投资、加强主动性防御的平安建设方面的借鉴。以技术平台支撑的合规管理工作正在越来越受到重视。
随着信息技术的快速开展和广泛应用，根底信息网络和重要信息系统平安、信息资源平安以及个人信息平安等问题与日俱增，应用平安日益受到关注，?信息平安产业“十二五〞开展规划?明确提出主动防御技术成为信息平安技术开展的重点，信息平安产品与效劳演化为多技术、多产品、多功能的融合，多层次、全方位、全网络的立体监测和综合防御趋势不断加强，信息平安开展趋势朝系统化、网络化、智能化、效劳化方向开展。。
①、向系统化、主动防御方向开展
信息平安保障逐步由传统的被动防护转向“监测-响应式〞的主动防御，信息平安技术正朝着构建完整、联动、可信、快速响应的综合防护防御系统方向开展。
②、向网络化、智能化方向开展
计算机技术的重心从计算机转向互联网，互联网正在逐步成为软件开发、部署、运行和效劳的平台，对高效防范和综合治理的要求日益提高，信息平安向网络化、智能化方向开展。
③、向效劳化方向开展
信息平安产业结构正从技术、产品主导向技术、产品、效劳并重调整，平安效劳逐步成为信息平安产业开展重点。
平安合规技术研究
平安基线标准
充分依据信息平安技术体系和管理体系，借鉴ISO27002、ISO-20000、SOX、等级保护等技术和管理标准内容，创新信息平安基线标准和管理标准。通过建立信息平安基线合规指标库，将信息系统等级保护根本要求、信息平安风险评估准那么细化，进一步分解根据具体设备特性形成设备级的基线指标，形成
4
可执行、可实现的检测项，实现技术体系和管理体系指标内容的落地。
平安基线标准包含以下三方面：
1) 漏洞信息：漏洞通常是由于软件或协议等系统自身存在缺陷引起的平安风险，一般包括了登录漏洞、拒绝效劳漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的平安脆弱性。由于漏洞信息由相应的国际标准，如CVE〔Common Vulnerabilities & Exposures ，公共漏洞和暴露〕就列出了各种的平安漏洞，因此系统的初始漏洞平安基线可以采用通用标准。
2) 平安配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的平安脆弱性。在平安配置基线方面，移动集团下发了操作系统平安配置标准、路由器平安配置标准、数据库平安配置标准等一系列标准，因为系统初始平安配置基线可以采用集体下发的标准。
3) 系统重要状态：包含系统端口状态、进程、账号以及重要文件变化的监控。这些内容反映了系统当前所处环境的平安状况，有助于我们了解业务系统运行的动态情况。由于系统状态基线随着业务应用不同而不同，没有标准模板可借鉴。我们通过对系统的状态信息进行一个快照，对非标准的进程端口、关键文件MD5校验值等信息确认后作为初始的系统状态平安基线。
平安基线检测技术
5
平安基线检测是实现信息系统平安合规检测的根底和核心,即基于业务系统平安运行的要求〔最低/根本〕，对目标系统的漏洞、配置和重要运行状态进行检查，通过对检查结果的深度分析，获得检查对象的平安合规性结论。
平安基线检测对象涵盖主机、数据库、网络设备、平安设备、中间件、应用系统等六大类。检测方式包括远程检查和本地检查两种形式，检测内容为目标对象的平安漏洞扫描、关键配置对标、重要运行状态检查、平安日志采集。针对不同类型、不同型号的设备及不同检测内容，采用一套自动化检测体系架构，综合不同的远程访问协议、技术手段实现平安基线检测，以插件思想搭建全面的基线检测数据采集工具集合，通过自由组装实现基线检测可扩展性。
平安监测与控制研究
平安状态度量技术
平安基线合规检查结果为平安评估提供了坚实的数据根底和评判依据，基于信息平安风险评估模型，对平安问题、运行状态、漏洞情况进行综合评判，从网络、主机、数据库、中间件、应