CIS远程办公和小型办公室网络安全指南#7安全运维

作者:Sender  来源:WaveCN.com  发布日期:2022-07-14  最后修改日期:2022-07-14

  继续是CIS(互联网安全中心)专门制定的面向远程办公和小型办公室的安全指南,连载第七部分:安全运维。

笔者:国际认证信息系统审计师、软考系统分析师

  作为SOHO办公室,不可能有专职安全人员,但基础的安全运维,还是需要自己动手干。下面是一个可以对照执行的网络安全检查表。

  在采购了网络设备后,应对照检查表中的配置信息进行设置。当然不是所有的检查项都适合每一家SOHO办公室,要能自己比对。

   把设备登记到厂家服务平台。
   所有的网络设备的默认管理员密码都要修改,要有足够的密码强度(大小写数字符号)相互之间不重复。
   如果ISP提供了服务平台,要使用独立的密码。
   如果设备或者服务平台支持双因素验证,务必开启使用。
   修改WiFi网络名称(即SSID)的密码,密码必须独立。
  

确保WiFi网络名称不包含任何可以进行身份辨别的信息(比如地址)。

   谨慎地保护好WiFi密码。
   对于WiFi路由器提供的2.4GHz和5GHz频道,如果任一是不使用的就应该关闭掉。
   网络设备应放置在不能被公共人群或者路过人员触碰到的位置。
   启用所有网络设备的自动更新功能。
   启用WPA2或者WPA3加密方式。
   可以的话,关掉WPS功能。
   如果设备带有防火墙功能就必须启用。
   启用设备的NAT功能。
   在路由器上启用DNS过滤功能(通过安全的公共DNS)。
   关闭UPnP功能。

  在CIS控制措施中,可以找到对应以上安全配置的条款,大致的对应关系如下,但不是所有这些安全配置都能对得上。因为SOHO办公室安全配置与CIS控制措施相比还是比较简单。有兴趣的读者可以找回我之前介绍CIS控制措施集的连载看看:CIS关键安全控制措施集18项完整目录

CIS控制措施 防御措施
N/A 把设备登记到厂家服务平台。
4 所有的网络设备的默认管理员密码都要修改,要有足够的密码强度(大小写数字符号)相互之间不重复。
4 如果ISP提供了服务平台,要使用独立的密码。
4 如果设备或者服务平台支持双因素验证,务必开启使用。
N/A 修改WiFi网络名称(即SSID)的密码,密码必须独立。
N/A

确保WiFi网络名称不包含任何可以进行身份辨别的信息(比如地址)。

4 谨慎地保护好WiFi密码。
13 对于WiFi路由器提供的2.4GHz和5GHz频道,如果任一是不使用的就应该关闭掉。
N/A 网络设备应放置在不能被公共人群或者路过人员触碰到的位置。
3 启用所有网络设备的自动更新功能。
15 启用WPA2或者WPA3加密方式。
11 可以的话,关掉WPS功能。
12 如果设备带有防火墙功能就必须启用。
11 启用设备的NAT功能。
7 在路由器上启用DNS过滤功能(通过安全的公共DNS)。
11 关闭UPnP功能。
本栏目相关
  •  2024-03-05 点评软件供应链安全框架 in-toto 的审计结果
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 微信订阅号二维码

    本页网址二维码: