BVS產(chǎn)品使用與排錯(cuò)

BVS產(chǎn)品使用與排錯(cuò)1BVS工作原理3BVS常見問(wèn)題處理2BVS產(chǎn)品使用BVS—安全配置核查一、設(shè)備解釋：BVS是用來(lái)對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)的配置（安全方面）進(jìn)行自動(dòng)化檢查的工具。具備完善的安全配置庫(kù)（該知識(shí)庫(kù)涵蓋了WINDOWS、LINUX等操作系統(tǒng)，CISCO、H3C等網(wǎng)絡(luò)設(shè)備，ORACLE、SQLSERVER等數(shù)據(jù)庫(kù)，中間件等多類設(shè)備及系統(tǒng)的安全配置加固建議），可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)設(shè)備自動(dòng)化的安全配置檢測(cè)、分析，并提供專業(yè)的安全配置建議與合規(guī)性報(bào)表。二、主要功能：①CISCO、H3C等網(wǎng)絡(luò)設(shè)備配置的基準(zhǔn)核查②WINDOWS、LINUX等操作系統(tǒng)的基準(zhǔn)核查③ORACLE、SQLSERVER、DB2、SYBASE等數(shù)據(jù)庫(kù)及中間件的基準(zhǔn)核查全稱：BenchmarkVerificationSystem——安全配置核查系統(tǒng)（基線核實(shí)系統(tǒng)）廠家：北京綠盟設(shè)備功能要求規(guī)范規(guī)定了適用范圍內(nèi)設(shè)備必須滿足的最低安全功能要求和推薦（可選）滿足的安全功能要求。功能要求內(nèi)容和具體廠家產(chǎn)品無(wú)關(guān)設(shè)備配置要求規(guī)范規(guī)定了適用范圍內(nèi)設(shè)備最低安全配置要求和推薦（可選）采用的安全配置要求規(guī)范應(yīng)用設(shè)備入網(wǎng)：保證新設(shè)備達(dá)到功能要求工程驗(yàn)收：保證驗(yàn)收上線的設(shè)備符合配置要求日常維護(hù)：保證在網(wǎng)設(shè)備持續(xù)符合配置要求設(shè)備需求配置安全評(píng)估的應(yīng)用特點(diǎn)配置安全評(píng)估是否可以自動(dòng)化快速高效執(zhí)行？是否可以從設(shè)備入網(wǎng)、工程驗(yàn)收、運(yùn)行維護(hù)等全生命周期落實(shí)規(guī)范?是否有統(tǒng)一的安全檢測(cè)標(biāo)準(zhǔn)？安全（基線）核查內(nèi)容（范圍）賬號(hào)口令授權(quán)日志IP其他{按用戶分配帳號(hào)、賬號(hào)鎖定、限制遠(yuǎn)程登錄}{主要針對(duì)靜態(tài)口令，口令復(fù)雜性，生存期、歷史口令、口令修改、口令存放等方面的內(nèi)容}{授權(quán)分級(jí)，對(duì)文件和表支持讀、寫、執(zhí)行的權(quán)限}{記錄登錄、操作日志，遠(yuǎn)程日志}{查詢功能、過(guò)濾功能}{鎖屏、補(bǔ)丁、consol口保護(hù)}檢查范圍賬號(hào)口令授權(quán)日志IP其他互聯(lián)網(wǎng)/數(shù)據(jù)業(yè)務(wù)城域網(wǎng)數(shù)據(jù)業(yè)務(wù)互聯(lián)網(wǎng)

業(yè)務(wù)支撐系統(tǒng)運(yùn)營(yíng)支撐系統(tǒng)

管理支撐系統(tǒng)BVS

IDCBVS（安全配置核查系統(tǒng)）做什么用的？BVS是什么？安全加固，合規(guī)檢查不同的行業(yè)模板檢查依據(jù)不一樣：客戶自己的安全基線規(guī)范中國(guó)移動(dòng)網(wǎng)絡(luò)部，管信部，中國(guó)電信綠盟科技——公司多年的安全經(jīng)驗(yàn)從行業(yè)規(guī)范到行業(yè)模板檢查依據(jù)是什么？checklist基本思想獲取配置展示結(jié)果在線獲取登錄目標(biāo)系統(tǒng)上傳核查腳本至目標(biāo)遠(yuǎn)程執(zhí)行腳本，生成配置結(jié)果文件下載配置結(jié)果文件離線獲取目標(biāo)系統(tǒng)手動(dòng)執(zhí)行核查腳本，生成配置結(jié)果文件上傳配置結(jié)果文件至BVS收集目標(biāo)相關(guān)配置信息，手動(dòng)生成配置結(jié)果文件上傳配置結(jié)果文件至BVSOR1BVS工作原理3BVS常見問(wèn)題處處理2BVS產(chǎn)品使用1BVS工作原理3BVS常見問(wèn)題處處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報(bào)表分析d模板管理e其他相關(guān)系統(tǒng)配置StepI:以u(píng)ser賬戶登錄（（默認(rèn)user/nsfocus）StepII:新建任務(wù)1BVS工作原理3BVS常見問(wèn)題處處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報(bào)表分析d模板管理e其他相關(guān)在線檢查行業(yè)類型：：證書授權(quán)的的行業(yè)模板板創(chuàng)建空任務(wù)務(wù)：離線導(dǎo)入結(jié)結(jié)果時(shí)使用用在線添加主主機(jī)設(shè)備類型：：主機(jī)系統(tǒng)或或網(wǎng)絡(luò)設(shè)備行業(yè)類型：：選擇相應(yīng)白白名單配置置，可不選選，默認(rèn)白白名單為空空登錄協(xié)議：：需要正確選選擇，協(xié)議議并未和模模板掛鉤，，如window模板只能使使用SMB主機(jī)跳轉(zhuǎn)：：如需要主機(jī)機(jī)跳轉(zhuǎn)方可可到達(dá)目標(biāo)標(biāo)，可配置置主機(jī)跳轉(zhuǎn)轉(zhuǎn)1）在同一個(gè)個(gè)任務(wù)中，，可以為每每一個(gè)掃描描目標(biāo)單獨(dú)獨(dú)設(shè)置跳轉(zhuǎn)轉(zhuǎn)主機(jī)。2）登錄協(xié)議議為SMB時(shí)，不能使使用跳轉(zhuǎn)主主機(jī)。模板選擇：：一臺(tái)主機(jī)可可以對(duì)應(yīng)多多個(gè)模板白名單白名單規(guī)則則：每一組（業(yè)務(wù)平臺(tái)+業(yè)務(wù)系統(tǒng)+系統(tǒng)模版）對(duì)應(yīng)一張張系統(tǒng)模版版白名單；；

該白名名單可以包包括允許開開放的端口口和運(yùn)行的的進(jìn)程列表表；

若掃掃描結(jié)果中中的端口或或者進(jìn)程不不在該白名名單中，背背景色為紅紅色。Excel添加主機(jī)機(jī)Excel添加主機(jī)機(jī)（續(xù)）Excel添加主機(jī)機(jī)（續(xù)）導(dǎo)入：各模板參數(shù)數(shù)說(shuō)明詳細(xì)說(shuō)明參參見《用戶戶手冊(cè)》表表5.2添添加掃描描目標(biāo)參數(shù)數(shù)說(shuō)明離線檢查腳腳本獲取方方法不同的行業(yè)業(yè)模板，同同樣基線的的離線檢查查腳本不同同定制設(shè)備的的全部腳本本下載請(qǐng)參參見wiki詞條：BVS主機(jī)配置信信息收集腳腳本如何使使用？Windows：認(rèn)真閱讀readme執(zhí)行.vbs文件（vista以后的版本本建議用管理員身份份執(zhí)行cmd后運(yùn)行相關(guān)關(guān).vbs文件）結(jié)果文件存存在于當(dāng)前前目錄下離線檢查腳腳本執(zhí)行方方法Linux/Unix：認(rèn)真閱讀readme賦予.sh文件可執(zhí)行權(quán)限限，執(zhí)行.sh文件結(jié)果文件存存在于/tmp/下離線檢查方方法-網(wǎng)絡(luò)絡(luò)設(shè)備華為和思科科的交換機(jī)機(jī)路由器，，僅限需要填表版本除外在目標(biāo)設(shè)備備上直接使使用showrun/displaycurrent命令獲取全全部配置信信息，復(fù)制制在txt文檔中即可可最后結(jié)果中中顯示的目目標(biāo)設(shè)備ip與實(shí)際不符符？若客戶希望望在結(jié)果中中顯示正確確的目標(biāo)設(shè)設(shè)備ip，可將該ip添加在txt文檔的第一一行。華為，思科科交換機(jī)離離線檢查方方法離線檢查1BVS工作原理3BVS常見問(wèn)題處處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報(bào)表分析d模板管理e其他相關(guān)任務(wù)參數(shù)綜述報(bào)表安全評(píng)估分分：模板評(píng)估分分—((各檢查項(xiàng)得得分累計(jì)/模板各檢查查項(xiàng)的總分分)*100)主機(jī)評(píng)估分分—(各模板評(píng)估估分累計(jì)/模板數(shù)量)任務(wù)評(píng)估分分—(各主機(jī)評(píng)估估分累計(jì)/主機(jī)數(shù)量)平均符合度度：模板符合度度—((通過(guò)的檢查查項(xiàng)數(shù)量/檢查項(xiàng)總數(shù)數(shù))*100%)主機(jī)符合度度—(各模板符合合度累計(jì)/模板數(shù)量)任務(wù)符合度度—(各主機(jī)符合合度累計(jì)/主機(jī)數(shù)量)主機(jī)報(bào)表1BVS工作原理3BVS常見問(wèn)題處處理2BVS產(chǎn)品使用a快速使用b創(chuàng)建任務(wù)c報(bào)表分析d模板管理e其他相關(guān)模板介紹系統(tǒng)模板用戶模板證書與模板板行業(yè)模板：：授權(quán)根據(jù)不不同行業(yè)的的規(guī)范發(fā)布布的標(biāo)準(zhǔn)模模板，不同同的行業(yè)模模板檢查方方式也不同同增值模板：：授權(quán)可以使使用的標(biāo)準(zhǔn)準(zhǔn)模板模板編號(hào)—UUID，各個(gè)模板板的唯一標(biāo)標(biāo)識(shí)新建用戶模模板admin管理員可以以手動(dòng)新建建兩種類型型的用戶模模板，即：：WIN類型模板和和UNIX類型模板，，不同類型型的用戶模模板中可應(yīng)應(yīng)用的檢查查方法略有有不同。具體請(qǐng)參考考“自定義義模板使用用方法.pptx”用戶自定義義腳本--離線腳本本手工生成成1BVS工作作原原理理3BVS常見見問(wèn)問(wèn)題題處處理理2BVS產(chǎn)品品使使用用a快速速使使用用b創(chuàng)建建任任務(wù)務(wù)c報(bào)表表分分析析d模板板管管理理e其他他相相關(guān)關(guān)控制制臺(tái)臺(tái)登登陸陸波特特率率：：115200默認(rèn)認(rèn)用用戶戶名名是是conadmin，默默認(rèn)認(rèn)密密碼碼是是nsfocus產(chǎn)品品型型號(hào)號(hào)與與規(guī)規(guī)格格系統(tǒng)統(tǒng)管管理理用戶戶管管理理常用用診診斷斷工工具具oracle登陸陸的的命命令令：：sqlplususername/passwd二次次開開發(fā)發(fā)接接口口<formname="bvs"action="https://IP/httpRpc/develop?user=user&password=nsfocus00"method="post">data:<textareaname="data"cols=120rows=6><Aurora><Product><Code>1</Code><Version></Version></Product><Identitytype="UserPass"><User>user</User><Pass>nsfocus00</Pass></Identity><Action><Name>GetSystemInfo</Name><Data></Data></Action></Aurora></textarea><br/><inputtype="submit"value="Submit"></form>1BVS工作作原原理理3BVS常見見問(wèn)問(wèn)題題處處理理2BVS產(chǎn)品品使使用用掃描描沒沒有有結(jié)結(jié)果果？？？？Windows系系統(tǒng)統(tǒng)掃掃描描失失敗??？？？？離線線掃掃描描執(zhí)執(zhí)行行出出錯(cuò)錯(cuò)？？？？Xml結(jié)結(jié)果果導(dǎo)導(dǎo)入入報(bào)報(bào)錯(cuò)錯(cuò)/無(wú)無(wú)效效？？？？………常見見問(wèn)問(wèn)題題掃描描沒沒有有結(jié)結(jié)果果？？登錄目標(biāo)系統(tǒng)上傳腳本執(zhí)行腳本獲取結(jié)果是否否登登錄錄失失敗??？？是否否有有可可讀讀可可寫寫權(quán)權(quán)限限？？是否否執(zhí)執(zhí)行行結(jié)結(jié)果果有有問(wèn)問(wèn)題題？？登錄方式和端端口是否正確確？用戶名和密碼碼是否正確？？—————————————————SMB：使用\\ip\C$驗(yàn)證telnet/ssh:用“診斷工具具”驗(yàn)證是否root或管理員權(quán)限限?———————————-netshareC$目標(biāo)系統(tǒng)運(yùn)行行“離線腳本本”是否正常常？結(jié)果文件導(dǎo)入入設(shè)備是否正正常？—————————————————收集報(bào)錯(cuò)信息息查看結(jié)果文檔檔標(biāo)簽是否完完整閉合,是否有亂碼？？掃描原理C$是否具有可讀讀可寫權(quán)限網(wǎng)絡(luò)訪問(wèn)安全全設(shè)置（gpedit.msc）相關(guān)wiki：BVS檢查windows系統(tǒng)失敗可能能的原因如何查看和修修改windows共享的讀寫權(quán)權(quán)限Windows系統(tǒng)掃描描失?。渴欠駟?dòng)server服務(wù)（139和445是否已經(jīng)開啟啟）是否有防火墻墻阻斷139和445端口是否開放C$默認(rèn)共享（C$）驗(yàn)證：開始—運(yùn)行---\\IP\C$（如：\\56\C$）登錄成功后請(qǐng)請(qǐng)新建一個(gè)文文件，然后刪刪除文件，保保證可寫權(quán)限限離線腳本執(zhí)行行出錯(cuò)？Windows環(huán)境是否“使用管管理員身份運(yùn)運(yùn)行”cmd文件，在腳本本當(dāng)前目錄執(zhí)執(zhí)行腳本？（vista以后）Unix環(huán)境首先執(zhí)行perl-V（判斷目標(biāo)服服務(wù)器是否安安裝了perl環(huán)境，如果沒沒有perl環(huán)境則不能腳腳本）打開檢查工具具中的shell腳本，例如：：hpux_chk.sh拷貝最后一行行：perl./hpux_chk.pl--uuid86c221be-6ab2-ef53-1589-fe16877914f1--ip${1}將${1}替換成實(shí)際IP地址執(zhí)行即可可。例如：perl./hpux_chk.pl--uuid86c221be-6ab2-ef53-1589-fe16877914f1--ip相關(guān)wiki為什么使用BVS本地檢查腳本本，在本地執(zhí)執(zhí)行沒有結(jié)果果？BVSLinux本地掃描腳本本運(yùn)行異常排排錯(cuò)是否是裁剪版版操作系統(tǒng)：：secedit.exe/export/cfga.log（如果是沒有有a.log則說(shuō)明是裁剪剪版環(huán)境，不不能進(jìn)行掃描描）