查看基線檢查概覽

HSS提供基線檢查功能，包括檢測復雜策略、弱口令及配置詳情，包括對主機配置基線通過率、主機配置風險TOP5、主機弱口令檢測、主機弱口令風險TOP5的統計。主動檢測主機中的口令復雜度策略，關鍵軟件中含有風險的配置信息，并針對所發現的風險為您提供查看基線檢查詳情，幫助您正確地處理服務器內的各種風險配置信息。

約束限制

未開啟防護不支持基線相關操作。

前提條件

配置檢查只有開啟了防護且防護配額在企業版及以上的主機數據才會顯示在列表中。

檢測周期

• 主機安全服務默認每日凌晨04：00左右將自動進行一次全面的檢查。
• 若您需自定義檢測周期及時間，您可購買旗艦版、網頁防篡改版、容器版滿足需求，自定義檢測周期操作詳情請參見配置檢測。
• 在“風險預防 > 基線檢查”頁面右上角，選擇目標基線策略，單擊“手動檢測”，可對基線策略關聯的服務器進行一鍵手動檢測。

檢查詳情

基線檢查詳情

檢查項名稱	檢查詳情說明
口令復雜度策略檢測	檢測系統中的口令復雜度策略，給出修改建議，幫助用戶提升口令安全性。
經典弱口令檢測	檢測系統帳戶口令是否屬于常用的弱口令，針對弱口令提示用戶修改。
配置檢查	對常見的Tomcat配置、Nginx配置、SSH登錄配置進行檢查，幫助用戶識別不安全的配置項。

操作步驟

1、登錄管理控制臺。

2、在頁面左上角單擊，選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在左側導航樹中，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

4、在“基線檢查”頁面，查看檢測數據的統計，選擇不同頁簽，查看HSS檢測到的您服務器上存在的配置風險，參數說明如表所示。

基線檢查概覽

參數名稱	參數說明
基線檢查策略	選擇要查看的基線策略檢測的結果，所有可選擇的基線檢查策略均為已添加的基線檢查策略，可進行自定義創建、編輯、刪除。
檢測主機數	已檢測的主機總數。
檢測基線數	檢測主機時執行的基線數。
主機配置檢查項	已檢查主機配置項的總數。
主機配置基線通過率	按照基線檢測主機配置通過的配置項占總檢測項的占比，同時按照不同風險等級分別統計未通過的配置項總數。
主機配置風險TOP5	按照主機的維度統計存在配置風險的主機。 優先按照高危且風險總數最多的前5臺主機進行排序，若不存在高危，則依次為中危、低危。
主機弱口令檢測統計	統計檢測弱口令的主機總數，以及有弱口令、未開啟檢測、無弱口令檢測的主機數。
主機弱口令風險TOP5	按照主機的維度統計存在弱口令風險最多的前5臺主機。
配置檢查	對所有存在配置風險的主機進行等級告警及風險信息統計。
口令復雜度策略檢測	對所有主機存在弱口令復雜度不滿足基線標準的進行統計。
經典弱口令檢測	按照主機的維度對存在弱口令的主機及涉及的帳號進行統計。

手動執行基線檢查

• 手動檢測只針對目標基線策略所關聯的服務器。若使用默認策略，請先關聯服務器后再執行手動檢測。
• 執行手動檢測前，請先確認在“基線檢查策略”選框是否可以選擇到目標策略，若需新建策略，詳情請參見新建基線檢查策略。

1、在“風險預防 > 基線檢查”概覽頁選擇目標“基線檢查策略”。

選擇目標基線策略

2、單擊頁面右上角“手動檢測”，執行檢測。

3、查看“基線檢查策略”下方“最近檢測時間”為當前檢測時間時，表示檢測完成。

• 執行手動檢測后，按鈕狀態變為檢測中，若檢測時間超過30分鐘，按鈕會自動釋放為可單擊狀態，此時仍需等待“最近檢測時間”顯示為當前檢測時間才表示檢測完成。
• 檢測結束后可參照查看基線檢查詳情查看對應檢查項結果及修改建議。

2、單擊頁面右上角“手動檢測”，執行檢測。

3、查看“基線檢查策略”下方“最近檢測時間”為當前檢測時間時，表示檢測完成。

• 執行手動檢測后，按鈕狀態變為檢測中，若檢測時間超過30分鐘，按鈕會自動釋放為可單擊狀態，此時仍需等待“最近檢測時間”顯示為當前檢測時間才表示檢測完成。

• 檢測結束后可查看基線檢查詳情查看對應檢查項結果及修改建議。

  查看檢測狀態

導出基線檢查報告

根據需要可通過篩選導出基線檢測報告。

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

                    
說明
                    
切換至新版后，在總覽頁左上角單擊“返回舊版”，可切換至主機安全（舊版）。

                    
                  
                  

4、在左側導航樹中，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

5、在“基線檢查”頁面，查看檢測數據的統計，選擇不同頁簽，可查看HSS檢測到的風險告警。

                    
注意
                    
當前僅支持“配置檢查”和“經典弱口令檢測”的報告導出。

                    
                  
                  

6、選擇“配置檢查”或“經典弱口令檢測”頁簽，在列表右上角單擊 ，對篩選的風險告警進行下載。

說明
在“配置檢查”頁簽可單擊“風險等級”和“標準類型”對告警信息進行篩選。
在“經典弱口令檢測”頁簽可通過篩選服務器名稱、IP地址、帳號名稱進行篩選下載。
“配置檢查”和“經典弱口令檢測”的風險檢測報告單次下載最大數量為5000條。

查看基線檢查詳情

HSS提供基線檢查功能，主動檢測主機中的口令復雜度策略，關鍵軟件中含有風險的配置信息，并針對所發現的風險為您提供修復建議，幫助您正確地處理服務器內的各種風險配置信息。

約束限制

未開啟防護不支持基線相關操作。

前提條件

配置檢查只有開啟了防護且防護配額在企業版及以上的主機數據才會顯示在列表中。

檢查項列表

檢查項	說明
配置檢查	目前支持的檢測標準及類型如下： 1、Linux系統： 云安全實踐：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext。 等保合規：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Redhat6、Redhat7、Redhat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18。 2、Windows系統： 云安全實踐：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019。
口令復雜度策略檢測	檢測系統帳號的口令復雜度策略。
經典弱口令檢測	通過與弱口令庫對比，檢測帳號口令是否屬于常用的弱口令。 支持MySQL、FTP及系統帳號的弱口令檢測。

查看配置檢查

查看配置檢查的風險統計及對應的處理建議。

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在左側導航樹中，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

5、選擇“配置檢查”頁簽，查看所有服務器的配置檢查風險項，參數說明如表所示。

配置檢查參數說明

參數名稱	參數說明
風險等級	按照基線標準匹配檢測結果劃分的等級。 高危 、低危、 中危 、 無風險
基線名稱	檢測執行的基線的名稱。
標準類型	檢測執行的基線所屬策略的標準類型。 云安全實踐 等保合規
檢查項	累計檢查的配置項總數。
風險項	檢查項中存在風險的配置項總數。
影響服務器數	目標風險基線所影響的服務器總數。
最新檢測時間	最近一次檢測的時間。
描述	目標風險基線的描述說明。

6、單擊列表中目標基線名稱，查看基線描述、受影響服務器以及所有檢查項詳情。

7、單擊目標檢查項“操作”列的“檢測詳情”，查看檢查項描述、審計描述和修改建議。

您需要確認檢查的風險項是否是致命或需要修改的風險。

如果是，可根據修改建議對目標檢查項進行修改。如果不是，可在配置檢查項列表頁面單擊目標檢查項“操作”列的“忽略”操作進行忽略。

查看檢查項詳情

查看口令復雜度策略檢測

查看口令復雜度策略檢測的風險統計及對應的處理建議。

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在左側導航樹中，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

5、選擇“口令復雜度策略檢測”頁簽，查看口令復雜度策略檢測的風險統計項及修改建議，參數說明如表5-9所示。

口令復雜度策略檢測參數說明

參數名稱	參數說明
服務器名稱/IP地址	被檢測的服務器名稱及IP地址。
口令長度	目標服務器的口令長度是否符合標準。 符合 不符合
大寫字母	目標服務器的口令大寫字母是否符合標準。 符合 不符合
小寫字母	目標服務器的口令小寫字母是否符合標準。 符合 不符合
數字	目標服務器的口令數字是否符合標準。 符合 不符合
特殊字符	目標服務器的口令特殊字符是否符合標準。 符合 不符合
建議	對目標服務器發現的口令風險的修改建議。

查看經典弱口令檢測

查看經典弱口令檢測的風險統計及對應的處理建議。

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在左側導航樹，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

5、選擇“經典弱口令檢測”頁簽，查看服務器中存在風險的弱口令帳號的統計，參數說明如表所示。

經典弱口令檢測參數說明

參數名稱	參數說明
服務器名稱/IP地址	被檢測的服務器名稱及IP地址。
帳號名稱	目標服務器中被檢測出是弱口令的帳號。
帳號類型	帳號的類型。
弱口令使用時長（單位：天）	目標弱口令使用的時間周期。

                    
注意
                    
為保障您的主機安全，請您及時修改登錄主機系統時使用弱口令的帳號，如SSH帳號。
為保障您主機內部數據信息的安全，請您及時修改使用弱口令的軟件帳號，如MySQL帳號和FTP帳號等。
驗證 ：完成弱口令修復后，建議您立即執行手動檢測，查看弱口令修復結果。如果您未進行手動驗證，HSS會在次日凌晨執行自動驗證。
口令設置建議：設置長度超過8個字符且均包含大寫字母、小寫字母、數字和特殊字符。
                    
                  
                  

導出基線檢查報告

在基線檢查頁面，可對配置檢查和經典弱口令檢查詳情進行導出，列表右上角單擊 ，可將所有云服務器的配置檢測風險列表下載到本地。

• 不支持對單個云服務器執行導出。
• 單次最大導出告警數為5000條。

基線檢查風險項修復及驗證

當基線檢查功能檢測到并提示您服務器上存在的風險項時，請參考如下風險項修復建議為您的服務器進行安全加固。

約束限制

未開啟防護不支持基線相關操作。

弱口令修復

• 為保障您的主機安全，請您及時修改登錄主機系統時使用弱口令的帳號，如SSH帳號。

• 為保障您主機內部數據信息的安全，請您及時修改使用弱口令的軟件帳號，如MySQL帳號和FTP帳號等。

  驗證：完成弱口令修復后，建議您立即執行手動檢測，查看弱口令修復結果。如果您未進行手動驗證，HSS會在次日凌晨執行自動驗證。

單服務器風險修復及驗證

系統中的關鍵應用如果采用不安全配置，有可能被黑客利用作為入侵主機系統的手段。例如：SSH采用了不安全的加密算法；Tomcat服務采用root權限啟動。

HSS可以檢測系統中關鍵軟件的配置風險并給出詳細的加固方法。

1、在HSS控制臺選擇“資產管理 > 主機管理 > 云服務器”，進入服務器頁面。

2、搜索目標服務器，單擊目標服務器名稱進入服務器詳情頁面。

定位目標服務器

3、選擇“基線檢查 > 配置檢查”頁簽，單擊風險項前的展開按鈕，查看所有檢查項。

4、處理風險項。

• 忽略風險
  • 在目標檢查項“操作”列單擊“忽略”，忽略單條風險檢查項。
  • 勾選多個目標檢查項前的選框，單擊上方出現的“忽略”按鈕，進行批量忽略處理。
• 修復風險
  • 單擊目標風險項“操作”列的“檢查詳情”，查看檢查項詳情。
  • 查看“審計描述”、“修改建議”等信息，根據“修改建議”修復主機中的異常信息。

說明
目前部分EulerOS基線和CentOS 8已支持一鍵修復，單擊目標EulerOS或CentOS的“檢查項”“操作”列的“修復”，可直接修復檢查項，部分檢查項修復時需填寫參數值，保持默認值即可。?建議您及時優先修復“威脅等級”為“高危”的關鍵配置，根據業務實際情況修復威脅等級為“中危”或“低危”的關鍵配置。

單服務器查看修復建議

全量服務器風險修復及驗證

系統中的關鍵應用如果采用不安全配置，有可能被黑客利用作為入侵主機系統的手段。例如：SSH采用了不安全的加密算法；Tomcat服務采用root權限啟動。

HSS可以檢測系統中關鍵軟件的配置風險并給出詳細的加固方法。

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在左側導航樹中，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

5、選擇“配置檢查”頁簽，查看所有服務器的配置檢查風險項，參數說明如表5-11所示。

配置檢查參數說明

參數名稱	參數說明
風險等級	按照基線標準匹配檢測結果劃分的等級。 高危 、低危、 中危 、無風險
基線名稱	檢測執行的基線的名稱。
標準類型	檢測執行的基線所屬策略的標準類型。云安全實踐、等保合規
檢查項	累計檢查的配置項總數。
風險項	檢查項中存在風險的配置項總數。
影響服務器數	目標風險基線所影響的服務器總數。
最新檢測時間	最近一次檢測的時間。
描述	目標風險基線的描述說明。

6、單擊列表中目標基線名稱，查看基線描述、受影響服務器以及所有檢查項詳情。

7、處理風險項。

• 忽略風險

  在目標檢查項“操作”列單擊“忽略”，忽略單條風險檢查項。

  勾選多個目標檢查項前的選框，單擊上方出現的“忽略”按鈕，進行批量忽略處理。

• 修復風險

  • 單擊目標風險項“操作”列的“檢查詳情”，查看檢查項詳情。
  • 查看“審計描述”、“修改建議”等信息，根據“修改建議”或“檢測用例信息”的“期望結果”修復主機中的異常信息。

說明
目前部分EulerOS基線和CentOS 8已支持一鍵修復，單擊目標EulerOS或CentOS的“檢查項”“操作”列的“修復”，可直接修復檢查項，部分檢查項修復時需填寫參數值，保持默認值即可。
建議您及時優先修復“威脅等級”為“高危”的關鍵配置，根據業務實際情況修復威脅等級為“中危”或“低危”的關鍵配置。

查看修復建議

基線檢查策略管理

您可通過新建、編輯、刪除來管理手動檢測時的基線檢查策略，同時可對基線策略的檢查項進行自定義編輯，根據需要創建不同的基線檢查策略。

約束限制

• 在“風險預防 > 基線檢查 > 策略管理”中的策略僅限于基線檢查的“手動檢測”時使用。若需對基線檢查的基礎策略進行編輯，操作詳情請參見編輯策略內容章節中的“配置檢測”和“弱口令檢測”。
• 未開啟防護不支持基線相關操作。

新建基線檢查策略

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在左側導航樹中，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

5、單擊頁面右上角“策略管理”，進入策略列表頁面。

策略列表

6、單擊“新建策略”，填寫配置策略信息，參數說明如表2所示。

                    
說明
                    
“操作系統”選擇“Linux系統”時，所有“檢測基線”項下的子基線支持自定義勾選檢測規則檢查項，Windows暫不支持。
                    
                  
                  

新建基線策略信息

參數名稱	參數說明	取值樣例
策略名稱	自定義策略名稱。	linux_web1_security_policy
操作系統	選擇基線檢測的目標系統。：Linux 、 Windows	Linux
檢測基線	自定義勾選支持的檢測標準及類型，詳情如下： 1、Linux系統： 云安全實踐：Apache2、Docker、MongoDB、Redis、MySQL5、Nginx、Tomcat、SSH、vsftp、CentOS7、EulerOS、EulerOS_ext。 等保合規：Apache2、MongoDB、MySQL5、Nginx、Tomcat、CentOS6、CentOS7、CentOS8、Debian9、Debian10、Debian11、Redhat6、Redhat7、Redhat8、Ubuntu12、Ubuntu14、Ubuntu16、Ubuntu18。 2、Windows系統： 云安全實踐：MongoDB、Apache2、MySQL、Nginx、Redis、Tomcat、Windows_2008、Windows_2012、Windows_2016、Windows_2019。	云安全實踐：全選 等保合規：全選

7、確認填寫信息無誤，單擊“下一步”，選擇需要應用關聯的服務器。

選擇應用的服務器

8、確認無誤，單擊“確認”，在策略管理頁面新增1條基線策略，新建完成。

編輯基線檢查策略

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在左側導航樹中，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

5、單擊頁面右上角“策略管理”，進入策略列表頁面。

策略列表

6、單擊目標策略“操作”列的“編輯”，進入策略詳情頁面，可對策略名稱、檢測基線項進行修改。

說明
“操作系統”選擇“Linux系統”時，所有“檢測基線”項下的子基線支持自定義勾選檢測規則檢查項，Windows暫不支持。

7、確認修改無誤，單擊“下一步”，編輯需要應用的服務器。

編輯應用服務器

8、確認無誤，單擊“確認”，編輯完成，可在“策略管理”頁面查看目標策略編輯后的信息。

刪除基線檢查策略

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、在左側導航樹中，選擇“風險預防 > 基線檢查”，進入基線檢查頁面。

5、單擊頁面右上角“策略管理”，進入策略列表頁面。

策略列表

6、單擊目標策略“操作”列的“刪除”，在彈窗確認刪除的信息無誤，單擊“確認”，完成刪除。