五.  安全基线的建立和应用

    建立安全基线首先需要对业务系统进行识别和梳理，然后结合基线安全模型分析业务系统的功能架构，再将功能架构细化到系统层面的不同模块。在此基础上，就是针对业务系统特性，分析可能存在的安全威胁，并将针对威胁的应对措施逐层分解到系统实现层。系统实现层中安全基线要求主要是由安全漏洞方面、安全配置方面，以及异常事件等方面的脆弱性检查项构成，这些检查项的覆盖面、有效性就成为了基线安全实现的关键。
 
    基线安全的应用

    应用第三层面安全基线要求，可以对目标系统展开合规安全检查，以找出不符合的项并选择和实施安全措施来控制安全风险。

    1.安全配置：通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大，同一个配置项在不同业务环境中的安全配置要求是不一样的，如在WEB系统边界防火墙中需要开启HTTP通信，但一个WAP网关边界就没有这样的需求，因此在设计业务系统安全基线的时候，安全配置是一个需要关注的重点。

    2.安全漏洞：通常是属于系统自身的问题引起的安全风险，一般包括了登录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等，反映了系统自身的安全脆弱性。

    3.安全异常活动：上面两个方面主要都是来自于设备或系统自身，而安全异常活动主要是来自于外部的各种因素导致，比如非法登陆尝试、木马后门、DDoS攻击等都属于安全异常活动，反映了系统当前所处环境的安全状况，有助于我们对安全配置基线和安全漏洞基线进行动态的改进。

业务系统的安全基线建立起来后，可以形成针对不同系统的详细checklist表格和操作指南，为标准化的技术安全操作提供了框架和标准。其应用范围非常广泛，主要包括新业务系统的上线安全检查、第三方入网安全检查、合规性安全检查（上级检查）、日常安全检查等。

    在这方面，运营商行业中的需求是明确和具体的，各大运营商对于业务系统安全基线的重视程度也非常高。比如：中国移动就针对业务系统的安全特性，制订了相应的安全配置系列规范，规范的出台让运维人员有了检查默认风险的标准，是整个安全基线的重要一环。随着日常安全检查、合规性安全检查的开展，面对业务系统内种类繁多、数量众多的设备、系统，如何快速、有效的进行基线安全检查成为一个难题。