安全基线管理办法，企业如何做好安全基线配置

一、为什么要做基线配置管理

一个组织在不同的时期部署了不同的业务系统，承载业务系统的是不同的操作系统和支持系统。业务系统在运行期间，基本上很少做操作系统的升级或变更。再就是由于不同供应商的支持原因，导致现存的操作系统和应用版本跨度很广，安全人员或运维人员资源不够的情况下很难支持做基线配置工作。

对组织的运维和安全人员来说，如果运行的业务系统一直不出事，是想不到要做基线配置、升级补丁、修复漏洞这些事情的，考虑做基线管理安全基线管理办法，通常来自于3个原因：

* 合规性性要求，上级安全检查；

* 遇到安全事件，根源落在安全配置或加固未做好的原因上；

* 有经验的安全运维人员主动推动。

做好基线配置和加固是安全运维工作中很基础的工作，却跟很多安全事件有着紧密关系，如登录策略未配置好导致账号可以爆破、敏感信息泄露、默认口令、开启了含有漏洞服务的端口。做好基础的基线管理和系统加固可以在很多突发安全漏洞情况有足够的响应处理时间。

二、怎样做好基线配置管理

从整个安全工作来说，需要组织高层的支持，基线配置管理也同样需要，安全运维人员需要跟业务、开发、运维一起讨论，定制一个适用的基础运维环境统一计划，使用相同版本的操作系统和应用软件（容器、框架）。开发人员（包括外包开发）使用运维的建议的操作系统版本定制开发。运维人员使用分发软件（如：、）统一做基线的配置修改。可以参考如下步骤：

建立基线配置管理规划

在了解组织现有资产情况（负责人是谁？现在运行的操作系统是什么版本，支持系统是什么版本？供应商是谁？是否还有开发或外包开发支持等）。同业务、开发、运维一起讨论制定合理的版本统一化建议，对统一化的时间达成一致的共识，并寻求最高管理层的支持。

实施情况和实施效果跟绩效关联，明确基线的订制、实施、评审责任，有检查手段能够确认安全基线未能成功部署的原因安全基线管理办法，企业如何做好安全基线配置，有奖惩措施会提高基线落实的效果。

定制基础操作系统镜像

基础镜像包括选择那个版本的操作系统、如何进行分区，如何最小化安装，如何部署必须的工具软件（如杀毒，主机入侵检测、运维系统等），统一做好的基础操作系统镜像分发给开发作为基础的定制开发环境。

制定基线配置模板

基线配置模板可以包含运维和安全2个部分，运维部分如性能相关配置、稳定性相关配置、个性化配置。同一个应用（、IIS、等）可以做成一个统一的配置模板由、进行分发。同时也可以做一份标准化配置脚本，在部分能分发的情况下也能统一基线配置。

安全的基线配置可以参考2个来源：工信部基线配置要求；

：/// 的安全配置建议，内容很多，虽然是英文版本的，建议读一下，写清楚了为什么要修改成的配置原因，更新也比较及时。

分发基线配置

分发基线配置最好和运维一起做，由运维支撑系统进行分发，可以加速效率。如果运维目前阶段还没有统一的分发管理系统，可单个用配置脚本完成，这样效率就很低。

基线配置检查

基线配置检查有独立的商业产品可以支持，也可以使用运维管理系统进行检查。

基线配置修订

每隔几年主流操作系统就会进行一次大版本的升级，商业版的操作系统也有可能供应商不在支持，需要建立基线修订的触发条件，满足什么情况下对基线进行修订考什么证赚钱多，按照提前做好的修订流程修订基线配置。

三、基线管理配置的文档示例

同安全文档要求，分为3级文档，1级是指导规范，2级是具体操作要求，3级是结果和检查记录。

《安全基线技术规范》

其中框架分类可以参考CIS 的分类。

《XX基线配置》

还有种常见的基线配置文档见下面

检查记录可以在基线配置文档增加个符合选项。

四、总结

落实好基线配置还是于其他部门做好配合，一般安全基线的创建和检查属于安全部门负责，实际的实施由运维来做，如果没有比较成熟的运维能力和系统支持，做基线效率很低容易遗漏。安全人员可以协助运维建立基础运维支撑环境，安全运维和运维共通的部分很多，很多痛点是一样的，多和其他部门的人员沟通，一起提升组织的安全防御能力。资源不足就想办法标准化和自动化。

现在很多业务系统在云上部署，也有组织实施了 方案，使用 直接部署应用，基线配置也需要跟上技术趋势，如 中配置安全的镜像， 的安全配置。

核心关注：拓步ERP系统平台是覆盖了众多的业务领域、行业应用，蕴涵了丰富的ERP管理思想，集成了ERP软件业务管理理念，功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理，全面涵盖了企业关注ERP管理系统的核心领域，是众多中小企业信息化建设首选的ERP管理软件信赖品牌。

安全生产安全管理体系，坚持问题导向 压实安全责任 以高质量安全保障高质量发展

4月4日，集团公司召开2023年全国邮政安全生产电视电话会议，总结过去一年邮政安全生产工作，分析当前安全生产形势，部署2023年安全生产重点工作。会议强调，要坚定不移以习近平新时代中国特色社会主义思想为指导，全面贯彻落实党的二十大精神，深入贯彻落实习近平总书记关于安全工作重要指示批示精神，落实集团公司“十大战略任务”，树牢安全发展理念，统筹发展和安全，坚持“管业务必须管安全、管生产经营必须管安全”，完善安全生产管理体系，加强安全生产标准化建设，推行风险分级管控和隐患排查治理双重预防机制，推动安全管理关口前移，强化科技兴邮，加快安全生产智能化应用，聚焦“人身、邮件、金融、消防、交通、信息、航空、机要”八大领域，防范化解风险隐患，守住安全红线底线，打造更高水平“平安邮政”，以高质量安全保障中国邮政高质量发展。集团公司党组书记、董事长刘爱力对会议作出批示，副总经理温少祺出席会议并讲话。

刘爱力在批示中指出，过去一年，集团公司坚持安全第一、预防为主安全生产安全管理体系，坚持问题导向 压实安全责任 以高质量安全保障高质量发展，不断统筹发展和安全，压实安全生产主体责任，落实十五条硬措施，狠抓安全隐患排查整治，取得可喜成效，全系统未发生重大生产安全事故，未发生重大金融安保类案件，圆满完成了党的二十大、北京冬奥会冬残奥会等重大活动安全服务保障工作，为企业安全平稳运行提供了有力保障。他强调，全系统要深入贯彻落实习近平总书记重要指示批示和党的二十大精神，坚决做好安全生产各项工作。一要落实全员安全生产责任制，按照“管业务必须管安全，管生产经营必须管安全”和“党政同责、一岗双责、齐抓共管、失职追责”要求，不断压实各单位、各部门、各岗位安全生产责任。二要加快安全管理体系建设，明确任务分工，形成推进机制安全生产安全管理体系，确保年内建成覆盖全员、全过程、全方位的安全生产管理体系，推进安全治理体系和治理能力现代化。三要强化风险隐患排查整治，突出做好邮件、作业、金融、消防、交通、信息、航空、机要、外包等重点领域安全风险隐患排查，建立隐患整改清单，抓好问题整改。四要加强邮政安防科技赋能，加快智能分析技术在安全生产监测、预警、处置、评估等方面应用，推动安全治理数字化、数智化，不断提高安全管理水平，为中国邮政高质量发展保驾护航。

温少祺在讲话中指出，要坚持居安思危，强化忧患意识，准确把握新时代新征程对安全工作的新要求，充分认识当前安全生产面临的复杂严峻形势，深刻剖析邮政企业安全生产存在的短板不足，切实增强抓好安全生产的责任感、使命感、紧迫感。要坚持问题导向，狠抓工作落实，以时时放心不下的责任感，抓好安全生产，做到“七个不动摇”：一是坚持彰显央企政治责任不动摇，牢牢守住安全生产红线底线；二是坚持压实安全主体责任不动摇，巩固安全生产齐抓共管良好格局；三是坚持安全管理体系建设不动摇，推进安全标准化规范化管理；四是坚持重点领域问题导向不动摇，全力防范化解重大风险隐患；五是坚持技术业务深度融合不动摇，加快推动邮政安防科技赋能；六是坚持打造高素质安保队伍不动摇，全面提升安全履职能力；七是坚持“严管就是厚爱”不动摇，不断加大安全问责考核力度，全力以赴以高质量安全护航中国邮政高质量发展。

集团公司安全保卫部从更好统筹发展和安全、压紧压实安全生产责任，落实建体系强管理任务要求、推进安全治理体系和治理能力现代化，强化重点领域安全管控、坚定不移抓好风险隐患防控，加快打造高素质安保人才队伍、推进安全合规文化建设，落实“数字邮政”战略任务、加快推动邮政安防科技赋能考什么证赚钱多，完善安全问责机制、加大安全考核力度等6个方面，对2023年安全生产重点工作进行了部署。重庆、安徽、江苏等省（市）邮政分公司和邮储银行四川省分行作了经验交流发言。