CIS远程办公和小型办公室网络安全指南#7安全运维
作者:Sender Su 来源:原创内容 发布日期:2022-07-14 最后修改日期:2022-07-14
继续是CIS(互联网安全中心)专门制定的面向远程办公和小型办公室的安全指南,连载第七部分:安全运维。
笔者:国际认证信息系统审计师、软考系统分析师
作为SOHO办公室,不可能有专职安全人员,但基础的安全运维,还是需要自己动手干。下面是一个可以对照执行的网络安全检查表。
在采购了网络设备后,应对照检查表中的配置信息进行设置。当然不是所有的检查项都适合每一家SOHO办公室,要能自己比对。
| 把设备登记到厂家服务平台。 | |
| 所有的网络设备的默认管理员密码都要修改,要有足够的密码强度(大小写数字符号)相互之间不重复。 | |
| 如果ISP提供了服务平台,要使用独立的密码。 | |
| 如果设备或者服务平台支持双因素验证,务必开启使用。 | |
| 修改WiFi网络名称(即SSID)的密码,密码必须独立。 | |
|
确保WiFi网络名称不包含任何可以进行身份辨别的信息(比如地址)。 |
|
| 谨慎地保护好WiFi密码。 | |
| 对于WiFi路由器提供的2.4GHz和5GHz频道,如果任一是不使用的就应该关闭掉。 | |
| 网络设备应放置在不能被公共人群或者路过人员触碰到的位置。 | |
| 启用所有网络设备的自动更新功能。 | |
| 启用WPA2或者WPA3加密方式。 | |
| 可以的话,关掉WPS功能。 | |
| 如果设备带有防火墙功能就必须启用。 | |
| 启用设备的NAT功能。 | |
| 在路由器上启用DNS过滤功能(通过安全的公共DNS)。 | |
| 关闭UPnP功能。 |
在CIS控制措施中,可以找到对应以上安全配置的条款,大致的对应关系如下,但不是所有这些安全配置都能对得上。因为SOHO办公室安全配置与CIS控制措施相比还是比较简单。有兴趣的读者可以找回我之前介绍CIS控制措施集的连载看看:CIS关键安全控制措施集18项完整目录
| CIS控制措施 | 防御措施 |
| N/A | 把设备登记到厂家服务平台。 |
| 4 | 所有的网络设备的默认管理员密码都要修改,要有足够的密码强度(大小写数字符号)相互之间不重复。 |
| 4 | 如果ISP提供了服务平台,要使用独立的密码。 |
| 4 | 如果设备或者服务平台支持双因素验证,务必开启使用。 |
| N/A | 修改WiFi网络名称(即SSID)的密码,密码必须独立。 |
| N/A |
确保WiFi网络名称不包含任何可以进行身份辨别的信息(比如地址)。 |
| 4 | 谨慎地保护好WiFi密码。 |
| 13 | 对于WiFi路由器提供的2.4GHz和5GHz频道,如果任一是不使用的就应该关闭掉。 |
| N/A | 网络设备应放置在不能被公共人群或者路过人员触碰到的位置。 |
| 3 | 启用所有网络设备的自动更新功能。 |
| 15 | 启用WPA2或者WPA3加密方式。 |
| 11 | 可以的话,关掉WPS功能。 |
| 12 | 如果设备带有防火墙功能就必须启用。 |
| 11 | 启用设备的NAT功能。 |
| 7 | 在路由器上启用DNS过滤功能(通过安全的公共DNS)。 |
| 11 | 关闭UPnP功能。 |
本栏目相关
本站微信订阅号:
本页网址二维码:
本栏目热门内容