基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,并提供检测结果说明和加固建议。基线检查功能可以帮您进行系统安全加固,降低入侵风险并满足安全合规要求。

什么是基线

基线指操作系统、数据库及中间件的安全实践及合规检查的配置红线,包括弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置检查。云安全中心的安全基线支持弱口令、未授权访问、历史漏洞和配置红线的立体巡检,合规基线支持等保合规和CIS标准。安全基线与合规基线均已覆盖常用的30多个系统版本和10多个数据库及中间件,可以满足企业多种合规需求。

应用场景

应用场景

功能介绍

云安全中心的基线检查功能支持检测操作系统和服务(数据库、服务器软件、容器等)的弱口令、账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置,并提供检测结果,针对存在的风险配置给出加固建议。具体检测内容,请参见基线检查内容

基线检查默认策略每隔一天在00:00~06:00进行一次全面的自动检测。策略管理支持自定义策略、自定义弱口令字典和设置基线检查等级(高、中、低)。更多信息,请参见设置基线检查策略

限制说明

基线检查功能为云安全中心的增值服务,仅高级版、企业版和旗舰版用户可开通和使用该服务。免费版、防病毒版用户都需先升级到高级版、企业版或旗舰版才可使用基线检查功能。有关升级的更多信息,请参见升级与降配

以下表格介绍不同版本支持的基线检查类型详情。
基线检查项类型 免费版 防病毒版 高级版 企业版 旗舰版
弱口令 错 错 对 对 对
未授权访问 错
最佳安全实践
容器安全
等保合规
自定义基线
说明
  • 高级版用户仅支持使用默认策略执行基线检查,不支持创建标准策略和自定义策略。关于基线检查策略的介绍,请参见基线检查策略
  • 企业版、旗舰版用户可以使用基线检查的所有功能,支持添加标准策略、自定义策略以及对基线策略进行编辑、删除(默认策略不能删除)。另外,企业版、旗舰版中Linux系统的阿里云标准和等保标准基线相关检查项还支持自动修复。

基线检查内容

基线分类 检查标准及检查内容 覆盖的系统和服务 修复紧急度说明
弱口令 使用非登录爆破方式检测是否存在弱口令。避免登录爆破方式锁定账户影响业务的正常运行。
说明 弱口令检测是通过读取HASH值与弱口令字典计算的HASH值进行对比来检查是否存在弱口令。如果您不想读取HASH值,您可以从基线检查策略中移除弱口令基线。
  • 操作系统

    Linux、Windows

  • 数据库

    MySQL、Redis、SQL Server、MongoDB、PostgreSQL、Oracle

  • 应用

    Tomcat、FTP、Rsync、SVN、Activemq、RabbitMQ、OpenVpn、Jboss6/7、Jenkins、Openldap、VncServer、pptpd

需紧急修复。避免弱口令暴露在公网上导致系统被入侵或发生数据泄露事件。
未授权访问 未授权访问基线。检测服务是否存在未授权访问风险,避免被入侵或者数据泄露。 Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql
最佳安全实践 阿里云标准

基于阿里云最佳安全实践标准检测是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险。

  • 操作系统
    • CentOS 6、7、8
    • Redhat 6、7、8
    • Ubuntu 14、16、18、20
    • Debian 8、9、10
    • Aliyun Linux 2、3
    • Windows 2008R2、2012R2、2016、2019
    • Rocky Linux 8
    • Alma Linux 8
    • SUSE Linux 15
    • Anolis 8
    • 麒麟
    • UOS
  • 数据库

    MySQL、Redis、MongoDB、SQL server、Oracle 11g、CouchDB、Influxdb、 PostgreSql

  • 应用

    Tomcat、IIS、Nginx、Apache、Windows SMB、RabbitMQ、Activemq、ElasticSearch、Jenkins Hadoop、Jboss6/7、Tomcat

重要安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。
容器安全 阿里云标准

基于阿里云容器最佳安全实践的Kubernetes Master和Node节点配置风险检查。

  • Docker
  • Kubernetes集群
等保合规 等保二级、三级合规

基于服务器安全等保基线检查。对标权威测评机构安全计算环境测评标准和要求。

  • 操作系统
    • CentOS 6、7、8
    • Redhat 6、7、8
    • Ubuntu 14、16、18、20
    • SUSE 10、11、12、15
    • Debian 8、9、10
    • Aliyun Linux 2、3
    • Windows 2008R2、2012R2、2016、2019
    • Anolis 8
    • 麒麟
    • UOS
  • 数据库

    Redis、MongoDB、PostgreSql、Oracle、MySql、SQL Server、Informix

  • 应用

    Websphere Application Server、Jboss6/7、Nginx、Weblogic、Bind、IIS

基于业务是否有合规需要进行修复。
CIS合规 基于CIS标准的操作系统安全基线检查。
  • CentOS 6、7、8
  • Ubuntu 14、16、18、20
  • Debian 8、9、10
  • Aliyun Linux 2
  • Windows 2008R2、2012R2、2016、2019
基于业务是否有合规需要进行修复。
自定义基线 支持CentOS Linux 7自定义基线,可对基线检查策略中的检查项进行编辑,自定义安全加固项。 CentOS 7、CentOS6、Windows 2008R2、2012R2、2016、2019 用户自定义的安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。