【51CTO.com 綜合消息】隨著系統(tǒng)規(guī)模日益擴(kuò)大，支撐金融機(jī)構(gòu)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)也變得越來(lái)越復(fù)雜。其中，重要應(yīng)用和服務(wù)器的數(shù)量及種類日益增多，一旦發(fā)生維護(hù)人員誤操作，或者采用一成不變的初始系統(tǒng)設(shè)置而忽略了對(duì)于安全控制的要求，就可能會(huì)極大的影響系統(tǒng)的正常運(yùn)轉(zhuǎn)。因此，針對(duì)金融行業(yè)的業(yè)務(wù)系統(tǒng)建立安全檢查點(diǎn)與操作指南的安全基線規(guī)范，則成為保障信息系統(tǒng)安全運(yùn)行的首要步驟。

所謂安全基線規(guī)范，是為了確保通信網(wǎng)絡(luò)上的相關(guān)設(shè)備達(dá)到最基本的防護(hù)能力要求而制定的一系列達(dá)標(biāo)基準(zhǔn)，是一套統(tǒng)一的安全設(shè)置指標(biāo)。業(yè)務(wù)系統(tǒng)的下層支撐體系幾乎涵蓋了包括操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、中間件在內(nèi)的所有類型的設(shè)備與系統(tǒng)。為保證業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行，需要在業(yè)務(wù)系統(tǒng)整個(gè)生命周期的各個(gè)環(huán)節(jié)，對(duì)上述設(shè)備與系統(tǒng)的安全配置進(jìn)行檢查。這些環(huán)節(jié)包括設(shè)備入網(wǎng)、業(yè)務(wù)上線、日常運(yùn)維、定期巡檢和設(shè)備下線等。安全基線規(guī)范將形成針對(duì)不同設(shè)備與系統(tǒng)的詳細(xì)檢查表格和操作指南，為標(biāo)準(zhǔn)化的技術(shù)安全操作提供了框架和標(biāo)準(zhǔn)。

通過(guò)采用統(tǒng)一的安全基線規(guī)范來(lái)指導(dǎo)技術(shù)人員在各類系統(tǒng)上的日常運(yùn)維操作，讓運(yùn)維人員有了檢查默認(rèn)風(fēng)險(xiǎn)的標(biāo)準(zhǔn)，但是面對(duì)信息系統(tǒng)中種類繁雜、數(shù)量眾多的設(shè)備與系統(tǒng)，真正完成合規(guī)性的系統(tǒng)配置檢查和修復(fù)，卻成為一個(gè)費(fèi)時(shí)費(fèi)力的事情，且對(duì)檢查人員的技能和經(jīng)驗(yàn)要求較高。使用能夠輔助安全檢查與自評(píng)估的高效、自動(dòng)且標(biāo)準(zhǔn)化的配置核查工具就很有必要。

在信息系統(tǒng)中建立完整可靠的安全基線技術(shù)體系需要對(duì)安全基線的建立、落實(shí)以及管理的過(guò)程進(jìn)行規(guī)劃，使之成為一個(gè)具備完整定義的、成熟的、可重復(fù)的過(guò)程，在開發(fā)、實(shí)施、運(yùn)行中執(zhí)行此過(guò)程的信息系統(tǒng)才具有較高的安全可信度和可靠性。

安全基線技術(shù)體系涉及面廣、性質(zhì)復(fù)雜，整個(gè)活動(dòng)貫穿于信息系統(tǒng)的全部生命周期，是一個(gè)復(fù)雜的系統(tǒng)工程，需要通過(guò)一種過(guò)程性控制方法來(lái)保證其有效性。

◆建立安全基線的前提

安全基線是一組正式的安全需求規(guī)格。需要經(jīng)過(guò)下面的確認(rèn)程序： 

◆相關(guān)方分析 

◆安全需求的確認(rèn) 

◆安全政策的確認(rèn)

相關(guān)方分析是識(shí)別確定所有的安全相關(guān)者，相關(guān)方要保證安全需要描述的合理、清晰、確定和一致；安全需求包括安全需要、安全風(fēng)險(xiǎn)以及安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略和安全環(huán)境約束等。安全政策的確認(rèn)要保證安全政策滿足安全需求的有效性，即可有效地處置風(fēng)險(xiǎn)、滿足安全需要。安全基線需要企業(yè)或組織的高層面批準(zhǔn)，從而在資源投入及執(zhí)行力度方面得到保障。

◆定義安全基線

定義安全基線是指確定一組正式的安全需求，這些安全需求應(yīng)覆蓋所有的安全目標(biāo)并符合所有相關(guān)的安全政策和法規(guī)等外部因素的限定。包括以下幾個(gè)方面： 

◆確定安全目標(biāo)。安全目標(biāo)是指使用目標(biāo)系統(tǒng)內(nèi)資產(chǎn)時(shí)的安全目標(biāo)以及安全保護(hù)的程度。高層操作安全目標(biāo)將影響到相應(yīng)類別中所有資產(chǎn)的具體安全目標(biāo)，例如“目標(biāo)系統(tǒng)內(nèi)的數(shù)據(jù)在傳輸?shù)侥繕?biāo)系統(tǒng)外時(shí)應(yīng)嚴(yán)格防止泄露”。目標(biāo)系統(tǒng)內(nèi)的每一個(gè)可能向外傳輸?shù)男畔?duì)象應(yīng)基于這個(gè)目標(biāo)制定相應(yīng)的具體目標(biāo)。 

◆確定安全基線涉及的方面。安全目標(biāo)的實(shí)現(xiàn)是安全基線制定的目的，所有的安全目標(biāo)必須有相應(yīng)的安全基線保證。 

◆定義安全基線內(nèi)容。安全基線需按類別逐條加以定義。每條安全基線應(yīng)有目標(biāo)系統(tǒng)范圍內(nèi)唯一的標(biāo)識(shí)，該標(biāo)識(shí)可作為安全基線配置管理庫(kù)中的配置項(xiàng)標(biāo)識(shí)。 

◆匹配安全基線與安全目標(biāo)。安全基線構(gòu)成后，應(yīng)建立安全基線與安全目標(biāo)的關(guān)系?？梢酝ㄟ^(guò)匹配矩陣的形式來(lái)檢查每個(gè)安全目標(biāo)是由哪些安全基線保證的。針對(duì)每一個(gè)安全目標(biāo)，檢查是否安全基線覆蓋了該目標(biāo)的要求。當(dāng)安全目標(biāo)和安全基線數(shù)量較大時(shí)，可按類別用多個(gè)矩陣表示安全目標(biāo)與安全基線的關(guān)系。

◆建立安全基線

信息系統(tǒng)安全基線是一個(gè)信息系統(tǒng)的最小安全保證，是該信息系統(tǒng)需要滿足的基本安全要求。

啟明星辰在研究和業(yè)務(wù)安全相結(jié)合的安全基線規(guī)范體系基礎(chǔ)上，參考國(guó)內(nèi)外的標(biāo)準(zhǔn)、規(guī)范，充分考慮了金融行業(yè)的現(xiàn)狀和行業(yè)***實(shí)踐，繼承和吸收了國(guó)家等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)成果，形成了一套基于業(yè)務(wù)系統(tǒng)的基線安全模型，參見下圖：

建立安全基線首先需要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行識(shí)別和梳理，然后結(jié)合安全基線模型分析業(yè)務(wù)系統(tǒng)的功能架構(gòu)，再將功能架構(gòu)細(xì)化到系統(tǒng)層面的不同模塊。在此基礎(chǔ)上，就是針對(duì)業(yè)務(wù)系統(tǒng)特性，分析可能存在的安全威脅，并將針對(duì)威脅的應(yīng)對(duì)措施逐層分解。安全基線要求主要是由安全漏洞方面、安全配置方面等檢查項(xiàng)構(gòu)成。

◆落實(shí)安全基線

業(yè)務(wù)系統(tǒng)的安全基線建立起來(lái)之后，將形成針對(duì)不同系統(tǒng)的詳細(xì)Checklist表格和操作指南，為標(biāo)準(zhǔn)化的技術(shù)安全操作提供了框架和標(biāo)準(zhǔn)。

在部署安全基線后，可以對(duì)目標(biāo)業(yè)務(wù)系統(tǒng)展開合規(guī)性安全檢查，以找出不符合的項(xiàng)，并選擇和實(shí)施安全措施來(lái)控制安全風(fēng)險(xiǎn)，以確保安全基線的落實(shí)。

◆管理安全基線

安全基線的建立是一個(gè)逐漸完善的過(guò)程，而且在建立后也不是一成不變的，在系統(tǒng)、組織、應(yīng)用等方面發(fā)生變化后，需要進(jìn)行及時(shí)調(diào)整，尤其對(duì)于技術(shù)基線的維護(hù)更為重要；在組織結(jié)構(gòu)發(fā)生變化時(shí)，需要及時(shí)調(diào)整管理策略基線，保證基線的適應(yīng)性。

根據(jù)前面提到的安全基線控制過(guò)程，在整個(gè)過(guò)程中對(duì)安全基線的建立、落實(shí)、管理的能力將決定信息系統(tǒng)的安全保障水平。

安全基線控制過(guò)程是一個(gè)非常復(fù)雜有具有挑戰(zhàn)性的工作，需要細(xì)致的檢查，大量的專業(yè)知識(shí)支撐，管理工作也比較復(fù)雜，因此要更好地完成安全基線控制過(guò)程就必須有一套非常實(shí)用的安全基線實(shí)施工具。啟明星辰提供了一套實(shí)用的安全基線解決方案，極大地提高安全基線控制過(guò)程的效率和結(jié)果的正確性，其技術(shù)體系框架如圖：

啟明星辰安全基線解決方案遵循以下原則： 

◆標(biāo)準(zhǔn)性原則。技術(shù)方案的設(shè)計(jì)和具體實(shí)施原則上應(yīng)依據(jù)國(guó)內(nèi)和國(guó)外的相關(guān)標(biāo)準(zhǔn)進(jìn)行，作為具有國(guó)內(nèi)***攻防實(shí)驗(yàn)室的公司，我們將采用我們多年積累的、服務(wù)于國(guó)家核心及關(guān)鍵網(wǎng)絡(luò)的技術(shù)方法對(duì)信息系統(tǒng)進(jìn)行測(cè)試。 

◆規(guī)范性原則。啟明星辰公司是國(guó)家批準(zhǔn)的首批國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心指定的13家國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)A類試點(diǎn)單位之一，也是首批獲得國(guó)家測(cè)評(píng)認(rèn)證中心安全服務(wù)資質(zhì)的單位，可以為用戶提供規(guī)范的服務(wù)。工作中的過(guò)程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制。 

◆可控性原則。測(cè)試過(guò)程和所使用的工具具有可控性。啟明星辰公司有著豐富的安全項(xiàng)目實(shí)施經(jīng)驗(yàn)，承擔(dān)過(guò)多項(xiàng)國(guó)內(nèi)大規(guī)模的風(fēng)險(xiǎn)評(píng)估項(xiàng)目，對(duì)于項(xiàng)目管理有豐富的經(jīng)驗(yàn)。在項(xiàng)目中所采用的工具都經(jīng)過(guò)多次項(xiàng)目考驗(yàn)，或者是根據(jù)具體要求和金融行業(yè)的具體業(yè)務(wù)特點(diǎn)定制的，具有很好的可控性。 

◆整體性原則。安全基線解決方案從金融行業(yè)的實(shí)際需求出發(fā)，主要覆蓋網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、中間件等系統(tǒng)的安全層面，保障整體性和全面性。 

◆最小影響原則。測(cè)試工作做到充分的計(jì)劃，盡***可能不影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，確保業(yè)務(wù)的正常提供。 

◆保密性原則。對(duì)測(cè)試過(guò)程中產(chǎn)生的測(cè)試數(shù)據(jù)嚴(yán)格保密。 

◆系統(tǒng)備份和恢復(fù)措施。為避免實(shí)際測(cè)試過(guò)程中可能發(fā)生的不可預(yù)知的風(fēng)險(xiǎn)，在測(cè)試前應(yīng)對(duì)系統(tǒng)或關(guān)鍵數(shù)據(jù)進(jìn)行備份、確保相關(guān)的日志審計(jì)功能正常開啟，一旦出現(xiàn)問(wèn)題，可以及時(shí)的恢復(fù)運(yùn)轉(zhuǎn)。在測(cè)試過(guò)程中，如果出現(xiàn)被評(píng)估系統(tǒng)沒有響應(yīng)或中斷的情況，應(yīng)當(dāng)立即暫停測(cè)試工作，與客戶方配合人員一起分析情況，采取必要的補(bǔ)救和預(yù)防措施，及時(shí)恢復(fù)系統(tǒng)正常運(yùn)行。

各個(gè)不同業(yè)務(wù)系統(tǒng)安全檢測(cè)基準(zhǔn)的建立和行之有效的檢測(cè)手段是安全管理人員面臨的最為重要和迫切的問(wèn)題。安全運(yùn)維人員需要具備檢查風(fēng)險(xiǎn)的標(biāo)準(zhǔn)。同時(shí)面對(duì)網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的設(shè)備和軟件，需要快速、有效的檢查設(shè)備，進(jìn)行自動(dòng)化的安全檢查，以及制作風(fēng)險(xiǎn)審核報(bào)告，并且最終識(shí)別那些與安全規(guī)范不符合的項(xiàng)目，以達(dá)到整改合規(guī)的要求。

基于多年安全服務(wù)的執(zhí)著實(shí)踐，同時(shí)結(jié)合用戶對(duì)安全評(píng)估產(chǎn)品的實(shí)際應(yīng)用需求，啟明星辰提出了安全基線整體解決方案，采用工程化途徑實(shí)施安全基線技術(shù)體系，通過(guò)全過(guò)程、全方位地控制安全基線，同時(shí)又與信息系統(tǒng)的生命周期相結(jié)合，從而有針對(duì)性地解決了安全基線的動(dòng)態(tài)性、復(fù)雜性和完整性問(wèn)題。