从7.1版开始,CIS将控制内容划分为3个实施组(Implementation Group,IG),来形成优先级分类。每个IG都是一个CIS控制子集,适用于资源规模或安全风险比较相近的一类企业。另外,IG之间存在包含关系,即IG2包括IG1,IG3包括所有IG1和IG2中的防护措施。IG1。适用于IT和网络安全专家非常有限的中小型企业,保护措施...
序号 措施 资产 功能 IG1 IG2 IG3 1 建立设备清单 设备 识别 √ √ √ 2 处理未经授权的资产 设备 响应 √ √ √ 3 使用主动工具发现、识别网内资产 设备 检测 × √ √ 4 使用DHCP记录/更新清单 设备 识别 × √ √ 5 使用被动工具发现、识别网内资产 设备 检测 × × √ 2 软件资产清单和控制...
1、使用最新的,与SCAP(Security Content Automation Protocol)兼容的漏洞扫描工具,每周或更频繁地自动扫描网络上的所有系统,以识别机构系统上的所有潜在漏洞。2、部署自动化软件更新工具,以确保操作系统是在运行软件供应商提供的最新安全版本。IG1具体措施为:1、部署自动化操作系统补丁管理工具。2、部署自动化软件补...
CIS建议组织实施控制项的顺序是:先实施IG1中的控制项,然后是IG2,最后是IG3。由于IG1中的控制项至关重要,IG1的实施应该作为网络安全计划的首要任务之一。 表9-CIS最小实施组(IG1)的控制项 可见,CIS实施组(IG1)总共有43个控制项。 单纯从数量上看,IG1的43个控制项与CIS基本级控制的47个控制项相比,并没有...
1 硬件资产清单和控制 主动管理(包括清点、跟踪和纠正)通过物理、虚拟、远程、云环境等方式连接到企业基础设施的所有资产(包括终端用户设备,如便携式和移动设备;网络设备,如非计算/物联网(IoT)设备;服务器等),以准确地了解需要被监控和保护的资产总量。 序号 措施 资产 功能 IG1 IG2 IG3 1 建立设备清单 设备...
从7.1版开始,CIS将控制内容划分为3个实施组(Implementation Group,IG),来形成优先级分类。每个IG都是一个CIS控制子集,适用于资源规模或安全风险比较相近的一类企业。另外,IG之间存在包含关系,即IG2包括IG1,IG3包括所有IG1和IG2中的防护措施。 IG1。适用于IT和网络安全专家非常有限的中小型企业,保护措施主要确保企...
同时考虑到各组织机构的规模和复杂性以及资源的充足程度相差很大,为便于实施,又将20项管控每个部分的具体措施分为三个层级(Implementation Group 1、2、3),以IG1内容为核心管控(core set of Sub-Controls),IG2 和IG3 随资源增加而进一步丰富。鉴于国内绝大多数机构安全运维人员都极其缺乏,我们着重介绍20个管控措施...
每个IG确定了企业需要实施的一套保障措施(以前称为CIS子控制),以减轻针对系统和网络的最常见网络攻击。CIS控制第8版共有153项保障措施。每个企业都应该从IG1开始。IG2建立在IG1的基础上,而IG3则由所有的控制和保护措施组成。 CIS控制不是一刀切的解决方案;根据您所在组织的网络安全成熟度,管理员可以规划并优先实施...
IG3(包括IG1和IG2):IG3适用的企业一般有专门的网络安全专家(包括风险管理、渗透测试、应用程序安全等领域)。这些企业的资产和数据包含受监管的敏感信息或功能,以及合规监督,因此必须解决服务可用性、敏感数据机密性和完整性的保护问题,企业网络一旦遭受攻击可能对公共福利造成重大损害。IG3防护措施必须阻止来自熟练攻击...
同时考虑到各组织机构的规模和复杂性以及资源的充足程度相差很大,为便于实施,又将20项管控每个部分的具体措施分为三个层级(Implementation Group 1、2、3),以IG1内容为核心管控(core set of Sub-Controls),IG2 和IG3 随资源增加而进一步丰富。鉴于国内绝大多数机构安全运维人员都极其缺乏,我们着重介绍20个管控措施...