NSFOCUS BVS
產(chǎn)品體系結構
NSFOCUS BVS 是基于 WEB 的管理方式,用戶使用瀏覽器通過 SSL 加密通道和系統(tǒng) WEB 界面模塊進行交互,方便用戶管理。NSFOCUS BVS 采用模塊化設計,從底層到上層分為基礎平臺層、系統(tǒng)服務層、系統(tǒng)核心層、系統(tǒng)接入層,內(nèi)部整體工作架構如下圖所示。
1. 基礎平臺層功能
基礎平臺包含專用硬件平臺和基礎軟件平臺。
專用硬件平臺包含四款綠盟科技基礎硬件平臺,分別對應便攜型號 RSAS NX3-P,精簡型號 RSAS NX3-X,標準型號 RSAS NX3-S,企業(yè)版型號 RSAS NX3-E。
基礎軟件平臺包含了綠盟科技定制操作系統(tǒng)、文件系統(tǒng)、硬盤加密解密、應用程序加密解密、輸入輸出加密解密、IPv4/IPv6 網(wǎng)絡服務、內(nèi)置數(shù)據(jù)庫、Web 服務、程序運行環(huán)境等功能。
2. 系統(tǒng)服務層功能
系統(tǒng)服務層包含數(shù)據(jù)處理引擎和系統(tǒng)服務引擎。
數(shù)據(jù)處理引擎是系統(tǒng)內(nèi)部的數(shù)據(jù)接口,提供了數(shù)據(jù)庫訪問、數(shù)據(jù)緩存、數(shù)據(jù)同步等功能。數(shù)據(jù)處理引擎屏蔽了數(shù)據(jù)庫系統(tǒng)操作的細節(jié),減少數(shù)據(jù)庫的連接,優(yōu)化數(shù)據(jù)庫的訪問,緩存常用和計算復雜的數(shù)據(jù),集中處理數(shù)據(jù)的邏輯,降低了其他功能模塊的維護工作量。
系統(tǒng)服務引擎是系統(tǒng)內(nèi)部的功能接口,提供了系統(tǒng)還原點備份與恢復、任務數(shù)據(jù)導入導出等功能。系統(tǒng)服務引擎解耦了前臺操作和后臺操作,后臺功能以特定的權限運行,增加了系統(tǒng)的安全性。
3. 系統(tǒng)核心層功能
系統(tǒng)核心層是產(chǎn)品的核心,提供最具競爭力的功能,包含配置核查,強大的模板等,有較多可擴展的模塊和插件。
報表引擎是報表展示的核心處理模塊,能夠提供 HTML、WORD、EXCEL、PDF 等多種報表格式。
調(diào)度引擎是掃描工作的協(xié)調(diào)中心,根據(jù)用戶操作的不同可能有立即執(zhí)行的任務、定時執(zhí)行的任務、周期執(zhí)行的任務等,檢測出任務的類型和優(yōu)先級,進行者配置檢查。
狀態(tài)引擎是系統(tǒng)狀態(tài)的協(xié)調(diào)中心,主要包含系統(tǒng)資源狀態(tài)信息、系統(tǒng)的授權證書信息、 BDB 配置項、任務執(zhí)行進度信息、升級進度信息等。
證書系統(tǒng)提供了產(chǎn)品可授權使用的信息,包含購買用戶、設備 HASH 值、授權 IP 數(shù)、授權使用模塊、授權起止信息等。
升級系統(tǒng)提供了產(chǎn)品更新的能力,為掃描插件更新、產(chǎn)品功能更新、產(chǎn)品反饋修改等提供了可能。
4. 系統(tǒng)接入層功能
系統(tǒng)接入層包含了用戶通過瀏覽器訪問 Web 頁面、通過串口訪問控制臺、通過數(shù)據(jù)接口進行數(shù)據(jù)交互等方式,其中數(shù)據(jù)接口包含進行二次開發(fā)的數(shù)據(jù)接口、A 接口、SNMP Trap 等。
產(chǎn)品特色
1. 豐富、權威的 Checklist 知識庫
綠盟科技擁有一支業(yè)內(nèi)領先的安全服務團隊,擁有多位 PMP、CISA、BS7799 LA、ISO 27001 LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL 等國際/國內(nèi)認證專家,經(jīng)過 7 年專業(yè)安全服務的執(zhí)著實踐,形成了國內(nèi)最完善的專業(yè)安全服務體系和專業(yè)安全服務方法論,制定了完善詳細的安全配置檢查點。
經(jīng)過專業(yè)團隊不斷在安全服務實踐中進行 Checklist 知識庫的完善,NSFOCUS BVS 產(chǎn)品已經(jīng)支持近 30 種網(wǎng)絡系統(tǒng)類型配置檢查能力,覆蓋操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、中間件等常見網(wǎng)絡設備。另外,產(chǎn)品還支持符合移動、電信等多個行業(yè)性質(zhì)規(guī)范的配置檢查模板,以及滿足等級保護要求的配置檢查模板,形成了經(jīng)過專家在實踐中驗證的權威、完備的 Checklist知識庫。
2. 結合等級保護的安全配置檢查
在等級保護檢查、測評、整改工作過程中,對定級業(yè)務系統(tǒng)進行對應級別的安全風險檢查是技術方面的必要工作。NSFOCUS BVS 產(chǎn)品根據(jù)綠盟科技安全服務團隊的經(jīng)驗積累,對國家等級保護規(guī)范進行了細化整理,把技術要求落實到每一種網(wǎng)絡設備的配置檢查工作上NSFOCUS BVS 能夠結合等級保護工作過程,對業(yè)務系統(tǒng)資產(chǎn)進行等保定級跟蹤,根據(jù)資產(chǎn)定級自動進行對應級別的安全配置檢查,對合規(guī)情況進行等保符合性報告,保證系統(tǒng)建設符合等保要求、促使等保監(jiān)督檢查工作高效執(zhí)行。
3. 結合授權認證系統(tǒng)簡化配置檢查操作
安全配置檢查工作需要具備被檢查目標的賬號、密碼等授權信息,登錄到被檢查目標設備中,執(zhí)行配置查看命令列舉配置信息,然后與規(guī)范要求進行對比,得到合規(guī)及不合規(guī)的配置項,自動化的配置檢查過程也類似,需要目標系統(tǒng)的賬號、密碼等授權信息,對數(shù)量眾多的網(wǎng)絡設備的安全配置檢查,每一組目標系統(tǒng)的賬號、密碼由管理員維護和錄入,工作量巨大,也容易出錯。
一些企業(yè)部門已經(jīng)部署了 4A 認證授權系統(tǒng)或者堡壘機運維審計系統(tǒng),能夠很好的維護業(yè)務系統(tǒng)中各主機、設備的登錄授權信息,NSFOCUS BVS 充分考慮配置檢查工作的方便性,能夠和 4A 系統(tǒng)或者堡壘機系統(tǒng)對接,自動化獲取被檢查目標系統(tǒng)的登錄授權信息,批量檢查業(yè)務系統(tǒng)安全配置,使配置檢查操作簡單易用。
NSFOCUS BVS 通過堡壘機獲取授權信息
4. 自定義安全配置檢查項目
通常網(wǎng)絡環(huán)境的情況是,設備類型逐漸增多,各種服務平臺被應用,應用軟件不斷更新升級,這些變化給安全配置檢查帶來一定的困難。
作為 Checklist 知識庫的補充,NSFOCUS BVS 提供自定義安全配置檢查功能,可以由用戶根據(jù)需要或者行業(yè)標準,自行制定對目標系統(tǒng)執(zhí)行的各種安全配置檢查操作,可以形成針對自身企業(yè)或行業(yè)的自定義安全配置檢查模板。
自定義安全配置檢查的功能讓安全管理員能夠很好的適應網(wǎng)絡情況的變化,對產(chǎn)品暫不支持的安全規(guī)范或配置檢查點,都可以通過自定義安全配置檢查功能輕松實現(xiàn)。
5. 基于業(yè)務系統(tǒng)的資產(chǎn)管理
安全配置檢查系統(tǒng)上線之前,要對業(yè)務系統(tǒng)資產(chǎn)進行梳理,收集資產(chǎn)系統(tǒng)類型、授權認證、訪問跳轉等信息,對資產(chǎn)按照業(yè)務系統(tǒng)進行組織錄入到安全配置檢查工具中,尤其是經(jīng)過等級保護定級的業(yè)務系統(tǒng),資產(chǎn)信息要記錄等級保護定級信息。
NSFOCUS BVS 能夠靈活的根據(jù)業(yè)務系統(tǒng) IP 地址群組組織資產(chǎn)信息,梳理后的資產(chǎn)信息形成直觀的資產(chǎn)樹狀結構視圖展示,并存儲資產(chǎn)系統(tǒng)類型、權重、等保定級等信息。圍繞業(yè)務系統(tǒng)資產(chǎn)信息,可以方便進行下一步的安全配置檢查、合規(guī)性報告、整改審計等各項工作。
6. 靈活的部署方案
業(yè)務系統(tǒng)的多樣性,決定了 IT 網(wǎng)絡建設環(huán)境不盡相同,對于脆弱性管理產(chǎn)品來講,沒有靈活的部署方案適應多種網(wǎng)絡環(huán)境,就意味著有些網(wǎng)絡無法接入或者建設成本極大增加。
NSFOCUS BVS 提供了多種靈活的部署方式,能夠滿足復雜的網(wǎng)絡環(huán)境下的部署,并且優(yōu)先應用輕量級部署方案,最大程度降低安全建設成本。NSFOCUS BVS 支持單機單網(wǎng)絡、單機多網(wǎng)絡、安全平臺分布式管理、跳板機跳轉等多種部署方式,靈活適應各種網(wǎng)絡拓撲環(huán)境,便于擴展。
另外,考慮到虛擬化和 IPv6 網(wǎng)絡的逐步應用,NSFOCUS BVS 也支持通過虛擬化鏡像方式在虛擬化環(huán)境下直接部署,支持 IPv6 網(wǎng)絡環(huán)境下的部署和漏洞掃描。
實施過程
NSFOCUS BVS 上線到能夠開始投入日常運維,需要經(jīng)過 3 個步驟的準備:系統(tǒng)部署上線、業(yè)務系統(tǒng)資產(chǎn)梳理、業(yè)務系統(tǒng)安全配置基線調(diào)整和確定。NSFCOCUS BVS 能支持多種網(wǎng)絡環(huán)境,部署簡單,下面主要介紹一下業(yè)務系統(tǒng)資產(chǎn)梳理、安全基線調(diào)整和確定過程。
1. 業(yè)務系統(tǒng)資產(chǎn)梳理
業(yè)務系統(tǒng)中每一個網(wǎng)絡設備都是整個系統(tǒng)安全風險的脆弱性環(huán)節(jié),對每一個業(yè)務系統(tǒng)資產(chǎn)進行梳理,了解資產(chǎn)的網(wǎng)絡拓撲劃分,有哪些業(yè)務支持系統(tǒng)類型,以及網(wǎng)絡邊界,所有這些工作是進行系統(tǒng)安全配置檢查的預備性基礎工作。
對業(yè)務系統(tǒng)資產(chǎn)的梳理需要關注低層支撐系統(tǒng),如操作系統(tǒng),和支撐的數(shù)據(jù)庫、網(wǎng)絡中間件,以及網(wǎng)絡邊界的路由器、交換機、防火墻等設備,收集所有這些系統(tǒng)的廠商、型號、版本等信息、并整理這些系統(tǒng)具備管理員權限的賬號授權信息,是否需要經(jīng)過跳板機跳轉才能訪問。對于系統(tǒng)賬號信息建議收集整理后單獨保存,保障信息的安全性。
NSFOCUS BVS 業(yè)務系統(tǒng)資產(chǎn)定級信息梳理示意
資產(chǎn)信息錄入整理后,即可錄入到 NSFOCUS BVS 產(chǎn)品中,NSFOCUS BVS 提供通過離線文件便捷的導入到產(chǎn)品中的功能。另外,對于需要滿足等級保護要求的系統(tǒng),還需要錄入資產(chǎn)的等級保護定級信息。
NSFOCUS BVS 業(yè)務系統(tǒng)資產(chǎn)定級信息管理
2. 業(yè)務系統(tǒng)安全配置基線確定
安全配置規(guī)范中的要求,對不同的業(yè)務系統(tǒng)不應該是一成不變的,如何即滿足業(yè)務系統(tǒng)的可用性和有滿足業(yè)務系統(tǒng)的安全性是一個綜合考慮的過程,每一類業(yè)務系統(tǒng)的業(yè)務要求不同,可能需要安全配置的要求也進行對應的調(diào)整,對業(yè)務系統(tǒng)運行有影響的安全配置需要慎重采用。所以在安全配置核查系統(tǒng)上線前,安全配置規(guī)范需要根據(jù)不同業(yè)務系統(tǒng)的特性進行調(diào)整,形成針對每一類業(yè)務系統(tǒng)的安全配置基線,是保障業(yè)務可用和系統(tǒng)安全的重要過程。
NSFOCUS BVS 支持安全配置檢查模板的微調(diào)修改和全新安全配置檢查模板的自定義,通過這個這兩種功能,很好的支持了上線前業(yè)務系統(tǒng)安全配置基線確定工作的要求。
NSFOCUS BVS 配置檢查模板修改
典型應用
NSFOCUS BVS 貼合安全管理流程,能夠支持業(yè)務系統(tǒng)資產(chǎn)管理、安全配置檢查、安全風險報警、安全風險審計等各個安全配置檢查環(huán)境的使用,并能夠適應多種網(wǎng)絡環(huán)境,靈活的部署在用戶網(wǎng)絡中進行檢查。NSFOCUS BVS 常被應用于監(jiān)管機構安全檢查、安全運維工作的定期安全風險檢查、以及為第三方安全管理平臺提供安全風險數(shù)據(jù)。
1. 監(jiān)督、檢查或小規(guī)模網(wǎng)絡安全運維
小規(guī)模網(wǎng)絡下單獨部署漏洞掃描產(chǎn)品,完成全部網(wǎng)絡的安全檢查,是傳統(tǒng)使用方法。 NSFOCUS BVS 可以部署應用在小規(guī)模網(wǎng)絡安全運維環(huán)境中,另外,針對需要攜帶設備到現(xiàn)場的監(jiān)督檢查使用要求,提供了便攜式工業(yè)硬件的 BVS NX3-P 型號。使用 NSFOCUS BVS,通過簡單部署即可完成業(yè)務系統(tǒng)安全配置檢查工作。
NSFOCUS BVS 單機部署
2. 中小規(guī)模多子網(wǎng)安全運維
3. 第三方系統(tǒng)集成
4. 大規(guī)模網(wǎng)絡安全運維
