建立安全基线

信息系统安全基线是一个信息系统的最小安全保证，是该信息系统需要满足的基本安全要求。

启明星辰在研究和业务安全相结合的安全基线规范体系基础上，参考国内外的标准、规范，充分考虑了金融行业的现状和行业最佳实践，继承和吸收了国家等级保护、风险评估的经验成果，形成了一套基于业务系统的基线安全模型，参见下图：

 图2 建立安全基线过程

建立安全基线首先需要对业务系统进行识别和梳理，然后结合安全基线模型分析业务系统的功能架构，再将功能架构细化到系统层面的不同模块。在此基础上，就是针对业务系统特性，分析可能存在的安全威胁，并将针对威胁的应对措施逐层分解。安全基线要求主要是由安全漏洞方面、安全配置方面等检查项构成。

落实安全基线

业务系统的安全基线建立起来之后，将形成针对不同系统的详细Checklist表格和操作指南，为标准化的技术安全操作提供了框架和标准。

在部署安全基线后，可以对目标业务系统展开合规性安全检查，以找出不符合的项，并选择和实施安全措施来控制安全风险，以确保安全基线的落实。

管理安全基线

安全基线的建立是一个逐渐完善的过程，而且在建立后也不是一成不变的，在系统、组织、应用等方面发生变化后，需要进行及时调整，尤其对于技术基线的维护更为重要；在组织结构发生变化时，需要及时调整管理策略基线，保证基线的适应性。

根据前面提到的安全基线控制过程，在整个过程中对安全基线的建立、落实、管理的能力将决定信息系统的安全保障水平。

安全基线控制过程是一个非常复杂有具有挑战性的工作，需要细致的检查，大量的专业知识支撑，管理工作也比较复杂，因此要更好地完成安全基线控制过程就必须有一套非常实用的安全基线实施工具。启明星辰提供了一套实用的安全基线解决方案，极大地提高安全基线控制过程的效率和结果的正确性，其技术体系框架如图：

图3 安全基线解决方案体系框遵循的原则

启明星辰安全基线解决方案遵循以下原则：

标准性原则。技术方案的设计和具体实施原则上应依据国内和国外的相关标准进行，作为具有国内一流攻防实验室的公司，我们将采用我们多年积累的、服务于国家核心及关键网络的技术方法对信息系统进行测试。

规范性原则。启明星辰公司是国家批准的首批国家计算机网络与信息安全管理中心指定的13家国家计算机网络安全服务A类试点单位之一，也是首批获得国家测评认证中心安全服务资质的单位，可以为用户提供规范的服务。工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

可控性原则。测试过程和所使用的工具具有可控性。启明星辰公司有着丰富的安全项目实施经验，承担过多项国内大规模的风险评估项目，对于项目管理有丰富的经验。在项目中所采用的工具都经过多次项目考验，或者是根据具体要求和金融行业的具体业务特点定制的，具有很好的可控性。

整体性原则。安全基线解决方案从金融行业的实际需求出发，主要覆盖网络、主机、数据库、中间件等系统的安全层面，保障整体性和全面性。

最小影响原则。测试工作做到充分的计划，尽最大可能不影响系统和网络的正常运行，确保业务的正常提供。

保密性原则。对测试过程中产生的测试数据严格保密。

系统备份和恢复措施。为避免实际测试过程中可能发生的不可预知的风险，在测试前应对系统或关键数据进行备份、确保相关的日志审计功能正常开启，一旦出现问题，可以及时的恢复运转。在测试过程中，如果出现被评估系统没有响应或中断的情况，应当立即暂停测试工作，与客户方配合人员一起分析情况，采取必要的补救和预防措施，及时恢复系统正常运行。

各个不同业务系统安全检测基准的建立和行之有效的检测手段是安全管理人员面临的最为重要和迫切的问题。安全运维人员需要具备检查风险的标准。同时面对网络中种类繁杂、数量众多的设备和软件，需要快速、有效的检查设备，进行自动化的安全检查，以及制作风险审核报告，并且最终识别那些与安全规范不符合的项目，以达到整改合规的要求。

基于多年安全服务的执着实践，同时结合用户对安全评估产品的实际应用需求，启明星辰提出了安全基线整体解决方案，采用工程化途径实施安全基线技术体系，通过全过程、全方位地控制安全基线，同时又与信息系统的生命周期相结合，从而有针对性地解决了安全基线的动态性、复杂性和完整性问题。
 

(责任编辑：)