“基線”，字典上的定義為一種在測量、計(jì)算或定位中的基本參照。

對應(yīng)“木桶理論”來理解，可以認(rèn)為安全基線是安全木桶的最短板，因此，滿足安全基線就是在滿足安全的最低要求。面對信息安全合規(guī)的要求，所有企事業(yè)單位的網(wǎng)絡(luò)安全建設(shè)都需要滿足國家或監(jiān)管單位的“安全標(biāo)準(zhǔn)”，如等保2.0、CIS安全標(biāo)準(zhǔn)、GDPR等等。而“安全標(biāo)準(zhǔn)”就是業(yè)界統(tǒng)稱的“安全基線”。

在技術(shù)進(jìn)步和市場發(fā)展的整合推動(dòng)下，云計(jì)算已被視為下一次科技革命，成為推動(dòng)生產(chǎn)進(jìn)步、創(chuàng)新商業(yè)模式的重要技術(shù)。然而，新體驗(yàn)同時(shí)也意味更加復(fù)雜的安全風(fēng)險(xiǎn)管理以及更加嚴(yán)格的網(wǎng)安合規(guī)建設(shè)。 

在此背景下，結(jié)合自身豐富技術(shù)能力和云主機(jī)實(shí)踐經(jīng)驗(yàn)，亞信安全信艙（DS）—云主機(jī)安全20版本（簡稱DS 20）全面滿足《網(wǎng)絡(luò)安全法》、等保2.0中如基線核查、主機(jī)加固、安全審計(jì)、惡意代碼檢測、Web防護(hù)等方面的措施要求，形成了完整的云主機(jī)安全解決方案。其中的“安全基線”模塊，更為云服務(wù)客戶提供快速的、完整的、合規(guī)的安全管理能力。

安全基線工作涵蓋的三要素

完整的安全基線內(nèi)容主要由三方面必須滿足的最低要求組成：系統(tǒng)存在的安全漏洞、系統(tǒng)配置的脆弱性、系統(tǒng)狀態(tài)的監(jiān)控。安全基線通過安全合規(guī)管理機(jī)制判斷用戶的應(yīng)用環(huán)境安全是否達(dá)標(biāo)，提供一個(gè)信息系統(tǒng)所需的最基本的安全保證。

【Linux及Windows系統(tǒng)基線掃描項(xiàng)目】

1．安全漏洞：漏洞通常是由于軟件或協(xié)議等系統(tǒng)自身存在缺陷引起的安全風(fēng)險(xiǎn)，如系統(tǒng)登錄漏洞、拒絕服務(wù)漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、惡意代碼執(zhí)行等，反映了系統(tǒng)自身的安全脆弱性；

2．系統(tǒng)配置：通常都是由于人為的疏忽造成，主要包括了賬號(hào)、口令、授權(quán)、日志、IP協(xié)議等方面的配置要求，配置不當(dāng)導(dǎo)致系統(tǒng)存在安全風(fēng)險(xiǎn)；

3．系統(tǒng)狀態(tài)：包含系統(tǒng)端口狀態(tài)、進(jìn)程、賬號(hào)、服務(wù)以及重要文件的變化。這些信息反映了系統(tǒng)當(dāng)前所處環(huán)境的動(dòng)態(tài)安全狀況，存在的安全隱患將威脅系統(tǒng)運(yùn)行安全。

基線配置不能采用“人肉策略”

合法合規(guī)之下，避免不了對云資源進(jìn)行審計(jì)和基線部署，但管理員往往需要花費(fèi)大量的時(shí)間去檢查資源是否滿足安全合規(guī)性、是否符合監(jiān)管要求、是否遵循安全配置等等。不過，安全基線配置并不簡單，尤其是在大量虛擬主機(jī)共生的云端環(huán)境，如果采用人拉肩扛的方式，基線管理極易出現(xiàn)紕漏，直接就會(huì)造成主機(jī)加固失效，系統(tǒng)攻擊面沒有收斂，太多暴露在外的風(fēng)險(xiǎn)點(diǎn)將會(huì)被黑客利用。例如： 

1．需要運(yùn)維人員編寫大量的安全基線腳本，而且完全依賴于運(yùn)維人員的安全知識(shí)面；

2．基線檢測工作不容易進(jìn)行標(biāo)準(zhǔn)化，檢測效率低；

3．基線檢測工作涉及檢測范圍廣，容易造成疏漏，導(dǎo)致系統(tǒng)存在安全隱患。

如何部署高效、有效的安全基線

合規(guī)標(biāo)準(zhǔn)讓運(yùn)維人員有了檢查默認(rèn)風(fēng)險(xiǎn)的標(biāo)桿，但是面對網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的設(shè)備和軟件，如何快速、有效地檢查設(shè)備，又如何集中地收集核查的結(jié)果，以及制作風(fēng)險(xiǎn)審核報(bào)告，最終識(shí)別那些與安全規(guī)范不符合的項(xiàng)目，以達(dá)到整改合規(guī)的要求，這些是網(wǎng)絡(luò)安全運(yùn)維人員面臨的新的難題。因此，“自動(dòng)化”的安全基線將是幫助用戶滿足等保、以及“行規(guī)”的最佳助手。 

亞信安全云主機(jī)安全產(chǎn)品能以自動(dòng)化模式進(jìn)一步簡化云端安全負(fù)載管理工作，其安全基線、彈性防護(hù)、自動(dòng)化編排等特性，可以實(shí)現(xiàn)在安全部署中無需要重啟云主機(jī)、任意新增云主機(jī)、自動(dòng)化獲取群集安全防護(hù)策略、遷移自動(dòng)部署安全策略等流程自動(dòng)化管理，極大地提高新業(yè)務(wù)實(shí)施效率。

1. 以等保為基礎(chǔ)，提供覆蓋各類應(yīng)用的安全基線模板
亞信安全云主機(jī)安全產(chǎn)品提供了大量滿足等級(jí)保護(hù)、不同級(jí)別基準(zhǔn)要求的模板，涵蓋多個(gè)版本的主流操作系統(tǒng)、國產(chǎn)化平臺(tái)、Web應(yīng)用、數(shù)據(jù)庫等。利用這些基線內(nèi)容，用戶通過一鍵批量創(chuàng)建基線任務(wù)，快速進(jìn)行企業(yè)內(nèi)部風(fēng)險(xiǎn)自測，發(fā)現(xiàn)問題并及時(shí)修復(fù)，以滿足監(jiān)管部門要求的安全條件。

2.與資產(chǎn)清點(diǎn)和云主機(jī)加固聯(lián)動(dòng)
亞信安全云主機(jī)安全產(chǎn)品提供了云主機(jī)資產(chǎn)自動(dòng)化盤點(diǎn)，管理員可在此基礎(chǔ)上實(shí)現(xiàn)等保定級(jí)跟蹤，并根據(jù)所選服務(wù)器的操作系統(tǒng)、軟件應(yīng)用等信息，自動(dòng)篩選出該服務(wù)器上需要檢查的系統(tǒng)、應(yīng)用基線，進(jìn)而制定出云主機(jī)安全加固模板，迅速實(shí)現(xiàn)云端安全基線的一致化。
3．行業(yè)化、場景化的安全基線部署能力
企業(yè)可根據(jù)所處行業(yè)要求，結(jié)合實(shí)際的使用場景（內(nèi)外網(wǎng)），自行定義基線的檢查項(xiàng)，如定義檢查閾值、自定義檢查目錄、自定義檢查結(jié)果展現(xiàn)模板、自定義檢查項(xiàng)整改方案等，以滿足企業(yè)多樣化的內(nèi)部監(jiān)管要求。

隨著等級(jí)保護(hù)2.0的持續(xù)深化推進(jìn)，建立一套行之有效的安全基線能力是安全管理人員面臨的當(dāng)務(wù)之急。亞信安全云主機(jī)安全產(chǎn)品依據(jù)國家《GBT 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》規(guī)范，將技術(shù)標(biāo)準(zhǔn)落實(shí)到了每一種應(yīng)用的配置檢查工作上，實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)資產(chǎn)進(jìn)行等保定級(jí)跟蹤，并根據(jù)資產(chǎn)定級(jí)自動(dòng)進(jìn)行對應(yīng)級(jí)別的安全配置檢查，對合規(guī)情況出具等保符合性報(bào)告，保證系統(tǒng)建設(shè)符合等保要求，輔助企業(yè)安全運(yùn)維人員高效執(zhí)行等級(jí)保護(hù)自查工作。