网络安全之安全基线_基线核查

安全基线

安全基线表达了最基本需要满足的安全要求。
1

基线核查

是安全基线配置核查（或检查)的简称，一般指根据配置基线(不同行业及组织具有不同安全配置基线要求)要求对IT设备的安全配置进行核实检查，以发现薄弱或未满足要求的配置。

1
2
3
4

1.基线检查对象

注意在任何基线相关管理过程中，都需要优先统计出资产的数量、类型

2.基线检查维度

不论是对硬件或软件，基线核查都有通用的维度，主要包含以下方面：

• 访问控制
• 授权管理
• 入侵防范
• 日志审计
• 资源管理

（1）访问控制

例如：

• 用户权限管理
• 用户口令管理，重命名默认用户，修改默认口令
• 删除或停用不必要的账号，避免共享账号
• 用户最小权限，权限分离
• 访问控制颗粒度，进程、文件、数据库表
• 敏感信息安全标记

（2）授权管理

例如：

• 各应用系统、设备的用户管理（用户及权限评审、密码管理)
• 登录失败处理（账号锁定、超时退出)
• 远程管理链路要加密(https ssh rdp)
• 双因素验证

（3）入侵防范

例如：

• 设备和系统的最小安装原则
• 端口服务默认关闭
• 设备管理时需要设置允许管理范围
• 系统和设备的漏洞管理
• 对重要节点和设备自身的入侵检测

（4）日志审计

• 所有设备和系统是否开启安全审计
• 审计包含用户、时间、事件类型、事件成功等
• 审计记录定期备份
• 审计进程的保护
• 审计设备的时钟统一
• 应用上的用户行为审计

（5）资源管理

• 限制单用户的对资源和进程的使用
• 重要节点设备的冗余
• 重要节点的监控，CPU内存硬盘
• 重要节点的服务性能检测
• 应用闲置时，自动结束会话
• 业务系统或中间件的最大会话数限制
• 单用户的会话限制
• 进程所占用资源的限制

3.基线检查方式

• 人工检查

• 自动化系统检查

  优点：工作量小，速度快

  缺点：可能造成未知影响

  原理：

  ​ & 在目标系统上安装代理agent ，对操作系统、应用软件适用，但对封装成型的硬件设备不适用
  ​ & 编写脚本运行，手动或自动运行,收集运行结果
  ​ & 提供目标系统账号，由专用平台扫描检测