顺式控制 Version 7.1, 2019年4月上映, 是由互联网安全中心(CIS), 由IT专家组成的澳门赌场官方下载. 顺式控制 是否有一套20个优先控件, 基本分为三类, 基础和组织, 也被称为实施小组(IG) IG1, basic; IG2 – IG1, foundational; and IG3 – IG2, 组织.
基本类别包括盘点控制和硬件资产控制, 软件资产的盘点和控制, 持续漏洞管理, 控制管理权限的使用, 以及移动设备上硬件和软件的安全配置, 笔记本电脑, 工作站和服务器.
基本类别有10个控制项:电子邮件和网页浏览器保护, 恶意软件防御, 网络端口协议和服务的限制和控制, 数据恢复能力, 网络设备的安全配置, 边界防御, 数据保护, 根据需要控制访问, 无线访问控制, 并对账户进行监控.
组织类别包括用于实现安全意识和培训计划的控制, 应用软件安全, 事件响应和管理, 渗透测试和红队演习. 这些控制共同构成了一个网络,为减轻针对系统和网络的常见攻击提供了最佳实践.
组织应首先实施基本控制,其次是基础控制和组织控制. 基本控制也被称为“网络卫生”,,因为这些是必要的保护措施,必须到位,以抵御常见的攻击. 小型澳门赌场官方下载推荐使用IG1, IG2适用于区域性组织,IG3适用于大型澳门赌场官方下载. 每个控件都有子控件,每个子控件都有描述, 每个控件都有以下元素:
- 描述控制的关键性
- 组织为实施控制应采取的措施
- 实施的程序和工具
- 显示实现组件的实体关系图
例如,下面的CIS V7对控件5进行了描述.1文档.
CIS控制项5:移动设备软硬件安全配置, 笔记本电脑, 工作站和服务器
建立, 实现, 积极管理(跟踪), 报告, 更正)移动设备的安全配置, 笔记本电脑, 服务器, 并且工作站使用严格的配置管理和变更控制流程,以防止攻击者利用易受攻击的服务和设置.
为什么控制很重要?
由制造商和经销商交付, 操作系统和应用程序的默认配置通常着眼于易于部署和易于使用,而不是安全性. 基本控制, 开放服务和端口, 默认帐户或密码, 旧的(易受攻击的)协议, 不需要的软件的预安装可以在默认状态下被利用.
开发具有良好安全属性的配置设置是一项复杂的任务,超出了单个用户的能力, 为了做出好的选择,需要分析可能成百上千的选项(下面的过程和工具部分提供了安全配置的资源). 即使开发并安装了强大的初始配置, 当软件更新或打补丁时,必须不断地对其进行管理,以避免安全性“衰减”, 报告新的安全漏洞, 配置被“调整”以允许安装新软件或支持新的操作需求. 如果不是, 攻击者将找到机会利用网络可访问的服务和客户端软件.
组织为实施控制应采取的措施
副 |
资产类型 |
安全功能 |
控制标题 |
控制描述 |
IG1 |
IG2 |
IG3 |
5.1 |
|
|
建立安全配置 |
维护所有授权操作系统和软件的文档化安全配置标准 |
✓ |
✓ |
✓ |
5.2 |
应用程序* |
保护Δ |
维护影像安全 |
根据组织批准的配置标准,维护澳门赌场官方下载中所有系统的安全映像或模板. 应该使用这些映像或模板中的一个对任何新系统部署或现有系统进行映像 |
|
✓ |
✓ |
5.3 |
|
|
安全地存储主映像 |
将主映像和模板存储在安全配置的服务器上, 通过完整性监控工具进行验证, 确保只能对图像进行授权更改 |
|
✓ |
✓ |
5.4 |
|
|
部署系统配置管理工具 |
部署系统配置管理工具,这些工具将以定期计划的间隔自动执行和重新部署配置设置到系统 |
|
✓ |
✓ |
5.5 |
|
检测 |
实施自动化配置监控系统 |
利用符合安全内容自动化协议(SCAP)的配置监控系统来验证所有安全配置元素, 目录批准的例外, 并在发生未经授权的更改时发出警报 |
|
✓ |
✓ |
*资产类型包括应用、设备、用户、网络、数据等资产.,
Δ安全功能包括识别、保护、检测、响应和恢复
程序和工具
而不是从头开始为每个软件系统开发安全基线, 组织应该从公共发展开始, 审查, 支持的安全基准, 安全指南, 或检查清单. 优秀资源包括:
组织应该增加或调整这些基线,以满足当地的政策和需求, 但是偏差和基本原理应该被记录下来,以方便以后的审查或审计.
对于一个复杂的澳门赌场官方下载, 建立单个安全基线配置(例如, 为整个澳门赌场官方下载的所有工作站提供单个安装映像有时是不切实际的,或者被认为是不可接受的. 您很可能需要支持不同的标准化映像, 例如,基于适当的强化来解决预期部署的风险和所需的功能, 非军事区(DMZ)中的web服务器与内部网络中的电子邮件或其他应用程序服务器. 为了更好地理解和管理每个变量的安全属性,变体的数量应该保持在最低限度, 但是组织必须准备好管理多个基线.
然后可以使用商业和/或免费的配置管理工具来度量操作系统和被管理机器的应用程序的设置,以查找与标准映像配置的偏差. 典型的配置管理工具使用安装在每个被管理系统上的代理的某种组合, 或者通过使用管理员凭证远程登录到每台被管理的机器,对系统进行无代理检查. 另外, 有时使用混合方法启动远程会话, 在目标系统上部署临时或动态代理进行扫描, 然后药剂被移除.