安全基线是一个信息系统的最小安全保证,即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求,也就无法承受由此带来的安全风险,而非基本安全需求的满足同样会带来超额安全成本的付出,所以构造信息系统安全基线己经成为系统安全工程的首要步骤,同时也是进行安全评估、解决信息系统安全性问题的先决条件。 安言咨询为企业提供的信息系统全生命周期安全基线工作是以《国家信息系统安全等级保护基本要求》为基础,以相关行业信息安全及风险监管条例安全基线要求、信息安全技术信息系统通用安全技术要求、信息安全技术操作系统安全技术要求、信息安全技术数据库管理系统安全技术要求、信息安全技术服务器安全技术要求为参考,结合互联网应用环境中高危风险威胁分析,及客户方信息系统安全管理和安全技术现状,对服务端操作系统、中间件、数据库、应用系统,针对安全技术方面提出的不同安全等级的保护要求制定基线标准。 安全基线的梳理工作需要对操作系统、中间件、数据库各个版本的特性及区别以及应用系统的安全需求进行调...