“基線”,字典上的定義為一種在測量、計算或定位中的基本參照。對應“木桶理論”來理解,可以認為安全基線是安全木桶的最短板,因此,滿足安全基線就是在滿足安全的最低要求。面對信息安全合規(guī)的要求,所有企事業(yè)單位的網(wǎng)絡安全建設都需要滿足國家或監(jiān)管單位的“安全標準”,如等保2.0、CIS安全標準、GDPR等等。而“安全標準”就是業(yè)界統(tǒng)稱的“安全基線”。在技術進步和市場發(fā)展的整合推動下,云計算已被視為下一次科技革命,成為推動生產(chǎn)進步、創(chuàng)新商業(yè)模式的重要技術。然而,新體驗同時也意味更加復雜的安全風險管理以及更加嚴格的網(wǎng)安合規(guī)建設。在此背景下,結合自身豐富技術能力和云主機實踐經(jīng)驗,亞信安全信艙(DS)—云主機安全20版本(簡稱DS 20)全面滿足《網(wǎng)絡安全法》、等保2.0中如基線核查、主機加固、安全審計、惡意代碼檢測、Web防護等方面的措施要求,形成了完整的云主機安全解決方案。其中的“安全基線”模塊,更為云服務客戶提供快速的、完整的、合規(guī)的安全管理能力。
安全基線工作涵蓋的三要素
完整的安全基線內容主要由三方面必須滿足的最低要求組成:系統(tǒng)存在的安全漏洞、系統(tǒng)配置的脆弱性、系統(tǒng)狀態(tài)的監(jiān)控。安全基線通過安全合規(guī)管理機制判斷用戶的應用環(huán)境安全是否達標,提供一個信息系統(tǒng)所需的最基本的安全保證。
【Linux及Windows系統(tǒng)基線掃描項目】
1.安全漏洞:漏洞通常是由于軟件或協(xié)議等系統(tǒng)自身存在缺陷引起的安全風險,如系統(tǒng)登錄漏洞、拒絕服務漏洞、緩沖區(qū)溢出、信息泄漏、蠕蟲后門、惡意代碼執(zhí)行等,反映了系統(tǒng)自身的安全脆弱性;
2.系統(tǒng)配置:通常都是由于人為的疏忽造成,主要包括了賬號、口令、授權、日志、IP協(xié)議等方面的配置要求,配置不當導致系統(tǒng)存在安全風險;
3.系統(tǒng)狀態(tài):包含系統(tǒng)端口狀態(tài)、進程、賬號、服務以及重要文件的變化。這些信息反映了系統(tǒng)當前所處環(huán)境的動態(tài)安全狀況,存在的安全隱患將威脅系統(tǒng)運行安全。
基線配置不能采用“人肉策略”
合法合規(guī)之下,避免不了對云資源進行審計和基線部署,但管理員往往需要花費大量的時間去檢查資源是否滿足安全合規(guī)性、是否符合監(jiān)管要求、是否遵循安全配置等等。不過,安全基線配置并不簡單,尤其是在大量虛擬主機共生的云端環(huán)境,如果采用人拉肩扛的方式,基線管理極易出現(xiàn)紕漏,直接就會造成主機加固失效,系統(tǒng)攻擊面沒有收斂,太多暴露在外的風險點將會被黑客利用。例如:1.需要運維人員編寫大量的安全基線腳本,而且完全依賴于運維人員的安全知識面;2.基線檢測工作不容易進行標準化,檢測效率低;3.基線檢測工作涉及檢測范圍廣,容易造成疏漏,導致系統(tǒng)存在安全隱患。
如何部署高效、有效的安全基線
合規(guī)標準讓運維人員有了檢查默認風險的標桿,但是面對網(wǎng)絡中種類繁雜、數(shù)量眾多的設備和軟件,如何快速、有效地檢查設備,又如何集中地收集核查的結果,以及制作風險審核報告,最終識別那些與安全規(guī)范不符合的項目,以達到整改合規(guī)的要求,這些是網(wǎng)絡安全運維人員面臨的新的難題。因此,“自動化”的安全基線將是幫助用戶滿足等保、以及“行規(guī)”的最佳助手。
亞信安全云主機安全產(chǎn)品能以自動化模式進一步簡化云端安全負載管理工作,其安全基線、彈性防護、自動化編排等特性,可以實現(xiàn)在安全部署中無需要重啟云主機、任意新增云主機、自動化獲取群集安全防護策略、遷移自動部署安全策略等流程自動化管理,極大地提高新業(yè)務實施效率。
1. 以等保為基礎,提供覆蓋各類應用的安全基線模板亞信安全云主機安全產(chǎn)品提供了大量滿足等級保護、不同級別基準要求的模板,涵蓋多個版本的主流操作系統(tǒng)、國產(chǎn)化平臺、Web應用、數(shù)據(jù)庫等。利用這些基線內容,用戶通過一鍵批量創(chuàng)建基線任務,快速進行企業(yè)內部風險自測,發(fā)現(xiàn)問題并及時修復,以滿足監(jiān)管部門要求的安全條件。
2.與資產(chǎn)清點和云主機加固聯(lián)動亞信安全云主機安全產(chǎn)品提供了云主機資產(chǎn)自動化盤點,管理員可在此基礎上實現(xiàn)等保定級跟蹤,并根據(jù)所選服務器的操作系統(tǒng)、軟件應用等信息,自動篩選出該服務器上需要檢查的系統(tǒng)、應用基線,進而制定出云主機安全加固模板,迅速實現(xiàn)云端安全基線的一致化。
3.行業(yè)化、場景化的安全基線部署能力企業(yè)可根據(jù)所處行業(yè)要求,結合實際的使用場景(內外網(wǎng)),自行定義基線的檢查項,如定義檢查閾值、自定義檢查目錄、自定義檢查結果展現(xiàn)模板、自定義檢查項整改方案等,以滿足企業(yè)多樣化的內部監(jiān)管要求。隨著等級保護2.0的持續(xù)深化推進,建立一套行之有效的安全基線能力是安全管理人員面臨的當務之急。
亞信安全云主機安全產(chǎn)品依據(jù)國家《GBT 22239-2019 信息安全技術網(wǎng)絡安全等級保護基本要求》規(guī)范,將技術標準落實到了每一種應用的配置檢查工作上,實現(xiàn)對業(yè)務系統(tǒng)資產(chǎn)進行等保定級跟蹤,并根據(jù)資產(chǎn)定級自動進行對應級別的安全配置檢查,對合規(guī)情況出具等保符合性報告,保證系統(tǒng)建設符合等保要求,輔助企業(yè)安全運維人員高效執(zhí)行等級保護自查工作。
