基线检查

版本限制

• 仅云安全中心 高级版 、 企业版 和 旗舰版 用户可开通和使用基线检查功能。

• 企业版、旗舰版：

  • 旗舰版支持基线检查的所有功能，企业版不支持容器安全检查。

  • 支持一键修复Linux系统的阿里云标准和等保标准基线相关检查项。

• 高级版：

  • 仅可使用默认策略执行基线检查。

  • 仅支持弱口令检查。

功能介绍

基线检查功能通过配置不同的基线检查策略，可以帮助您快速对服务器进行批量扫描，发现包括系统、账号权限、数据库、弱口令、等级保护合规配置等存在的风险点，并提供修复建议和一键修复功能。支持检测的内容详情，请参见 基线检查内容 。

基本概念

策略说明

策略是云安全中心基线检查规则的集合，是执行基线检测的基本单位。云安全中心提供三种类型的策略：默认策略、标准策略和自定义策略。

功能优势

• 等保合规

  合规基线支持等保二级、等保三级和国际通用安全最佳实践，满足多种合规监管需求，可以帮助企业建设符合等保要求的安全系统。

• 检测全面覆盖范围广

  支持弱口令、未授权访问、历史漏洞和配置红线巡检，覆盖常用30多种系统版本，20多种数据库及中间件。

• 灵活配置策略

  支持自定义选配安全策略、检测周期、检测范围，满足不同业务的个性化安全配置需求。

• 提供详细修复方案

  检查项提供详细修复加固方式，帮助您快速提升安全水位，一键修复能力轻松完成系统基线加固并满足等保要求。

步骤一：开通基线检查服务

1. 购买云安全中心高级版、企业版或旗舰版才能使用基线检查服务，操作步骤如下：

   • 如果您未开通云安全中心服务，前往 云安全中心购买页 ，购买高级版、企业版或旗舰版服务。具体操作，请参见 购买云安全中心 。

   • 如果您使用的是云安全中心免费版或防病毒版：

     1. 登录云安全中心控制台 。在控制台左上角，选择需防护资产所在的区域： 中国 或 全球（不含中国） 。

     2. 在左侧导航栏，选择 风险治理 > 基线检查 。

     3. 单击 立即升级 ，购买云安全中心高级版、企业版或旗舰版。

2. 在需要进行基线检查的服务器中安装云安全中心客户端。具体操作，请参见 安装客户端 。

   说明

   执行默认策略时，默认检查已安装云安全中心客户端且状态为正常的服务器，您可以在设置默认策略、标准策略、自定义策略时，通过服务器分组选择生效服务器。

（可选）步骤二：设置基线检查策略

云安全中心默认执行的基线检查策略，仅包含70+基线检查项和部分基线类型检查，您可以根据业务需求，配置更多的检查项和检查策略。

1. 登录云安全中心控制台 。在控制台左上角，选择需防护资产所在的区域： 中国 或 全球（不含中国） 。

2. 在左侧导航栏，选择 风险治理 > 基线检查 。

3. 在 基线检查 页面右上角，单击 策略管理 。

4. 在 策略管理 面板的 扫描策略 页签，按需求配置基线检查策略。

配置扫描策略

在 扫描策略 页签，按需求添加标准策略和自定义策略，或更新已有策略的配置。

• 添加标准策略

  您可通过添加标准策略，进一步完善对您资产基线配置的检查。云安全中心将按照创建的策略对您资产的基线配置进行检查。

  1. 单击 添加标准策略 。

  2. 在 基线检查策略 面板，输入用于识别的 策略名称 ，选择 检测周期 和 检测开始时间 ，选择需要检查的 基线分类 和 基线名称 。

     基线检查项的详情，请参见 基线检查内容 。

     说明

     部分自定义基线的参数支持自定义配置，您可以根据业务需要进行配置。

  3. 选择生效服务器，然后单击 确认 。

     配置项	说明
     扫描方式	选择生效服务器的扫描方式。可选项： 分组 ：以资产分组为单位扫描，仅支持全选一个或多个分组下的服务器。 ECS ：以ECS为单位扫描，支持选择不同分组的部分或全部服务器。
     生效服务器	选择需要应用该策略的服务器。 说明 新购买的资产默认归属在 所有分组 > 未分组 中，如需对新购资产自动应用该策略，请选择 未分组 。如果您需要添加新的分组或修改已有的分组，请参见 管理服务器 。

• 添加自定义策略

  您可通过添加自定义策略，检查您的资产在操作系统自定义基线的配置上是否存在风险。

  1. 单击 添加自定义策略 。

  2. 在 基线检查策略 面板，输入用于识别的 策略名称 ，选择 检测周期 和 检测开始时间 ，选择需要检查的 基线名称 。

     基线检查项的详情，请参见 基线检查内容 。

  3. 选择生效服务器，然后单击 确认 ，完成自定义策略的添加。

     配置项	说明
     扫描方式	选择生效服务器的扫描方式。可选项： 分组 ：以资产分组为单位扫描，仅支持全选一个或多个分组下的服务器。 ECS ：以ECS为单位扫描，支持选择不同分组的部分或全部服务器。
     生效服务器	选择需要应用该策略的服务器。 说明 一个资产分组仅可设置一个自定义策略。已存在自定义策略的资产分组，在新建自定义策略时，选择生效资产的资产分组会置灰，不支持选择。 新购买的资产默认归属在 所有分组 > 未分组 中，如需对新购资产自动应用该策略，请选择 未分组 。如果您需要添加新的分组或修改已有分组，请参见 管理服务器的分组、重要性及标签 。

• 更新策略

  根据业务场景，单击策略 操作 列的 编辑 或 删除 ，修改或删除该策略。

  说明

  • 策略被删除后不可恢复。

  • 对于 默认策略 ，不支持删除，也不支持修改基线检查项，仅支持修改 开始检测时间 和应用默认策略的 生效服务器 。

• 设置基线检查的等级

  在 策略管理 页面下方，您可以设置基线检查的等级范围（ 高 、 中 、 低 ）。该配置对所有检查策略生效。

配置自定义弱口令

云安全中心已为您默认内置弱口令规则。您可以基于业务需求，在 策略管理 面板单击 自定义弱口令 页签，通过 上传文件 或 自定义字典 来添加或生成新的自定义弱口令规则。

基线扫描策略配置弱口令检查项后，云安全中心会按照您自定义的弱口令规则来检查您的资产是否存在弱口令风险。

配置基线白名单

如果您确认某些基线检查项对于全部主机或部分主机不构成安全风险，可以通过 基线白名单 功能提前添加基线白名单规则，对指定检查类型、检查项的对应主机进行加白。后续基线检查时，云安全中心会忽略基线白名单中主机对应检查项的风险问题。

1. 在 基线白名单 页签，单击 新增规则 。

2. 在新建基线白名单规则面板，选择待加白的 检查项类型 以及对应 检查项 。

3. 选择 规则应用范围 ： 全部主机 或 部分主机 。

4. 单击 保存 。

5. 可选：您可以在 基线白名单 页签的规则列表中找到目标规则：

   • 单击 操作 列的 编辑 ，修改 规则应用范围 ，删除或新增加白的主机。

   • 单击 操作 列的 删除 ，直接删除规则，恢复对主机的基线检查。

步骤三：执行基线检查策略

需要立即执行基线检查时，您可以参考以下步骤进行操作。

1. 在 基线检查 页面的 基线检查策略 页签，单击 全部策略 右侧的 图标，展开基线检查策略菜单，选中需要执行即时手动检查的基线策略。

   

2. 单击 立即检查 。

3. 执行立即检查操作后，将鼠标移动至 立即检查 处，单击弹框中的 进度详情 ，查看检查进度详情。

步骤四：查看基线检查结果及风险加固建议

基线检查完成后，云安全中心从基线和检查项维度展示基线检查结果，您可以查看存在风险的检查项的 加固建议 。

• 在 基线检查 页面上方总览区域，从安全风险、合规和自定义基线三个方面展示了您资产基线配置中存在风险的总体数据。

• 在 基线检查策略 页签：

  • 查看全部或单个基线检查策略的检测结果

    在 基线检查策略 页签的策略总览区域，默认展示策略为 默认策略 ，单击展开 图标，展开基线检查策略菜单，可以单击 全部策略 或已执行的单个策略，查看对应基线检查策略的 检查服务器数 、 基线数量 、 高危弱口令风险 、 最新检查通过率 （最近一次执行基线检查的基线合格率）。

    单击 高危弱口令风险 下的数字，可以查看高危弱口令风险项的列表。

    重要

    • 高危弱口令风险 为风险等级较高的基线风险问题，建议您优先处理。提升口令安全和常见系统口令修改方式，请参见 弱口令安全最佳实践 。

    • 对于 最新检查通过率 字体颜色：

      • 绿色：表示扫描的资产中基线配置合格率较高。

      • 红色：表示检查的资产中不合格的基线配置较多，可能存在安全隐患，建议前往基线检查详情页面查看并修复。

    

  • 查看基线维度的基线检查结果列表及加固建议

    1. 在基线检查结果列表中，单击基线名称，在基线详情面板上，查看受该基线影响的资产及资产基线检查的 通过项 、 风险项 等信息。

    2. 在基线详情面板上，单击某个受影响的资产的 操作 列的 查看 ，在 风险项 面板上，可查看该资产上存在的所有基线风险问题。

       说明

       如果检查项显示 已通过 ，说明服务器对应配置不存在风险加固项。

       例如，对于 Redis未授权访问 检查，如果Redis没有配置密码，可以直接访问，但配置绑定了127.0.0.1（仅允许本机内网访问），则基线检查结果是已通过，表示当前未授权访问是安全的，不存在安全风险加固项。此时，用户可以根据自身需求选择是否配置授权访问。

    3. 在 风险项 面板上，单击某个资产 操作 列的 详情 ，可查看云安全中心提供的关于该风险项的 描述 、 检查提示 和 加固建议 等信息。

    4. 可选： 返回基线详情面板，在基线检查结果列表右上方，单击下载 图标，在 基线导出任务选项 对话框中选择导出方式，可以导出基线检查结果。

       针对基线中包含的弱口令信息的导出，云安全中心提供了以下导出方式：

       • 弱口令明文导出 ：直接明文导出基线检查结果中的弱口令信息。

       • 弱口令脱敏导出 ：对基线检查结果中的弱口令信息脱敏后再导出。

• 在 风险情况 页签，从检查项维度查看风险项的加固建议。

  您可以使用列表上方的搜索组件搜索，按照检查项的风险等级、状态和类型筛选目标检查项，也可以在搜索框中输入检查项名称搜索目标检查项。

  单击目标检查项 操作 列的 详情 ，在详情面板可以查看检查项的 描述 、 加固建议 、 相关基线 以及受影响的资产列表。

步骤五：处理基线风险

根据加固建议，在 基线检查 页面处理基线风险问题。

• 按照基线维度处理基线风险

  在 基线检查策略 页签下的基线检查结果列表中，单击待处理的基线检查结果的基线名称，在右侧面板上，单击服务器 操作 列的 查看 ，在 风险项 面板上，处理该服务器上存在的基线风险问题。

• 按照检查项维度处理基线风险

  在 风险情况 页签下的基线检查结果列表中，单击待处理检查项 操作 列的 详情 ，在风险项详情面板处理基线风险问题。

以下为按照基线维度处理基线风险的介绍。

修复

云安全中心仅支持修复部分基线检查项风险问题，可以通过检查项对应 风险项 面板是否显示 修复 按钮判断。

• 如果不显示 修复 按钮，表示该风险项不支持在云安全中心修复，则需要您登录存在该基线风险问题的服务器，在服务器上修改基线问题对应的服务器的配置，修改完成后，在云安全中心进行 验证 。

  在 风险项 面板上，单击目标检查项 操作 列的 详情 ，可查看云安全中心提供的关于该检查项的 描述 、 检查提示 和 加固建议 等信息。

• 如果显示 修复 按钮，表示该风险项支持在云安全中心修复，您可以在云安全中心直接修复基线风险问题。

  1. 在 风险项 面板上，单击目标检查项 操作 列的 修复 。

  2. 在 修复风险资产 对话框，进行如下配置。

     配置项说明如下：

     配置项	说明
     修复方式	配置基线风险问题的修复方式。 说明 不同类型的风险项对应的修复方式不同，请根据实际场景配置修复方式。
     批量处理	选择是否要批量处理存在相同基线风险问题的其他资产。
     风险保障	选择是否通过创建快照的方式备份系统数据。 警告 云安全中心在修复基线风险问题时，可能存在修复失败的风险，影响到您的业务正常运行。建议您在修复前对系统进行备份，以便在修复失败影响您业务正常运行时，可快速恢复到执行修复操作前的状态，使业务能正常运转。 自动创建快照并修复：您需要设置 快照名称 、 快照保存时间 ，然后单击 立即修复 。 说明 创建快照将产生费用。您可以单击页面上的 快照计费文档 ，了解具体的快照计费信息。 不建立快照备份直接修复：如果您确定不创建快照直接修复基线问题，单击 立即修复 即可。

  3. 单击 立即修复 。

加白名单

如果您确认检查未通过的基线检查项无需处理，可通过 加白名单 功能对目标服务器上存在的基线风险产生的告警进行加白。

• 对单个目标资产的指定检查项进行加白

  在目标资产的 风险项 面板上，单击待处理检查项 操作 列的 加白名单 ，在检查项忽略原因对话框中填写加白原因，然后单击 确定 ，将检查项加入白名单中。

  如果需要将多个检查项加入白名单，您需要先选择状态为 未通过 并需要加入白名单的检查项，再单击检查项列表下方的 加白名单 。

• 对所有资产（包括后续新增资产）的指定检查项进行加白

  在 风险情况 页签的检查项列表中，单击待处理检查项 操作 列的 加白名单 ，或选中多个检查项后，单击列表下方的 加白名单 。

• 对单个检查项的部分资产进行加白

  在 风险情况 页签下的基线检查结果列表中，单击待处理检查项 操作 列的 详情 ，在风险项详情面板的服务器列表中，选中要加入白名单的服务器，单击列表下方的 加入白名单 。

验证

验证基线风险问题处理结果：

回滚

如果您在修复阿里云ECS服务器上存在的基线风险问题前，对该服务器使用快照进行了备份，在服务器上的基线风险问题修复失败导致业务中断时，您可在基线详情面板上，单击该服务器 操作 列的 回滚 ，在 回滚 对话框中，选中基线修复前备份的快照，单击下方 确定 。执行 回滚 操作后，该服务器的配置可恢复到基线风险问题修复前创建的快照的配置。

取消加白

如果需要云安全中心对已忽略的基线检查配置项再次触发告警，可对已忽略的检查项或服务器执行 取消加白 。取消加白后，该基线检查配置项会再次触发告警。

在 风险项 面板上，定位到需要取消白名单的检查项，单击其 操作 列 取消加白 ，在 取消加白操作 对话框中，单击 确定 ，可将该检查项移出白名单。您也可以选中多个需要取消白名单的检查项，单击下方 取消加白 ，将多个检查项批量移除白名单。

基线检查内容

基线分类说明

基线检查项目

以下表格描述了云安全中心提供的默认基线检查项目。

常见问题

• 使用基线检查功能，需要购买云安全中心哪个版本？

  基线检查为云安全中心的基础服务，需要购买指定版本后才能使用。使用该功能需购买云安全中心高级版及以上版本，高级版仅支持弱口令检查，如果您有等保合规、容器安全、国际通用安全最佳实践等基线需求，则需要购买企业版或旗舰版。具体操作，请参见 购买云安全中心 。

• 基线检查验证失败如何处理？

  云安全中心基线检查验证已修复风险项失败可能是因为云安全中心客户端离线。

  如果您服务器上的云安全中心客户端显示为离线，云安全中心基线检查将无法执行。建议您对客户端离线进行排查，确保您服务器上的云安全中心客户端在线。客户端离线排查的详细内容，请参见 客户端离线排查 。

• 基线和漏洞有什么区别？

  基线一般指配置和管理系统的详细描述，或者说是最低的安全要求，包括服务和应用程序设置、操作系统组件的配置、权限分配、管理规则等。云安全中心的基线检查功能支持检测操作系统和服务（数据库、服务器软件、容器等）的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置，针对存在的风险配置给出加固建议。具体的检测项，请参见 基线检查内容 。

  漏洞是指在操作系统实现或安全策略上存在的缺陷，例如操作系统软件或应用软件在逻辑设计上存在的缺陷或在编写时产生的错误。攻击者可以对这类缺陷或错误进行利用，从而能够在未获得授权的情况下访问和窃取您的系统数据或破坏系统。系统漏洞需要系统管理员及时处理并修复，否则将带来严重的安全隐患。具体内容，请参见 漏洞管理 。

  基线检查功能为云安全中心的基础服务，仅 高级版 、 企业版 和 旗舰版 用户可使用该服务。 免费版 、 防病毒版 用户都需先升级到高级版或企业版才可使用基线检查功能。有关升级的更多信息，请参见 升级与降配 。