安全基线检查标准
安全基线检查标准
概述
安全基线(Security Baseline)是指信息系统在特定安全等级下应满足的最低安全配置标准。安全基线检查是评估系统配置是否符合安全标准的过程,是系统加固工作的基准和验证手段。没有明确的基线标准,加固工作就会缺乏方向和量化评估依据。
在实际工作中,安全基线主要参考两个权威标准体系:国内的等级保护 2.0(等保 2.0)标准和国际的 CIS Benchmark(Center for Internet Security Benchmark)。等保 2.0 是中国信息安全等级保护制度的最新版本,对不同等级的信息系统提出了明确的安全要求。CIS Benchmark 则是由全球安全专家社区维护的安全配置最佳实践指南,覆盖了几乎所有主流操作系统和应用软件。
建立和执行安全基线检查是安全运营的基础性工作,它将安全加固从凭经验操作转变为有标准、可量化、可持续的系统工程。
核心概念
等保2.0安全基线要求
等保 2.0 将安全保护分为五个等级,其中二级和三级是最常见的要求等级。等保 2.0 的技术要求分为五大类:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心。
安全计算环境基线(服务器层面)主要包括:身份鉴别(双因素认证、口令复杂度、登录失败处理)、访问控制(最小权限、默认拒绝、敏感标记)、安全审计(审计策略、审计日志保护、审计记录内容)、可信验证(可信计算技术应用)和数据完整性/保密性(传输和存储加密、数据备份)。
等保 2.0 引入了"一个中心,三重防护"的理念:以安全管理中心为核心,构建安全通信网络、安全区域边界和安全计算环境三重防护。基线检查应覆盖所有这些维度。
CIS Benchmark标准
CIS Benchmark 由全球社区维护,涵盖了操作系统(Windows Server、Ubuntu、CentOS、RHEL 等)、云平台(AWS、Azure、GCP)、数据库(MySQL、PostgreSQL、MongoDB 等)、Web 服务器(Apache、Nginx、IIS)、容器(Docker、Kubernetes)和应用软件等广泛领域。
CIS Benchmark 分为两个级别:Level 1 提供基本的安全配置建议,对业务影响较小,适合所有环境采用;Level 2 提供更严格的安全配置,可能影响某些业务功能,适合安全要求较高的环境。
每条 CIS 建议都包含:检查方法(如何验证配置是否合规)、修复方法(如何配置使其合规)和影响评估(对业务的潜在影响)。这使得 CIS Benchmark 非常适合自动化检查和修复。
Linux基线检查要点
账户安全检查:UID 为 0 的用户是否仅有 root、密码策略是否符合要求(复杂度、过期时间)、SSH 配置是否安全(禁用 root 登录、密钥认证)、sudo 配置是否合理。
文件系统检查:关键文件权限是否正确(/etc/passwd 644、/etc/shadow 600)、是否有异常的 SUID/SGID 文件、/tmp 是否使用 noexec 挂载、/etc/hosts.allow 和 /etc/hosts.deny 是否配置。
网络配置检查:IP 转发是否禁用(除非必要)、SYN Cookie 是否启用、不必要的服务和端口是否关闭、防火墙规则是否配置。
日志审计检查:auditd 是否启用并配置了合理的审计规则、日志文件权限是否安全、日志轮转策略是否配置、远程日志收集是否启用。
Windows基线检查要点
账户策略检查:密码复杂度要求、密码长度和过期策略、账户锁定策略、Guest 账户是否禁用。
安全选项检查:是否显示最后登录用户名、是否要求 Ctrl+Alt+Del、是否限制匿名访问、UAC(用户账户控制)是否启用。
审核策略检查:关键事件类型是否启用了审计(账户管理、登录事件、策略更改、特权使用等)。
服务和功能检查:不必要的服务是否禁用、SMBv1 是否禁用、远程桌面安全配置、Windows Defender 是否启用并更新。
自动化检查工具
CIS-CAT Pro:CIS 官方提供的自动化评估工具,基于 CIS Benchmark 进行系统配置检查,生成详细的合规报告。支持 Windows、Linux、数据库、云平台等多种目标。
开源替代方案:OpenSCAP 是 Red Hat 主导的开源安全合规框架,支持 SCAP(Security Content Automation Protocol)标准,可以自动化执行安全基线检查。OVAL(Open Vulnerability and Assessment Language)定义了标准化的安全评估规则。
国产工具:各大安全厂商提供的基线检查工具,如绿盟的 NSFOCUS RSAS、安恒的明鉴等保检查工具箱等,支持等保 2.0 标准的自动化检查和报告生成。
实战要点
- 分阶段推进基线合规:不要试图一次性达到所有基线要求。先从高风险项目(如弱密码、不必要的服务、未打补丁)开始,再逐步覆盖中低风险项目。使用优先级矩阵指导实施顺序。
- 建立例外管理机制:某些基线要求可能与业务需求冲突(如特定应用需要较低的安全配置)。建立正式的例外审批流程,记录例外原因、风险评估和补偿措施。
- 持续合规监控:安全基线不是一次性检查,应建立持续的合规监控机制。使用自动化工具定期(至少每月一次)扫描系统配置,发现偏离基线的配置及时告警和修复。
- 基线标准版本管理:CIS Benchmark 和等保标准都在持续更新,基线检查规则也需要随之更新。建立基线标准的版本管理机制,跟踪标准变更并及时调整检查和加固策略。
- 形成闭环管理:基线检查发现问题后,跟踪整改进度直至闭环。定期汇总基线合规数据,形成安全态势报告提交管理层,推动安全投入和改进。
总结
安全基线是系统加固的标尺和方向。以等保 2.0 和 CIS Benchmark 为参考建立组织的安全基线标准,结合自动化工具实现定期检查和持续合规管理,是规范化安全管理的基础。基线合规工作不是终点而是起点,随着安全威胁的演变,基线标准也需要持续优化和提升。