刚刚发现,CISecurity.org,即非盈利组织 Center for Internet Security 的网站已经主动拦截了来自中国大陆 IP 地址的访问。
笔者:国际认证信息系统审计师、软考系统分析师、软件工程硕士
本来笔者是例行一季度一次检查 CIS Benchmarks 的更新,结果点击收藏夹书签浏览器一闪显示的却是:
Sorry, you have been blocked
You are unable to access cisecurity.org
好吧,笔者之前的预见果然成了现实。
(可参考笔者之前的文章:《CIS 停止向中国区提供托管 CSAT 和 BIA 工具服务》)
也就是说,新版本的 CIS Benchmarks 安全基准集,以及 CIS Critical Security Controls (以下简称 CIS Controls)关键安全控制措施集的后续更新,都不能直接下载了。
当时 CIS 声称因赞助资金来源的原因,不能向中国区提供 CSAT 和 BIA 工具服务,笔者就已经预计迟早整个 CIS 都默认不接受中国区 IP 地址访问。
时间还不够一年。
犹记得网络安全等级保护刚刚开始全面推开强制要求的时候,在管理层面上如何把等保要求落实到企业实际运行,技术层面上如何做好各项信息化基础设施的加固,CIS 所提供的 CIS Controls 和 CIS Benchmarks 发挥了非常大的作用。
由于偏重实践,CIS 提供的这些安全控制措施和加固基准远比各种信息安全体系认证更实际,对如何能真正做好企业内网络安全基础工作更有意义。
笔者就见过通过了 ISO 27001 认证的企业,网络安全管理体系的实际情况就只是花架子。
同样地,等级保护标准体系的要求也需要有具体的实践措施去实现合规。
而且,网络安全并不仅仅是合规,还有尚未被包括在等级保护标准体系要求内的更广泛的安全要求,都或多或少地可以从 CIS Controls 和 CIS Benchmarks 中获得启发,或者是直接可行的措施。
最关键的是,等级保护标准体系已经实施了多年,等保测评对应标准要求的具体项目也已经演变了多次。但时至今日,国内仍然没有能和 CIS Benchmarks 完整可比的基础软件加固基准实践,严格来说,仅有唯一的一份:《网络安全标准实践指南—Windows 7操作系统安全加固指引》
可能连这份加固指引都有读者不知道,所以给出链接如下:
https://www.tc260.org.cn/front/postDetail.html?id=20220526174701
但笔者认为,TC260 (全国网络安全标准化技术委员会)不可能直接帮产品厂商背书加固,所以 Windows 7 这份是第一份估计也是最后一份。TC 260 推出这份指引更大的可能因素还是在于当时 Windows 7 停止更新但国内装机保有量实在太大,确实有必要发一个加固指引。
除此之外,就是散落在各个国产操作系统社区的自发产生的加固指引或加固工具,比如龙蜥:
https://gitee.com/anolis/security-benchmark
统信:
https://faq.uniontech.com/solution/umountain/3984/d8dc
其它厂商的加固指引,读者自己找找或许都有。
但很可惜的就是,国内安全行业产值号称过千亿,实力厂商如云,唯独就没有谁来举旗做 CIS 的替代。
仅以安全加固基准没有统一组织这件事来看,就已经显得是一盘散沙,可叹。
注:题头图由豆包生成。
本站微信订阅号:
本页网址二维码: