安全配置核查系统测评工具指导书.docx

密级内部测评指导书等级保护测评工具安全配置核查系统HDDJCPAQHC2011091001V1.0贵州亨达集团信息安全技术有限公司版本说明修订人修订内容修订时 间版本号审阅测评服务部初稿20110910V1.0文档信息文档名称安全配置核查系统测评工具指导书V1.0文档编 号HD-DJCP-AQHC-2011091001文档版本号1.0保密级 别内部扩散范围内部扩散批准人版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容， 除另有特别注明，版权均属贵州亨达集团信息安全技术有限公司所有，受到有关 产权及版权法保护。任何个人、机构未经贵州亨达集团信息安全技术有限公司的 书面授权许可，不得以任何方式复制或引用本文件的任何片断。1工具简介22设备安装指导22.1设备面板说明22.2设备部署方式32.2设备登陆说明43设备操作说明63.1用户管理63.2用户权限划分63.3模板管理73.4创建任务93.5创建空任务103.6创建正常任务103.7获取主机信息144报表分析164.1在线报表164.1.1 任务列表概览164.1.2主机列表164.1.3主机信息174.2报表输出185数据保存20附录A设备出厂参数21A.1初始网络设置21A.2初始用户帐号21A.3串口通讯参数211工具简介绿盟安全配置核查系统(NSFOCUS Benchmark Verification System, 简称：NSFOCUS BVS)。NSFOCUS BVS 具备完善的 安全配置库，采用高效、智能的识别技术，主动实现对网络资产设备 自动化的安全配置检测、分析，并生成专业的安全配置建议与合规性 报表.NSFOCUS BVS能帮助测评机构了解被测机构的信息系统的 安全状况从而提出有针对性的强化安全建议。2设备安装指导2.1设备面板说明BVS的硬件外观如图2.1所示，产品硬件的前面板如图2.2所示(实际产品会因批次不同而略有不同)。2.2设备部署方式请根据实际的网络结构，将BVS设备接入网络，请根据自己网络的拓扑结构加以调整，如图2.3所示。柢光安全配置核查系筑控制台图2.3BVS的网络部署图接入网络时，需注意以下几点：使用网络直连线连接交换机和AURORA BVS 设备的扫描口（SCAN 口）。AURORA BVS设备无论接入网络何处都能使 用，但考虑到使用性能建议将其接入到公司主干网的交换 机上。使用网络直连线将AURORA BVS设备连接到公司网络中。将AURORA BVS设备接入网络后请立即修改 网络配置，适应所在网络。管理员也可以使用管理口（Config 口）对 AURORA BVS设备进行管理。关于AURORA BVS设备各端口的出厂参数，请参见附录。2.2设备登陆说明管理员将扫描接口配置完毕，即可将扫描接口接入网络，并在网 络中的选择一台管理机，通过Web管理界面进行网络参数配置。下面介绍登录BVS的Web管理界面的操作方法：（1）确定客户端主机是否已正常联网。（2）打开浏览器IE，用HTTPS方式连接BVS的IP地址，例 如：https:/192.168.1.1。（3）回车后出现如图2.4所示界面，单击【是】，接受BVS证 书加密的通道。（4）在如图2.5所示的登录界面中，输入初始用户名和密码，单击【确认】。图2.5BVS的Web登录界面（5）成功登录后，进入AURORA BVS的Web管理界面（以任务管理员user登录为例），如图2.6所示。图2.6成功登录AURORA BVS后的Web管理界面3.1用户管理使用系统管理员admin账户登陆，选择菜单【系统】【用 户管理】，进入用户列表的页面。如下图所示，初始状态下用户列表 中只有系统自带的四个用户。类型用户帐号用户姓名角色噪作OuserUser任第管理员Oand i torAudi t uf审计蜜鲤员Qrep ortorRepcir ten-报表管理员自询inA i ii系统管理员囹用F列表3.2用户权限划分BVS包括四类用户：任务管理员、审计管理员、报表管理员和 系统管理员，它们的权限如下表所示。用户名权限任务管理员user创建评估任务、查看任务信息、检查任务结果、报表输出、 系统管理（查看系统状态、重启系统、关闭系统、查看授权注册 信息）、查看日志、下载配置规范检查脚本、常用工具的使用、 升级设置/（自 定义）审计管理员auditor日志审计（查看日志、删除日志、导出日志）报表管理员reportor查看任务信息、检查任务结果、报表输出、修改报表信息（修改使用模板配置检查项的分值和主机检查结果）系统管理员admi n模板管理（新建模板、编辑模板、删除模板、导入模板、导 出模板）、用户管理（创建任务管理员、删除任务管理员、编辑 除auditor以外的用户）、系统管理（证书的导入/导出、查看 系统状态、重启系统、关闭系统、查看授权注册信息、网络配置、系统时间设置、升级设置、任务还原、系统服务）3.3模板管理模板是用来检查和展示AURORA BVS报表信息的规范，根据 不同的证书，系统自带的模板也不同，主要包括以下六类：Windows 配置规范、Solaris配置规范、Oracle配置规范、Juniper Router 配置规范、Cisco Router配置规范和Huawei Router配置规范。只有系统管理员admin有权限对模板进行管理操作。选择菜单【系统】【模板参数】，进入模板管理的页面，如图3.1所示。中wg旺？m蜀flli-Slj3BMrFrflliiwx0醐iiniK|4>；BEtCESE %ut£f ，&F口-eIviiEinffisau/jr材*耳外临用尸舌？.用*rtr m gL* 皿加 ijuxiXEL 口 Jui Fir Fko1威屋吼 JiflPEFi 沮l«H.t«rF力匚让共心睥就暨抵电皿迎Bwi'r L。><* Fr：<i【K暨Ift厂 ："lMAa*：i %!£“ -年出«： *»wwP 晚 可主!I事-言暮-nnciT-昭It fcflEWirWTOI&ISfllSV遵EXBT-fi*-if：-fiai-K世围壬用/口专认还快市缺跻尸口WEMgU首不住于*）天* SiH-fl-t-icrar-ICa- -* :H-bTkEtHT-fi*-ft：.-HI-）?性口“d证世和抻普用尸注*Wf *土曲不部旧7趴技r+.、：、FJ5梅利美期*用fp唉也£王于HmliriZ “湖1PJfiSiB束-研再"001厂取-:性用R谭玄母*常股百1?，:fw干Asasg嫉flh事法围具西且闱引衅p匠主 HT-TS#-incis-M-n曲H是舌闩用叫机Hn弟日祖神TH泉皿凹hpS±Wti-fl-t-inno«r-ia|-i2h序Ji世村晶舌且用菱州"用PF为世国晶舌且用七Mm菱加"辱.哓押WJfiSiKf-fl-fiitnon-iea-rM4Xqr.Dj.c?CWS*PWh原h法职用日M推萱是敌-巨础hSiB-fl-t-icrar-ICa-MiP'鸯faAS±B*«E4?AEKnPJ&世胡是西&用尸量日玉心7®-BTB.胃”由设宓rMFJIH研星是由厄1曰2k-BTttfiihik.L 5F贰iihdML舌后用日嘛哒:翊fiFSiRf-fl-t-itrar-ICa- 油上h-*牡围F1堵19黄叫母=1整有时9（的明苔U就努HpS-iTtt色棉是专好心.W0J并手ie2±B4：-a<-iF>Dr：-HI-柩和心见雪用网执句耶HF电洒ail1*!写七普齐嗨 送陋“"困炫丑hF世围4:舌二沛IJFBfWF?r 申宅：TFftFTWP钥F董.S±B1n-fl-tinnon-iea-2-炉tmw与&请运市.IMP彳与工正无产磷号鞫"ETI五丈世中肥厦1唳吏夺一用尸化开率巷痫Mif ¥1PfiilPEJDTfltelhfl-FIaaK ifirtEMFluf f tfF'-血欢斋J地tMRPSiBt-fl-fiini-ICS-21设H=屈SW*再弁片开甘打由慰星.SiStJ-fl-t-icrawr-ICa-JKSts r井学友忤电的姓季料晟”月七”肿m:尸肩咨料#李此M详:iE七主ESffiKftPB(E4«riH f«kHT*u月阻4洛响低服国f 寤佐尚m芸SiBf-fl-t-itrar-ia- 3j-nifc国天餐免的际旺此事卜丁-引M齐ISKHI5迎疔，菖任商1#P45-壬檄隅U押r ffKfflllk日M也熊N蹄曲1可世即*7蜀不在场害却1S?昼Rrfl-CFHftUWTFJ5勤出S KflEWW 下芷北鸟日的骂用Ji EtHT-fi*-i*：-fiai-?班围MJ&：K矢 fl的k尸贮*苔用于 Ainjmu ”也另律勺图3.1模板管理增加模板增加模板有以下两种方法：方法一（1）在页面左侧的模板列表下方，单击【增加模板】输入模板 名称并选择模板类型。（2）单击刚刚添加成功的模板名称，并在页面右侧选择检查项 以及设置分值权重。（3）新的模板定制完毕，单击右下方的【保存】。方法二（1）在模板列表中，单击某个缺省模板，进入该模板内容的页 面。（2）在该模板内容的右下角，单击【另存为】输入新的模板名 称并保存。（3）单击刚刚另存的模板名称，并在页面右侧选择检查项以及 设置分值权重。（4）新的模板定制完毕，单击右下方的【保存】。修改模板在模板列表中，单击某个模板名称，并在页面右侧重新选择检查 项以及设置分值权重，完成后单击右下方的【保存】。系统自带的报表模板不允许修改。删除模板在模板列表的“操作”一栏下，单击图标X确定后即可将对应的报表模板删除。3.4创建任务只有任务管理员（User）有权限创建任务。选择菜单【新建任务】，进入创建任务的页面，如图3.2所示。将丑i j图3.2创建任务创建任务时，各项参数含义如下: 任务名称一一检查任务的名称。检查目标一一接受安全配置检查的主机（具体配置方法请参见4.2创建正常任务）。保存密码一一选择是，表示检查目标的登录密码被自动保存，任务结束后可以进行重新检查的操作；否则，将不保存检查目标的登录密码，任务结束后无法重新检查。设备信息一一填写本次检查目标的设备管理人、所属部门、设备用户和备注信息（可选项）。创建任务时，页面上方的红色字体会提示目前允许用户扫描的IP范围。通过修改用户信息可以修改允许扫描的IP范围.3.5创建空任务BVS允许创建空任务（即没有实际检查目标的任务），任务管理 员可以进入该任务参数的页面，通过导入单个主机的检查结果文件到 该任务，然后自动生成相应的报表。疤空任碧II目抵LP类型诺口日适期范稹视理粒漏寻.云户名启用E嘲户导入单个主机检没密含尊克:所隔部门：役苗.用途:岛注诘旦： 导出任务.扯势茧数创建评估任务-导入数据到空任务中3.6创建正常任务创建正常任务，即在创建任务的页面中单击【增加主机】，设置 检查目标的各项参数，并显示目前系统授权IP数量。选择不同的配置规范模板，需要设置不同的参数，下面分别介绍。Windows配置规范添加笛奉查目株格式为:infrakipt 授右IP数呈无限个IP授役创建任务-设置Windows配置规范模板的任务参数Windows配置规范模板的任务参数含义如下：选择行业一一目前，只能选择中国移动（此项与产品证书有关）。类型/端口 一一检查目标的登录方式和端口号。IP范围检查目标的IP地址。一个检查目标最多支持一个C 类网段，例如：192.168.*.*（具体的填写格式请参见页面的帮助说 明）。用户名/密码登录检查目标主机的用户名和密码。Windows配置规范模板支持域用户登录检查，登录方式是 intraguest。Solaris配置规范选中此项，SU用户登录，创建任务-设置Solaris配置规范模板的任务参数Solaris配置规范模板的任务参数含义，与Windows配置规范模板的基本相同。Oracle配置规范创建任务-设置Oracle配置规范模板的任务参数Oracle配置规范模板的任务参数含义，与Windows配置规范模板的基本相同。Juniper Router 配置规范创建任务-设置Juniper Router配置规范模板的任务参数Juniper Router配置规范模板的任务参数含义，与Windows配置规范模板的基本相同。Cisco Router配置规范用户名诵认宅峭溢加* 栓查目标选择行业1中国移动二1配首规范程祓Cisco RciEe甫瑁弱范工|类型Telnet 2；端口23*IP范囹二*多个IF1范围最独边间可用* ” 、 “声却空格隅开缺省选中此项，必须授权!噎星无限个IP援校创建任务-设置Cisco Router配置规范模板的任务参数Cisco Router配置规范模板的任务参数含义，与Windows配置规范模板的基本相同。Huawei Router配置规范创建任务-设置Huawei Router配置规范模板的任务参数Huawei Router配置规范模板的任务参数含义，与Windows 配置规范模板的基本相同。3.7获取主机信息选择菜单【系统】【下载执行】，即可下载配置规范检查工具，便于任务管理员在被检查的主机上执行本地检查任务，获取主机信 息。如下图所示，列出了当前系统自带和用户自定义的配置规范检查 工具，单击“操作”一栏下的图标 即可下载对应的配置规范检查工 具。椅查工且类型操作粗IlMviW配置:规范橙查工具UNJOWSU_sJBit起查工具CISCO Eaiit sr牝扇riw配置:规范橙查工具SOLAMSUfkcli配置觇范桂查_；_且OMCUEJuniper Router配置规范桂翌具JUWIFER RouterCisco Router配置规范桂查工具CISCO Rout erHnmw q Router配置规范检芸！.1：具Huawei Rem ter创建任务-配置规范检查工具列表配置规范检查工具下载完毕，即可执行本地检查任务，操作方法 如下:（1）将下载的配置规范检查工具文件解压缩，然后运行文件 win.bat （运行过程中不要关闭窗口）。（2）win.bat运行完毕，自动关闭窗口，同时在该目录下自动 生成一个XML文件（以被检查主机IP命名），文件中包含了该主机 被检查的所有信息。（3）任务管理员登录AURORA BVS，创建一个空任务并进入 任务参数页面，将刚刚生成的主机检查结果文件导入，即可生成相应 的报表。4报表分析4.1在线报表4.1.1任务列表概览在任务列表中，单击任务名称即可查看当前任务的在线报表，并 可以根据检查目标的IP或者任务名称进行任务的筛选查询，如下所开蚱时向免至时间3000-LO-0根据IP地址或任20L6-L0-6zore-io-Taaoa-LO-7Klffi-LO-?EOre-LO-720L6-L0-?aaaa-LO-7ZOC6-LO-7Klffi-LO-?zore-io-s3JL6-L0-?sace-LO-TZOC6-LO-Taaoa-LO-7sace-io-T导入任务阳遂任务顷瑚在线报表管理，任务列表2flO8-LO-T IT.293008-LO-7 16.522fl(K-LO-T K.532flO8-LO-T 14：242flO8-LO-T 1T.Dzoffi-io-7 i& qg3QO0-LO-7 K：5E单击任务名称，进入4600EOTEH1CH3L：4A4BT9 10 ZO -3 51-junLjer J湖的A3L: L<l4ST8荏查juiiipAr ILT：备«77枝查 C otrbelt TO 1EEED-TL7：33407B岬 L 1 湖的D-TLJ:B1875检查a i cca 2fflB-jD-TL6：5B4674卷查JEOTEID-TL6：43哓古主任苗1湖的D-TLB:第4S72秋查or acid 1L SWB-1D-TL6：S2467 L枝至mmIe： 1ED3EH10-7L1：L34fiTD榆壹L 1湖的D-TL-l:531J8G9检珥2fflB-jD-TL4：52伽日常芸l:】amo-TH：546B73我1湖的D-TL4:39秋查】2fflB-jD-TL4：Z34865卷萱】ID.20.3. 51-juDgZOTEJO-T柏64喘咨1湖的CHTL3:574SG3苍枣jumper talnAt 2D3B-1D-TL3：56花硅检查cisca eeLam A?L：L7466 L cisco J湖的D-TL3:434SG0秋至r i2fflB-jD-TL3：31S5?程萱】miED-TLZ：5fl4056卷iS Ho S3 13 Z04湖 gD-TL2:4U85T福碧j ma p ar 12fflE-jD-TL4：3485E卷萱 E cisicoZOT的O-TLZ：Z53008-LO-7 1Z：2&4.1.2主机列表在主机列表中，默认列出当前被检查全部主机的IP地址、主机名、操作系统、平均符合读和风险平均分，如下图所示。在主机列表 页面的底部，单击【保存为EXCEL】，即可将当前任务的主机列表 信息保存为xls格式的文件下载到本地。报表分析-主机列表4.1.3主机信息在主机列表中，单击某个主机的IP地址，即可查看它的详细检 查信息，包括主机概况（包括IP地址、配置模板、主机名、平均符 合度、风险平均分和操作系统/应用程序）、检查结果（主机使用模板 检查项的结果信息，表示对应的检查项不符合安全标准，表示对 应的检查项符合安全标准）、需要手工判断的检查项以及辅助信息， 如下图所示。报表分析-查看单个主机的详细检查信息4.2报表输出只有报表管理员和任务管理员有权限进行报表的输出。除了可以查看在线报表，也可以选择菜单【报表输出】将检查结 果生成报告的形式并输出查看。如下图，报表输出范围的方式有以下两种:按任务输出输出想要查看的评估任务。支持主机筛选和模板筛选，即只输出 想要查看的主机信息。按IP范围输出输出想要查看的IP地址范围。支持主机筛选和模板筛选，即只输出想要查看的主机信息。输出范围4888-检查ssh-oracle488F-检查so-s4BS4-fe查704882-mm4881-lexp4日7日-检查10.20.3.51un,pei487Z-> ForadeZO 4876-查114巳巧-检查cisco 炳丁 1 一一检查oratle 4865-查10.20.3.51uniper：4853-检查juniper telnet4日6£-检查cisco ssh4861cisc'o全部模板4日4左捡查241J选择模极输出格式报表标题选择任务# HTML 广 EXCEL （XR5L）“极光安全配置核查系统”评估报告报表分析-报表输出输出报表的各项参数含义如下：输出格式报表输出的格式有HTML和EXCEL（XML）。其 中，HTML是系统默认的报表格式；EXCEL（XML）报表用于高级 用户编辑输出成想要的格式。报表标题一一自定义输出的报表标题，默认是“极光安全配置核查系统”评估报告EXCEL (XML)报表采用xls格式，请使用OFFICE 2003或以上版本的软件打开报表。5数据保存将BVS输出的数据另存到安全的第3方存储介质中。WMA设备出厂参数A.1初始网络设置管理口 IP1.1.1.1扫描口 IP192.168.1.1网络掩码255.255.255.0网关192.168.1.254DNS服务器无A.2初始用户帐号系统管理员审计管理员报表管理员任务管理员用户名adminauditorreportoruser密码nsfocusA.3串口通讯参数波特率115200传输位数8