互聯(lián)網(wǎng)安全中心 （Center for Internet Security，簡(jiǎn)稱CIS）控制措施是國(guó)際計(jì)算機(jī)安全領(lǐng)域重要的應(yīng)用實(shí)踐標(biāo)準(zhǔn)之一，旨在通過將風(fēng)險(xiǎn)降低到可接受水平，來幫助企業(yè)組織應(yīng)對(duì)普遍存在并且后果較嚴(yán)重的網(wǎng)絡(luò)威脅。在CIS發(fā)布的第八版網(wǎng)絡(luò)安全關(guān)鍵安全控制措施中，通過將新規(guī)則與IT和安全行業(yè)結(jié)合，將企業(yè)開展網(wǎng)絡(luò)安全建設(shè)時(shí)的關(guān)鍵控制措施建議從20個(gè)減少為18個(gè)。

　　CIS關(guān)鍵安全控制的價(jià)值

　　CIS關(guān)鍵安全控制不是為未經(jīng)授權(quán)的網(wǎng)絡(luò)攻擊或針對(duì)某個(gè)安全廠商的安全產(chǎn)品而設(shè)計(jì)，而是為了幫助企業(yè)防止任何可疑網(wǎng)絡(luò)活動(dòng)的發(fā)生。其主要目標(biāo)是以更具成本效益的方式降低風(fēng)險(xiǎn)，確保企業(yè)數(shù)據(jù)和系統(tǒng)免受黑客、網(wǎng)絡(luò)攻擊和其他在線威脅的侵害。

　　CIS關(guān)鍵安全控制被設(shè)計(jì)為非侵入性，它們不會(huì)阻止任何符合公司政策或標(biāo)準(zhǔn)的行為，其關(guān)鍵安全措施通過遵循行業(yè)最佳實(shí)踐，幫助企業(yè)維護(hù)網(wǎng)絡(luò)或系統(tǒng)上信息資產(chǎn)的機(jī)密性、完整性和可用性。

　　CIS關(guān)鍵安全控制對(duì)企業(yè)用戶具有較高的參考價(jià)值，因?yàn)樗鼈冇兄诒Ｗo(hù)企業(yè)數(shù)據(jù)、資源和基礎(chǔ)設(shè)施。CIS關(guān)鍵安全控制旨在幫助企業(yè)實(shí)施有效的網(wǎng)絡(luò)防御系統(tǒng)，包括最新的行業(yè)實(shí)踐，可以輕松地在大多數(shù)企業(yè)的安全系統(tǒng)中實(shí)施到，無需對(duì)其基礎(chǔ)架構(gòu)進(jìn)行重大更改或投資，也不會(huì)影響企業(yè)業(yè)務(wù)的正常開展。

　　企業(yè)可以通過3個(gè)步驟輕松實(shí)施CIS關(guān)鍵安全控制：

　　第一步： 確認(rèn)需求

　　企業(yè)首先需要確定哪些業(yè)務(wù)適用CIS關(guān)鍵安全控制。

　　第二步：設(shè)置優(yōu)先級(jí)

　　企業(yè)應(yīng)該首先選擇適合其需求的部分CIS關(guān)鍵安全控制措施進(jìn)行落地準(zhǔn)備。

　　第三部：實(shí)施

　　實(shí)施 CIS關(guān)鍵安全控制，企業(yè)可以定期或安全系統(tǒng)發(fā)生重大變化后持續(xù)監(jiān)控賬戶和維護(hù)流程。

　　CIS關(guān)鍵安全控制的18項(xiàng)措施

　　CIS控制基準(zhǔn)第八版，將關(guān)鍵安全控制措施從20個(gè)減少到18個(gè)。

　　1. 硬件的盤點(diǎn)和控制

　　企業(yè)監(jiān)控網(wǎng)絡(luò)的所有硬件設(shè)備至關(guān)重要，確保只有經(jīng)過授權(quán)的設(shè)備才能訪問，并且可以在不法分子造成損害之前檢測(cè)到攻擊并斷開連接。

　　2. 軟件的盤點(diǎn)和控制

　　為防止未經(jīng)授權(quán)的軟件在資產(chǎn)上運(yùn)行，企業(yè)需使用軟件清單工具自動(dòng)記錄所有軟件。

　　3. 數(shù)據(jù)保護(hù)

　　企業(yè)關(guān)鍵系統(tǒng)和數(shù)據(jù)必須受到保護(hù)并定期備份，安全團(tuán)隊(duì)必須擁有經(jīng)過驗(yàn)證的方法來實(shí)現(xiàn)及時(shí)的數(shù)據(jù)恢復(fù)能力，可以通過實(shí)施CIS CSC（Critical Security Control）確保所有數(shù)據(jù)在傳輸或存儲(chǔ)之前得到適當(dāng)保護(hù)。不過，大多數(shù)企業(yè)通常在發(fā)生漏洞后才會(huì)考慮其數(shù)據(jù)和系統(tǒng)安全性。

　　4. 硬件和軟件的安全配置

　　企業(yè)必須設(shè)置、維護(hù)和執(zhí)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的安全配置。

　　5. 賬戶管理

　　所有內(nèi)部或第三方托管系統(tǒng)都應(yīng)該進(jìn)行多因素身份驗(yàn)證，確保所有用戶都擁有強(qiáng)大、獨(dú)特且定期更改的密碼，以防止未知人員對(duì)敏感數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的訪問，這一點(diǎn)至關(guān)重要。VPN或遠(yuǎn)程身份驗(yàn)證等訪問控制有助于保護(hù)企業(yè)網(wǎng)絡(luò)。

　　6. 管理權(quán)限的受控訪問

　　為了防止攻擊者使用管理帳戶，企業(yè)安全團(tuán)隊(duì)必須擁有基于訪問權(quán)限的受控權(quán)限，因?yàn)閾碛幸环莘?wù)帳戶清單、管理憑據(jù)和足夠的密碼要求至關(guān)重要。

　　7. 持續(xù)的漏洞管理

　　在安全問題成為真正的漏洞之前，檢測(cè)它們很重要。掃描企業(yè)網(wǎng)絡(luò)中的弱點(diǎn)，然后迅速修復(fù)，這一點(diǎn)至關(guān)重要。如果安全團(tuán)隊(duì)希望獲得有效的測(cè)試，請(qǐng)密切關(guān)注與CIS CSC相關(guān)的所有安全問題，跟上漏洞更新的腳步，包括軟件更新和補(bǔ)丁。漏洞管理是企業(yè)避免黑客入侵或數(shù)據(jù)泄露的最佳方式。

　　8. 審計(jì)日志的維護(hù)、監(jiān)控和分析

　　企業(yè)流程和應(yīng)用的定期檢查、維護(hù)有助于安全團(tuán)隊(duì)分析事件數(shù)據(jù)、正確解釋信息并迅速采取行動(dòng)。因此，企業(yè)安全團(tuán)隊(duì)需要確保打開本地日志記錄，并將必要的日志安全傳輸?shù)街醒肴罩竟芾硐到y(tǒng)，以進(jìn)行持續(xù)分析和警報(bào)。

　　9. 電子郵件和網(wǎng)絡(luò)瀏覽器保護(hù)

　　企業(yè)電子郵件系統(tǒng)和網(wǎng)絡(luò)瀏覽器面臨很多威脅，為最大限度地減少攻擊面，必須確保僅使用完全受支持的Web瀏覽器和電子郵件客戶端。

　　10. 惡意軟件防御

　　惡意軟件被用于各種網(wǎng)絡(luò)犯罪活動(dòng)中，如身份盜竊和企業(yè)間諜活動(dòng)等。企業(yè)的防病毒軟件和反惡意軟件應(yīng)集中管理，以持續(xù)監(jiān)控和保護(hù)每個(gè)工作站和服務(wù)器的安全。

　　11.數(shù)據(jù)恢復(fù)能力

　　企業(yè)必須確保備份重要系統(tǒng)和數(shù)據(jù)，同時(shí)，還需要有一種行之有效的方法來快速恢復(fù)數(shù)據(jù)。這樣，當(dāng)企業(yè)發(fā)生安全事件后安全團(tuán)隊(duì)對(duì)數(shù)據(jù)完整性存在疑問時(shí)，備份可確保數(shù)據(jù)安全并為數(shù)據(jù)比較提供參考點(diǎn)。

　　12. 網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理

　　對(duì)于企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備而言，擁有最新的固件和軟件以及其他安全措施至關(guān)重要，這些設(shè)施設(shè)備（例如路由器、移動(dòng)設(shè)備、防火墻和交換機(jī)）的安全配置必須由企業(yè)建立、實(shí)施和維護(hù)。

　　13. 網(wǎng)絡(luò)監(jiān)控與防御

　　每個(gè)企業(yè)都必須制定強(qiáng)大、可靠的網(wǎng)絡(luò)安全策略來檢測(cè)和防御互聯(lián)網(wǎng)危險(xiǎn)。監(jiān)控企業(yè)網(wǎng)絡(luò)的外部和內(nèi)部威脅至關(guān)重要，好用的監(jiān)控工具可以識(shí)別錯(cuò)誤配置、未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備或可疑活動(dòng)，而不會(huì)對(duì)端點(diǎn)資源造成重大負(fù)載。

　　14. 安全意識(shí)和技能培訓(xùn)

　　在當(dāng)今的數(shù)字化時(shí)代，企業(yè)員工必須接受各種類型的網(wǎng)絡(luò)攻擊教育，例如網(wǎng)絡(luò)釣魚、電話欺詐和假冒電話等，以應(yīng)對(duì)各種網(wǎng)絡(luò)攻擊。

　　15. 服務(wù)商管理

　　如今，越來越多的企業(yè)開始使用第三方服務(wù)來實(shí)現(xiàn)業(yè)務(wù)功能，如客戶電話服務(wù)或信用卡處理等。在數(shù)據(jù)隱私和安全控制方面，擁有服務(wù)提供商所期望的流程和程序非常重要。

　　16. 應(yīng)用軟件安全

　　隨著第三方應(yīng)用程序的不斷增長(zhǎng)，網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)也在持續(xù)增加，對(duì)于企業(yè)而言，制定管理軟件部署和使用的策略非常重要。

　　17. 事件響應(yīng)管理

　　對(duì)于企業(yè)來說，制定事件響應(yīng)計(jì)劃非常有必要。企業(yè)必須為所有類型的網(wǎng)絡(luò)威脅做好準(zhǔn)備，如針對(duì)惡意軟件和勒索軟件、數(shù)據(jù)泄露、系統(tǒng)中斷、冒充企業(yè)員工進(jìn)行社會(huì)工程攻擊嘗試等威脅做相關(guān)準(zhǔn)備和防范。

　　18. 滲透測(cè)試

　　滲透測(cè)試是企業(yè)進(jìn)行持續(xù)安全管理的必要部分，有效的滲透測(cè)試計(jì)劃（如應(yīng)用程序、數(shù)據(jù)存儲(chǔ)和網(wǎng)絡(luò)設(shè)備等滲透測(cè)試計(jì)劃），對(duì)于企業(yè)評(píng)估內(nèi)部漏洞至關(guān)重要。