什么是 CIS 基准？

CIS 基准是通过一种基于共识的流程制定的，该流程汇集了来自世界各地的网络安全专业人士社区的意见。这些专家在其所专注领域内不断识别、完善和验证安全最佳实践，帮助组织保护其数字资产免受网络风险。

CIS 已发布超过 100 个 CIS 基准，涵盖 8 个核心科技类别，涵盖超过 25 个供应商产品系列。¹这些文件可通过免费下载 PDF 文件的方式获取，仅限非商业用途。

CIS 基准通过遵循规范的、全球公认的安全标准和网络防御指南，帮助组织提高其安全状况。CIS 基准测试还支持监管合规性、IT 治理和安全策略等业务用例。

CIS 成立于 2000 年 10 月，是一家非营利组织，其使命是“通过开发、验证和推广及时的最佳实践解决方案，帮助人们、企业和政府保护自己免受无处不在的网络威胁，让互联的世界变得更安全。”²

CIS 基准社区由 12,000 多名 IT 安全专业人员组成，他们致力于制定 CIS 基准最佳实践，任何想要做出贡献的人都可以加入。这些社区由志愿者组成，成员包括来自世界各地的主题专家、供应商、技术撰稿人、测试人员和其他 CIS 成员。

CIS 还设有多州信息共享与分析中心 (MS-ISAC)，为美国州、地方、部落及领土 (SLTT) 政府机构提供网络威胁的预防、保护、响应和恢复资源。它也是选举基础设施信息共享与分析中心 (EI-ISAC) 的总部，该中心负责支持美国选举办公室的网络安全需求。³

CIS 配置级别指的是不同的安全建议层级，并包含针对不同产品的多种配置。

一级涵盖更易于实施并且对业务功能影响最小的基础级配置。

二级适用于高安全环境，需要更多的协调和计划才能实施，以最大程度地减少业务中断。

STIG 是一套配置基准，用于遵循《安全技术实施指南 (STIG)》，该指南是由美国国防部 (DOD) 发布和维护的安全标准，以满足美国政府的要求。

CIS 提供的 STIG 配置文件可帮助组织遵守 STIG 标准。使用 STIG 配置的安全系统同时满足 CIS 和 STIG 合规要求。

如前所述，有超过 100 个 CIS 基准，分为 8 个 IT 科技类别，包括：

• 操作系统

• 服务器软件

• 云供应商

• 移动设备

• 网络设备

• 桌面软件

• 多功能打印设备

• DevSecOps 工具

此类别涵盖核心操作系统的安全配置，例如 Microsoft Windows、Linux 和 Apple 的 macOS。这些包括针对本地和远程访问限制、用户配置文件、身份验证、驱动程序安装协议以及互联网浏览器配置的最佳实践指南。

该类别涵盖广泛使用的服务器软件的安全配置，包括Microsoft Windows 服务器、SQL Server 和 VMware。它还支持开源容器化平台，例如 Docker 和 Kubernetes。

基准测试包括对 Kubernetes PKI（公钥基础设施）证书、应用程序编程接口服务器设置、服务器管理控制、vNetwork 策略和存储空间限制的配置建议。

本类别涵盖 Amazon Web Services (AWS)、Microsoft Azure、Google、IBM 和其他流行的公有云环境的安全配置。这些基准包括云安全指南，用于配置身份与访问管理 (IAM)、系统日志协议、网络配置以及合规性保护措施。

此类别涵盖移动操作系统，包括 iOS 和 Android，重点关注开发者选项和设置、操作系统隐私配置、浏览器设置以及应用权限等方面。

此类别提供针对网络设备以及 Cisco、Palo Alto Networks、Juniper 等厂商的相关硬件的一般性和厂商特定的安全配置指南。

此类别涵盖一些最常用的桌面应用程序的安全配置，包括 Microsoft Office 和 Exchange Server、Google Chrome、Mozilla Firefox 和 Safari 浏览器。这些基准重点关注电子邮件隐私和服务器设置、移动设备管理、默认浏览器设置和第三方软件拦截。

本类别概述了在办公环境中配置多功能打印机的安全最佳实践。它涵盖固件更新、TCP/IP 配置、无线访问配置、用户管理、文件共享等内容。

此类别涵盖软件供应链，并帮助团队保护 DevSecOps 管道。它在整个软件开发生命周期（从初始设计到集成、测试、交付和部署）中提供安全控制的最佳实践。

多年来，CIS 还制作和分发了其他免费工具和付费解决方案，以支持 CIS 基准。这些资源可帮助组织进一步加强其网络安全准备。

CIS 关键安全控制 (CSC)，前身为 SANS 关键安全控制（SANS 前 20 项控制措施），是一份涵盖 18 项防护和对策的全面指南，用于实现有效的网络防御。也称为 CIS 控制，这些控制可免费使用，并提供一个优先级清单，组织可以据此实施，从而显著减少其网络攻击面。

CIS 基准在提供更安全的系统配置建议时，会参考这些网络安全最佳实践。

CIS 还提供预配置的加固镜像，使企业能够在无需额外投资硬件或软件的情况下，经济高效地执行计算操作。加固镜像比标准虚拟镜像更加安全，并能显著减少可能导致网络攻击的安全漏洞。

CIS 加固镜像的设计和配置符合 CIS 基准和 CIS 控制要求，并被公认为完全符合各种监管合规组织的要求。CIS 加固镜像几乎可在所有主流云计算平台上使用，并且易于部署和管理。

CIS SecureSuite 会员计划为组织提供网络安全工具和资源。对美国的 SLTT（州、地方、部落及领土）政府机构和学术机构，会员资格是免费的；而商业用户和海外政府机构的付费方式则有所不同。

CIS WorkBench 是一个集中式平台，将 CIS 控制和 CIS 基准社区汇集在一起，促成了协作以持续开发 CIS 基准。

CIS SecureSuite 构建工具包可供 CIS SecureSuite 成员使用，其中包含根据 CIS 基准提供安全自动化和系统修复的资源。

CIS 配置评估工具 (CAT) 可根据 CIS 基准自动扫描系统的配置设置。CIS SecureSuite 成员可供使用。

CIS-CAT Lite 是一款用于评估 IT 系统的免费工具。与 CIS-Cat Pro 相比，此有限版本可根据更少的 CIS 基准提供基本级别的评估。

CIS 基准帮助组织制定治理、风险和合规 (GRC) 战略，以管理治理和风险，同时保持符合行业和政府法规。

CIS 基准与安全和数据隐私监管框架紧密一致，或者说“对应”这些框架。因此，在受此类法规约束的行业中运营的任何组织都可以通过遵守 CIS 基准来在合规方面取得重大进展。此类监管机构包括：

• 美国国家标准与技术研究院 (NIST) 网络安全框架提供了全面的指导和最佳实践，私营部门组织可据此改进信息安全和网络安全风险管理。

• 支付卡行业数据安全标准 (PCI DSS) 是一组安全要求，旨在在整个生命周期中保护持卡人数据（持卡人的主要账号 (PAN)、姓名、到期日期、服务代码）以及其他敏感的持卡人信息。

• 《健康保险流通和责任法案》(HIPAA) 规定了受保护的健康信息的使用、披露和存储要求。

• ISO/IEC 27001 也称为 ISO 27001，是全球公认的领先信息安全标准，由国际标准化组织 (ISO) 和国际电工委员会 (IEC) 联合制定。它提供了一种系统性、结构化和基于风险的方法来管理和保护敏感信息资产。

• 《通用数据保护条例》(GDPR) 是欧盟 (EU) 的一项法律，规定了欧盟内外的组织处理欧盟居民的个人数据的方式。

虽然企业始终可以自由选择安全配置，但 CIS 基准测试提供了一系列优势：

• 行业认可的标准：CIS 基准由全球 IT 和网络安全专业人士社区制定，可帮助企业对网络安全做出坚定的承诺，并提高客户和利益相关者的信任。

• 定期更新的指南：CIS 基准提供定期更新的分步指南，帮助组织保护 IT 基础设施的各个方面。例如，与 Windows 相关的 CIS 基准在发布后 90 天内定期更新到最新版本。此外，CIS 加固镜像每月都会更新，以使其符合最新的安全最佳实践。

• 支持治理、风险与合规 (GRC)：CIS 基准提供了一个框架，以帮助组织解决治理、风险与合规 (GRC) 问题，这是一种在遵守行业和政府法规的同时管理治理和风险的组织战略。

• 定制：CIS 基准提供了一个灵活的模板，用于安全地采用新的云服务和工作量并执行数字化转型战略。例如，CIS SecureSuite 成员可以定制 CIS WorkBench 平台中的 CIS 基准，以满足其特定的业务和技术要求。

• 灵活性：CIS 基准为安全设置提供了基准性建议，包括防火墙、路由器和服务器。它们还提供厂商特定的指南，以帮助配置和管理系统与设备。这种通用性与厂商特定功能的结合提供了灵活性，使系统能够适应不断变化的需求。

• 易于部署：DevSecOps 和其他团队依靠 CIS 基准来实现易于部署的安全配置，以提高运营效率和可持续发展。