“基線”，字典上的定義為一種在測量、計算或定位中的基本參照。

對應“木桶理論”來理解，可以認為安全基線是安全木桶的最短板，因此，滿足安全基線就是在滿足安全的最低要求。面對信息安全合規(guī)的要求，所有企事業(yè)單位的網(wǎng)絡安全建設都需要滿足國家或監(jiān)管單位的“安全標準”，如等保2.0、CIS安全標準、GDPR等等。而“安全標準”就是業(yè)界統(tǒng)稱的“安全基線”。

在技術進步和市場發(fā)展的整合推動下，云計算已被視為下一次科技革命，成為推動生產(chǎn)進步、創(chuàng)新商業(yè)模式的重要技術。然而，新體驗同時也意味更加復雜的安全風險管理以及更加嚴格的網(wǎng)安合規(guī)建設。 

在此背景下，結(jié)合自身豐富技術能力和云主機實踐經(jīng)驗，亞信安全信艙（DS）—云主機安全20版本（簡稱DS 20）全面滿足《網(wǎng)絡安全法》、等保2.0中如基線核查、主機加固、安全審計、惡意代碼檢測、Web防護等方面的措施要求，形成了完整的云主機安全解決方案。其中的“安全基線”模塊，更為云服務客戶提供快速的、完整的、合規(guī)的安全管理能力。

安全基線工作涵蓋的三要素

完整的安全基線內(nèi)容主要由三方面必須滿足的最低要求組成：系統(tǒng)存在的安全漏洞、系統(tǒng)配置的脆弱性、系統(tǒng)狀態(tài)的監(jiān)控。安全基線通過安全合規(guī)管理機制判斷用戶的應用環(huán)境安全是否達標，提供一個信息系統(tǒng)所需的最基本的安全保證。

【Linux及Windows系統(tǒng)基線掃描項目】

1．安全漏洞：漏洞通常是由于軟件或協(xié)議等系統(tǒng)自身存在缺陷引起的安全風險，如系統(tǒng)登錄漏洞、拒絕服務漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、惡意代碼執(zhí)行等，反映了系統(tǒng)自身的安全脆弱性；

2．系統(tǒng)配置：通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權、日志、IP協(xié)議等方面的配置要求，配置不當導致系統(tǒng)存在安全風險；

3．系統(tǒng)狀態(tài)：包含系統(tǒng)端口狀態(tài)、進程、賬號、服務以及重要文件的變化。這些信息反映了系統(tǒng)當前所處環(huán)境的動態(tài)安全狀況，存在的安全隱患將威脅系統(tǒng)運行安全。

基線配置不能采用“人肉策略”

合法合規(guī)之下，避免不了對云資源進行審計和基線部署，但管理員往往需要花費大量的時間去檢查資源是否滿足安全合規(guī)性、是否符合監(jiān)管要求、是否遵循安全配置等等。不過，安全基線配置并不簡單，尤其是在大量虛擬主機共生的云端環(huán)境，如果采用人拉肩扛的方式，基線管理極易出現(xiàn)紕漏，直接就會造成主機加固失效，系統(tǒng)攻擊面沒有收斂，太多暴露在外的風險點將會被黑客利用。例如： 

1．需要運維人員編寫大量的安全基線腳本，而且完全依賴于運維人員的安全知識面；

2．基線檢測工作不容易進行標準化，檢測效率低；

3．基線檢測工作涉及檢測范圍廣，容易造成疏漏，導致系統(tǒng)存在安全隱患。

如何部署高效、有效的安全基線

合規(guī)標準讓運維人員有了檢查默認風險的標桿，但是面對網(wǎng)絡中種類繁雜、數(shù)量眾多的設備和軟件，如何快速、有效地檢查設備，又如何集中地收集核查的結(jié)果，以及制作風險審核報告，最終識別那些與安全規(guī)范不符合的項目，以達到整改合規(guī)的要求，這些是網(wǎng)絡安全運維人員面臨的新的難題。因此，“自動化”的安全基線將是幫助用戶滿足等保、以及“行規(guī)”的最佳助手。 

亞信安全云主機安全產(chǎn)品能以自動化模式進一步簡化云端安全負載管理工作，其安全基線、彈性防護、自動化編排等特性，可以實現(xiàn)在安全部署中無需要重啟云主機、任意新增云主機、自動化獲取群集安全防護策略、遷移自動部署安全策略等流程自動化管理，極大地提高新業(yè)務實施效率。

1. 以等保為基礎，提供覆蓋各類應用的安全基線模板
亞信安全云主機安全產(chǎn)品提供了大量滿足等級保護、不同級別基準要求的模板，涵蓋多個版本的主流操作系統(tǒng)、國產(chǎn)化平臺、Web應用、數(shù)據(jù)庫等。利用這些基線內(nèi)容，用戶通過一鍵批量創(chuàng)建基線任務，快速進行企業(yè)內(nèi)部風險自測，發(fā)現(xiàn)問題并及時修復，以滿足監(jiān)管部門要求的安全條件。

2.與資產(chǎn)清點和云主機加固聯(lián)動
亞信安全云主機安全產(chǎn)品提供了云主機資產(chǎn)自動化盤點，管理員可在此基礎上實現(xiàn)等保定級跟蹤，并根據(jù)所選服務器的操作系統(tǒng)、軟件應用等信息，自動篩選出該服務器上需要檢查的系統(tǒng)、應用基線，進而制定出云主機安全加固模板，迅速實現(xiàn)云端安全基線的一致化。
3．行業(yè)化、場景化的安全基線部署能力
企業(yè)可根據(jù)所處行業(yè)要求，結(jié)合實際的使用場景（內(nèi)外網(wǎng)），自行定義基線的檢查項，如定義檢查閾值、自定義檢查目錄、自定義檢查結(jié)果展現(xiàn)模板、自定義檢查項整改方案等，以滿足企業(yè)多樣化的內(nèi)部監(jiān)管要求。

隨著等級保護2.0的持續(xù)深化推進，建立一套行之有效的安全基線能力是安全管理人員面臨的當務之急。亞信安全云主機安全產(chǎn)品依據(jù)國家《GBT 22239-2019 信息安全技術網(wǎng)絡安全等級保護基本要求》規(guī)范，將技術標準落實到了每一種應用的配置檢查工作上，實現(xiàn)對業(yè)務系統(tǒng)資產(chǎn)進行等保定級跟蹤，并根據(jù)資產(chǎn)定級自動進行對應級別的安全配置檢查，對合規(guī)情況出具等保符合性報告，保證系統(tǒng)建設符合等保要求，輔助企業(yè)安全運維人員高效執(zhí)行等級保護自查工作。