服務(wù)器安全基線是指為滿足安全規(guī)范要求，服務(wù)器安全配置必需達(dá)到的標(biāo)準(zhǔn)，一般通過(guò)檢查各安全配置參數(shù)是否符合標(biāo)準(zhǔn)來(lái)度量。主要包括了賬號(hào)配置安全、口令配置安全、授權(quán)配置、日志配置、IP 通信配置等方面內(nèi)容，這些安全配置直接反映了系統(tǒng)自身的安全脆弱性。

服務(wù)器安全基線在信息安全防護(hù)中有著極其重要的意義，主要體現(xiàn)在以下三個(gè)方面：

1、惡意人員/代碼直接利用安全基線弱點(diǎn)攻擊服務(wù)器乃至其承載的服務(wù)器系統(tǒng)；例如由于未部署服務(wù)器賬戶口令復(fù)雜性策略，導(dǎo)致暴力猜測(cè)服務(wù)器管理員口令。

2、惡意人員/代碼綜合軟件漏洞和安全基線弱點(diǎn)攻擊服務(wù)器乃至其承載的服務(wù)器系統(tǒng)，這種情況下單獨(dú)的軟件漏洞可能并不能被利用來(lái)直接攻陷服務(wù)器系統(tǒng)，但由于安全基線不嚴(yán)格，導(dǎo)致兩者結(jié)合被利用，常見(jiàn)例子包括網(wǎng)站代碼包括一個(gè)上傳漏洞，同時(shí)由于網(wǎng)站虛擬主機(jī)目錄權(quán)限配置不嚴(yán)格，允許該目錄下的文件具有執(zhí)行權(quán)限，惡意人員可以直接上傳木馬程序到網(wǎng)站服務(wù)器上并遠(yuǎn)程執(zhí)行。

3、同時(shí)，惡意人員/代碼一旦攻擊服務(wù)器系統(tǒng)成功后，下一步行動(dòng)是需要建立后門(mén)或?qū)⒁浦驳墓舸a隱藏起來(lái)，以便建立起長(zhǎng)期有效的秘密控制通道，為實(shí)現(xiàn)這個(gè)目的，最常見(jiàn)的方法就是修改服務(wù)器安全配置，降低該服務(wù)器的安全基線，例如私開(kāi)遠(yuǎn)程連接服務(wù)、添加秘密操作系統(tǒng)賬號(hào)等。

結(jié)合上述分析，安全配置基線一方面是防范內(nèi)外部惡意攻擊的重要手段，同時(shí)生產(chǎn)服務(wù)器安全基線的變化也是發(fā)現(xiàn)惡意攻擊/行為的重要手段，特別是當(dāng)各種主動(dòng)防御設(shè)備(防火墻、防病毒軟件、入侵檢測(cè)系統(tǒng)等)均被繞過(guò)時(shí)，往往安全基線設(shè)置是否嚴(yán)格以及是否產(chǎn)生變化成為防范惡意攻擊的最后一道防線。

服務(wù)器安全基線內(nèi)容覆蓋廣泛，包括針對(duì)不同服務(wù)器系統(tǒng)軟件的具體安全配置標(biāo)準(zhǔn)，以及配置詳細(xì)要求和狀態(tài)要求的檢查項(xiàng)（Checklist），目前業(yè)內(nèi)對(duì)安全基線的范圍定義主要包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件等各類(lèi)系統(tǒng)軟件，如圖1-1所示：

安全基線的意義在于通過(guò)在系統(tǒng)生命周期不同階段對(duì)目標(biāo)系統(tǒng)展開(kāi)各類(lèi)安全檢查，找出不符合基線定義的安全配置項(xiàng)并選擇和實(shí)施安全措施來(lái)控制安全風(fēng)險(xiǎn)，并通過(guò)對(duì)歷史數(shù)據(jù)的分析獲得系統(tǒng)安全狀態(tài)和變化趨勢(shì)。安全基線在銀行、證劵、運(yùn)營(yíng)商、互聯(lián)網(wǎng)行業(yè)信息安全的應(yīng)用范圍非常廣泛。