互联网安全中心(CenterforInternetSecurity,简称CIS)控制措施是国际计算机安全领域重要的应用实践标准之一,旨在通过将风险降低到可接受水平,来帮助企业组织应对普遍存在并且后果较严重的网络威胁。在CIS发布的第八版网络安全关键安全控制措施中,通过将新规则与IT和安全行业结合,将企业开展网络安全建设时的关键控制措施建议从20个减少为18个。
CIS关键安全控制的价值
CIS关键安全控制不是为未经授权的网络攻击或针对某个安全厂商的安全产品而设计,而是为了帮助企业防止任何可疑网络活动的发生。其主要目标是以更具成本效益的方式降低风险,确保企业数据和系统免受黑客、网络攻击和其他在线威胁的侵害。
CIS关键安全控制被设计为非侵入性,它们不会阻止任何符合公司政策或标准的行为,其关键安全措施通过遵循行业最佳实践,帮助企业维护网络或系统上信息资产的机密性、完整性和可用性。
CIS关键安全控制对企业用户具有较高的参考价值,因为它们有助于保护企业数据、资源和基础设施。CIS关键安全控制旨在帮助企业实施有效的网络防御系统,包括最新的行业实践,可以轻松地在大多数企业的安全系统中实施到,无需对其基础架构进行重大更改或投资,也不会影响企业业务的正常开展。
企业可以通过3个步骤轻松实施CIS关键安全控制:
第一步:确认需求
企业首先需要确定哪些业务适用CIS关键安全控制。
第二步:设置优先级
企业应该首先选择适合其需求的部分CIS关键安全控制措施进行落地准备。
第三部:实施
实施CIS关键安全控制,企业可以定期或安全系统发生重大变化后持续监控账户和维护流程。
CIS关键安全控制的18项措施
CIS控制基准第八版,将关键安全控制措施从20个减少到18个。
1.硬件的盘点和控制
企业监控网络的所有硬件设备至关重要,确保只有经过授权的设备才能访问,并且可以在不法分子造成损害之前检测到攻击并断开连接。
2.软件的盘点和控制
为防止未经授权的软件在资产上运行,企业需使用软件清单工具自动记录所有软件。
3.数据保护
企业关键系统和数据必须受到保护并定期备份,安全团队必须拥有经过验证的方法来实现及时的数据恢复能力,可以通过实施CISCSC(CriticalSecurityControl)确保所有数据在传输或存储之前得到适当保护。不过,大多数企业通常在发生漏洞后才会考虑其数据和系统安全性。
4.硬件和软件的安全配置
企业必须设置、维护和执行网络基础设施设备的安全配置。
5.账户管理
所有内部或第三方托管系统都应该进行多因素身份验证,确保所有用户都拥有强大、独特且定期更改的密码,以防止未知人员对敏感数据进行未经授权的访问,这一点至关重要。VPN或远程身份验证等访问控制有助于保护企业网络。
6.管理权限的受控访问
为了防止攻击者使用管理帐户,企业安全团队必须拥有基于访问权限的受控权限,因为拥有一份服务帐户清单、管理凭据和足够的密码要求至关重要。
7.持续的漏洞管理
在安全问题成为真正的漏洞之前,检测它们很重要。扫描企业网络中的弱点,然后迅速修复,这一点至关重要。如果安全团队希望获得有效的测试,请密切
