关键词：安全基线检查，漏洞扫描，企业信息系统安全，信息安全风险评估

摘要：为满足《网络安全法》的安全要求，避免业务风险，御盾采用安全基线检查和漏洞扫描的方式，对联合汽车电子有限公司AI平台系统的数据安全性和平台稳定性做出全面的信息安全风险评估。

项目背景

为满足《网络安全法》的安全要求，避免业务风险，需要定期对公司的信息系统开展风险识别、风险评估和问题整改等相关工作。但是信息安全风险管理工作需要专业技术手段和管理人员，新型的网络攻击又层出不穷，以指数级别增长。在这样的情况下，引入专业的网络安全机构对公司信息系统做全面的风险评估和整改，势在必行。

项目概述

采用安全基线检查和漏洞扫描的方式，对联合汽车电子有限公司AI平台系统的数据安全性和平台稳定性做信息安全风险评估。其中基线检查的对象包括Ubuntu、Docker、Kubernetes、PostgreSQL、Nginx共5块，检查内容包括：身份鉴别、访问控制、安全审计、软件配置，权限配置；漏洞扫描主要是使用主机漏洞扫描工具检查AI平台系统的安全设备操作系统是否存在安全漏洞或隐患。最终根据基线检查和漏洞扫描结果出具风险评估报告及修复建议。

项目过程

御盾安全基于信息安全风险评估实践经验和对政策法规要求的深刻理解，为客户提供了一套专业全面的信息安全风险评估解决方案及服务。

检查准备

成立安全检查项目组，对AI平台系统的建设运行情况进行调研，收集相关技术文档，制作检查方案、编写检查实施计划，并就其中的检查范围、检查对象、检查方式、进度安排、人员组织等与客户讨论并确认。

现场检查

安全检查项目组进入正式现场检查阶段前，就检查方案和计划、相关配合人员和配合事项等进行确认。项目组根据确认后的检查方案进行系统安全检查，并作现场检查记录。在现场检查完成后，项目组向客户说明现场检查的初步情况，双方就发现的问题达成一致，为编写安全检查报告提供准确依据。

检查过程中，项目组做好检查记录和证据的接收、处理、存储和销毁，保护其在检查期间免遭改变/遗失，并保守秘密。

整改复核

安全检查项目组根据现场检查结果，形成初步的系统安全问题及建议报告，列举系统当前存在的安全问题，督促客户进行整改，并在整改完成后由项目组针对整改结果进行复测。

总结报告

根据复测结果，形成完整的系统安全检查报告，报告内容包括被测机构信息、检查依据、检查时间、检查方法、检查内容和检查过程详述、检查结论等，经审核签发后提交给客户。

结论与建议

本次检查主要依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》、GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28449-2018《信息安全技术 网络安全等级保护检查过程指南》、DB31/T 272-2008《计算机信息系统安全检查通用技术规范》，从安全计算环境层面进行安全基线检测和漏洞扫描。根据检测结果我们给出了一份27页的报告，报告中针对每一项给出了测试结果，对存在风险的项目均给出了相应的整改建议方案，让企业能直接了解自身的信息系统安全状况，同时能根据建议方案来修复系统安全漏洞，有效提升系统的信息安全性能。

我们的优势

1、多年深耕网络信息安全领域，长期与各大安全厂商和信息安全测评机构保持良好的合作关系，了解最新的技术发展趋势，深刻理解各行业信息安全建设痛点；

2、更专业的安全团队，项目经验丰富；更快、更准确地找出IT风险隐患；

3、充分满足需求，迅速形成专业风险评估等相关报告，及时满足机构内部及监管报送的需要；

4、对风险评估的问题整改、跟踪建立了闭环的管控机制，便于全生命周期管理。