基于SCAP的服務器安全基線核查設計與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的普及，各行各業(yè)對信息系統(tǒng)依賴度的不斷增強，各政企對安全建設的極度重視，構建保障安全的基線成為不可或缺的一部分。本文主要研究針對證券、電信、移動等行業(yè)安全基線核查面臨的問題，通過SCAP（安全內容自動化協(xié)議）設計安全基線，使用AGENT/SERVER的方式實現(xiàn)遠程安全基線核查系統(tǒng)，進行系統(tǒng)安全配置的持續(xù)性監(jiān)測，對影響系統(tǒng)安全的脆弱性因素進行全面檢查，幫助安全運維人員及時發(fā)現(xiàn)安全風險，全面洞察安全隱患，檢查系統(tǒng)的折衷標記以及能在

2、任意設定時刻給出系統(tǒng)的安全狀態(tài)。
　　首先，對SCAP產生的背景進行簡要介紹，提出本文研究是基于聯(lián)軟科技有限公司為解決證券、電信、移動等行業(yè)安全基線核查所面臨的問題而研發(fā)的安全基線核查系統(tǒng)；并對國內外的研究現(xiàn)狀進行概述。
　　其次，簡要介紹安全配置的基本概念，分析安全基線核查的業(yè)務場景，明確安全配置標準清單問題，概述安全基線的定義；指出證券、電信、移動等行業(yè)執(zhí)行安全基線核查所面臨的主要問題是缺少信息資產，在大規(guī)模環(huán)境下尤為明

3、顯。通過對目前安全基線核查方式的分析，明確安全基線核查的難點，提出通過Agent方式的可解決方案，并實現(xiàn)PDCA四階段循環(huán)過程。
　　引入SCAP標準，使用SCAP協(xié)議中的OVAL進行安全基線設計，借助開源社區(qū)工具OVALDI實現(xiàn)30多個數(shù)據(jù)采集方法，為安全性核查提供數(shù)據(jù)；采用基于Agent/Server架構，通過在服務器上部署Agent程序，與Server后臺聯(lián)動來實現(xiàn)對大規(guī)模服務器環(huán)境下操作系統(tǒng)、中間件、數(shù)據(jù)庫的安全基線核查；

4、Agent在采集數(shù)據(jù)的同時獲取服務器系統(tǒng)及進程的性能數(shù)據(jù)，實時監(jiān)控服務器狀態(tài)，對出現(xiàn)異常的服務器通過告警的方式通知服務器系統(tǒng)管理員，使服務器時刻運行在一個可保障的安全狀態(tài)。
　　最后，實現(xiàn)通過Agent方式并基于SCAP協(xié)議的安全基線核查系統(tǒng)；同時分析證券行業(yè)的特點及執(zhí)行安全基線核查的需求，以信息資產為驅動實現(xiàn)證券行業(yè)安全基線管理，并在此基礎上擴展安全基線核查系統(tǒng)的功能；通過實驗結果分析，本文所實現(xiàn)的核查系統(tǒng)對核查結果的科學性、準