摘要：

CIS安全控制从安全领域专家的视角，针对企业网络不同层面的安全问题，提出了相应的安全保护措施和操作规范，供不同规模的企业参考实施。为了分析企业网络安全的风险来源，构建零信任安全态势的评估指标体系，本文对CIS安全控制的内容和实施方式进行梳理和介绍，为零信任安全态势评估的相关研究提供参考。

关键字：网络安全CIS安全控制零信任态势评估

一、CIS控制的发展背景

CIS安全控制（简称CIS控制）最初的目标是帮助企业识别网络中的安全风险，并针对各种攻击采取有效的防范措施。早期版本的CIS控制通过一个标准化的攻击列表，来测试控制措施是否有效。从年开始，CIS与Verizon数据泄露调查报告（DBIR）团队合作，将其分析结果直接映射到CIS控制，以便将常见攻击与防护措施匹配起来，提高并改善企业防御方案的针对性。

在CIS社区防御模型（CDM）的研究中，CIS基于DBIR和MS-ISAC的数据分析成果，通过MITRE组织的ATTCK（AdversarialTactics,Techniques,andCommonKnowledge）模型对年最常见5种攻击（包括Web应用攻击、内部人员权限滥用、恶意软件、勒索软件和针对性入侵）的攻击模式进行了定义，并将其防御手段纳入到CIS控制中。

这些研究活动保证了CIS控制不仅是一系列安全基线，同时也是符合行业或政府安全要求的规范性要求。本文主要介绍CIS控制（v8版本）的基本内容，该版本的设计原则包括：

以攻促防

CIS控制建立依据是明确的特定攻击行为，以及对应的有效阻止方法。

聚焦重点

帮助防御者确定当前最迫切的事情，以阻止重要攻击，避免试图解决所有安全问题或者锦上添花。

合理可行

每个建议（防护措施）均针对特定问题，且有效。

精确可测

所有CIS控制（特别是IG1）必须可度量且不存在二义性。

和谐一致

以现有合规监管、标准框架等保持一致，无冲突。

二、CIS控制的实施方法

从7.1版开始，CIS将控制内容划分为3个实施组（ImplementationGroup，IG），来形成优先级分类。每个IG都是一个CIS控制子集，适用于资源规模或安全风险比较相近的一类企业。另外，IG之间存在包含关系，即IG2包括IG1，IG3包括所有IG1和IG2中的防护措施。

IG1。适用于IT和网络安全专家非常有限的中小型企业，保护措施主要确保企业业务的正常运营，避免宕机。企业数据的敏感性较低，主要与员工和财务信息相关。IG1防护措施不应依赖专业的安全知识，主要针对一般性的非目标攻击，也适用于小型或家庭办公室环境。

IG2（包括IG1）。IG2适用的企业一般都有专人负责管理和保护IT基础设施，企业各部门基于工作职能和任务面临不同的风险，而且存在监管合规的负担。IG2企业通常需要存储和处理敏感客户或企业的信息，能够承受服务的短暂中断，但如果出现违规行为，将会带来公关问题。IG2防护措施有助于安全团队应对不断增加的操作复杂性，但有些措施需要依赖于企业级技术和特定领域专家的专业技能。

IG3（包括IG1和IG2）。IG3适用的企业一般有专门的网络安全专家（包括风险管理、渗透测试、应用程序安全等领域）。这些企业的资产和数据包含受监管的敏感信息或功能，以及合规监督，因此必须解决服务可用性、敏感数据机密性和完整性的保护问题，企业网络一旦遭受攻击可能对公共福利造成重大损害。IG3防护措施必须阻止来自熟练攻击者的针对性攻击，并减少零日攻击的危害和影响。

三、CIS控制内容与措施

1

硬件资产清单和控制

主动管理（包括清点、跟踪和纠正）通过物理、虚拟、远程、云环境等方式连接到企业基础设施的所有资产（包括终端用户设备，如便携式和移动设备；网络设备，如非计算/物联网（IoT）设备；服务器等），以准确地了解需要被监控和保护的资产总量。

2

软件资产清单和控制

主动管理（清点、跟踪和更正）所有软件（操作系统和应用程序），确保只有经过授权的软件才能安装和执行，发现并防止未经授权和非托管软件的安装或执行。

3

数据保护

制定流程和技术控制，以识别、分类、安全地处理、保留和处置数据。

4

软/硬件安全配置

建立和维护企业软、硬件资产的安全配置。

5

账号管理

建立流程和工具对软、硬件资产的用户账号进行管理和授权，包括管理员账号、系统服务账号等。

6

访问控制管理

建立流程和工具对软、硬件资产的账号权限和凭证进行管理，包括创建、分配，调整、撤销等。

7

持续漏洞管理

针对企业基础设施的资产，制定持续的漏洞跟踪、评测计划，修复并最大限度地缩小攻击窗口，监控并收集安全行业公共、专用资源发布的威胁和脆弱性情报。

8

审计日志管理

对有助于攻击检测、分析和恢复的事件信息进行收集、告警、审查和记录。

9

邮件/Web防护

提高对电子邮件和Web的威胁检测和保护，防范攻击者利用浏览器等发起的“拟人化”攻击。

10

恶意代码防范

防止或控制恶意程序、代码或脚本在企业资产上安装、传播和执行。

11

数据恢复

建立和维护充分的数据恢复措施，保证企业资产能恢复到攻击事件发生之前或受信任的状态。

12

网络基础设施管理

建立并实施对网络设备的主动管理（跟踪、报告、纠正），防止攻击者利用网络服务和访问漏洞发起攻击。

13

硬件资产清单和控制

健全网络监控和防御操作流程和工具，防范跨网络基础设施和用户群的安全威胁。

14

安全意识与技能培训

建立并维护安全意识计划，培养员工的安全意识和行为，降低企业的网络安全风险。

15

服务提供商管理

制定敏感业务或关键IT平台服务提供商（ServiceProvider）的评估流程，确保他们对相关平台和数据提供了适当的保护。

16

应用软件安全

对内部开发、托管或购置的软件进行安全生命周期管理，对它们进行漏洞检测和修复，防止影响企业资产安全。

17

事件响应管理

制定事件响应能力（例如政策、计划、程序、角色定义、训练和交流）开发和维护计划，对攻击事件进行准备、检测和快速响应。

18

渗透测试

通过识别和利用安全控制（包括人员、流程和技术）中的漏洞缺陷，模拟攻击者的目标和行动，测试企业资产的安全性。

为了建立能反映企业IT安全态势的安全指标体系，为零信任访问控制上下文提供科学、合理的安全属性，我们研究了与态势评估相关的风险管理理论、安全指标体系、量化评估模型、合规测试、内容自动化和安全控制等方面的最新技术发展，本文为“零信任态势评估”系列文章第二篇，欢迎大家研究讨论。