【51CTO.com 綜合消息】隨著系統規模日益擴大，支撐金融機構業務系統的網絡結構也變得越來越復雜。其中，重要應用和服務器的數量及種類日益增多，一旦發生維護人員誤操作，或者采用一成不變的初始系統設置而忽略了對于安全控制的要求，就可能會極大的影響系統的正常運轉。因此，針對金融行業的業務系統建立安全檢查點與操作指南的安全基線規范，則成為保障信息系統安全運行的首要步驟。

所謂安全基線規范，是為了確保通信網絡上的相關設備達到最基本的防護能力要求而制定的一系列達標基準，是一套統一的安全設置指標。業務系統的下層支撐體系幾乎涵蓋了包括操作系統、網絡設備、數據庫、中間件在內的所有類型的設備與系統。為保證業務系統的穩定運行，需要在業務系統整個生命周期的各個環節，對上述設備與系統的安全配置進行檢查。這些環節包括設備入網、業務上線、日常運維、定期巡檢和設備下線等。安全基線規范將形成針對不同設備與系統的詳細檢查表格和操作指南，為標準化的技術安全操作提供了框架和標準。

通過采用統一的安全基線規范來指導技術人員在各類系統上的日常運維操作，讓運維人員有了檢查默認風險的標準，但是面對信息系統中種類繁雜、數量眾多的設備與系統，真正完成合規性的系統配置檢查和修復，卻成為一個費時費力的事情，且對檢查人員的技能和經驗要求較高。使用能夠輔助安全檢查與自評估的高效、自動且標準化的配置核查工具就很有必要。

在信息系統中建立完整可靠的安全基線技術體系需要對安全基線的建立、落實以及管理的過程進行規劃，使之成為一個具備完整定義的、成熟的、可重復的過程，在開發、實施、運行中執行此過程的信息系統才具有較高的安全可信度和可靠性。

安全基線技術體系涉及面廣、性質復雜，整個活動貫穿于信息系統的全部生命周期，是一個復雜的系統工程，需要通過一種過程性控制方法來保證其有效性。

◆建立安全基線的前提

安全基線是一組正式的安全需求規格。需要經過下面的確認程序： 

◆相關方分析 

◆安全需求的確認 

◆安全政策的確認

相關方分析是識別確定所有的安全相關者，相關方要保證安全需要描述的合理、清晰、確定和一致；安全需求包括安全需要、安全風險以及安全風險的應對策略和安全環境約束等。安全政策的確認要保證安全政策滿足安全需求的有效性，即可有效地處置風險、滿足安全需要。安全基線需要企業或組織的高層面批準，從而在資源投入及執行力度方面得到保障。

◆定義安全基線

定義安全基線是指確定一組正式的安全需求，這些安全需求應覆蓋所有的安全目標并符合所有相關的安全政策和法規等外部因素的限定。包括以下幾個方面： 

◆確定安全目標。安全目標是指使用目標系統內資產時的安全目標以及安全保護的程度。高層操作安全目標將影響到相應類別中所有資產的具體安全目標，例如“目標系統內的數據在傳輸到目標系統外時應嚴格防止泄露”。目標系統內的每一個可能向外傳輸的信息對象應基于這個目標制定相應的具體目標。 

◆確定安全基線涉及的方面。安全目標的實現是安全基線制定的目的，所有的安全目標必須有相應的安全基線保證。 

◆定義安全基線內容。安全基線需按類別逐條加以定義。每條安全基線應有目標系統范圍內唯一的標識，該標識可作為安全基線配置管理庫中的配置項標識。 

◆匹配安全基線與安全目標。安全基線構成后，應建立安全基線與安全目標的關系?？梢酝ㄟ^匹配矩陣的形式來檢查每個安全目標是由哪些安全基線保證的。針對每一個安全目標，檢查是否安全基線覆蓋了該目標的要求。當安全目標和安全基線數量較大時，可按類別用多個矩陣表示安全目標與安全基線的關系。

◆建立安全基線

信息系統安全基線是一個信息系統的最小安全保證，是該信息系統需要滿足的基本安全要求。

啟明星辰在研究和業務安全相結合的安全基線規范體系基礎上，參考國內外的標準、規范，充分考慮了金融行業的現狀和行業***實踐，繼承和吸收了國家等級保護、風險評估的經驗成果，形成了一套基于業務系統的基線安全模型，參見下圖：

建立安全基線首先需要對業務系統進行識別和梳理，然后結合安全基線模型分析業務系統的功能架構，再將功能架構細化到系統層面的不同模塊。在此基礎上，就是針對業務系統特性，分析可能存在的安全威脅，并將針對威脅的應對措施逐層分解。安全基線要求主要是由安全漏洞方面、安全配置方面等檢查項構成。

◆落實安全基線

業務系統的安全基線建立起來之后，將形成針對不同系統的詳細Checklist表格和操作指南，為標準化的技術安全操作提供了框架和標準。

在部署安全基線后，可以對目標業務系統展開合規性安全檢查，以找出不符合的項，并選擇和實施安全措施來控制安全風險，以確保安全基線的落實。

◆管理安全基線

安全基線的建立是一個逐漸完善的過程，而且在建立后也不是一成不變的，在系統、組織、應用等方面發生變化后，需要進行及時調整，尤其對于技術基線的維護更為重要；在組織結構發生變化時，需要及時調整管理策略基線，保證基線的適應性。

根據前面提到的安全基線控制過程，在整個過程中對安全基線的建立、落實、管理的能力將決定信息系統的安全保障水平。

安全基線控制過程是一個非常復雜有具有挑戰性的工作，需要細致的檢查，大量的專業知識支撐，管理工作也比較復雜，因此要更好地完成安全基線控制過程就必須有一套非常實用的安全基線實施工具。啟明星辰提供了一套實用的安全基線解決方案，極大地提高安全基線控制過程的效率和結果的正確性，其技術體系框架如圖：

啟明星辰安全基線解決方案遵循以下原則： 

◆標準性原則。技術方案的設計和具體實施原則上應依據國內和國外的相關標準進行，作為具有國內***攻防實驗室的公司，我們將采用我們多年積累的、服務于國家核心及關鍵網絡的技術方法對信息系統進行測試。 

◆規范性原則。啟明星辰公司是國家批準的首批國家計算機網絡與信息安全管理中心指定的13家國家計算機網絡安全服務A類試點單位之一，也是首批獲得國家測評認證中心安全服務資質的單位，可以為用戶提供規范的服務。工作中的過程和文檔，具有很好的規范性，可以便于項目的跟蹤和控制。 

◆可控性原則。測試過程和所使用的工具具有可控性。啟明星辰公司有著豐富的安全項目實施經驗，承擔過多項國內大規模的風險評估項目，對于項目管理有豐富的經驗。在項目中所采用的工具都經過多次項目考驗，或者是根據具體要求和金融行業的具體業務特點定制的，具有很好的可控性。 

◆整體性原則。安全基線解決方案從金融行業的實際需求出發，主要覆蓋網絡、主機、數據庫、中間件等系統的安全層面，保障整體性和全面性。 

◆最小影響原則。測試工作做到充分的計劃，盡***可能不影響系統和網絡的正常運行，確保業務的正常提供。 

◆保密性原則。對測試過程中產生的測試數據嚴格保密。 

◆系統備份和恢復措施。為避免實際測試過程中可能發生的不可預知的風險，在測試前應對系統或關鍵數據進行備份、確保相關的日志審計功能正常開啟，一旦出現問題，可以及時的恢復運轉。在測試過程中，如果出現被評估系統沒有響應或中斷的情況，應當立即暫停測試工作，與客戶方配合人員一起分析情況，采取必要的補救和預防措施，及時恢復系統正常運行。

各個不同業務系統安全檢測基準的建立和行之有效的檢測手段是安全管理人員面臨的最為重要和迫切的問題。安全運維人員需要具備檢查風險的標準。同時面對網絡中種類繁雜、數量眾多的設備和軟件，需要快速、有效的檢查設備，進行自動化的安全檢查，以及制作風險審核報告，并且最終識別那些與安全規范不符合的項目，以達到整改合規的要求。

基于多年安全服務的執著實踐，同時結合用戶對安全評估產品的實際應用需求，啟明星辰提出了安全基線整體解決方案，采用工程化途徑實施安全基線技術體系，通過全過程、全方位地控制安全基線，同時又與信息系統的生命周期相結合，從而有針對性地解決了安全基線的動態性、復雜性和完整性問題。