基线的安全防范

        这里我们学习了基线的使用，顾名思义在地理中是指陆地和内水同领海的分界线，出于国内

法和国内法的目的，陆地和海洋的划分界线被称为基线（Baseline）。

        在计算机术语中，基线是项目储存库中每个工件版本在特定时期的一个“快照”。它提供一个

正式标准，随后的工作基于此标准，并且只有经过授权后才能变更这个标准。建立一个初始基线

后，以后每次对其进行的变更都将记录为一个差值，直到建成下一个基线。

概念

        安全基线与英文排版的基线类似，是一条参考标准线。安全基线表达了最基本需要满足的安

全要求。安全基线表达了安全的木桶原理

        木桶原理:一只木桶盛水的多少，并不取决于桶壁上最高的那块木块，而恰恰取决于桶壁上最

短的那块。一个组织的安全防御能力，并不取决于组织最严密的安全防控，而是取决于组织中最脆

弱的一台设备。

基线检查标准

        OWASP基线标准

        CIS基线标准

        各厂商自己的基线，例如微软，红帽等

基线核查对象

        硬件资产

网络设备        （路由器，网关，交换机等）

计算机设备     （大型机，服务器，移动计算机等）

安全设备        （防火墙，入侵检测系统，上网行为管理等）

        软件资产

系统软件        （Windows，linux等操作系统）

应用软件        （一般指数据库，中间件等重要应用软件）

基线防范

        主要通过以下的几个方面

访问控制

授权管理

入侵防范

日志审计

资源管理

访问控制

1. 用户权限管理
2. 用户口令管理，重命名默认用户，修改默认口令
3. 删除或停用不必要的账号，避免共享账号
4. 用户最小权限，权限分离
5. 访问控制颗粒度，进程、文件、数据库表
6. 敏感信息安全标记

授权管理

1. 各应用系统、设备的用户管理(用户及权限评审、密码管理)
2. 登录失败处理(账号锁定、超时退出)
3. 远程管理链路要加密(https ssh rdp)
4. 双因素验证

入侵防范

1. 设备和系统的最小安装原则
2. 端口服务默认关闭
3. 设备管理时需要设置允许管理范围
4. 系统和设备的漏洞管理
5. 对重要节点和设备自身的入侵检测

日志审计

1. 所有设备和系统是否开启安全审计
2. 审计包含用户、时间、事件类型、事件成功等
3. 审计记录定期备份
4. 审计进程的保护
5. 审计设备的时钟统一
6. 应用上的用户行为审计

资源管理

1. 限制单用户的对资源和进程的使用
2. 重要节点设备的冗余
3. 重要节点的监控，CPU 内存硬盘
4. 重要节点的服务性能检测
5. 应用闲置时，自动结束会话
6. 业务系统或中间件的最大会话数限制
7. 单用户的会话限制
8. 进程所占用资源的限制

五个基线要求

        账号口令

        认证授权

        日志安全

        协议安全

        其他安全

基线检查方式

      人工检查

      自动化检查