CIS基准

CIS基准由全球网络安全专业人员组成的社区开发，是安全配置IT系统、软件、网络和云基础设施的最佳实践的集合。

什么是CIS基准？

CIS基准由Internet安全中心（Center for internet Security）发布，是安全配置IT系统、软件和网络的行业最佳实践记录。目前，共有140多项CIS基准，涵盖了七个核心技术类别。CIS基准是通过一个独特的基于共识的过程制定的，涉及到世界各地的网络安全专业人员和主题专家社区，每个社区都在其关注的领域内不断识别、完善和验证安全最佳实践。

 

关于互联网安全中心(CIS)

CIS是一个非营利性组织，成立于2000年10月。CIS由一个全球IT社区驱动，其共同目标是识别、开发、验证、推广和维持网络防御的最佳实践解决方案。多年来，CIS已经为各种规模的企业制作并发布了一些免费的工具和解决方案，旨在加强他们的网络安全准备。

 

CIS最广为人知的是其发布的CISControls，这是一份包含20项有效网络防御的保障措施和对策的综合指南。CIS控制措施提供了一个按优先顺序排列的清单，企业可以通过实施该清单来大大减少其网络攻击面。CIS基准在为更好的安全系统配置提出建议时参考了这些控制措施。

 

 CIS基准是如何组织的？

每个CIS基准都包括基于两个级别中的一个的多种配置建议。第一级基准配置涵盖了基础级配置，这些配置更容易实施，对业务功能的影响最小。二级基准配置是为高安全环境准备的，需要更多的协调和规划，以最小的业务中断来实施。

 

CIS基准有七（7）个核心类别。

 

1.操作系统基准涵盖了核心操作系统的安全配置，如微软Windows、Linux和苹果OSX。这些包括本地和远程访问限制、用户配置文件、驱动程序安装协议和互联网浏览器配置的最佳实践指南。

 

2.服务器软件基准涵盖了广泛使用的服务器软件的安全配置，包括微软Windows Server、SQL Server、VMware、Docker和Kubernetes。这些基准包括配置Kubernetes PKI证书、API服务器设置、服务器管理控制、vNetwork策略和存储限制等建议。

 

3.云提供商的基准涉及亚马逊网络服务（AWS）、微软Azure、谷歌、IBM和其他流行的公共云的安全配置。它们包括配置身份和访问管理（IAM）、系统日志协议、网络配置和监管合规保障的准则。

 

4.移动设备基准涉及移动操作系统，包括iOS和Android，并关注诸如开发者选项和设置、操作系统隐私配置、浏览器设置和应用程序权限等领域。

 

5.网络设备基准为网络设备和来自Cisco、Palo Alto Networks、Juniper和其他公司的适用硬件提供一般和特定供应商的安全配置指南。

 

6.桌面软件基准涵盖了一些最常用的桌面软件应用的安全配置，包括Microsoft Office和Exchange Server、Google Chrome、Mozilla Firefox和Safari浏览器。这些基准侧重于电子邮件隐私和服务器设置、移动设备管理、默认浏览器设置和第三方软件阻止。

 

7.多功能打印设备基准概述了在办公环境中配置多功能打印机的安全最佳做法，涵盖了固件更新、TCP/IP配置、无线访问配置、用户管理和文件共享等主题。

 

 CIS加固的图像

CIS还提供预配置的加固图像，使企业能够以具有成本效益的方式进行计算操作，而不需要投资于额外的硬件或软件。硬化图像比标准虚拟图像更安全，它们大大限制了可能导致网络攻击的安全漏洞。

 

CIS加固图像的设计和配置符合CIS基准和控制，并被确认为完全符合各种监管合规组织的要求。CIS加固图像可用于几乎所有主要的云计算平台，并易于部署和管理。

 

 CIS基准和法规遵从

CIS基准与安全和数据隐私监管框架密切相关或 "映射到 "这些框架，包括NIST（国家标准与技术研究所）网络安全框架、PCI DSS（支付卡行业数据安全标准）（PCI DSS）、HIPAA（健康保险可携性和责任法案）以及ISO/EIC 2700。因此，任何在这些类型的法规所管辖的行业中运作的组织，都可以通过遵守CIS基准在合规方面取得重大进展。此外，CIS控制和CIS加固图像可以帮助支持一个组织遵守GDPR（欧盟的通用数据保护条例）。

 

CIS基准的好处

虽然企业总是可以围绕安全配置做出自己的选择，但CIS基准建议提供了以下内容。

• 收集全球IT和网络安全专业人士的专业知识。

• 定期更新，为确保IT基础设施的每个领域的安全提供逐步的指导。

• 合规管理的一致性。

• 安全地采用新的云服务和执行数字化转型战略的灵活模板。

• 易于部署的配置，以提高运营效率和可持续性。

原文始发于微信公众号（网络安全等保测评）：CIS基准