1、概述

隨著我國(guó)互聯(lián)網(wǎng)業(yè)務(wù)模式進(jìn)一步豐富，設(shè)備數(shù)量急劇增加，網(wǎng)絡(luò)規(guī)模成倍擴(kuò)展，導(dǎo)致網(wǎng)元設(shè)備參數(shù)和策略配置更加復(fù)雜，容易出現(xiàn)誤配置或策略漏洞，造成設(shè)備帶病入網(wǎng)和運(yùn)營(yíng)，增大了非法入侵、信息泄露的安全威脅，提高了后續(xù)運(yùn)維的安全防護(hù)成本，降低了網(wǎng)絡(luò)可靠性，除了影響人們的日常生活之外，還可能帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失，因此需要進(jìn)一步提升配置合規(guī)性管理水平，但是由于設(shè)備類型版本多樣，參數(shù)和策略配置項(xiàng)眾多，傳統(tǒng)人工手動(dòng)核查的方式耗時(shí)耗力、客觀性差，亟需一種平臺(tái)化、自動(dòng)化的解決方案，推動(dòng)安全配置基線核查工作的常態(tài)化和標(biāo)準(zhǔn)化。

2、安全基線定義

網(wǎng)絡(luò)設(shè)備安全基線是指對(duì)一個(gè)通信網(wǎng)元的最小安全保證，即網(wǎng)元需要滿足現(xiàn)網(wǎng)運(yùn)維和業(yè)務(wù)運(yùn)維安全需求的最基本的、最重要的軟硬件版本、參數(shù)設(shè)置，從而在不大規(guī)模增加網(wǎng)絡(luò)復(fù)雜性和維護(hù)投資的前提下，使通信網(wǎng)絡(luò)中所有系統(tǒng)、設(shè)備能夠得到統(tǒng)一的、最低要求的安全保障，減少一些初級(jí)的、可預(yù)知的安全隱患，便于維護(hù)與管理，提高全網(wǎng)安全防護(hù)水平。

配置基線要求涵蓋范圍包括通信網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備以及運(yùn)行在這些設(shè)備中的操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)、中間件等軟硬件實(shí)體。

3、系統(tǒng)功能需求分析

該系統(tǒng)作為一款輔助運(yùn)維工具，一方面要能夠?qū)崿F(xiàn)采集、核查和圖表生成等操作的自動(dòng)化、可視化，提高安全運(yùn)維效率；另一方面則要能夠具備一定的分析評(píng)估能力，為安全管理提供輔助決策。因此，本系統(tǒng)主要功能設(shè)計(jì)如下。

3.1 數(shù)據(jù)采集功能

支持本地和遠(yuǎn)程方式的配置參數(shù)提取功能，通過(guò)事先預(yù)置的口令和訪問(wèn)模式連接核查目標(biāo)，通過(guò)自動(dòng)化腳本收集相關(guān)設(shè)備安全配置信息，并確保系統(tǒng)能夠在具有各種安全防護(hù)措施的實(shí)際場(chǎng)景下收集到完整的配置數(shù)據(jù)。在級(jí)聯(lián)模式下，系統(tǒng)還支持向上級(jí)平臺(tái)提交所采集的數(shù)據(jù)和分析的結(jié)果。

3.2 數(shù)據(jù)分析功能

自動(dòng)化核查系統(tǒng)在采集到相關(guān)配置數(shù)據(jù)后，可以在本地進(jìn)行分析也可以將配置參數(shù)上報(bào)上級(jí)分析平臺(tái)，由上級(jí)分析平臺(tái)進(jìn)行分析，相關(guān)分析功能如下。

a） 能夠依據(jù)用戶指定相關(guān)合規(guī)指標(biāo)，判斷目標(biāo)主機(jī)上的檢查項(xiàng)目達(dá)標(biāo)與否，并對(duì)不達(dá)標(biāo)項(xiàng)進(jìn)行告警顯示。

b） 支持對(duì)各種安全規(guī)范要求中的所有檢查項(xiàng)目進(jìn)行等級(jí)區(qū)分，能夠進(jìn)行權(quán)重調(diào)整，能夠依照百分制對(duì)目標(biāo)主機(jī)的達(dá)標(biāo)情況打分，每個(gè)檢查參數(shù)的分值可以預(yù)先設(shè)置。

c） 能夠進(jìn)行歷史數(shù)據(jù)查詢、任務(wù)合并、匯總查看、對(duì)比分析、趨勢(shì)分析等，能夠進(jìn)行多個(gè)檢查任務(wù)或多個(gè)IP風(fēng)險(xiǎn)對(duì)比。

d） 內(nèi)置專家知識(shí)庫(kù)，具備輔助分析的功能，能夠?qū)W(wǎng)絡(luò)安全合規(guī)性進(jìn)行評(píng)估，給出完善建議。

3.3 任務(wù)管理功能

安全配置基線核查系統(tǒng)能夠?qū)瞬槿蝿?wù)進(jìn)行配置管理，支持任務(wù)命名與分組設(shè)置；支持任務(wù)定時(shí)、周期設(shè)置；支持核查模板的定制修改和導(dǎo)入導(dǎo)出；支持對(duì)核查參數(shù)的權(quán)重賦值；支持訪問(wèn)口令和訪問(wèn)模式的設(shè)置；支持核查掃描時(shí)間和周期的設(shè)置；支持核查結(jié)果上報(bào)方式設(shè)置等。

3.4 圖表輸出功能

為了配合操作人員進(jìn)行輔助決策，要求系統(tǒng)具備圖表定制和輸出功能。

a） 支持核查結(jié)果圖表顯示條目的自定義，除了包括核查結(jié)果軟硬件版本信息、配置信息、漏洞信息等基本檢查項(xiàng)，還要能夠增加地理位置、機(jī)房信息、設(shè)備用途等標(biāo)示信息。

b） 支持核查圖表導(dǎo)出，支持HTML、Excel、PDF、Word等主流格式，內(nèi)容應(yīng)包含整體概述、各設(shè)備的檢查列表等信息。

c） 支持圖表遠(yuǎn)程上報(bào)。

3.5 系統(tǒng)管理功能

該系統(tǒng)應(yīng)能夠提供用戶、角色和組織機(jī)構(gòu)管理權(quán)限劃分功能；實(shí)現(xiàn)對(duì)系統(tǒng)配置檢查功能日志的記錄與查詢；提供分布式組件管理，實(shí)現(xiàn)對(duì)分布式離線采集器和單機(jī)代理的管理；提供對(duì)系統(tǒng)數(shù)據(jù)的維護(hù)配置管理，支持系統(tǒng)自動(dòng)、手動(dòng)更新。

4、系統(tǒng)架構(gòu)設(shè)計(jì)

根據(jù)功能和工作模式需求，本系統(tǒng)按照軟件分層及模塊化的思想進(jìn)行設(shè)計(jì)，不同功能模塊可以靈活地以服務(wù)的形式部署在不同主機(jī)上，便于合理分配資源和性能調(diào)優(yōu)。

系統(tǒng)架構(gòu)可分為表示層、業(yè)務(wù)邏輯層、數(shù)據(jù)訪問(wèn)層和底層數(shù)據(jù)庫(kù)，具體設(shè)計(jì)如圖 1所示。

圖1 系統(tǒng)架構(gòu)

a） 表示層：主要表現(xiàn)為UI界面的形式，負(fù)責(zé)系統(tǒng)的可視化呈現(xiàn)以及處理用戶與系統(tǒng)之間的交互，負(fù)責(zé)將用戶輸入的指令和數(shù)據(jù)交付給業(yè)務(wù)邏輯層進(jìn)行邏輯處理，包括任務(wù)配置界面、任務(wù)報(bào)告界面、高級(jí)數(shù)據(jù)分析界面、用戶角色管理界面和日志記錄管理界面。

b） 業(yè)務(wù)邏輯層：接收表示層提交的用戶操作，調(diào)用不同的邏輯處理模塊。在處理過(guò)程中，根據(jù)業(yè)務(wù)需求向數(shù)據(jù)訪問(wèn)層請(qǐng)求訪問(wèn)相應(yīng)數(shù)據(jù)。業(yè)務(wù)邏輯層是整個(gè)系統(tǒng)的核心部分，負(fù)責(zé)數(shù)據(jù)信息處理及核查任務(wù)執(zhí)行等關(guān)鍵職能。它主要包括以下幾個(gè)子部分：

（a） 配置核查引擎。對(duì)用戶提交的核查任務(wù)進(jìn)行分析、分解，獲取核查任務(wù)的相關(guān)信息，包括核查設(shè)備以及所采用的模板等，之后交付協(xié)議連接引擎進(jìn)行遠(yuǎn)程連接協(xié)商。

（b） 協(xié)議連接引擎。每臺(tái)被核查設(shè)備都事先規(guī)定了各自的遠(yuǎn)程連接方式。協(xié)議連接引擎支持多種遠(yuǎn)程連接協(xié)議，可根據(jù)設(shè)備要求選擇不同的連接模塊，與目標(biāo)設(shè)備協(xié)商建立遠(yuǎn)程連接，其中包括參數(shù)協(xié)商以及身份認(rèn)證等。

（c） 數(shù)據(jù)采集引擎。遠(yuǎn)程連接上目標(biāo)設(shè)備后，通過(guò)連接執(zhí)行模板中各個(gè)檢查項(xiàng)對(duì)應(yīng)的腳本，將采集到的設(shè)備配置保存到結(jié)果文件中。

（d） 掃描信息處理模塊。對(duì)數(shù)據(jù)采集引擎返回的結(jié)果文件進(jìn)行處理和判斷，交付到報(bào)表引擎等模塊進(jìn)行數(shù)據(jù)分析。

（e） 報(bào)表引擎。報(bào)表展示的核心處理模塊，借助表格、圖像等UI控件將核查結(jié)果以可視化的形式展現(xiàn)給用戶。

（f） 數(shù)據(jù)分析引擎。根據(jù)用戶的需求，對(duì)特定核查任務(wù)數(shù)據(jù)進(jìn)行高級(jí)數(shù)據(jù)分析，支持的分析方法有對(duì)比分析、趨勢(shì)分析等。

（g） 用戶信息管理。負(fù)責(zé)處理用戶個(gè)人信息的修改以及管理員增加或刪除用戶等操作。

（h） 權(quán)限驗(yàn)證。提供系統(tǒng)授權(quán)使用的信息，包含登錄用戶權(quán)限、授權(quán)使用模塊、授權(quán)存取信息等。

（i） 日志記錄。提供系統(tǒng)日志，實(shí)時(shí)記錄用戶的敏感操作，并支持管理員用戶維護(hù)日志。

c） 數(shù)據(jù)訪問(wèn)層：該層封裝了存取數(shù)據(jù)的接口，根據(jù)業(yè)務(wù)邏輯層的需要提供相應(yīng)的數(shù)據(jù)服務(wù)。在本系統(tǒng)中，對(duì)于模板、腳本和設(shè)備數(shù)據(jù)，數(shù)據(jù)訪問(wèn)層只需提供數(shù)據(jù)讀取接口，至于任務(wù)配置、核查結(jié)果、用戶和日志等數(shù)據(jù)，則要求數(shù)據(jù)訪問(wèn)層支持讀取和寫(xiě)入。

d） 數(shù)據(jù)庫(kù)：存儲(chǔ)設(shè)備安全基線配置核查分析系統(tǒng)所需的各種數(shù)據(jù)，至少應(yīng)該包括以下7個(gè)方面：模板數(shù)據(jù)、腳本數(shù)據(jù)、設(shè)備數(shù)據(jù)、任務(wù)配置數(shù)據(jù)、核查結(jié)果數(shù)據(jù)、用戶數(shù)據(jù)和日志數(shù)據(jù)。

5、主要功能模塊實(shí)現(xiàn)

5.1 設(shè)備配置數(shù)據(jù)采集功能

設(shè)備配置數(shù)據(jù)采集模塊支持用戶通過(guò)在線的方式采集子網(wǎng)內(nèi)目標(biāo)設(shè)備的配置數(shù)據(jù)。用戶可以根據(jù)自身的需求，選用不同的采集模板收集多項(xiàng)設(shè)備配置數(shù)據(jù)。當(dāng)確定模板之后，用戶還需要指定目標(biāo)設(shè)備，啟動(dòng)采集任務(wù)。

系統(tǒng)響應(yīng)用戶發(fā)出的啟動(dòng)命令，開(kāi)始通過(guò)遠(yuǎn)程連接協(xié)議嘗試連接目標(biāo)設(shè)備。成功連接之后，系統(tǒng)向目標(biāo)設(shè)備發(fā)送采集腳本命令。目標(biāo)設(shè)備執(zhí)行完腳本命令后，將執(zhí)行結(jié)果（即相應(yīng)的配置數(shù)據(jù)）返回給系統(tǒng)，交由系統(tǒng)保存。根據(jù)目標(biāo)設(shè)備的類型需要采用不同的遠(yuǎn)程連接協(xié)議。系統(tǒng)支持實(shí)現(xiàn)3種遠(yuǎn)程連接協(xié)議：Telnet、SSH和WinRM。圖 2為設(shè)備配置數(shù)據(jù)采集模塊的結(jié)構(gòu)示意圖。

圖2 設(shè)備配置數(shù)據(jù)采集模塊的結(jié)構(gòu)示意圖

設(shè)備配置數(shù)據(jù)采集模塊的輸入有2項(xiàng)，分別是采集模板的ID和目標(biāo)設(shè)備的IP，輸出則是以XML文件形式保存的設(shè)備配置數(shù)據(jù)。當(dāng)操作人員輸入功能命令（即啟動(dòng)任務(wù)）后，界面UI將操作人員輸入的采集模板ID與目標(biāo)設(shè)備IP傳入設(shè)備配置數(shù)據(jù)采集模塊，模塊開(kāi)始進(jìn)行配置數(shù)據(jù)的采集工作。模塊首先根據(jù)目標(biāo)設(shè)備的IP從數(shù)據(jù)庫(kù)的設(shè)備數(shù)據(jù)中讀取目標(biāo)設(shè)備的其他信息，其中包括目標(biāo)設(shè)備的遠(yuǎn)程登錄方式、登錄用戶名及密碼等。之后根據(jù)預(yù)設(shè)的遠(yuǎn)程登錄方式選擇調(diào)用不同的遠(yuǎn)程連接子模塊，如Telnet、SSH和WinRM。在成功連接上目標(biāo)設(shè)備之后，再根據(jù)模板ID從數(shù)據(jù)庫(kù)的模板數(shù)據(jù)中讀取相應(yīng)的腳本命令，根據(jù)遠(yuǎn)程連接協(xié)議采用不同的方式將腳本命令交由目標(biāo)設(shè)備執(zhí)行，并實(shí)時(shí)地將收集到的設(shè)備配置（即腳本命令的執(zhí)行結(jié)果）保存至一個(gè)XML文件。等到所有設(shè)備都掃描完畢時(shí)，設(shè)備配置數(shù)據(jù)采集模塊的工作結(jié)束。

5.2 核查任務(wù)結(jié)果分析功能

核查任務(wù)結(jié)果分析模塊主要完成以下3個(gè)方面的功能。

5.2.1 結(jié)果判定

分析設(shè)備配置數(shù)據(jù)采集模塊生成的結(jié)果XML文件，根據(jù)通信網(wǎng)絡(luò)安全基線規(guī)范，判斷核查設(shè)備的檢查項(xiàng)目是否達(dá)標(biāo)，并對(duì)不達(dá)標(biāo)的項(xiàng)目進(jìn)行高亮顯示。每個(gè)檢查項(xiàng)目的判定結(jié)果包含6個(gè)狀態(tài)：符合、不符合、待確認(rèn)、不適用、采集失敗、未執(zhí)行。

a） 符合：表示設(shè)備配置符合配置規(guī)范的要求。

b） 不符合：表示設(shè)備配置不符合配置規(guī)范的要求。

c） 待確認(rèn)：表示設(shè)備配置的最終結(jié)果需要評(píng)估人根據(jù)現(xiàn)場(chǎng)情況確認(rèn)。

d） 不適用：表示設(shè)備配置沒(méi)有正常獲取，例如訪問(wèn)權(quán)限不足、相關(guān)配置文件不存在、設(shè)備版本不匹配等情況。

e） 采集失?。罕硎驹O(shè)備配置訪問(wèn)未能成功，例如連接失敗、賬號(hào)口令不正確等。

f） 未執(zhí)行：表示設(shè)備配置評(píng)估沒(méi)有執(zhí)行。

5.2.2 評(píng)分和生成報(bào)告

在對(duì)目標(biāo)設(shè)備的各個(gè)檢查項(xiàng)的達(dá)標(biāo)情況進(jìn)行判定之后，依照百分制為目標(biāo)主機(jī)打分，其中各個(gè)檢查項(xiàng)的權(quán)重在模塊設(shè)置中指定。在評(píng)分之后，進(jìn)行其他數(shù)據(jù)的統(tǒng)計(jì)，最后生成一份評(píng)估報(bào)告來(lái)展示本次任務(wù)的核查結(jié)果。

5.2.3 高級(jí)數(shù)據(jù)分析

a） 歷史數(shù)據(jù)查詢：查詢歷史任務(wù)信息以及它們的評(píng)測(cè)結(jié)果。

b） 任務(wù)匯總：匯總多個(gè)任務(wù)的評(píng)測(cè)結(jié)果。

c） 對(duì)比分析：對(duì)比同一設(shè)備在不同任務(wù)的核查情況。

d） 趨勢(shì)分析：觀察設(shè)備安全狀態(tài)的時(shí)間趨勢(shì)。

圖3為核查任務(wù)結(jié)果分析模塊的整體結(jié)構(gòu)。模塊總共完成3個(gè)方面的功能：結(jié)果分析、評(píng)分和生成報(bào)告以及高級(jí)數(shù)據(jù)分析。因此，也相應(yīng)地將整個(gè)模塊劃分為3個(gè)子模塊分別實(shí)現(xiàn)。其中結(jié)果分析子模塊用于分析設(shè)備配置數(shù)據(jù)采集模塊的輸出結(jié)果XML文件，它主要是在后臺(tái)執(zhí)行，從數(shù)據(jù)庫(kù)中的檢查項(xiàng)數(shù)據(jù)獲取各個(gè)檢查項(xiàng)的安全基線指標(biāo)值，與實(shí)際采集的配置進(jìn)行比對(duì)、分析，然后將核查結(jié)果存入數(shù)據(jù)庫(kù)。在結(jié)果分析完成之后，啟動(dòng)評(píng)分和生成報(bào)告子模塊，根據(jù)任務(wù)中各個(gè)檢查項(xiàng)的核查結(jié)果以及在模板中對(duì)應(yīng)的權(quán)重進(jìn)行評(píng)分，同時(shí)統(tǒng)計(jì)其他數(shù)據(jù)，最后生成一份評(píng)估報(bào)告展現(xiàn)給用戶。而最后的高級(jí)數(shù)據(jù)分析子模塊是在前兩者分析的結(jié)果數(shù)據(jù)基礎(chǔ)上進(jìn)行，根據(jù)操作人員的操作指令進(jìn)行相應(yīng)的分析，分析完成后通過(guò)界面UI展示。

圖3 核查任務(wù)結(jié)果分析模塊結(jié)構(gòu)

5.3 系統(tǒng)安全管理功能

設(shè)備安全基線配置核查分析系統(tǒng)通過(guò)日志記錄模塊和權(quán)限角色管理模塊來(lái)保障系統(tǒng)的安全性和保密性。

5.3.1 日志記錄功能

本系統(tǒng)要求具有維護(hù)日志記錄的功能，當(dāng)操作人員進(jìn)行某項(xiàng)操作時(shí)，以數(shù)據(jù)庫(kù)的形式實(shí)時(shí)將其操作記錄下來(lái)，這有利于及早發(fā)現(xiàn)非法入侵和進(jìn)行系統(tǒng)維護(hù)。

根據(jù)需求，日志記錄記錄的信息一共有六大類，分別是登錄信息、任務(wù)管理信息、設(shè)備管理信息、模板管理信息、檢查項(xiàng)管理信息和腳本管理信息。各類信息記錄的具體操作如下。

a） 登錄信息。登錄操作記錄。

b） 任務(wù)管理信息。啟動(dòng)在線掃描任務(wù)、導(dǎo)入任務(wù)配置文件、導(dǎo)出任務(wù)配置文件、導(dǎo)出離線腳本、導(dǎo)入離線采集結(jié)果和刪除任務(wù)記錄。

c） 設(shè)備管理信息。添加設(shè)備信息、修改設(shè)備信息、刪除設(shè)備信息、導(dǎo)入設(shè)備信息和導(dǎo)出設(shè)備信息。

d） 模板管理信息。添加新模板、修改模板、刪除模板、導(dǎo)入模板和導(dǎo)出模板。

e） 檢查項(xiàng)管理信息。添加新檢查項(xiàng)、修改檢查項(xiàng)、刪除檢查項(xiàng)、導(dǎo)入檢查項(xiàng)和導(dǎo)出檢查項(xiàng)。

f） 腳本管理信息。添加新腳本、修改腳本、刪除腳本、導(dǎo)入腳本和導(dǎo)出腳本。

5.3.2 權(quán)限角色管理功能

為了保障系統(tǒng)數(shù)據(jù)的安全性，系統(tǒng)提供相應(yīng)的用戶、角色管理和權(quán)限驗(yàn)證功能。權(quán)限包括以下2個(gè)方面：功能資源的操作權(quán)限和數(shù)據(jù)資源的存取權(quán)限。其中功能資源權(quán)限指的是配置檢查工具的各個(gè)功能模塊的使用權(quán)限，而數(shù)據(jù)資源權(quán)限指的是對(duì)象資源（網(wǎng)絡(luò)設(shè)備）和基本配置檢查結(jié)果信息的查看權(quán)限。

根據(jù)要求，系統(tǒng)的任何一個(gè)合法用戶都必須從屬于某個(gè)角色，并擁有角色對(duì)應(yīng)的權(quán)限。在用戶執(zhí)行任何操作之前，都需要審核用戶的權(quán)限范圍。如果用戶權(quán)限不足，則禁止本次操作。

圖 4為權(quán)限角色管理模塊的結(jié)構(gòu)，在操作人員登錄系統(tǒng)之后，權(quán)限角色管理模塊正式啟動(dòng)，首先通過(guò)與數(shù)據(jù)庫(kù)中的用戶數(shù)據(jù)進(jìn)行交互，獲取操作人員對(duì)應(yīng)的角色，之后根據(jù)操作人員的角色管理權(quán)限。

圖4 權(quán)限角色管理模塊的結(jié)構(gòu)示意圖

權(quán)限角色管理模塊可分為2個(gè)子模塊，分別為權(quán)限驗(yàn)證子模塊和用戶管理子模塊。其中權(quán)限驗(yàn)證子模塊主要用來(lái)判斷用戶的某項(xiàng)操作是否在其對(duì)應(yīng)角色的權(quán)限范圍內(nèi)，如果權(quán)限不足，則予以禁止。而用戶管理子模塊主要是負(fù)責(zé)用戶信息的管理，供用戶修改用戶名、密碼等個(gè)人信息。由于只有管理員用戶才可以執(zhí)行這項(xiàng)操作。因此在調(diào)用其他用戶管理子模塊之前，需要由權(quán)限驗(yàn)證子模塊判斷用戶的角色是否為管理員用戶。

6、安全基線合規(guī)管理優(yōu)化建議

為了更好地提升安全基線合規(guī)管理能力，除了提高自動(dòng)化運(yùn)維水平之外，還要推動(dòng)核查范圍由點(diǎn)到面的全覆蓋，建立總部平臺(tái)，實(shí)現(xiàn)大數(shù)據(jù)集中分析平臺(tái)，持續(xù)積累各種異常案例和配置知識(shí)庫(kù)，并對(duì)全網(wǎng)安全態(tài)勢(shì)進(jìn)行綜合評(píng)估，挖掘提取容易配錯(cuò)的設(shè)備類型和參數(shù)指標(biāo)，在日常運(yùn)維中做好預(yù)防工作。

此外，安全防護(hù)工作一定要做到技管并重，既要有自動(dòng)化、智能化的運(yùn)維工具，更要有制度化、體系化的管理機(jī)制，因此一方面要增強(qiáng)運(yùn)維人員的安全合規(guī)意識(shí)，做好規(guī)范教育和技術(shù)培訓(xùn)，防止出現(xiàn)各類低級(jí)錯(cuò)誤，另一方面則要加強(qiáng)合規(guī)運(yùn)維的考核力度，將合規(guī)操作、漏洞封堵納入各級(jí)單位考核范疇，定期組織自查和第三方抽檢，并對(duì)整改效果進(jìn)行持續(xù)跟蹤和后評(píng)估，引起各個(gè)層面重視，保證考核工作的常態(tài)化。

7、結(jié)束語(yǔ)

綜上所述，安全基線是網(wǎng)絡(luò)和業(yè)務(wù)穩(wěn)定運(yùn)行的最根本基礎(chǔ)，如果設(shè)備帶病入網(wǎng)和運(yùn)行，無(wú)論后續(xù)加載多少防護(hù)措施都成了無(wú)本之木、空中樓閣，不但會(huì)增加防護(hù)成本也會(huì)降低防護(hù)效果，整個(gè)服務(wù)運(yùn)營(yíng)的可靠性也就無(wú)從談起。

因此，必須要高度重視安全基線管理體系的建設(shè)，一方面要積極進(jìn)行技術(shù)創(chuàng)新，引入相關(guān)安全工具提高基線核查工作的自動(dòng)化和智能化，降低安全運(yùn)維人工成本，另一方面還要不斷完善管理機(jī)制，加強(qiáng)職業(yè)素養(yǎng)培訓(xùn)，優(yōu)化獎(jiǎng)懲制度，充分調(diào)用相關(guān)人員積極性，全面保障網(wǎng)絡(luò)合規(guī)穩(wěn)定運(yùn)行。

責(zé)任編輯：gt