如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之十二：网络基础设施管理

　　CIS关键安全控制措施集（CIS Critical Security Controls，CIS Controls）系列介绍文章，本期介绍控制措施12：网络基础设施管理

笔者：国际认证信息系统审计师、软考系统分析师

　　控制措施12：网络基础设施管理

　　包含有8个细项，IG1前1项，IG2前7项，IG3全8项。

　　这8项分别是：

　　12.1 确保网络基础设施保持最新状态。包括运行最新稳定的软件版本、使用受供应商支持的网络即服务(NaaS)产品。每月或更频繁地检查软件是否存在更新版本，以验证软件支持服务是否存在。

　　12.2 建立和维护一套安全的网络架构。安全的网络体系结构必须至少解决分段、最小特权和可用性问题。

　　12.3 安全地管理网络基础设施。包括基于版本控制的基础设施即代码，以及使用安全的网络协议比如SSH和HTTPS。

　　12.4 建立和维护网络结构图和其他网络系统文档。每年，或在发生可能影响此安全措施的重大企业变革时，审查和更新文档。

　　12.5 集中化进行网络身份验证、授权和审核(AAA)。

　　12.6 使用安全的网络管理和通信协议，例如802.1X、WPA2企业级或更高版本。

　　12.7 确保远程设备使用VPN，并能连接到企业的AAA基础设施进行验证。企业应要求远程用户的终端设备，必须取道企业管理的VPN，并通过企业内设的身份验证服务给予授权后，才能访问企业资源。

　　12.8 为所有管理任务，或需要具备管理授权才能实现的任务，建立和维护物理的或逻辑上隔离的、专用的计算资源。计算资源应该从企业的主网络中分割出来，不允许直接连接到互联网。

　　控制措施12要求企业建立、实施和积极管理网络设备，包括跟踪、报告、纠正等措施，以防止攻击者利用了具有未修补的缺陷的网络服务或接入点。

　　企业应确保网络基础设施得到完整的文档化，并且架构图保持最新。

　　对于关键的基础设施组件来说，获得供应商提供补丁程序和功能升级的支持是很重要的。对于明确了产品寿命终止的组件，应在失去支持之前升级，或应用缓解控制措施来隔离它们。

　　企业需要监控其基础设施版本和配置，以确定是否存在需要企业将网络设备升级到不影响整体基础设施的最新安全稳定版本的漏洞。

　　一套最新的网络体系结构图，包括安全体系结构图，是基础设施管理的重要基础。

　　其次是为了访问控制、日志记录和监控而实现完整的账户管理能力。

　　最后，基础设施的管理操作只能在安全的网络协议上执行，且要具有强身份验证功能，比如多重因素身份验证，以及来自专用于管理的专用设备或带外网络。

　　商业工具可以帮助评估网络过滤设备的规则集，以确定它们是严谨一致的还是相互冲突的。

　　这些工具可以提供对网络过滤器的自动完整性检查。这些工具在规则集或访问控制列表(ACL)中搜索错误，这些错误可能允许意外的服务功能通过网络设备。

　　每次对防火墙规则集、路由器ACL列表或其他过滤技术设备进行重大调整时，都应该运行这些检查工具。

本页网址二维码：