网络安全基线核查.docxVIP

前言

术语、定义

(1)合规性（\hCompliance）

企业或者组织为了履行遵守法律法规要求的承诺,建立、实施并保持一个或多个程序，以定期评价对适用法律法规的遵循情况的一项管理措施。

(2)资产（Asset）

信息系统安全策略中所保护的信息或资源。

(3)计算机信息系统（Computerinformationsystem）

由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

(4)保密性（Confidentiality）

使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。

(5)安全服务（Securityservice）

根据安全策略，为用户提供的某种安全功能及相关的保障。

服务概述

服务概念

基线核查服务是根据相关标准或规范，结合最佳实践，对客户的硬件资产（如：主机设备、网络设备、安全设备、办公终端等）和软件系统（如：操作系统、数据库、中间件和常用服务协议等）进行安全配置的核查，识别出现有安全配置与普适性规范或行业规范的安全配置要求之间的差距，并提供相关优化建议。

服务必要性

基线核查是检验信息系统安全措施中的一种检查方式，信息系统拥有者往往需要在达到相对安全状态下所需要付出的成本与承受安全风险带来的损失之间寻找平衡。而安全基线正是这个平衡的合理分界线。基线核查服务，一方面可以根据基线核查的结果进行安全加固提升安全防护能力，减少信息系统的脆弱性，进而降低信息系统面临的安全风险；一方面可以满足合规性检查和国家政策要求。

服务收益

通过以工具为主，人工为辅的方法，对客户的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查，输出专业的基线核查安全评估报告，通过该服务可以实现包括但不限于以下价值：

帮助客户充分掌握当前IT设备的配置情况，了解潜在的IT设备、系统的配置隐患和安全风险。

通过对基线核查发现的问题进行安全加固，有助于提升安全防护能力，降低因为安全配置导致的安全事件的概率。

为客户进一步完善配置管理体系、满足合规要求，提供强有力的支撑和依据。

为客户制定科学、有效地安全加固方案提供依据。

实施标准和原则

政策文件或标准

基线核查服务将参考下列国内、国际与基线核查有关的标准、指南或规范进行工作：

《信息安全技术网络安全等级保护测试评估技术指南》（GB/T36627-2018）

《信息安全技术操作系统安全技术要求》（GB/T20272-2019）

《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2019）

《信息安全技术网络基础安全技术要求》（GB/T20270-2006）

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

《信息系统灾难恢复规范》（GB/T20988-2007）

《信息安全技术服务器安全技术要求》（GB/T21028-2007）

《信息安全技术网络交换机安全技术要求》（GB/T21050-2019）

《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）

服务原则

我中心提供基线核查服务中，将遵循下列原则。

保密性原则

对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害客户利益的行为。

标准性原则

该服务实施依据国内、国际的相关标准进行。

规范性原则

项目实施由专业的工程师和项目经理依照规范的操作流程进行，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。

可控性原则

项目实施的方法和过程及使用的工具在双方认可的范围之内，保证项目实施的可控性。

最小影响原则

项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。

准备阶段输出文档

《安全运维服务方案》、《开工申请表》

服务详情

服务内容

基线核查服务内容普遍集中于设备的账号管理和口令策略、认证授权、日志配置、通信协议等方面，覆盖了与安全问题相关的各个层面。基线核查服务针对不同IT资产的具体检查内容会有所不同，下面进行部分服务内容的举例：

主机操作系统检查内容

主机操作系统安全配置检查包含但不限于以下内容：帐号和口令管理、异常启动项、认证合授权策略、访问控制、通信协议、日志审核策略、文件系统权限、帐号和口令管理、防ddos攻击、剩余信息保护、其它安全配置。

数据库检查内容

数据库安全配置检查包含但不限于以下内容：帐号和口令管理认证、认证和授权策略、访问控制、通讯协议、日志审核功能、其他安全配置。

中间件检查内容

中间件及常见网络服务安全配置检查包含但不限于以下内容：帐号和口令管理认证、授权策略、通讯协议、日志审核功能、其他安全配置。

网络设备及