基线与基线检查

一、什么是基线

二、安全基线与配置核查

三、常见安全配置问题

四、配置检查目的

五、配置检查标准

六、基线检查标准

七、安全基线与漏扫的异同

相同点

不同点

八、安全基线体系

九、安全配置核查关注什么

口令策略

文件权限

用户账户

系统服务

认证授权

网络通信

日志审计

十、安全基线检查的技术方法

自动化工具及脚本

人工检查checklist

一、什么是基线

基线指操作系统、数据库及中间件的安全实践及合规检查的配置红线，包括弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置检查。

二、安全基线与配置核查

安全基线：是保持信息系统安全的机密性、完整性、可用性的最小安全控制，是系统的最小安全保证，最基本的安全要求。

配置核查：是业务系统及所属设备在特定时期内，根据自身需求、部署环境和承载业务要求应满足的基本安全配置要求合集。

三、常见安全配置问题

重要服务器系统存在弱口令账户，被恶意用户轻松突破。
发生安全问题，却由于缺乏有效的日志记录而无法溯源。
设备类型太多，不知道什么样的配置是安全的。
操作系统、应用系统版本漏洞未及时修补，可被远程利用。
访问控制设置不严格，为恶意用户提供了可乘之机。
设备基础安全配置不够，如开放无用端口、口令安全。
网络设备多，新系统建设多，安全配置无法跟上要求，手工更加无法完成。

四、配置检查目的

配置检测服务的目的是找出信息系统的主机、网络设备、安全设备、数据库等资产的配置错误及弱点信息，并及时进行威胁消除，以免这些配置错误被攻击者利用，给业务系统带来危害。

五、配置检查标准

GBT 18018-2007 信息安全技术路由器安全技术要求
GBT 21050-2007 信息安全技术网络交换机安全技术要求（评估保证级3）
GBT 21028-2007 信息安全技术服务器安全技术要求
GBT 20272-2006 信息安全技术操作系统安全技术要求
GBT 20273-2006 信息安全技术数据库管理系统安全技术要求
GBT 20281-2006 信息安全技术防火墙技术要求和测试评价方法
GBT 20278-2006 信息安全技术网络脆弱性扫描产品技术要求
GBT 20280-2006 信息安全技术网络脆弱性扫描产品测试评价方法

六、基线检查标准

GBT 20270-2006 信息安全技术网络基础安全技术要求
GBT 20279-2006 信息安全技术网络和终端设备隔离部件安全技术要求
GBT 20275-2006 信息安全技术入侵检测系统技术要求和测试评价方法
GBT 20945-2007 信息安全技术信息系统安全审计产品技术要求和测试评价方法
GBT 20519-2006 信息安全技术公钥基础设施特定权限管理中心技术规范
GBT 20009-2005 信息安全技术数据库管理系统安全评估准则
GBT 20271-2006 信息安全技术信息系统安全通用技术要求

七、安全基线与漏扫的异同

相同点

同属于扫描类产品，同属主动安全范畴，主动安全的核心是弱点管理，弱点有两类:

漏洞：系统自身固有的安全问题，软硬件BUG。
配置缺陷：也叫暴露，一般是配置方面的错误，并会被攻击者利用。

不同点

来源不同

漏洞：系统自身固有的安全问题，软硬件BUG，是供应商的技术问题，用户是无法控制的，与生俱来的。
配置缺陷∶配置是客户自身的管理问题，配置不当，主要包括账号、口令、授权、日志、IP通信等方面内容。

八、安全基线体系

（1）检测范围 :检测范围包括操作系统、网络设备、数据库、中间件等多类设备及系统。

（2）检测内容 :检测的内容主要集中在设备账号管理、口令管理、认证授权、日志配置、进程服务、外部端口等几个方面，覆盖了与安全问题相关的各个层面。

（3）检测流程安全基线体系的实施过程可分为计划准备、现场实施、分析报告、服务验收四个阶段。