企业网络安全的18项CIS关键安全控制措施

互联网安全中心 (Center for Internet Security，简称CIS)控制措施是国际计算机安全领域重要的应用实践标准之一，旨在通过将风险降低到可接受水平，来帮助企业组织应对普遍存在并且后果较严重的网络威胁。在CIS发布的第八版网络安全关键安全控制措施中，通过将新规则与IT和安全行业结合，将企业开展网络安全建设时的关键控制措施建议从20个减少为18个。

CIS关键安全控制的价值

CIS关键安全控制不是为未经授权的网络攻击或针对某个安全厂商的安全产品而设计，而是为了帮助企业防止任何可疑网络活动的发生。其主要目标是以更具成本效益的方式降低风险，确保企业数据和系统免受黑客、网络攻击和其他在线威胁的侵害。

CIS关键安全控制被设计为非侵入性，它们不会阻止任何符合公司政策或标准的行为，其关键安全措施通过遵循行业最佳实践，帮助企业维护网络或系统上信息资产的机密性、完整性和可用性。

CIS关键安全控制对企业用户具有较高的参考价值，因为它们有助于保护企业数据、资源和基础设施。CIS关键安全控制旨在帮助企业实施有效的网络防御系统，包括最新的行业实践，可以轻松地在大多数企业的安全系统中实施到，无需对其基础架构进行重大更改或投资，也不会影响企业业务的正常开展。

企业可以通过3个步骤轻松实施CIS关键安全控制：

第一步： 确认需求

企业首先需要确定哪些业务适用CIS关键安全控制。

第二步：设置优先级

企业应该首先选择适合其需求的部分CIS关键安全控制措施进行落地准备。

第三部：实施

实施 CIS关键安全控制，企业可以定期或安全系统发生重大变化后持续监控账户和维护流程。

CIS关键安全控制的18项措施

CIS控制基准第八版，将关键安全控制措施从20个减少到18个。

1. 硬件的盘点和控制

企业监控网络的所有硬件设备至关重要，确保只有经过授权的设备才能访问，并且可以在不法分子造成损害之前检测到攻击并断开连接。

2. 软件的盘点和控制

为防止未经授权的软件在资产上运行，企业需使用软件清单工具自动记录所有软件。

3. 数据保护

企业关键系统和数据必须受到保护并定期备份，安全团队必须拥有经过验证的方法来实现及时的数据恢复能力，可以通过实施CIS CSC(Critical Security Control)确保所有数据在传输或存储之前得到适当保护。不过，大多数企业通常在发生漏洞后才会考虑其数据和系统安全性。

4. 硬件和软件的安全配置

企业必须设置、维护和执行网络基础设施设备的安全配置。

5. 账户管理

所有内部或第三方托管系统都应该进行多因素身份验证，确保所有用户都拥有强大、独特且定期更改的密码，以防止未知人员对敏感数据进行未经授权的访问，这一点至关重要。虚拟专用网或远程身份验证等访问控制有助于保护企业网络。

6. 管理权限的受控访问

为了防止攻击者使用管理帐户，企业安全团队必须拥有基于访问权限的受控权限，因为拥有一份服务帐户清单、管理凭据和足够的密码要求至关重要。

7. 持续的漏洞管理

在安全问题成为真正的漏洞之前，检测它们很重要。扫描企业网络中的弱点，然后迅速修复，这一点至关重要。如果安全团队希望获得有效的测试，请密切关注与CIS CSC相关的所有安全问题，跟上漏洞更新的脚步，包括软件更新和补丁。漏洞管理是企业避免黑客入侵或数据泄露的最佳方式。

8. 审计日志的维护、监控和分析

企业流程和应用的定期检查、维护有助于安全团队分析事件数据、正确解释信息并迅速采取行动。因此，企业安全团队需要确保打开本地日志记录，并将必要的日志安全传输到中央日志管理系统，以进行持续分析和警报。

9. 电子邮件和网络浏览器保护

企业电子邮件系统和网络浏览器面临很多威胁，为最大限度地减少攻击面，必须确保仅使用完全受支持的Web浏览器和电子邮件客户端。

10. 恶意软件防御

恶意软件被用于各种网络犯罪活动中，如身份盗窃和企业间谍活动等。企业的防病毒软件和反恶意软件应集中管理，以持续监控和保护每个工作站和服务器的安全。

11. 数据恢复能力

企业必须确保备份重要系统和数据，同时，还需要有一种行之有效的方法来快速恢复数据。这样，当企业发生安全事件后安全团队对数据完整性存在疑问时，备份可确保数据安全并为数据比较提供参考点。

12. 网络基础设施管理

对于企业网络基础设施设备而言，拥有最新的固件和软件以及其他安全措施至关重要，这些设施设备(例如路由器、移动设备、防火墙和交换机)的安全配置必须由企业建立、实施和维护。

13. 网络监控与防御

每个企业都必须制定强大、可靠的网络安全策略来检测和防御互联网危险。监控企业网络的外部和内部威胁至关重要，好用的监控工具可以识别错误配置、未经授权的网络设备或可疑活动，而不会对端点资源造成重大负载。

14. 安全意识和技能培训

在当今的数字化时代，企业员工必须接受各种类型的网络攻击教育，例如网络钓鱼、电话欺诈和假冒电话等，以应对各种网络攻击。

15. 服务商管理

如今，越来越多的企业开始使用第三方服务来实现业务功能，如客户电话服务或信用卡处理等。在数据隐私和安全控制方面，拥有服务提供商所期望的流程和程序非常重要。

16. 应用软件安全

随着第三方应用程序的不断增长，网络攻击的风险也在持续增加，对于企业而言，制定管理软件部署和使用的策略非常重要。

17. 事件响应管理

对于企业来说，制定事件响应计划非常有必要。企业必须为所有类型的网络威胁做好准备，如针对恶意软件和勒索软件、数据泄露、系统中断、冒充企业员工进行社会工程攻击尝试等威胁做相关准备和防范。

18. 渗透测试

渗透测试是企业进行持续安全管理的必要部分，有效的渗透测试计划(如应用程序、数据存储和网络设备等渗透测试计划)，对于企业评估内部漏洞至关重要。[来源：安全牛]