安全基线，让合规更直观

10月7日，爱尔兰数据保护委员会（Data Protection Commission）的一名发言人周一表示，该机构已经结束了针对Facebook旗下WhatsApp和Twitter可能违反欧盟数据隐私规定的调查。

该机构通信部主管格雷厄姆•多伊尔（Graham Doyle）表示，调查现在将进入决策阶段。在下一阶段，爱尔兰首席数据监管官员海伦·迪克森（Helen Dixon）将发布决定草案，预计将在年底前公布。这将是自2018年5月欧盟的《一般数据保护条例》（GDPR）正式生效以来，爱尔兰首次做出与美国跨国公司有关的决定。

随着企业国际化发展，信息安全合规管理将成为常态化，所有企事业单位网络安全建设都需要满足来自于国家或监管单位的“安全标准”，如等保2.0、CIS安全标准、GDPR等等。“安全标准”，还有一个叫法就是“安全基线”。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照，如海岸基线，是水位到达的水位线。因此，可以认为安全基线就是最低的安全要求。

一、无基线，不安全

安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。

安全基线的意义在于为达到最基本的防护要求而制定的一系列基准，在金融、运营商、互联网等行业应用范围非常广泛。基本上可以说，任何安全检查都是围绕不同安全基线展开。通过自查、自加固到迎接有关部门的统一抽检，确实可以帮助企业认清自身风险现状和漏洞隐患。

二、安全基线模型

基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构：

1.第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。
2.第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。
3.第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，如将操作系统可分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线、路由器安全基线等。

三、安全基线的内容

根据业界通行的一些安全风险评估方法及运营商日常安全维护经验，我们将安全基线的内容分为三个方面：1）系统存在的安全漏洞。2）系统配置的脆弱性。3）系统状态的检查。业务系统的安全基线由以上三方面必须满足的最小要求组成。

总体来说，安全基线的三个组成部分分别为：

1.漏洞信息：漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险，一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全。
2. 安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。在安全配置基线方面，企业可下发操作系统安全配置规范、路由器安全配置规范、数据库安全配置规范等一系列规范，因为系统初始安全配置基线可以采用集体下发的标准。
3.系统重要状态：包含系统端口状态、进程、账号以及重要文件变化的监控。这些内容反映了系统当前所处环境的安全状况，有助于我们了解业务系统运行的动态情况。由于系统状态基线随着业务应用不同而不同，没有标准模板可借鉴。我们通过对系统的状态信息进行一个快照，对非标准的进程端口、关键文件MD5校验值等信息确认后作为初始的系统状态安全基线。

业务系统的安全基线建立起来后，可以形成针对不同系统的详细漏洞要求和检查项（Checklist），为标准化和自动化的技术安全操作提供可操作和可执行的标准。

四、企业建立安全基线步骤

安全基线的建立是以对业务系统的安全评估和基线梳理基础上的。

1.建立基线配置管理规划

在了解组织现有资产情况（负责人是谁？现在运行的操作系统是什么版本，支持系统是什么版本？供应商是谁？是否还有开发或外包开发支持等）。同业务、开发、运维一起讨论制定合理的版本统一化建议，对统一化的时间达成一致的共识，并寻求最高管理层的支持。

实施情况和实施效果跟绩效关联，明确基线的订制、实施、评审责任，有检查手段能够确认安全基线未能成功部署的原因，有奖惩措施会提高基线落实的效果。

2.定制基础操作系统镜像

服务器作为最重要网络资产，其安全检查也就成为了重中之重。企业一般会采取全方位的应对措施，包括发布相关的安全基线规范，用以构建最基本的安全防范壁垒与手段。主机安全基线是指为满足安全规范要求，服务器安全配置必需达到的标准，一般通过检查各安全配置参数是否符合标准来度量。以Windows服务器为例，可以配置包括账号、口令、授权、补丁、防护软件、防病毒软件、日志安全要求、启动项、网络访问等方面内容，这些安全配置直接反映了系统自身的安全脆弱性。

基础镜像包括选择那个版本的操作系统、如何进行分区，如何最小化安装，如何部署必须的工具软件（如杀毒，主机入侵检测、运维系统Agent等），统一做好的基础操作系统镜像分发给开发作为基础的定制开发环境。

3.制定基线配置模板

基线配置模板可以包含运维和安全2个部分，运维部分如性能相关配置、稳定性相关配置、个性化配置。同一个应用（Tomcat、IIS、Apache等）可以做成一个统一的配置模板由SaltStack、Puppet进行分发。同时也可以做一份标准化配置脚本，在部分能分发的情况下也能统一基线配置。

安全部分，可依据如下划分

①安全漏洞：通常是属于系统自身的问题引起的安全风险，一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性。
②安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，如在WEB系统边界防火墙中需要开启HTTP通信，但一个WAP网关边界就没有这样的需求，因此在设计业务系统安全基线的时候，安全配置是一个需要关注的重点。
③重要状态：重要状态，包括端口、进程和重要文件，这些状态的异常可能意味着来自于外部的各种威胁因素导致，比如非法登陆尝试、木马后门、DDoS攻击等都属于安全异常活动，反映了系统当前所处环境的安全状况，和可能存在的外部风险。

4.分发基线配置

分发基线配置最好和运维一起做，由运维支撑系统进行分发，可以加速效率。如果运维目前阶段还没有统一的分发管理系统，可单个用配置脚本完成，这样效率就很低。

5.基线配置应用

安全基线建立起来后，可以形成针对不同系统的详细漏洞要求和checklist要求，为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛，主要包括新业务系统的上线安全检查、第三方入网安全检查、合规性安全检查（上级检查）、日常安全检查等。通过对目标系统展开合规安全检查，找出不符合的项并选择和实施安全措施来控制安全风险。

6.基线配置变更

基于安全基线的检查工作，可以预见的难题可能在于，使用通用的安全基线评估时，由于各个业务系统、各个设备由于功能应用的不同，安全要求也不同；同一设备随着应用的改变，安全要求也随之改变。因此每次使用同一安全基线进行检查，就会重复出现一些已经确认过的风险，而一些新出现的风险却又未加进检查范围内。我们使用初始安全基线进行通用安全评估后，系统管理员、安全人员对评估结果进行确认，如果有需要忽略或新增的项目，就调整并保存到基线数据库中。如果没有就返回到评估结果。当启动后一次评估并生成评估结果后，新的评估结果会与基线库中的安全基线自动进行对比，管理员、安全人员对评估结果进行确认，如果有需要忽略或新增的项目，就保存到基线库形成新的基线。如果没有任何基线项目需要变更，则生成新的评估报告。如此循环，使用来参照的安全基线能够随着系统变化而变化。

五、最后

信息安全基线管理是保证信息系统正常稳定运行的前提和基础，对提高企业网络和信息系统安全起到至关重要的作用。企事业单位必须明确安全基线，确定信息安全底线，做好安全管理合规，才能更好走向国际化。

*本文作者：cihack，转载请注明来自FreeBuf.COM