安全基线的概念

安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。

安全基线的框架

在充分考虑行业的现状和行业最佳实践，并参考了运营商下发的各类安全政策文件，继承和吸收了国家等级保护、风险评估的经验成果等基础上，构建出基于业务系统的基线安全模型如图2.1所示：

图 2.1  基线安全模型

基线安全模型以业务系统为核心，分为业务层、功能架构层、系统实现层三层架构：

1.      第一层是业务层，这个层面中主要是根据不同业务系统的特性，定义不同安全防护的要求，是一个比较宏观的要求。

2.      第二层是功能架构层，将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块，这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。

3.      第三层是系统实现层，将第二层模块根据业务系统的特性进一步分解，如将操作系统可分解为Windows、Solaris等系统模块，网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求，称为Windows安全基线、华为路由器安全基线等。

下面以运营商的WAP系统为例对模型的应用进行说明：

首先WAP系统要对互联网用户提供服务，存在互联网的接口，那么就会受到互联网中各种蠕虫的攻击威胁，在第一层中就定义需要防范蠕虫攻击的要求。蠕虫攻击的防护要求对于功能架构层的操作系统、网络设备、网络架构、安全设备等都存在可能的影响，因此在这些不同的模块中需要定义相对应的防范要求，而针对这些防范要求，如何来实现呢？这就需要定义全面、有效的第三层模块要求了。针对不同类型蠕虫病毒的威胁，在Windows、Solaris等系统的具体防范要求是不一样的，第三层中就是针对各种安全威胁针对不同的模块定义不同的防护要求，这些不同模块的防护要求就统一称为WAP业务系统的安全基线。针对WAP业务系统安全基线的检查，就可以转化为针对操作系统、网络设备等的脆弱性检查上面。

 安全基线的内容

根据业界通行的一些安全风险评估方法及运营商日常安全维护经验，我们将安全基线的内容分为三个方面：1）系统存在的安全漏洞。2）系统配置的脆弱性。3）系统状态的检查。业务系统的安全基线由以上三方面必须满足的最小要求组成。具体组成如图2.2所示：

图 2.2  安全基线的组成

具体来说，安全基线的三个组成部分分别为：

1)     漏洞信息：漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险，一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性。由于漏洞信息由相应的国际标准，如CVE（Common Vulnerabilities & Exposures ，公共漏洞和暴露）就列出了各种已知的安全漏洞，因此系统的初始漏洞安全基线可以采用通用标准。

2)     安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。在安全配置基线方面，移动集团下发了操作系统安全配置规范、路由器安全配置规范、数据库安全配置规范等一系列规范，因为系统初始安全配置基线可以采用集体下发的标准。

3)     系统重要状态：包含系统端口状态、进程、账号以及重要文件变化的监控。这些内容反映了系统当前所处环境的安全状况，有助于我们了解业务系统运行的动态情况。由于系统状态基线随着业务应用不同而不同，没有标准模板可借鉴。我们通过对系统的状态信息进行一个快照，对非标准的进程端口、关键文件MD5校验值等信息确认后作为初始的系统状态安全基线。

业务系统的安全基线建立起来后，可以形成针对不同系统的详细漏洞要求和检查项（Checklist），为标准化和自动化的技术安全操作提供可操作和可执行的标准。