基线技术信息安全论文

摘要：研究了服务器安全基线，介绍目前通常使用的技术及检查方式，针对目前工具导致安全配置工作覆盖率难以保障，耗费大量的人力，周期长、效率低下等缺点，引入SCAP标准。下面小编整理了一些《基线技术信息安全论文(精选3篇)》，供大家参考借鉴，希望可以帮助到有需要的朋友。

基线技术信息安全论文 篇1：

基于安全基线的金融信息安全管理方法研究

摘 要：系统规模的不断扩大促使金融信息安全结构朝着复杂化，多元化发展，由此造成了重点应用和服务器使用量基数不断变大，因此，如果工作人员在操作过程中出现失误，就很有可能给系统的正常运转带来很大的不利影响。针对这些问题，笔者认为建立健全一套金融行业信息安全管理方面的安全基线规范是十分有必要的，是确保信息系统安全运行的重要手段。

关键词：安全基线；金融；信息安全；管理办法

0 引言

近几年来，安全基线在金融行业中的应用越来越广泛，从而提高了金融行业内部网络与金融信息系统的安全系数[1]。所谓安全基线，是指在确保网络通信相关设备正常运作的基础上，所要达到的最低层次的防护能力要求指标，是一套整体一致的安全基准。金融信息安全基线主要组成内容是一套统一的安全标准，表现某一时刻该金融单位总体信息安全所处状态，是此单位的信息安全水平综述。

1 背景

金融业系统规模扩大化影响了其内部业务系统的网络结构，使其朝着复杂方向发展[2]。由此而引发的重点应用和服务器的总类别增大，数量增大，一旦出现工作人员操作失误或从始至终采取同一种初始系统设置，引发对安全控制标准的不重视，造成不良结果影响系统正常运作的可能性就是非常大的。

2 安全基线理论

安全基线需要设定一致的理论规范，含基线标准、基线编号、基线所处状态、基线状态说明、基线改革方法、基线审批单等七项重点内容[3]。基线版本，是指对基线标准的改变实施跟踪、分析的方法和手段，可将其分成两部分：其一，是基线版本编号，代表的是基线标准中发生改变的内容，由四位阿拉伯数字组成，基线标准每发生一次改变，所对应的号码就随之加1；其二，是由六位阿拉伯数字组成的编号，代表含义是安全基线变更时使用的变更单编号。对于首次初始化的安全基线，需要审核工作人员在审批单的编号中注明“初始化”字样，在此后所有关于基线标准的增加、变更或删除、丢弃中，也都需要进行相关标注的审批单编号，方便日后对基线标注的发展流程进行查看和追溯。

3 基于安全基线的金融信息安全管理方法

安全基线管理方法是为了保证通信网络中所需要使用的设备能够正常运作而制定出的标准，是一系列的安全设置指标。金融企业下层运作体系中几乎囊括了操作系统、运营设备、数据库等多种类型在内的系统和设备。在运行系统的各个操作环节中，对各项设备实施安全检查和配置，从而确保运营系统的正常运转。安全基线管理方法将会为各种设备和运营系统提供全面的监测表格和操作指南，规范了标准化的技术安全操作，并为其提供校验标准和框架。金融行业在日常的操作运转中，使用统一的安全基线规范对其工作人员进行相关指导，使工作人员树立检查操作设备及过程中可能存在风险的意识，但是，如果所面临的信息系统中，系统复杂多样，设备多而种类各异时，想要彻底进行规范性的系统配置检修，却是一件并不容易的事，同时对检测人员的技术水平和工作经验都有着非常高的要求。这种情况下采取高效率、自动化、规范性的配置检查工具来帮助安全检查与评估是非常必须的[4]。

想要在信息系统中健全完善安全基线技术体系，就需要将安全基线管理方法针对整个企业运营过程进行规划，并落实到运营、管理过程中，从而达到安全基线管理方法的完整性、合理性、有效性等，在各个运营环节中都保障信息系统的安全可靠性和可信任度。安全基线管理方法涉及范围广、内容复杂，是一个贯穿于信息系统全过程的复杂管理系统，需要采用过程性的控制方式才能确保其有效执行。

4 信息安全基线实践

将信息安全基线管理进一步细分，可分为网络安全管理、技术安全管理、机房安全管理、信息安全管理等十项内容，其下又包含了近千个小标准，囊括了金融信息安全的方方面面，细化、明确了安全管理工作的各项要求，规范了一致的安全模板，对金融信息安全检查工作起到了有效的推动作用，促进金融信息安全工作朝着科学化、有效化发展[5]。但是，与之同在的还有目的各异的检查工作和存在很大差别的安全标准，这两种情况的存在很大程度上阻碍了金融行业信息安全工作的进行和发展。针对这一问题，我们究竟该制定怎样的安全标准，成为了近些年来金融行业有关信息安全工作方面亟待解决的问题。

4.1严格执行各项制度

严格执行各项制度已经成为一个老生常谈的问题，大部分人都不以为意，但是在实际的工作过程中，还是经常会出现为送人情无视制度、未经审批率先操作、为求高业绩不畏高危险等不良行为，不具备高度安全责任意识，制度严格把关不到位，信息安全工作做不到贯彻落实。随着金融信息系统的改革创新，安全基线也在不断的变化发展。将信息安全基线管理制度贯彻落实，将监督、检测、学习放到同等水平面，逐渐营造出按规章制度操作的环境氛围，通过加大执行力度来促进信息安全基线的落实。

4.2做好信息安全基线变更工作

虽然已经有一部分金融企业的管理部门制定了一定的安全基线模版作为行业内的安全基线，但依旧有许多不符合标准的现象[6]。针对这种情况，金融企业中利用信息安全基线的变动和定期向上反应，使管理层更加明确的了解和掌握下级部门的信息安全工作状况。对于目前尚未解决的问题，金融企业下级部门要对其原因进行分析，提出改进计划，总结改进过程中存在的问题、所需要的专门技术以及设备资金等，并及时反馈给上级领导。信息安全基线的初始化必须保证科学、合理。下级部门进行审批时要加强检查，对发生变更的安全标准进行及时检查和重复检查。

4.3加大技术投入力度，提高管理水平

金融企业上级部门施行管理决策，其重要依据是下级部门的信息安全基线。提高信息安全基线制度的实施力度，加强管理，加大信息安全检查力度，以此来确保信息安全基线管理高效率的落实到工作中。另外，下级部门还要加大技术投入力度，提高管理水平。针对目前信息系统建设相继完善、技术水平不断提高的现状，必须施行动态的安全基线来满足信息建设的安全。对所涉及到的可能存有安全问题的新领域，要有警惕心理，不定时的检查安全基线，如发现隐患及时更新，从而快速有效的解决风险，避免不良情况的出现。

信息技术快速、持续发展，给金融行业的科技工作带来了新的挑战，同时，信息安全基线的更新和完善也需要先进的科学技术做后盾。作为金融行业下级部门的科技人员，不断扩宽自己的知识范围，深化专业知识，进而提高信息安全基线的管理水平，满足金融业科学技术的发展要求。

5 小结

信息技术与网络化范围的不断发展和进步，逐渐将网络与信息系统安全推进人们的视野中，受到越来越热切的关注，并且，其对金融行业信息系统的常规运转和职能发挥也开始产生威胁。由此可以看出，对金融信息系统进行安全管理体系研究，实施科学合理的安全管理，对提高金融信息系统的安全性能是十分必要的。

参考文献

[1]王海蕴.金融业如何助力实体经济[J].财经界，2013（16）：46-47.

[2]陆磊.货币战争与金融稳定[J].南方金融，2013（5）：1.

[3]宫晓琳.互联网金融模式及对传统银行业的影响[J].南方金融，2013（5）：46-88.

[4]谌志华.安全基线管理在企业中的应用[J].计算机安全，2013（3）：19-22.

[5]李小雪，陈涛，吴鹏，等.电信运营商系统安全状态基线研究及应用[J].电信工程技术与标准化，2012（12）：31-35.

[6]刘兰，朱程荣.政务终端安全基线管理系统的设计与实现[J].计算机与现代化，2013（2）：173-176.

作者：赵忠鑫

基线技术信息安全论文 篇2：

基于SCAP的自动化安全基线核查研究

摘 要： 研究了服务器安全基线，介绍目前通常使用的技术及检查方式，针对目前工具导致安全配置工作覆盖率难以保障，耗费大量的人力，周期长、效率低下等缺点，引入SCAP标准。采用基于Agent/Server架构，通过在用户服务器上部署Agent程序，与后台联动来实现对大规模服务器环境操作系统、中间件、数据库进行自动化安全基线（主要是安全配置）核查，对核查结果的科学性、准确性起到促进作用，同时加快了检查的进度，提高了工作效率。

关键词： SCAP； 安全基线； 中间件； 设备发现

Automated security baseline verification based on SCAP

Chen Jun， Rao Jie， Chen Hong， Wan Yaping

（School of Computer Science and Technology， University of South China， Hengyang， Hunan 421001， China）

Key words： SCAP； security baseline； middleware； device discovery

0 引言

随着计算机通信技术的飞速发展，由系统配置而导致的安全问题越来越多。安全内容自动化协议（SCAP）为系统配置的标准化以及对系统配置的脆弱性评估提供了一种统一的方法。越来越多的厂商、组织和社团加入到SCAP的研究中，推动SCAP成为真正意义的全球标准。2010年11月7日至16日，IETF79研讨会在北京召开，全球数以千计的科研工作者参加了这次盛会，其中一个很重要的议题就是讨论将安全内容自动化协议（SCAP： Security Content Automation Protocol）引入IETF（互联网工程任务组：Internet EngineeringTask Force）标准化，使之成为真正意义上的全球标准[3]。

本文通过引入SCAP标准，建立安全基线检查策略库，同时研发安全基线检查系统对目标服务器展开合规安全检查，找出不符合的项进行告警以控制安全风险。同时监控服务器的资源使用情况，通过对历史数据的分析获得业务系统安全状态和变化趋势，并以报表的形式展示给安全和管理人员，以解各个行业安全管理人员的燃眉之急。

1 安全基线的基本内容

安全基线的定义并没有一个统一的标准，根据业界常用的定义描述：安全基线是一个业务系统的最小安全保证，即该业务系统要满足最基本的安全需求，构造业务系统安全基线是系统安全工程的首要步骤，同时也是进行安全评估、发现和解决业务系统安全问题的先决条件[2]。基本组成如图1所示。

从图1可以看到，安全基线比安全配置的范围更大，包括安全漏洞和系统状态。在充分考虑行业现状和行业最佳实践，并参考运营商的相关安全政策文件，继承和吸收国家等级保护、风险评估的经验成果等基础上，构建出基于业务系统的安全基线模型[4]。如图2所示。

业务系统的安全基线建立起来后，可以形成针对不同系统的详细漏洞要求、配置要求和状态要求的检查项（ Checklist），为标准化和自动化的技术安全操作提供可操作和可执行的标准[5]。

2 目前主要安全配置核查方式

2.1 人工检查方式

目前业内大部分公司对服务器安全配置是通过人工检查的方式进行。人工检查就意味着效率低下，一个人速度再快，检查、记录、分析一台服务器上的一个服务器软件的安全配置也需要10分钟或更长时间，现在一般企业单位的服务器数以百计，也有不少单位服务器数以千计，如果依靠人工检查就意味着：①只能抽样检查，不能全部覆盖；②检查周期长，一般为1～3个月检查一次。

2.2 自定义脚本检查

一些有开发能力的公司自己编写检查脚本来执行服务器安全配置核查，脚本的执行速度快，但也存在如下问题：

⑴ 脚本的编写、测试、维护需要花费大量时间，并需要有较强的技术能力支撑；

⑵ 脚本的执行结果最终需要转换为适合人类阅读的格式，并且需要统计、分析、分发给各个部门等，这些工作需要通过手工进行。

事实上，自定义脚本检查在企业信息系统中使用较少，即使有部分企业采用这种方式，在坚持一段时间之后往往也就停止了对自定义脚本的更新维护，最后退回到人工方式或采购自动化工具来执行。

2.3 自动化工具

一些安全公司注意到客户企业的需求，就开发了远程配置核查系统来帮助用户自动化基线检查，并自动生成相关报表，从而大大提升工作效率。目前，很多公司都采购了类似产品来执行安全配置核查，包括中国移动、电信行业公司等。目前此类工具市场上常见的有三家：绿盟远程安全配置核查系统、启明星辰安全配置核查系统、安恒安全基线远程评估系统。

目前业内的安全配置核查工具一次安全核查后将不符合项的报表发给相关人员，要求执行修复加固，在间隔一段时间（数周～1个月）后再进行下一次核查，并比对两次核查结果来判断上一次修复加固的结果。这种做法耗时太长，不能满足当前安全威胁日益加剧的形势下服务器安全的管理需要。

2.4 其他软件接口扩展定制

除了以上三种方式，还有一种方式，就是目前很多网管系统、配置管理系统虽然自身没有安全配置核查的功能，但系统本身提供了很多接口可以和服务器进行交换采集信息，因此有些公司会考虑在这些系统之上进行定制开发来实现安全配置核查。

例如一款在互联网公司很流行的开源网管系统Zabbix，它的客户端就支持以下多种采集方法：TCP/UDP监听商品、进程、服务、执行脚本、文件属性查询（校验和、存在性、MD5、大小、时间戳、WMI查询、文件内容获取（支持正则表达式）。

用户可以基于这些方法来采集需要获取的安全参数信息，并设定规则进行分析相关参数是否符合安全配置核查的要求；但这种定制需要很高的二次开发成本，而日后的维护、升级都存在很大的限制，因此虽然理论上可行，并且可以充分利用现已使用的系统，但实际中这种情况存在的很少。

3 高效解决方案简介

针对目前的缺点及不足，设计出基于Agent/Server架构，通过在用户服务器上部署agent程序，并和后台进行联动来实现安全基线的管理功能。其设计架构如图3所示。

此设计将服务器信息资产管理作为安全基线管理的基础，通过各种技术发现、识别、分析服务器信息资产变化，并以此为基础，实现基线PDCA持续改进的基线管理流程，如图4所示。

此方案采用多种技术实现信息资产管理。

⑴ 设备发现：在一个网段内如果有一台服务器安装了agent，可以将这台agent作为网段内的种子设备对同网段的其他设备进行网络发现，获取设备的主机名（如有），IP地址，MAC地址等信息。

⑵ 网卡厂商识别：设备发现技术中发现的各类设备，系统会根据获取到的MAC地址结合内置MAC地址知识库判断对应设备的厂商，以帮助用户识别该设备是网络设备还是服务器设备或是虚拟主机设备。

⑶ 本地软硬件信息采集：服务器安装agent之后，会自动采集本地的硬件和软件信息。

⑷ 服务器软件识别：服务器安装了agent之后，agent会基于系统内置的知识库识别出该服务器上运行的中间件、数据库等服务器软件，并获取安全核查可能需要的相关软件参数，以便为安全基线任务检查做准备。

⑸ 应用采集：本系统的一项重要功能，服务器上安装了agent之后，如该服务器上有正在运行的中间件软件，agent会基于系统内置的知识库来分析中间件上部署了哪些web应用和相关的配套信息。

⑹ 设备跟踪技术：通过agent内置的软硬ID来识别设备有无发生变更，例如硬件变化、重装操作系统，重装agent等，以此来跟踪设备的变化情况。

4 结束语

通过SCAP标准定义的方法和安全模型，可以做到：第一，普通用户无需关心具体的采集方法，只需要通过勾选采集项即可完成对关心的安全配置信息的采集；第二，高级用户可以通过调用上述采集方法来实现系统未直接提供的安全配置信息项的采集，通过这种机制，保证了系统在安全配置信息采集上的易用性和扩展性。

通过对SCAP标准的支持，Agent仅允许使用上述采集方法来对服务器上的各类安全参数进行检查，根据SCAP标准规定，这些采集方法中又设置了严格的访问控制模型，从而避免了Agent在执行安全基线检查时对服务器产生诸如：写操作、修改操作等危险性操作，从而保障了服务器运行时的安全性。此研究能满足对大规模服务器环境操作系统、中间件、数据库进行自动化安全基线（主要是安全配置）核查，对核查结果的科学性、准确性起到促进作用，同时加快了检查的进度，提高了工作效率。

参考文献（References）：

[1] 李晨，王伟.安全基线控制在风险管理过程中的应用[J].网络

安全技术与应用，2009.9：4-7

[2] 桂永宏.业务系统安全基线的研究及应用[J].计算机安全，

2011.10：11-15

[3] 艾特赛克（atsec），张力.SCAP标准简介[J].中国信息安全，

2011.5：82

[4] 谌志华.安全基线管理在企业中的应用[J].计算机安全，

2013.3：19-21

[5] 王玉萍，段永红，洪岢.安全基线在银行业的应用与实践[J].计

算机安全，2011.8：30-36

[6] 罗朝宇，王福新，李宗涛.基于SCAP框架的信息系统安全基

线技术研究与应用[J].电力信息与通信技术，2014.7：97-100

[7] 王珩，诸葛建伟.利用SCAP有效进行主机安全管理（一）[J].中

国教育网络，2012.12：75-78

[8] 王珩，诸葛建伟.利用SCAP有效进行主机安全管理（二）[J].中

国教育网络，2013.1：75-78

[9] 何勇亮，朱曦萍.信息安全等级保护的安全基线研究与实践[J].

上海信息化，2014.10：56-58

作者：陈军 饶婕 陈虹 万亚平

基线技术信息安全论文 篇3：

利用集中管理系统提升网络设备安全管理效率

摘要：当前国家对网络安全日益重视，网络设备安全管理包括配置检查，参数变更，巡检日志归档，安全基线核查等内容。而信息网络设备爆炸式增长，不同厂商网络设备管理配置存在极大差异，亟需提升管理效率。本文阐述了信息管理部门当前所面临网络设备集中安全管理存在的问题，分析并设计对应的解决方案，采用putty工具结合运维审计系统，开发SSH指令自动化执行工具，提高网络设备集中管理的效率以及安全基线合规性，规范网络管理的工作流程以及工作内容，保障企业信息网络的稳定运行以及网络安全。

关键词：集中管理;网络监控;安全基线

随着企业信息化建设的飞速发展，企业信息网络的发展规模也随之不断扩大，网络设备数量急剧增长，网络结构复杂度也越来越高。

网络设备安全管理包括配置检查、参数变更、巡检日志归档以及安全基线核查等内容。目前，网络设备安全管理工作效率低[1]，作业规范化难度大，当网络设备出现故障时，排查周期长，批量修复的难度高。因此，亟需设计一种网络设备集中管理系统（以下简称“系统”），对企业的网络设备进行集中的管控，通过自动化采集配置、分析配置参数，能够检测安全基线合规性并提供告警信息，为事前分析提供决策，做到预防为主。

1 现状分析

1.1网络设备运维的主要问题

（1）手工操作耗时长

目前市场上存在的网络管理工具授权昂贵，信息运行维护人员需要通过运维审计系统对300台网络设备配置文件进行备份、归档管理，耗时较长。

（2）故障查找效率低

部分网络设备配置的局部变动会对信息网络造成较大的影响，目前只能通过人工进行配置对比，故障查找效率低。

（3）设备安全合规性不高

网络设备安全防护要求高[2]，入网设备必须符合安全基线配置要求。当前只能通过人工检查手段进行安全基线配置核查，并且检查覆盖面不广，网络设备的安全合规性不高[3]。

2系统架构设计

系统架构总体分为3层，即信息展示层、集成交互层以及消息层。

（1）信息展示层

该层主要包括网络设备命令执行日志信息展示、系统参数配置及其他参数设定等功能。日志信息包括实时的备份网络设备配置、配置差异对比以及安全基线检测输出;系统参数配置包括网络设别列表、SSH命令、安全基线检测的命令参数以及日志文件的保存目录等。

（2）基层交互层

该层主要作用是对PUTTY工具的启动、关闭以及执行、捕获相关的SSH命令的输出返回信息，当有新的命令返回信息输出以后，自动将返回信息按照相关的业务规则进行二次对比，去除按键信息后按照日志文件存储规则保存至备份文件目录。

（3）消息处理层

该层主要作用是对网络设备列表、SSH命令库以及安全基线命令库的加载规则、检测规则进行入队操作，根据检测的网络设备品牌分类，自动执行相应的SSH检测命令。

3关键技术研究

通过开发SSH指令自動化执行工具，基于PUTTY工具获取网络设备的配置参数，实现网络设备配置参数的采集、备份、归档以及检验等过程。通过梳理交换机的常用运维指令以及信息安全基线配置要求，以及作业指导书交换机日常运维、巡检工作的流程，各个工作环节的输入、输出信息，制定了系统的设计思路和方案。可以将以上数据处理流程简要地划分为以下5个处理环节：维护网络设备列表、建立SSH命令模板、配置PUTTY工具参数、执行检测过程以及配置结果捕获及存储、网络设备配置的对比及安全基线检测。

3.1维护网络设备列表

网络管理员通过命令行维护的管理功能，可将需要监控的网络设备信息输入系统，输入的信息包括设备的IP地址、账号、密码、超级密码以及设备品牌等。因各品牌之间的设备维护命令存在差异，增加了品牌分类的维护参数主要用于区分各类设备所采用的SSH命令模板，使系统可以自适应不同品牌、不同版本的网络设备维护。

3.2建立SSH命令模板

SSH命令模板由执行序号、命令行、标志位以及品牌构成。

根据不同品牌的网络设备，网络管理员梳理出网络设备的日常运维命令以及信息安全基线配置要求，然后根据品牌以及所选择的网络设备列表，加载至系统缓存，系统根据交换机列表，先按照IP序列循环执行，再根据相应的设备品牌方案中SSH命令列表递归执行，直到设备都能够按照命令执行完毕。

3.3执行检测过程以及配置结果捕获及存储

系统根据网络设备列表自动登陆网络设备，将命令模板的内容下发至网络设备，并将网络设备返回信息记录至PUTTY日志信息中。通过采集PUTTY日志信息，自动捕获日志内容进行存储分析;系统自动将日志信息分段截取，按照日期为文件夹，设备IP为文件名，保存为每台网络设备独立检测日志文件。

3.4网络设备配置的对比及安全基线检测

由于采集的配置信息内容过多，对于同一台交换机所发生的细微的配置变化，人为的检查过程耗时较长，因此通过系统的日志对比功能，可将同一设备的配置信息进行比较，当配置出现不一致时，配置变化所在行高亮显示，使网络管理员能够快速地定位设备的配置变化。

系统具有网络设备信息安全基线核查功能，通过安全基线检测命令设置，可遍历采集岛的网络设备配置信息，然后通过设备品牌类别进行自动匹配，给出网络设备信息安全基线分析结果;系统可以按照文件或者文件夹批量地在配置文件中检查相关的特征指令，给出相应的检测结果，并可以快速定位至该配置文件的所在行，可用于检查某一设备是否存在安全隐患的配置信息。

4结语

保障网络资源的可用性以及网络安全是当前网络管理的核心内容，网络设备的日常运行维护也由此变得尤为重要。网络设备集中管理系统通过实现配置参数的自动采集、备份、分析、基线检测等功能，为网络管理人员对数量众多的分布式网络设备进行高效、规范以及实时性地管理提供了技术手段。该系统的应用在提高工作效率的同时，也带来了新的安全隐患。因此，如何合理地利用系统，仍需要配套的管理制度或者管理措施加以规范利用，以提升其实际的应用价值。

参考文献

[1] 黄凯瑄.网络管理与发展[J]. 甘肃水利水电技术，2004（02）.

作者：陆力瑜