何为SCA？听听一枚产品汪的纯干货分享

一些管理者意识到了安全配置核查的重要性，开始用人工的方式逐一设备登录进行检查，以减少这类问题。绿盟科技也为其提供了相应的安全配置检查服务，并从中积累了大量经验；但是面对大量的IT系统，这种检查方式需要的人力成本很高，失误风险也极大。因此，在2008年，绿盟科技为某运营商客户编写了自动化安全检查工具，在使用中获得了客户的高度评价，在移动行业迅速推广开来，形成了今天的绿盟安全配置核查产品——NSFOCUS BVS。

这十年来，NSFOCUS BVS不仅通过了测评机构的资质认证，还根据国家信息安全等级保护管理办法中等级保护定级、系统建设、等级测评、监督检查各个环节的要求，推出了绿盟科技等保专用规范，完善了产品操作功能，保障等级保护工作高效准确执行，并且根据2018年推出的等级保护2.0做了同步更新。在此基础上，绿盟科技深耕不同行业，积累实践了多个行业的安全配置经验，拥有完善的安全配置知识库，覆盖政府、金融、能源、运营商、互联网等大型企业，能全面的指导 IT 信息系统的安全配置及加固工作，保障安全运维过程。

NSFOCUS BVS 通过自动化的进行安全配置检查，从而节省传统的手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险，同时能够出具详细的检测报告。它可以大大提高您检查结果的准确性和合规性，节省您的时间成本，让检查工作变得简单，是您身边专业的“安全配置专家”。

NSFOCUS BVS 采用模块化设计，内部整体工作架构如下图所示。

五 、总结

SCA的介绍告一段落了，是不是对其有了一个全面的了解，同时，小妹在最后还是要送给大家一些干货。以下是我收集的近几年因为SCA问题引起的重大安全事件，分享给大家：

1.2017年，美国工业关键基础设施数据泄露

德州电气工程公司的Rsync服务器由于配置错误（一个端口配置为互联网公开），大量客户机密文件泄露，包括戴尔Dell、奥斯丁城City of Austin、甲骨文Oracle以及德州仪器Texas Instruments等等。泄露的数据除了暴露出客户电气系统的薄弱环节和故障点外，还揭露了政府运营的绝密情报传输区的具体位置和配置。更危险的是，PQE内部密码被明文保存在文件夹中，如果落入不法分子之手，就能轻易攻破公司的多个系统。

2.2016年, MBS数据泄露

知名数据库及数据存储服务提供商MBS，遭到黑客攻击。其MongoDB数据库由于默认配置,没有启用认证，导致5800万商业用户的重要信息泄露，包括名称、IP地址、邮件账号、职业、车辆数据、出生日期等信息。

3.2014年,某在线票务公司数据泄露

某在线票务公司大量用户银行卡信息泄露。泄露核心原因是安全支付的日志配置所引发,并且触发了遍历下载。

根据OWASP的2017年报数据显示,安全事件Top10当中,安全配置问题排在了第六的位置，再一次强调了它的重要性。

资料来源：OWASP（2017年）

最最最后还是要总结一下：

安全配置合规性要求，是 IT 业务系统安全性的基本安全要求，对各行各业安全规范要求的落地、对等级保护要求的具体化，建立行之有效的检测手段是安全管理人员面临的最为重要和迫切的问题，也需要安全厂商积极提供自动化的解决方案，帮助运维人员面对网络中种类繁杂、数量众多的设备和软件环境，快速、有效的检查设备，进行自动化的安全检查，制作风险审核报告，并且最终识别那些与安全规范不符合的项目，以达到整改合规的要求。

通过对SCA的详细了解，不禁要为SCA疯狂打call。简单粗暴的一句总结：把基础做好才是真的好。也欢迎大家和我讨论SCA相关问题，我们下一篇再会。

（编辑：东莞站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!