基于PDCA的移動基線安全配置脆弱性核查方法

付躍軍 李愿軍 陳婷婷

（1.貴州中煙工業有限公司 貴州省銅仁市 554300 2.貴州中煙工業有限公司 貴州省畢節市 550001）

為響應移動基線安全配置對于煙草行業網絡安全管理的現實需求，本項目通過核查的方式，核查移動基線安全配置脆弱性。為滿足其配置要求，本文從網絡、主機、應用、數據、終端方面對公司業務承載的機房、網絡、主機服務器、業務系統、數據庫、辦公終端提出了基線要求，其中物理安全基線要求27 條，網絡安全基線要求39 條，主機安全基線要求25 條，應用安全基線要求30 條，數據安全基線要求12 條，終端安全基線要求15 條；采用人工方式進行安全基線核查存在費時低效、標準不統一、不能定時檢查、檢查不全面等各種問題。因此，設定統一的安全基線配置核查指標，保障核心生產業務的安全持續運營，需建立一套符合銅仁卷煙廠乃至煙草行業網絡安全特點的“移動基線安全檢測系統”。本技術方案擬解決的技術問題包括：針對工控系統等IT 設備，全面獲取目標設備的安全基線配置信息，實現安全基線核查的自動化，解決了使用人工核查效率低、專業程度要求高、存在誤操作導致業務故障等問題。對現有內網核心應用運行承載環境進行安全基線合規配置的管理與統計分析，實現安全基線配置信息可視化，解決了煙草企業對安全基線合規的集中化、可視化管控問題。將安全檢測系統固化至專用U 盤中，實現一鍵運行安全檢測功能，做到快捷訪問、快捷檢測、快速生成報告，有效解決了現階段煙草企業安全基線核查工作中存在的核查效率低、核查難度大、核查整改難度大等問題。研究并建立了煙草企業配置基線安全威脅隱患的整改、追溯、查詢，及時掌握整體網絡安全合規趨勢等問題的方式方法。基于此，本文提出基于PDCA 的移動基線安全配置脆弱性核查方法設計。

1 移動基線安全配置脆弱性核查難點

當前基線配置核查管理的難點包括：費時低效，主要表現為檢查1000 臺設備，需要1 個專業人員40 天才能完成；標準不統一；不能定時檢查；采取抽查的方式，無法覆蓋全網設備；涉事資產是否整改，無法回歸驗證，無法建立有效的閉環管理機制。針對現階段移動基線安全配置脆弱性核查難點，本文將PDCA，應用在移動基線安全配置脆弱性核查方法設計中。基于PDCA 的移動基線安全配置脆弱性核查創新點，如下文所述。

2 基于PDCA的移動基線安全配置脆弱性核查創新點

2.1 構建基于PDCA配置脆弱性移動核查管理方法

通過對PDCA(計劃、執行、檢查、修正)成熟體系的運用，設計了安全基線的檢查、核實、整改、復查的閉環管理方法，實現了安全基線核查管理的自動化、標準化、便攜化、持續化、可視化。

2.2 安全配置核查策略標準固化及配置核查策略自定義

按照國家、煙草行業相關文件的指導和要求，將主流操作系統設備的安全基線配置基線標準固化，并利用強大的自動探測技術，對操作系統及版本信息通過多協議的自動組合完成對設備的全方位檢查，面對越來越多的信息設備種類。

2.3 多渠道配置脆弱性數據的采集、展示

基于多協議支持完成全網覆蓋的定時及周期性自動核查；依據安全配置基線標準進行全面、細粒度的配置檢查與合規對比分析后，直觀、準確反映信息設備安全配置的整體狀況，為安全運營提供有力的技術支撐。

3 基于PDCA的移動基線安全配置脆弱性核查方法

本文基于PDCA 設計移動基線安全配置脆弱性核查方法包括：采集信息庫、合規結果庫、標準策略庫、數據分析對比模塊及展示模塊[1-2]。標準策略庫包括對各類設備的核查標準，根據銅仁卷煙廠基線合規相關要求建立的配置標準。基于PDCA 的移動基線安全配置脆弱性核查架構示意圖，如圖1 所示。

如圖1 所示，安全檢測可視化平臺分為共分為四層架構設計。對Windows、Linux、Unix、中標麒麟等系統數據源進行數據采集[3-4]。存儲層主要是將采集的數據和數據處理分析后的數據進行存儲，主要包括：采集信息庫、合規結果庫、CheckList 信息等。數據處理層，對采集的數據進行分析，形成有價值的合規分析結果。展示層則是以監測報告的形式，讓數據以更直觀的方式呈現在用戶面前。

圖1：基于PDCA 的移動基線安全配置脆弱性核查架構

3.1 自動采集移動基線安全配置脆弱性檢測數據

移動基線安全檢測系統的數據采集不僅涵蓋了傳統設備安全基線合規信息的采集，并且依據實際生產環境的不同，承載業務的重要性[5]。應用系統的特殊性制定了不同的核查方式，自動采集移動基線安全配置脆弱性檢測項目，如圖2 所示。

圖2：自動采集移動基線安全配置脆弱性檢測項目

結合圖2 所示，檢查項及固化工作后，系統能夠實現編寫、靈活的方式，對信息資產的配置脆弱性信息自動采集與分析。

3.2 可視化展現移動基線安全配置

移動基線安全檢測系統可視化展現在不影響現有系統穩定運行的基礎上，實現工控系統上位機及服務器設備全面、細粒度的配置檢查與合規對比分析、提供詳盡的加固方案；通過配置脆弱性的直觀展現，動態反映工控系統上位機及服務器的整體安全狀況[6-7]。報告提供對采集命令審計和采集原始結果審計：其具體內容包括：用戶依據原始結果中的采集腳本，可以了解采集過程中，基線服務器對被掃描設備操作情況，是否對本掃描設備部署的應用具有威脅性。用戶依據原始結果中的采集結果，可以了解該安全項對應被掃描設備的具體配置情況，不需要重新登錄到被掃描設備，人工查看配置信息。采集命令和結果，易于幫助用戶排錯和整改。以此，實現基于PDCA 的移動基線安全配置脆弱性核查。

4 實例分析

4.1 實驗準備

設計實例分析，驗證本文設計核查方法在實際的應用中的作用。實例分析地點選取銅仁卷煙廠，實驗內容為核查移動基線安全配置脆弱性。首先，使用本文基于PDCA 設計核查方法核查移動基線安全配置脆弱性，通過MATALB 軟件測試其核查查準率，并記錄，將其設為實驗組；再使用傳統核查方法核查移動基線安全配置脆弱性，同樣通過MATALB 軟件其核查查準率，并記錄，將其設為對照組。由此可見，本次實驗主要內容為測試兩種核查方法的核查查準率，核查查準率越高證明該核查方法的核查精度越高。通過10次對比實驗，針對實驗測得的核查查準率，記錄實驗數據。

4.2 實驗結果與分析

經過本項目在銅仁卷煙廠實施后，成功覆蓋銅仁卷煙廠現有的虛擬服務器硬件8 臺、虛擬服務器38 臺，包括自建信息系統8 個、工控系統6 個；做到了現有IT 資產全覆蓋，通過定期開展移動基線配置核查工作，保障了現有業務環境的安全穩定運行，提升了銅仁卷煙廠網絡安全總體防護水平。根據實驗結果得出的核查查準率，具體結果如表1 所示。

表1：實驗組與對照組實驗結果對比

從表1 中的數據結果可以看出，本文基于PDCA 設計核查方法核查查準率明顯高于對照組。通過標準的指導和實踐的驗證，探索如何在安全技術架構逐漸部署的前提下，更好地保障企業業務系統的安全。技術角度規范IT 設備的安全配置策略，從管理角度加強技術的落地和推廣。本課題運用了技術和管理相結合的實踐方式，充分考慮了銅仁卷煙廠乃至煙草行業業務系統的實際情況，正是這種從實際出發的技術實踐最終得到了顯著的效果，使本課題具備可操作、可落地、可推廣的優勢。

5 結束語

本文通過實例分析的方式，證明了基于PDCA 設計移動基線安全配置脆弱性核查方法在實際應用中的適用性，以此為依據，證明此次優化設計的必要性。因此，有理由相信通過本文設計，能夠解決傳統移動基線安全配置脆弱性核查中存在的缺陷。與此同時，還需要對移動基線的優化設計提出深入研究，以此為提高移動基線安全配置提供建議。