本页网址二维码:
本页网址二维码:
前几天自己的企业邮箱收到一封电邮,来自CustomerSales@cisecurity.org,简单而明确地指出:
“我们经过艰难的研究后决定,自即日起不再向您所在的地区提供托管在CIS的 CSAT 和 BIA 工具在线服务。”(原文为英文)
没事,我压根都没上船。
笔者:CISA(国际信息系统审计师)、软考系统分析师
CIS,全称 The Center for Internet Security, Inc.,行内一般叫互联网安全中心,其实这个叫法把它的地位抬高了,它只是个非盈利性的股份有限公司。应该叫“为了互联网安全的(研究)中心有限公司”。
虽准确但拗口,罢了,随便叫。
CIS 自己标榜的愿景和任务,三句不离 global,开口闭口都是 world,包括 slogan在内:
The CIS Vision: Leading the global community to secure our ever-changing connected world.
The CIS Mission: Our mission is to make the connected world a safer place by ...
可惜已经开始打折扣了。阿里云还是他家会员呢,这下估计会退出。
......
不过实事求是地说,CIS 这个专注网络安全的组织确实向行业提供了很多有价值的网络安全资讯,最突出的就是《CIS Critical Security Controls 关键安全控制措施》和《CIS Benchmarks 安全基准》两大类,还有其它一些指南。
必须指出的是,CIS 提供的网络安全资讯与政府部门所制定的行政法规要求或标准制定机构所制定的标准要求有明确区别,更偏重实用性、可执行。
本公众号对其中一些内容进行了翻译介绍,建议身在甲方的读者在实施等级保护体系的同时,参考实施 CIS 的风险控制措施。合集目录如下:
CIS 安全基准是频繁更新的一整套安全加固设置和审计文档,针对各厂商的产品提供安全基准设置参考和审计评估建议。
CIS 安全基准包括的软硬件产品包括Windows操作系统、主流Linux发行版、IIS/Apache/Nginx等主流WEB服务器、Tomcat/WebLogic等中间件服务器、MS-SQL/Oracle/MySQL/MariaDB等主流数据库、VMware的产品以及一些品牌的路由器、防火墙等硬件设备。
如果要执行等保测评,对基础设施的加固完全可以参照CIS安全基准去设置,某些要素上CIS安全基准还高于等保加固要求。
读者可以通过我之前翻译转载的月度更新情况进行了解:
网络安全加固基准:CIS Benchmarks 2023年5月的更新
CIS 安全基准的下载地址:
https://www.cisecurity.org/cis-benchmarks
考虑到各种不确定性,这么有用的资源,建议读者尽快去下载一份当前版本(注意都是英文的)。
本文的题头图是专门选的,大家可以发散理解一下。
站长信箱:
