本站小編為你精心準備了信息安全保護的安全基線研究參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《上海信息化雜志》2014年第十二期

一、體系管理流程

安全基線體系管理流程遵循PDCA管理方法，通過規劃（Plan）、知識庫建立（Do）、檢查維護（Check）、改進更新（Action）四個過程保障安全基線體系的合規性及有效性，滿足業務安全調整的需要。規劃。為建立切實有效的安全基線體系，需要細致地規劃組織，制定合理的計劃方案，開展信息系統基本情況調研工作。計劃方案需明確建立安全基線體系的目標，信息系統基本情況、實施步驟、參與人員、工作分解等內容。信息系統基本情況調研將是整個規劃階段的重點工作，需要明確本單位信息系統的業務安全目標、信息安全防護策略、所有網絡設備及安全設備型號，以及所有操作系統、數據庫系統、中間件及應用軟件的類型及版本。同時需要開展風險評估工作，從而全面識別信息系統的安全威脅及薄弱點。風險評估結果將作為安全基線體系建設的重要依據。

知識庫建立。根據信息系統基本信息及風險評估結果，分別制定不同信息產品的安全策略配置標準，并作為信息系統安全建設參考依據、信息系統安全加固依據及各項信息安全檢查依據。為保障整體安全防護水平，業務系統內所有產品安全策略配置標準應盡可能滿足本單位內最高信息保護等級的標準要求，安全策略配置標準需要在與生產環境相一致的測試環境中進行測試驗證，還需對相關設備、操作系統、數據庫系統及中間件進行加固配置。經過加固的系統狀態將作為信息系統的安全基準狀態為今后的改進及防御提供依據。安全策略配置標準及信息系統安全基準狀態就共同構成了安全基線知識庫。檢查維護。隨著業務不斷調整變化，需要定期對已建立的安全基線體系實施檢查評估，從而適應新的安全形勢。安全基線體系檢查評估需要關注新產品或新技術引入導致的安全基線知識庫缺失、業務調整導致的安全基線策略調整、舊系統業務下線引起的安全基線知識庫變更、新安全威脅引起的安全基線策略調整等。通過評估響應的變化，整理出需要補充、變更或完善的安全基線知識庫內容，為下一階段的完善提供直接依據及目標。改進更新。根據檢查維護階段形成的評估結果，總結評估原有知識庫的運營使用情況，更新維護短時間內可以重新生成或修訂的安全基線知識庫，整理下一輪工作需要投入更多資源進行更新建立的安全基線知識庫條款或課題，并在新一輪工作周期內逐步開展相關工作。

通過以上安全基線體系管理流程，可以確保現有安全基線知識庫能夠滿足信息系統業務安全的需要，提升信息系統安全防護能力，提高信息安全管理能力及水平，滿足相關合規性要求。

二、安全基線知識庫

安全基線知識庫是安全基線體系框架的核心，是安全策略配置標準、系統狀態、安全漏洞清單的集合，全面體現了信息系統現有的安全狀態及安全防護能力。安全策略配置標準是根據信息系統基本信息及風險評估結果，分別形成各個信息安全產品的安全配置及檢查手冊，能夠直接用于安全加固、安全檢查及新系統上線的安全驗收依據。系統狀態是指系統運行狀態、網絡端口狀態、賬戶權限、進程、端口、補丁等。這些指標反映了系統當前的安全狀況，有助于識別業務系統運行的動態情況。安全漏洞清單是通過漏洞掃描工具定期對操作系統、數據庫系統、網絡設備、安全設備進行漏洞掃描形成的相關設備安全漏洞列表，以對現有安全漏洞進行有效加固、補丁升級及管理。

三、上海市民政局應用案例

經過多年信息化建設，上海市民政局已建成大量相對成熟的業務信息系統。近年來，上海市民政局全面開展信息安全等級保護工作，提升了信息安全防護能力及信息安全管理水平。但同時也存在一定的不足，如同一類型設備在等保測評中符合率不一致；新建系統未按照安全標準建設導致信息化項目驗收初次驗收符合率較低；設備配置管理不統一、同一類型產品的安全配置存在差異性等情況。為解決上述問題，上海市民政局組織廠商、第三方測評機構共同開展民政信息系統安全基線體系建設工作。規劃調研。為有效管理安全基線體系建設工作，制定了詳細的項目實施方案，明確了項目目標、參與人員及職責、項目實施節點及工作計劃安排。利用《信息系統基本情況調查表》等方式全面摸清了現有業務系統的基本情況，從而全面了解現有系統安全狀態，掌握了主要安全威脅及薄弱點。安全基線體系建設。根據風險評估、歷次等級保護測評及系統調研情況，結合相關組織的最佳安全實踐，上海市民政局組織工程師、廠商、第三方測評機構制訂了操作系統、數據庫系統、中間件、網絡設備、安全設備、終端、應用系統等共17份安全策略配置文檔。根據安全策略配置文檔對各個業務系統分別實施了安全加固，針對標準文檔中與業務系統沖突的條款進行了修訂或刪除。

完成加固工作后，開展對所有操作系統、數據庫系統、網絡設備、安全設備、應用系統的安全檢查、漏洞掃描及滲透測試，形成了各個服務器、網絡設備、安全設備、應用系統的系統狀態基線及安全漏洞基線，最終形成了民政系統安全基線知識庫。安全基線體系應用。日常巡檢工作中，工程師主要側重于巡檢結果與系統狀態的比較。安全檢查工作中，工程師利用安全基線體系開展對信息系統的安全檢查、重要領域信息檢查工作。在新系統建設立項階段，明確系統信息安全保護等級，將安全基線知識庫相應部分標準作為建設標準交予建設方。在項目驗收階段，工程師利用安全基線知識庫相關標準作為技術驗收標準對系統進行安全測試驗收。同時，借助安全基線知識庫，在虛擬化平臺上建立了多套操作系統模版，加快了新系統上線部署調試的過程。改進更新。上海市民政局每年均對安全基線體系的運行情況進行檢查，對不當或與現有業務不相適應的條款進行更新，為新引入的產品或系統建立新的安全基線。

通過安全基線體系的建設與應用，上海市民政局有效提升了信息系統安全管理能力，提升了等級保護測評符合率，被上海市重要信息系統安全等級保護工作協調小組辦公室評為等保工作合格單位。基于信息安全等級保護的信息安全基線體系建設方法，能實現對信息系統安全配置及狀態的管理，提升不同單位信息安全管理能力及水平，增強信息系統防護能力。隨著物聯網、云計算、移動智能網等新技術應用，安全基線體系也面臨著新挑戰，需要加大研究投入，逐步建立相關技術的安全基線標準，以推動整體信息安全能力的提升。

作者：何勇亮朱曦萍