从甲方角度介绍“CIS互联网安全中心”

作者:Sender  来源:WaveCN.com  发布日期:2022-03-25  最后修改日期:2022-03-28

  CIS互联网安全中心,即Center for Internet Security,是致力于网络安全实践的非盈利性组织,总部位于美国纽约,成员包括大公司、美国政府机构、大学研究所等。

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  CIS自2000年成立以来,其使命一直是开发、验证和推广适时的最佳实践方案,帮助用户、商业机构和政府部门保护自己,对抗网络威胁,使互联网更安全。

  在甲方角度,是如何使用好CIS提供的网络安全资源。在CIS的网站(https://www.cisecurity.org/)上,最主要的是这两个板块:

  • CIS Controls,CIS关键安全控制集
  • CIS Benchmarks,CIS基准测试标准集

  下面分别介绍。

 

CIS Controls

  CIS Controls 即 CIS Critical Security Controls,CIS关键安全控制集。目前已经发展到第8版,包含有18个控制。按CIS解释,在此版本中,物理设备、固定边界和零散的安全岛的重要性相应地降低,取而代之的是提高了管理活动的重要性并按管理活动去分类,同时修订了各种术语和安全保障措施,合并了控制。

  这18个控制包括:

CIS控制1:企业资产的库存和控制

CIS控制2:软件资产的库存和控制

CIS控制3:数据保护

CIS控制4:企业资产和软件的安全配置

CIS控制5:账户管理

CIS控制6:访问控制管理

CIS控制7:连续漏洞管理

CIS控制8:审计日志管理

CIS控制9:电子邮件网络浏览器和保护

CIS控制10:恶意软件防御

CIS控制11:数据恢复

CIS控制12:网络基础设施管理

CIS控制13:网络监控和防御

CIS控制14:安全意识和技能训练

CIS控制15:服务供应商管理

CIS控制16:应用程序软件安全

CIS控制17:突发事件响应管理

CIS控制18:渗透测试

 

CIS Benchmarks

  CIS Benchmarks,即CIS基准测试集,是CIS组织通过其全球网络安全专家社区,组织网络专家共同编制的,基于共识的、最佳实践的网络安全配置指南。这些指南覆盖了25个以上供应商产品系列,共100多个配置指南。通过应用这些标准,可以保护甲方系统防御当今不断演变的各种网络威胁。

  这些配置指南包括了Windows、Linux等多种操作系统(本地部署和云部署)、多种数据库、多种服务器软件、中间件、云服务、浏览器、办公软件等等领域,非常齐全。

  CIS基准测试集的开发过程是在网络安全专家、技术供应商、公共和私人的CIS社区成员以及CIS基准测试开发团队等慷慨的志愿者的共同努力下进行的。所有基准测试的开发过程都在社区中经过了充分的讨论以达成共识并形成草案,直到最后共识一致,草案才转换为正式的基准测试要求并发布。

  CIS基准测试集的内容是以PDF文件的形式公开、免费下载。对于付费会员,还提供了XCCDF等其它格式去方便使用。

  在单个CIS基准测试文件中,可能会包括多个配置说明,并通过配置说明的定义内容去描述对于基准测试所建议的配置。

  级别1的配置文件是基本的建议,可以相当迅速的实现,并且被设计为不会产生广泛的性能影响。级别1配置文件基准测试的目的是降低组织的攻击面,同时保持服务器可用,不妨碍业务功能。

  级别2的配置文件被认为是“深度防御”,适用于安全重要性高的环境。如果没有适当地实施或没有适当的注意,级别2的配置文件可能会对生产环境产生不利影响,典型如关闭了数据库服务器的对外服务之类。

  STIG(安全技术实施指南 Security Technical Implementation Guides)配置文件替换了以前的配置文件级别3。STIG配置文件提供了所有特定于STIG的建议。在适用的情况下,STIG配置文件中的内容会和1、2级配置的内容重叠。

  每个CIS基准测试中的每个建议都与至少一个配置文件相关联。作为使用者,无论计划在什么环境中实现哪个级别的配置文件,必须首先在测试环境中应用CIS基准测试指导,以确定潜在的影响。

本栏目相关
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 微信订阅号二维码

    本页网址二维码: