论安全配置核查在等保管理过程中的应用与实践 – 作者:观安信息

近些年，随着国家越来越重视网络安全，各行各业对等级保护工作的逐步落实，诸多系统陆续完成了信息系统等级、备案、等级测评及安全建设整改等工作。但是由于不同行业，不同系统具备分支多、分布广、信息系统复杂和安全管理人员水平参差不齐等问题，给定级备案过程增加了难度。

企业存在资产设备庞大，种类杂多，测评效率低，测评扫描难度大等问题。如何持续做好信息系统的等级保护工作，巩固等级保护工作成效，建立等级保护工作长效管理机制，主要面临以下几个难题：

企业信息系统数量多，主机资产多，运行环境复杂，定级范围广且不统一，加大了等级保护的运维难度；

缺少将信息安全等级保护工作与信息安全日常保障工作、风险测评等安全管理工作相结合的有效技术手段；

部分企业没有真实认识到信息系统等级保护的重要性，等级保护工作流于形式，使等级保护工作未能真正落到实处；

整改完成后，复测工作重复性强，容易造成疏漏，导致系统存在遗漏的安全隐患；

企业引入安全基线管理机制，作为一种有效的解决方法，将充分利用基线技术的特点和优势，化解当前企业在等级保护过程中面临的重重问题。对已定级的信息系统安全管理的各项要求，安全基线可以进行统一的管理，能够促进等级保护各项措施的落实。

如何建立安全基线标准

企业在建立安全基线时，除了针对等级保护定级管理要求、工信部基线配置防护要求及不同行业的标准要求外，应该结合企业自身安全建设发展的需求，根据以上基础，对IT设备、大数据环境、云平台环境及业务系统的安全目标进行识别和梳理。分离出不适用项，并对适用的检查项进行组合，形成符合企业特征的初始安全基线标准。

基线配置核查与控制

安全基线建立后，需要定期对目标业务开展合规性检查，找出不符合项，并通过整改、加固等措施，消除安全风险，逐步达到企业安全基线标准。随着IT资产和业务的不断变化，需要定期对已建立的安全基线进行评估，整理出需要补充、维护、完善的配置，定期对基线标准进行动态更新。对安全基线的检测与控制，可以有效检查企业等级保护管理的整体安全状态，跟踪信息系统等级保护工作中的未达标项，把未达标项纳入信息安全基线控制范围，通过定期检查与加固，逐步提升信息系统等级保护的安全能力。

基线配置核查报告与处置

① 通过安全基线的扫描结果可以清晰反映企业当前整体信息安全状态，是信息安全总体水平的量化表现。这可以度量企业安全现状与安全基线标准直接的差距，为后续整改提供依据。安全基线实行策略可以以月度、季度为频率，对企业IT资产与信息系统进行自动化基线检查，及时了解整体信息安全状态、跟踪整改未达标的信息安全要求、消除存在的信息安全隐患；

② 提升等级保护测评符合率。安全基线通过多次“填平补齐”的方式，逐步完善企业信息安全状况，较为全面的解决了企业信息安全管理中存在的问题；

③ 促进企业安全长效机制形成。安全基线管理过程通过遵循“生命环”管理体系，通过对基线配置的定期检查、更新、报告及风险跟踪，周而复始，持续改进，形成螺旋上升的良性循环态势，帮助企业促进安全长效机制的形成。

综上所述，引入安全基线检查手段，建立一套涵盖等级保护管理要求的安全基线管理机制，定期对IT资产进行检测和处置，能够消除企业由于资产繁多、人手不足引发的配置未加固等安全隐患，显著提升企业安全的安全运营管理水平和效率。

入门入户，以我为基——观安观哨

观安观哨-基线配置核查系统基于观安信息多年在安全服务和等保服务的项目经验，结合对《网络安全等级保护基本要求2.0》、《电信网和互联网安全防护要求》、《CIS安全基线标准》的解读，可以针对IT资产和大数据平台、云平台进行检查，快速发现底层存在的配置风险，并根据配置建议进行加固。实现对配置风险的发现、处置、复测、跟踪，完成风险闭环。

观安安全配置核查系统，主要针对企业中的资产配置合规性进行安全基线检测，检测类型包含：访问控制、身份认证、数据保护校验、日志审计、安全协议、权限管理、版本校验等方面。

基线CheckList检测库，覆盖常见的组件脆弱性信息，包含工信部、等保2.0、CIS等相关法律法规的要求。

对基线检查结果报告中的问题提供专业的加固方法，避免由于配置疏漏问题带来的安全隐患。

系统功能架构图

总结

在日常安全运营的安全基线工作中，企业的安全团队会针对公司使用的操作系统、软件和数据库环境制定相应的安全基线配置标准，在系统上线前部署进行合规性检查——符合公司基线配置标准才允许上线。这样就可以避免操作系统、软件及数据库环境由于出厂时存在不安全配置而导致的安全问题，有效地降低和控制安全风险，防患于未然。

来源：freebuf.com 2020-07-21 10:22:55 by: 观安信息