互聯(lián)網(wǎng)安全中心 （Center for Internet Security，簡稱CIS）控制措施是國際計算機安全領域重要的應用實踐標準之一，旨在通過將風險降低到可接受水平，來幫助企業(yè)組織應對普遍存在并且后果較嚴重的網(wǎng)絡威脅。在CIS發(fā)布的第八版網(wǎng)絡安全關鍵安全控制措施中，通過將新規(guī)則與IT和安全行業(yè)結合，將企業(yè)開展網(wǎng)絡安全建設時的關鍵控制措施建議從20個減少為18個。

　　CIS關鍵安全控制的價值

　　CIS關鍵安全控制不是為未經(jīng)授權的網(wǎng)絡攻擊或針對某個安全廠商的安全產(chǎn)品而設計，而是為了幫助企業(yè)防止任何可疑網(wǎng)絡活動的發(fā)生。其主要目標是以更具成本效益的方式降低風險，確保企業(yè)數(shù)據(jù)和系統(tǒng)免受黑客、網(wǎng)絡攻擊和其他在線威脅的侵害。

　　CIS關鍵安全控制被設計為非侵入性，它們不會阻止任何符合公司政策或標準的行為，其關鍵安全措施通過遵循行業(yè)最佳實踐，幫助企業(yè)維護網(wǎng)絡或系統(tǒng)上信息資產(chǎn)的機密性、完整性和可用性。

　　CIS關鍵安全控制對企業(yè)用戶具有較高的參考價值，因為它們有助于保護企業(yè)數(shù)據(jù)、資源和基礎設施。CIS關鍵安全控制旨在幫助企業(yè)實施有效的網(wǎng)絡防御系統(tǒng)，包括最新的行業(yè)實踐，可以輕松地在大多數(shù)企業(yè)的安全系統(tǒng)中實施到，無需對其基礎架構進行重大更改或投資，也不會影響企業(yè)業(yè)務的正常開展。

　　企業(yè)可以通過3個步驟輕松實施CIS關鍵安全控制：

　　第一步： 確認需求

　　企業(yè)首先需要確定哪些業(yè)務適用CIS關鍵安全控制。

　　第二步：設置優(yōu)先級

　　企業(yè)應該首先選擇適合其需求的部分CIS關鍵安全控制措施進行落地準備。

　　第三部：實施

　　實施 CIS關鍵安全控制，企業(yè)可以定期或安全系統(tǒng)發(fā)生重大變化后持續(xù)監(jiān)控賬戶和維護流程。

　　CIS關鍵安全控制的18項措施

　　CIS控制基準第八版，將關鍵安全控制措施從20個減少到18個。

　　1. 硬件的盤點和控制

　　企業(yè)監(jiān)控網(wǎng)絡的所有硬件設備至關重要，確保只有經(jīng)過授權的設備才能訪問，并且可以在不法分子造成損害之前檢測到攻擊并斷開連接。

　　2. 軟件的盤點和控制

　　為防止未經(jīng)授權的軟件在資產(chǎn)上運行，企業(yè)需使用軟件清單工具自動記錄所有軟件。

　　3. 數(shù)據(jù)保護

　　企業(yè)關鍵系統(tǒng)和數(shù)據(jù)必須受到保護并定期備份，安全團隊必須擁有經(jīng)過驗證的方法來實現(xiàn)及時的數(shù)據(jù)恢復能力，可以通過實施CIS CSC（Critical Security Control）確保所有數(shù)據(jù)在傳輸或存儲之前得到適當保護。不過，大多數(shù)企業(yè)通常在發(fā)生漏洞后才會考慮其數(shù)據(jù)和系統(tǒng)安全性。

　　4. 硬件和軟件的安全配置

　　企業(yè)必須設置、維護和執(zhí)行網(wǎng)絡基礎設施設備的安全配置。

　　5. 賬戶管理

　　所有內(nèi)部或第三方托管系統(tǒng)都應該進行多因素身份驗證，確保所有用戶都擁有強大、獨特且定期更改的密碼，以防止未知人員對敏感數(shù)據(jù)進行未經(jīng)授權的訪問，這一點至關重要。VPN或遠程身份驗證等訪問控制有助于保護企業(yè)網(wǎng)絡。

　　6. 管理權限的受控訪問

　　為了防止攻擊者使用管理帳戶，企業(yè)安全團隊必須擁有基于訪問權限的受控權限，因為擁有一份服務帳戶清單、管理憑據(jù)和足夠的密碼要求至關重要。

　　7. 持續(xù)的漏洞管理

　　在安全問題成為真正的漏洞之前，檢測它們很重要。掃描企業(yè)網(wǎng)絡中的弱點，然后迅速修復，這一點至關重要。如果安全團隊希望獲得有效的測試，請密切關注與CIS CSC相關的所有安全問題，跟上漏洞更新的腳步，包括軟件更新和補丁。漏洞管理是企業(yè)避免黑客入侵或數(shù)據(jù)泄露的最佳方式。

　　8. 審計日志的維護、監(jiān)控和分析

　　企業(yè)流程和應用的定期檢查、維護有助于安全團隊分析事件數(shù)據(jù)、正確解釋信息并迅速采取行動。因此，企業(yè)安全團隊需要確保打開本地日志記錄，并將必要的日志安全傳輸?shù)街醒肴罩竟芾硐到y(tǒng)，以進行持續(xù)分析和警報。

　　9. 電子郵件和網(wǎng)絡瀏覽器保護

　　企業(yè)電子郵件系統(tǒng)和網(wǎng)絡瀏覽器面臨很多威脅，為最大限度地減少攻擊面，必須確保僅使用完全受支持的Web瀏覽器和電子郵件客戶端。

　　10. 惡意軟件防御

　　惡意軟件被用于各種網(wǎng)絡犯罪活動中，如身份盜竊和企業(yè)間諜活動等。企業(yè)的防病毒軟件和反惡意軟件應集中管理，以持續(xù)監(jiān)控和保護每個工作站和服務器的安全。

　　11.數(shù)據(jù)恢復能力

　　企業(yè)必須確保備份重要系統(tǒng)和數(shù)據(jù)，同時，還需要有一種行之有效的方法來快速恢復數(shù)據(jù)。這樣，當企業(yè)發(fā)生安全事件后安全團隊對數(shù)據(jù)完整性存在疑問時，備份可確保數(shù)據(jù)安全并為數(shù)據(jù)比較提供參考點。

　　12. 網(wǎng)絡基礎設施管理

　　對于企業(yè)網(wǎng)絡基礎設施設備而言，擁有最新的固件和軟件以及其他安全措施至關重要，這些設施設備（例如路由器、移動設備、防火墻和交換機）的安全配置必須由企業(yè)建立、實施和維護。

　　13. 網(wǎng)絡監(jiān)控與防御

　　每個企業(yè)都必須制定強大、可靠的網(wǎng)絡安全策略來檢測和防御互聯(lián)網(wǎng)危險。監(jiān)控企業(yè)網(wǎng)絡的外部和內(nèi)部威脅至關重要，好用的監(jiān)控工具可以識別錯誤配置、未經(jīng)授權的網(wǎng)絡設備或可疑活動，而不會對端點資源造成重大負載。

　　14. 安全意識和技能培訓

　　在當今的數(shù)字化時代，企業(yè)員工必須接受各種類型的網(wǎng)絡攻擊教育，例如網(wǎng)絡釣魚、電話欺詐和假冒電話等，以應對各種網(wǎng)絡攻擊。

　　15. 服務商管理

　　如今，越來越多的企業(yè)開始使用第三方服務來實現(xiàn)業(yè)務功能，如客戶電話服務或信用卡處理等。在數(shù)據(jù)隱私和安全控制方面，擁有服務提供商所期望的流程和程序非常重要。

　　16. 應用軟件安全

　　隨著第三方應用程序的不斷增長，網(wǎng)絡攻擊的風險也在持續(xù)增加，對于企業(yè)而言，制定管理軟件部署和使用的策略非常重要。

　　17. 事件響應管理

　　對于企業(yè)來說，制定事件響應計劃非常有必要。企業(yè)必須為所有類型的網(wǎng)絡威脅做好準備，如針對惡意軟件和勒索軟件、數(shù)據(jù)泄露、系統(tǒng)中斷、冒充企業(yè)員工進行社會工程攻擊嘗試等威脅做相關準備和防范。

　　18. 滲透測試

　　滲透測試是企業(yè)進行持續(xù)安全管理的必要部分，有效的滲透測試計劃（如應用程序、數(shù)據(jù)存儲和網(wǎng)絡設備等滲透測試計劃），對于企業(yè)評估內(nèi)部漏洞至關重要。