合规基线：让安全大检查更顺利

前言

说起安全检查，安全从业人员可能都非常熟悉“安全标准”概念。所有企事业单位网络安全建设都需要满足来自于国家或监管单位的安全标准，如等保2.0、CIS安全标准等。安全标准，还有一个叫法就是“安全基线”。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照，如海岸基线，是水位到达的水位线。因此，可以认为安全基线就是最低的安全要求。

无基线，不安全

安全基线的意义在于为达到最基本的防护要求而制定的一系列基准，在金融、运营商、互联网等行业应用范围非常广泛。基本上可以说，任何安全检查都是围绕不同安全基线展开。一家企业，每年最头疼就是应对有关部门的安全大检查。为配合该检查，从集团到省、地市分公司无不通力配合。通过自查、自加固到迎接有关部门的统一抽检，确实可以帮助企业认清自身风险现状和漏洞隐患。

服务器作为最重要网络资产，其安全检查也就成为了重中之重。为此，各大企业纷纷采取全方位的应对措施，包括发布相关的安全基线规范，用以构建最基本的安全防范壁垒与手段。主机安全基线是指为满足安全规范要求，服务器安全配置必需达到的标准，一般通过检查各安全配置参数是否符合标准来度量。以Windows服务器为例，可以配置包括账号、口令、授权、补丁、防护软件、防病毒软件、日志安全要求、启动项、网络访问等方面内容，这些安全配置直接反映了系统自身的安全脆弱性。

但是在有限的安全人员、参差不齐的安全技术水平面前，迫切需要能够辅助安全检查与自评估的自动化、标准化的基线检查工具，并且能够支持多种类型的主机、数据库、应用系统等安全基线信息的采集与检测工作。

基线自动化工具全面助力企业安全检查

如何快速有效的在服务器上实现基线配置管理和集中收集基线检查结果？以及如何识别与安全规范不符合的项目以满足整改合规要求？这些都是安全管理人员面临的全新挑战。如果借助基线自动化工具，六步骤即可实现安全管理：

①资产清点 ，通过发现、识别和跟踪生产环境中的各类主机资产信息，动态更新企业信息资产库，确保主机资产核查工作的全面性和准确性。

②基线检查 ，对各类操作系统、数据库、中间件等服务器软件进行自动化安全配置核查，多种维度对组织内部的安全基线总体水平进行统计分析。

③基线管理 ，基于自身业务需求，调整安全配置检查参数和自定义的安全配置检查项。

④基线监控 ，进行实时安全核查，快速发现安全配置变化，一旦发生安全配置变更异常，以邮件方式进行安全告警。

⑤基线纠正 ，对不符合项进行修复，并对修复项进行核查，快速定位修复加固结果。

对于这套标准化安全基线管理流程，操作起来并不复杂，但真正困难的是如何寻找到能够按照上述流程实践的自动化基线工具。当下比较有效的基线管理工具是通过在服务器上部署一个Agent，搜集相关的配置信息，跟中心库中维护的安全基线标准进行比对和检查。虽然目前这种方式已被大量应用，但市场上真正符合要求的Agent却少之又少。

山重水复疑无路，德迅合规基线来相助

一键任务化检测，基线检查结果可视化呈现——用户可快捷创建基线扫描任务，根据检测需要，自行选择需要扫描的容器和基线，基线检查结果可视化呈现。

基于Docker基线多维检查——根据CIS Benchmark最佳实践方案，从运行时容器、镜像、主机三个维度，对各类容器配置问题进行检查

基于Kubernetes基线多节点检查——根据CIS
Benchmark的规范，定时对k8s的master节点、worker节点进行基线检查。扫描完成后，即可查看每个扫描详情以及扫描结果

相对于其他同等产品优势，基于 CIS 合规检测，⼀键⾃动化检测，深⼊可视化的结果展示，快速⽣成的合规检测报告

德迅基线产品还支持自定义基线功能，企业可根据实际的使用场景，自行定义基线的检查项，如定义检查阈值、自定义检查目录、自定义检查结果展现模板、自定义检查项整改方案等，以满足企业多样化的内部监管要求。

紧跟监管政策，不断推出与等级保护、CIS标准对应的基线。企业可使用该合规基线模块，一键自动化进行检测、并可视化基线检查结果，根据产品提供的修复建议进行修复，以满足企业监管要求。

除此之外，德迅合规基线在等保检查、测评、整改等建设过程中扮演重要角色，支持国家等级保护政策、CIS基线标准，支持例如Centos、Debian、RedHat、SUSE、Windows
Server 2008、Windows Server 2012等常用操作系统，覆盖了apache
、mongoDB、Mysql等10余种数据库类、Web服务类应用

写在最后

做好基线配置和加固是安全管理工作中的基础工作，但却与安全事件密切相关。例如系统账号登录策略未做好合规要求，黑客就可以通过弱口令、默认口令等方式登录系统。但如果做好基线管理和系统加固，既可以很好应对监管部门安全检查，也可以在面对突发安全事件或0Day漏洞时候有足够的响应处理时间，因此安全基线管理工作不可缺少

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！