通过基线检查，您可以按照CIS基线、等级保护三级要求等安全基线标准自动扫描服务器配置，及时发现不合规配置与潜在风险，获取修复建议。

操作流程

登录与准备

1. 登录平台： 登录云安全中心控制台，进入风险治理-基线检查模块。如果无法使用模块，请确认您的账户已订购企业版及以上版本的安全服务。
2. Agent准备： 在下发扫描任务前，请确保目标服务器已安装云安全中心Agent且状态为“防护中”。如果某些服务器的Agent状态为离线或仅配置了基础版的Agent，请先在资产列表中部署或者升级Agent至企业版及以上版本并确保其在线。

创建和管理检查模板

在执行基线扫描之前，您可以根据需要选择或定制不同的基线检查模板，基线模板决定了扫描时使用哪些检查项规则。

系统提供了默认的安全基线模板（CIS标准和等保三级标准），您也可以按照业务需求自定义模板。下面介绍如何管理基线检查模板，包括创建新模板、自定义弱口令规则，以及查看/删除已有模板。

新建基线检查模板

1. 进入模板列表页： 在基线检查主页面，点击界面中的“自定义检查模板”入口。页面列表将列出您已创建的所有自定义基线模板。

   

2. 点击“创建规则”： 在模板列表页，点击“创建规则”按钮，进入创建模板页面。
3. 填写模板信息： 在新建模板页面，按以下要求填写和配置：

• 规则名称： 为模板输入一个名称，以便区分不同模板。名称不能为空，长度应在1~50个字符以内，建议能体现模板用途（例如“Linux登录安全基线”）。
• 操作系统： 默认为“Linux”，目前基线检查仅支持Linux服务器。

• 选择检查项： 从可用的基线检查项中选择您想包含在此模板中的检查规则。

  • 左侧栏列出所有可选的检查项规则，并按安全基线标准分类。您可以通过上方的搜索框按关键词过滤查找特定检查项。点击每项旁的复选框，勾选想要添加的检查项。
  • 点击左侧列表中的某个分类名称可以展开查看该分类下的具体检查项。您可以勾选某一具体检查项，也可以全选某一分类下的全部检查项以快速添加。
  • 选中的检查项会移至右侧栏“已选检查项”列表。

• 自定义设置（弱口令规则）： 在新建模板时，可以设置弱口令检查的附加规则：

  • 如果不开启该开关，则系统使用默认的内置弱口令检查规则。
  • 将开关开启后，您可以指定一个“密码长度检测”阈值，例如选择“长度小于5字符”“长度小于8字符”或“长度小于10字符”。这表示在弱口令检查时，除常见弱密码外，系统还会将长度低于所选阈值的密码视为不合规弱口令进行检查和报告。
  • 建议依据需要选择适当的长度规则，如果不确定，可保持默认关闭状态，采用系统默认策略。
• 保存模板： 填写完上述信息并确认无误后，点击“确定”按钮。新模板会出现在列表中，您之后下发任务时即可选择使用。

自定义弱口令规则

弱口令检查项支持用户扩展自定义的密码列表，以增强密码合规检查力度。您可以在基线检查模块中维护自定义的弱口令库：

1. 打开弱口令自定义弹窗： 在“自定义检查模板”页面，点击“自定义弱口令”按钮。

   

2. 输入弱口令列表： 在弹窗中，您可以将想要标记为弱口令的字符串逐行输入或粘贴到此处，多个弱口令之间用换行进行分割。

   • 长度限制： 支持最多输入5000个字符（包含换行等特殊字符）。
   • 合并去重： 您无需担心与系统已有弱口令或已添加项重复，系统会在保存时自动合并并去除重复的词条，确保最终生效的弱口令字典中不含重复项。

3. 保存弱口令列表： 输入完成后，点击“确认”。系统将保存您提供的弱口令列表，并更新弱口令检查项所使用的密码字典，后续所有基线扫描（无论使用哪种模板）在执行弱口令检查时，都会将您自定义添加的密码词汇视为弱口令进行检测。

   注意：请谨慎维护弱口令列表，尽量添加常见且确认为弱的密码，否则可能导致扫描结果出现误报。 您可以随时重新打开此弹窗修改列表内容。

模板查看与删除

• 查看/编辑模板： 在自定义模板列表中，您可以点击“查看”按钮查看该模板的详细配置。如果需要修改模板，您可以在自定义模板列表或者模板详情页面进行编辑。修改后，新配置将用于后续的扫描任务。

• 删除模板： 若某个自定义模板不再需要，您可以在模板列表中点击其对应的“删除”操作。

  注意：删除模板不可恢复，请谨慎操作。删除模板不会影响之前已执行的扫描结果记录，但之后无法再使用该模板下发新的基线检查任务。如果某模板正在定时任务计划中，请先更新相关任务配置，避免引用已删除的模板。

下发检查任务

配置好检查模板后，您可以对选定的服务器下发基线检查任务。下发任务分为即时检查（手动立即触发一次扫描）和定时检查（预先设定时间周期自动触发）。以下分别介绍其操作方法。

立即检查任务（手动触发扫描）

1. 选择目标服务器： 在基线检查主页面的服务器列表中，勾选需要执行基线扫描的目标服务器。您可以通过列表左侧的多选框选择单台或多台服务器。如果需要扫描全部服务器，可使用列表顶部的全选框一次性选中所有服务器。

   提示：列表支持按条件筛选服务器，例如只显示旗舰版或Agent防护中的服务器，您可以先筛选再全选，以对特定子集批量操作。还可以在搜索框中输入服务器名称/IP来定位目标服务器。离线的服务器无法执行检查任务。

2. 点击立即检查： 在服务器列表顶部，点击立即检查按钮。将弹出选择检查方式的弹窗。

3. 选择检查模板： 在弹窗中，选择您希望使用的基线检查模板：

   • CIS标准
   • 等保三级
   • 您创建的自定义模板名称列表
4. 确认下发任务： 选择模板后，点击对话框中的“确定”按钮。系统将开始对所选服务器执行基线检查任务。
5. 等待任务完成： 系统将利用部署在每台服务器上的Agent执行基线扫描。在扫描进行时，您可以点击页面上的“查看”按钮以获取每台服务器的详细执行状态。扫描时间根据服务器数量和检查项多少而定，通常数十秒到几分钟不等。当所有目标服务器都扫描完成后，列表开始展示每台服务器最新的检查结果概况。
6. 查看结果： 任务完成后，请参见下文“查看和分析检查结果”部分了解如何解读结果和查看详情。如果部分服务器扫描失败或超时，其状态会标记为失败，您可在任务列表中看到具体信息。

注明：在未购买企业版及以上版本情况下，每个账户最多只能免费执行3次立即检查任务。若您已超出免费次数，请联系购买授权以继续使用基线检查功能。

定时检查任务（计划任务扫描）

如需实现基线检查的周期性自动运行，您可以创建定时任务，使系统按照设定的时间计划定期执行扫描。定时任务配置步骤如下：

1. 进入定时任务配置： 在云安全中心控制台中，进入系统管理-定时任务设置*页面。
2. 新建任务： 在定时任务管理界面，点击“创建任务”按钮。
3. 选择任务类型： 在新建任务配置中，将任务类型称选择为“基线检查”。
4. 选择检查模板： 为该定时任务选择一个基线检查模板。
5. 设定执行时间： 配置任务的执行计划。

6. 设置检查范围： 选择要定期扫描的服务器范围。

   • 您可以手动勾选需要包含在此计划中的服务器。如果服务器很多，可搜索名称/IP筛选选择。
   • 请确保所选择的服务器Agent均处于正常状态，否则在计划执行时将无法成功扫描。
7. 保存并启用： 填写完毕后，点击“确认”。系统会提示定时任务创建成功。
8. 查看任务执行情况： 当定时任务到达设定时间后，系统将自动下发基线检查。执行过程中，您可以在基线检查主页面看到扫描进度和结果更新。定时任务的执行历史也会记录在日志模块的功能日志中。

提示：定时任务创建后需要确保云安全中心服务持续运行，且目标服务器在线。任务执行结果与手动下发相同，均会在基线检查模块产生最新检查结果，并更新概览数据。建议根据安全策略合理安排任务频率，以平衡安全与系统开销。

查看和分析检查结果

当基线检查任务完成后，建议您查看并分析扫描结果，以了解哪些项目存在风险并采取相应措施修复。基线检查模块提供了多层次的结果查看功能，从总览列表到详细弹窗，帮助您逐级深入分析。

查看基线检查总览

基线检查总览页面汇总展示您账户下所有服务器的最新基线检查结果概况，主要包括以下内容：

• 服务器风险概况： 页面顶部显示当前账户下服务器的整体风险情况统计，包含的内容如下。

  • 服务器总数： 纳入基线检查管理的服务器总数量。
  • 存在风险的服务器： 检测到不合规项（未通过检查项） 的服务器数量。这个数字为可点击链接，点击后列表将筛选出存在风险的服务器条目。再次点击或清除筛选后，列表恢复显示全部服务器。
  • 未受保护的服务器： 安全Agent处于离线状态的服务器数量。同样地，点击该数字可筛选出Agent状态为离线的服务器列表，便于您关注哪些服务器无法执行检查。清除筛选后返回全列表。
• 基线通过率（合规率）： 以环形图形式展示所有服务器基线检查的整体通过率（通过/未通过项）。环形图区分“通过”的检查项总数（绿色）和“未通过”的检查项总数（红色）及其占比，您可直观看出整体基线合规情况。

• 检查项统计： 展示最近一次扫描中检查项的总数量，以及总体通过/未通过的项数。

  • 检查项总数： 所有服务器在最近一次基线检查中执行的检查项数量总和。
  • 通过项总数： 所有服务器最近一次检查中结果为“通过”的检查项数量。
  • 未通过项总数： 所有服务器最近一次检查中结果为“未通过”的检查项数量。

说明：基线检查总览页面的统计数据反映的是所有服务器的最新检查结果，不随下方列表筛选条件变化而变化。通过这些概览数据，您可以快速评估整体基线安全水平。

检查结果列表概览

基线检查主页面下半部分是检查结果列表，按照服务器维度展示各台服务器最近一次基线扫描的结果摘要。每行对应一台服务器，包含以下重要字段：

• 服务器名称/IP： 被检查服务器的标识（名称或IP地址）。
• Agent状态： 该服务器安全代理当前状态，如“防护中”（在线）或“离线”。
• 检查时间： 最近一次基线检查的时间。
• 未通过项数量： 显示该服务器存在多少项未通过的风险项。若为“-”，则表示此服务器所有检查项均通过（合规）。如果大于0，则说明存在对应数量的基线风险需要关注。点击未通过项的数字，可以查看具体未通过项细节。

• 检查模板： 显示本次扫描所使用的基线模板名称，方便了解检查依据。

  提示：检查结果列表统计了服务器的最近一次基线检查记录，更多历史数据请到日志管理查看。

查看不合规项详情

1. 进入详情页面： 在检查结果列表中，选择某一台您想深入分析的服务器。点击该服务器行的“未通过项”。

2. 详情列表： 在服务器详情页面的列表中，您可以看到具体的检查项结果，包括：

• 检查项目： 基线检查项名称，例如“密码复杂性策略是否开启”或“SSH远程登录限制”。
• 类别： 检查项所属的类别分类，例如“账户与身份鉴别”、“系统配置”、“入侵防范”等，用于归类不同类型的基线要求。
• 结果： 该项的检查结果状态。
• 风险等级： 对未通过项给出的风险级别评定。

3. 查看风险详情弹窗： 在详情列表中，对于未通过的检查项，点击该项的名称，系统会弹出该项的详细信息窗口（风险详情弹窗）。 在弹窗中，包括以下内容：

   • 规则描述： 对该基线检查项的规则背景进行说明。
   • 不合规项： 展示该服务器上实际检测到的不合规配置细节。
   • 修复建议： 平台根据基线标准提供的整改指导，告诉您如何修复此不合规项，修复建议能够帮助您快速采取行动将配置调优至合规。

4. 分析和处理： 根据详情页面和弹窗提供的信息，您应分析哪些不合规项是高优先级需要立即处理的。根据修复建议，您可以联系运维团队或登录服务器实施更改。完成修复后，可以通过再次下发基线检查来验证问题是否已解决，新的检查结果应显示该项通过，从而风险项数量减少。

   提示：基线检查结果只反映扫描当刻的系统配置状态，如果在扫描后您对服务器做了更改，请记得重新扫描以更新结果。

下载检查报告

基线检查模块支持将扫描结果导出为离线报告，以供保存、分析或汇报。根据需求，您可以导出单次扫描报告或历史综合报告：

• 导出当前扫描结果： 完成一次扫描后，您可以点击单服务器详情页，下载该服务器的检查详情Excel。

• 导出历史检查结果： 如果您需要长周期的基线检查数据，可以使用日志模块的导出功能。

查看历史记录与日志模块

基线检查结果的历史记录可在日志模块中查询。日志模块汇总了最近一段时间（默认180天内）的所有基线检查任务记录和详细扫描日志，方便您追溯和审计。进入日志模块后，与基线检查相关的日志通常分为两个部分：功能日志和扫描日志。

• 功能日志（基线检查任务记录）： 功能日志记录每一次基线检查任务的执行情况。每条日志对应一次检查任务在一台服务器上的执行结果。日志列表主要字段包括：

  • 发生时间： 任务执行完成的时间戳。
  • 服务器名称/ID： 执行基线检查的服务器名称或ID。
  • 检查模板： 本次任务使用的基线检查模板名称。
  • 检查项目： 基线检查项名称。
  • 类别： 检查项所属的类别分类。
  • 检查结果： 该项的检查结果状态。
  • 风险等级： 对未通过项给出的风险级别评定。

• 扫描日志（基线检查扫描结果）： 扫描日志详尽记录了基线检查过程中发现的具体不合规项条目。可以理解为把所有服务器的未通过项汇总到一个列表中。主要字段包括：

  • 发生时间： 该不合规项被检测的时间（属于某次扫描任务的时间点）。
  • 服务器名称/ID： 出现该不合规项的服务器标识。
  • IP地址： 扫描服务器的公网和内网IP。
  • 检查类型： 定时检查/手动检查。
  • 检查状态： 检查成功/检查失败/检查超时/已取消
  • 未通过项总数： 显示该服务器存在多少项未通过的风险项。

说明：日志模块保存的数据量可能较大，一般系统仅保留最近180天的基线检查日志数据,超过保存期的日志会自动清理。因此如果需要长期保存某些历史记录，请及时导出备份。

基线检查兼容的操作系统版本

• 支持的版本：linux；arch: x86_64；aarch64。
• os_version: 不要求。