CISecurity.org 已经拒绝中国大陆 IP 地址访问

作者:Sender Su  来源:本站原创  发布日期:2024-09-08  最后修改日期:2024-09-09

刚刚发现,CISecurity.org,即非盈利组织 Center for Internet Security 的网站已经主动拦截了来自中国大陆 IP 地址的访问。

article banner

笔者:国际认证信息系统审计师、软考系统分析师、软件工程硕士

本来笔者是例行一季度一次检查 CIS Benchmarks 的更新,结果点击收藏夹书签浏览器一闪显示的却是:

Sorry, you have been blocked

You are unable to access cisecurity.org

好吧,笔者之前的预见果然成了现实。

(可参考笔者之前的文章:《CIS 停止向中国区提供托管 CSAT 和 BIA 工具服务》)

也就是说,新版本的 CIS Benchmarks 安全基准集,以及  CIS Critical Security Controls (以下简称 CIS Controls)关键安全控制措施集的后续更新,都不能直接下载了。

当时 CIS 声称因赞助资金来源的原因,不能向中国区提供 CSAT 和 BIA 工具服务,笔者就已经预计迟早整个 CIS 都默认不接受中国区 IP 地址访问。

时间还不够一年。

犹记得网络安全等级保护刚刚开始全面推开强制要求的时候,在管理层面上如何把等保要求落实到企业实际运行,技术层面上如何做好各项信息化基础设施的加固,CIS 所提供的 CIS Controls 和 CIS Benchmarks 发挥了非常大的作用。

由于偏重实践,CIS 提供的这些安全控制措施和加固基准远比各种信息安全体系认证更实际,对如何能真正做好企业内网络安全基础工作更有意义。

笔者就见过通过了 ISO 27001 认证的企业,网络安全管理体系的实际情况就只是花架子。

同样地,等级保护标准体系的要求也需要有具体的实践措施去实现合规。

而且,网络安全并不仅仅是合规,还有尚未被包括在等级保护标准体系要求内的更广泛的安全要求,都或多或少地可以从 CIS Controls 和 CIS Benchmarks 中获得启发,或者是直接可行的措施。

最关键的是,等级保护标准体系已经实施了多年,等保测评对应标准要求的具体项目也已经演变了多次。但时至今日,国内仍然没有能和 CIS Benchmarks 完整可比的基础软件加固基准实践,严格来说,仅有唯一的一份:《网络安全标准实践指南—Windows 7操作系统安全加固指引》

可能连这份加固指引都有读者不知道,所以给出链接如下:

https://www.tc260.org.cn/front/postDetail.html?id=20220526174701

但笔者认为,TC260 (全国网络安全标准化技术委员会)不可能直接帮产品厂商背书加固,所以 Windows 7 这份是第一份估计也是最后一份。TC 260 推出这份指引更大的可能因素还是在于当时 Windows 7 停止更新但国内装机保有量实在太大,确实有必要发一个加固指引。

除此之外,就是散落在各个国产操作系统社区的自发产生的加固指引或加固工具,比如龙蜥:

https://gitee.com/anolis/security-benchmark

统信:

https://faq.uniontech.com/solution/umountain/3984/d8dc

其它厂商的加固指引,读者自己找找或许都有。

但很可惜的就是,国内安全行业产值号称过千亿,实力厂商如云,唯独就没有谁来举旗做 CIS 的替代。

仅以安全加固基准没有统一组织这件事来看,就已经显得是一盘散沙,可叹。

注:题头图由豆包生成。

本栏目相关
  •  2023-11-22 勒索软件团伙为了让受害者掏钱,居然直接报告给监管部门
  •  2024-03-19 电影《沙丘》中的零信任和风险管理(剧透)
  •  2024-05-28 微软 AI PC 的新功能“回顾”一定是个大坑
  •  2024-07-29 “观星者哥布林”的警示:瞄准病急乱投医的软件供应链水坑攻击
  •  2024-07-20 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Windows所思
  •  2024-09-08 CISecurity.org 已经拒绝中国大陆 IP 地址访问
  •  2024-09-26 WSUS 行将就木:微软决定放弃这款差强人意的更新管理工具
  •  2024-08-22 高“效”运维已死,高质运维永生
  •  2024-07-21 蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历史和警惕钓鱼网站
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码:

    本栏目热门内容
  • 评论:关于DBA这个角色职业未来之我见
  • 勒索软件团伙为了让受害者掏钱,居然直接报告给监管...
  • 评论:都一窝蜂地迁移基础设施......但真准备好了?...
  • 评论:我对终身学习的看法和自己的方法
  • 电影《沙丘》中的零信任和风险管理(剧透)
  • 信息化项目甲方避坑指东之一
  • 国产化替代:资源有限的甲方如何选择操作系统?
  • 信息化项目甲方避坑指东之二
  • 微软 AI PC 的新功能“回顾”一定是个大坑
  • “观星者哥布林”的警示:瞄准病急乱投医的软件供应...
  • 软件供应链安全应敲响警钟:从CrowdStrike搞蓝了Win...
  • 数据分类分级不是皇帝的新衣,是甲方信息化部门的尚...
  • CISecurity.org 已经拒绝中国大陆 IP 地址访问
  • WSUS 行将就木:微软决定放弃这款差强人意的更新管...
  • 信息化项目甲方避坑指东之三
  • 高“效”运维已死,高质运维永生
  • 蓝屏不会是最后一次:盘点杀毒软件反杀操作系统的历...
  • IT环境多样性:供应链安全和网络弹性之源!
  • 中国·广州 2024年国家网络安全宣传周现场精彩一瞥
  • 网络安全日志保留6个月?可能要三年。
  • 国产化替代:操作系统厂商需要加快制订加固基准
  • 采购使用传呼机、对讲机归谁管?
  • 从香港网络安全峰会2024观察香港网安市场机遇
  • 香港网络安全峰会2024所见
  • 安全加固必须要有可人读的基准文本而不是傻瓜式的黑...
  • BASIC 语言发明人去世,想起自己用过很多种 BASIC