信息安全的技术或者产品的发展，已经走到了一个"平台期"。而未来的信息安全的集成项目，更多的会是整体方案以及配套实施效果的博弈，而不再像过去那样主要集中于产品的采购。而方案的建设和方案的优劣，也将成为参与市场竞争的关键点。

　　　作为跑在信息化最前列的用户，金融行业对信息安全市场更像是一个引路者。长久以来，金融行业一直格外重视信息安全的建设及投入，而且从早期建设就在参考国际上一些很有价值的安全规范及标准，所以目前信息安全市场中很多成熟的安全产品，都是在金融行业用户的引导下逐渐成形的。

　　这也导致了大多数专业的信息安全方案商，早期进入金融行业的契机都是针对于产品或是一些技术的应用。但是，伴随整个金融行业信息化进程的加速，金融安全与信息安全之间的关系正在出现巨大的变化，而这种变化也已经给专业的安全方案商带来了挑战。

　　  随着系统规模日益扩大，支撑金融机构业务系统的网络结构也变得越来越复杂。其中，重要应用和服务器的数量及种类日益增多，一旦发生维护人员误操作，或者采用一成不变的初始系统设置而忽略了对于安全控制的要求，就可能会极大的影响系统的正常运转。因此，针对金融行业的业务系统建立安全检查点与操作指南的安全基线规范，则成为保障信息系统安全运行的首要步骤。

　　所谓安全基线规范，是为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准，是一套统一的安全设置指标。业务系统的下层支撑体系几乎涵盖了包括操作系统、网络设备、数据库、中间件在内的所有类型的设备与系统。为保证业务系统的稳定运行，需要在业务系统整个生命周期的各个环节，对上述设备与系统的安全配置进行检查。这些环节包括设备入网、业务上线、日常运维、定期巡检和设备下线等。安全基线规范将形成针对不同设备与系统的详细检查表格和操作指南，为标准化的技术安全操作提供了框架和标准。

　　通过采用统一的安全基线规范来指导技术人员在各类系统上的日常运维操作，让运维人员有了检查默认风险的标准，但是面对信息系统中种类繁杂、数量众多的设备与系统，真正完成合规性的系统配置检查和修复，却成为一个费时费力的事情，且对检查人员的技能和经验要求较高。使用能够辅助安全检查与自评估的高效、自动且标准化的配置核查工具就很有必要。

　　在信息系统中建立完整可靠的安全基线技术体系需要对安全基线的建立、落实以及管理的过程进行规划，使之成为一个具备完整定义的、成熟的、可重复的过程，在开发、实施、运行中执行此过程的信息系统才具有较高的安全可信度和可靠性。

（来自：电脑商情在线）