資訊保安千頭萬緒，資訊保安官如何在有限資源的情況下，最大程度地保護機構的網路和資訊？

網際網路安全中心（CIS-Center for Internet Security）為此提供了具有實際指導意義的一套實施方法：20項安全管控措施（20 CIS Controls）。

CIS（https：//www。cisecurity。org/）是一個全球性非營利社群組織，提供全球公認的保護IT系統和資料的最佳實踐方法。

CIS的20項控制措施分為三個部分，分別為1、基本管控（Basic 共6項）；2、基礎性管控（Foundational 共10項）；3、全組織機構範圍的管控（Organizational 共4項）。

CIS力圖為全球所有的政企提供一套通用的方法。同時考慮到各組織機構的規模和複雜性以及資源的充足程度相差很大，為便於實施，又將20項管控每個部分的具體措施分為三個層級（Implementation Group 1、2、3），以IG1內容為核心管控（core set of Sub-Controls），IG2 和IG3 隨資源增加而進一步豐富。鑑於國內絕大多數機構安全運維人員都極其缺乏，我們著重介紹20個管控措施中子集IG1。本期首先介紹6項基本管控措施。

一、硬體資產盤點和管控（Inventory and Control of Hardware Assets）

積極主動管理（盤點、跟蹤、和更正）網路上的所有硬體裝置，只允許授權的裝置有訪問權，發現並防止未授權和不受管理的裝置獲得訪問權。實施要點：

1、利用主動發現工具識別連線到網路中的裝置並更新硬體資產庫存清單。

2、維護所有技術資產（可能儲存或處理資訊）準確的最新清單。此清單應包括所有硬體資產，無論是否連線到組織的網路。

IG1具體措施為：

1、維護詳細的資產清單。

2、處理未授權資產。

二、軟體資產盤點和管控（Inventory and Control of Software Assets）

積極主動管理（盤點、跟蹤、和更正）網路上的所有軟體，只安裝和執行授權軟體，發現未授權和不受管理的軟體並阻止其安裝或執行。實施要點：

1、在整個組織中利用軟體庫存工具來自動記錄業務系統上所有軟體。

IG1具體措施為：

1、維護授權軟體的清單。

2、確認軟體得到供應商的支援。

三、持續性漏洞管理（Continuous Vulnerability Management）

不斷獲取、評估新資訊並採取措施，以識別漏洞、補救並最大程度地減少攻擊者的機會。實施要點：

1、使用最新的，與SCAP（Security Content Automation Protocol）相容的漏洞掃描工具，每週或更頻繁地自動掃描網路上的所有系統，以識別機構系統上的所有潛在漏洞。

2、部署自動化軟體更新工具，以確保作業系統是在執行軟體供應商提供的最新安全版本。

IG1具體措施為：

1、部署自動化作業系統補丁管理工具。

2、部署自動化軟體補丁管理工具。

四、管理員特權管控（Controlled Use of Administrative Privileges）

依靠流程和工具跟蹤/控制/預防/糾正電腦、網路、和應用程式上管理員特權的使用、分配、和配置。實施要點：

1、確保所有具有管理賬戶訪問許可權的使用者都使用專用帳戶或輔助帳戶來執行升級的活動。此帳戶只能用於管理活動，不能用於網路瀏覽、電子郵件或類似活動。

2、配置系統以實現當一個賬號新增到特權賬號組或從中刪除時生成日誌並警報。

IG1具體措施為：

1、更改預設密碼。

2、確保使用專用的管理賬戶。

五、移動裝置、膝上型電腦、工作站和伺服器上的硬體和軟體安全配置（Secure Configuration for Hardware and Software on Mobile，Devices, Laptops, Workstations and Servers）

採用嚴格的配置管理和更改控制流程，建立、實施和主動管理（跟蹤、報告、更正）移動裝置、膝上型電腦和伺服器的安全配置，以防止攻擊者利用易受攻擊的服務和設定。實施要點：

1、維護所有授權作業系統和軟體的文件化、標準化的安全配置標準。

2、使用SCAP相容的配置監控系統來驗證所有安全配置元素，登記審批後的例外，並在發生未授權的變更時報警。

IG1具體措施為：

1、建立安全配置。

六、審計日誌的維護、監測和分析（Maintenance, Monitoring, and Analysis of Audit Logs）

收集、管理和分析事件的審計日誌，這些日誌可以幫助檢測、理解攻擊或從攻擊中恢復。實施要點：

1、確保已在所有系統和網路裝置上啟用本地日誌記錄。

2、確保恰當相關的日誌被聚合到一箇中央日誌管理系統中進行分析和審查。

IG1具體措施為：

1、啟用審計日誌。

未完，待續……

關於全息網禦：全息網禦科技融合NG-DLP、UEBA、NG-SIEM、CASB四項先進技術，結合機器學習（人工智慧），發現並實時重構網路中不可見的”使用者-裝置-資料”互動關係，推出以使用者行為為核心的資訊保安風險感知平臺，為企業的資訊保安管理提供無感知、無死角的智慧追溯系統，高效精準的審計過去、監控現在、防患未來，極大提高IT安全運維和安全人員響應事故、抓取證據鏈、追責去責無責、恢復IT系統的能力和效率。