浅谈安全基线

初四。对于没有太多亲戚要走，很多朋友要聚的人来说，年过完了已经。

降温的一天，但此刻阳光斜撒在书桌上。写完文章就继续去感受家乡。走在家乡的路上，一切都是无比轻松。

---

上午在翻看freebuf的各种报告，思考着写点什么内容，还是谈谈安全基线吧，很多概念只是浅浅的知道，但专业人士还是需要有一定深度的认知。

开始吧，少年。

基线检测的标准：安全基线其实是系统最低安全要求的配置，常见的安全基线配置标准有ISO270001、等级保护2.0等，企业也可以建立自己的标准。

检测的对象：不只是操作系统哦，比如下面

检测的内容：

分为三个方面：1）系统存在的安全漏洞。2）系统配置的脆弱性。3）系统状态的检查。

业务系统的安全基线由以上三方面必须满足的最小要求组成。参考下图。

OS是指操作系统，就是windows或linux等系统自身。

具体解释如下：

1. 安全漏洞：漏洞通常是由于软件或协议等系统自身存在缺陷引起的安全风险，如系统登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、恶意代码执行等，反映了系统自身的安全脆弱性；
2. 安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP协议等方面的配置要求，配置不当导致系统存在安全风险；
3. 系统状态：包含系统端口状态、进程、账号、服务以及重要文件变化的监控。

下面的图，是个相对具体的检测内容，实际会是一个checklist，里面很多项目，逐个检测。

基线检测的方法：

• 远程检查：体现为漏洞扫描的过程。其原理是采用不提供授权的情况下模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。（类似黑客测试）
• 本地检查：体现为对配置的检查和对重要状态的检查。（这个一般是需要管理员权限的，就是要登录系统进行检测，否则远程扫描是无法扫描到配置信息的）

关于结果：

基线检测一般是使用各种工具进行检测，最终得到一个结果，就是输出报告了。然后这个checklist，就是一个列表项，会用来和相关要求进行对比，如等保合规的要求，二级等保中windows系统的基线安全要求是怎样的，中间件的安全要求是怎样的。用实际检测结果和等保要求逐项进行对比，发现存在的问题，类似差距分析吧。

到这里差不多了吧，是不是有点概念了，记得基线检测和漏扫还是不同的，基线检测关注的内容更多，有一些是配置和策略上的合规要求。

不积跬步，无以至千里;不积小流，无以成江河。