1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 人力资源/企业管理
  5. 企业文档

CIS Controls v8 互联网安全中心关键安全控制措施培训课件.pptxVIP

  • 0
  • 0
  • 约4.21千字
  • 约 27页
  • 2026-02-02 发布于河北
  • 举报

CIS Controls v8 互联网安全中心关键安全控制措施培训课件.pptx

    CISControlsv8互联网安全中心关键安全控制措施培训课件

    CISControlsv8概述

    基础安全控制措施

    数据保护核心控制

    威胁检测与响应

    组织安全能力建设

    控制措施实施案例

    目录

    contents

    01

    CISControlsv8概述

    框架发展历程

    CISControlsv8将原有20个控制项精简至18个,合并了部分功能重叠的控制项(如账户管理与访问控制),并调整了优先级顺序,以反映云环境和移动技术带来的新挑战。

    从v7到v8的演进

    框架通过行业、政府和学术界的协作定期修订,例如新增云服务提供商管理要求(控制14),以应对企业IT基础设施的云化趋势。

    社区驱动的更新机制

    基于Verizon等报告显示的凭证攻击占比上升(61%),v8降低了漏洞管理的优先级(从v7的第3位降至第7位),强化了身份验证(如拆分账户管理与访问控制)。

    威胁适应性调整

    核心安全目标

    资产可见性

    强调“无法保护未知资产”原则,要求企业通过控制1(硬件/软件资产清单)覆盖IoT、移动终端和云环境,确保所有资产处于监控范围。

    01

    数据为中心防护

    控制3(数据保护)突破传统网络边界,要求实施数据分类分级和云数据加密,以应对数据泄露风险。

    闭环风险管理

    控制7(持续漏洞管理)要求建立扫描-评估-修复的闭环流程,并实时获取未修复漏洞情报,而非仅依赖定期扫描。

    纵深防御验证

    控制18(渗透测试)需模拟完整攻击链,验证业务实际风险,区别于漏洞扫描的技术性检测。

    02

    03

    04

    适用场景与对象

    基础防护(IG1)

    适合资源有限的中小企业,实施前5项控制(如资产清单、数据保护)可防御85%的常见攻击,无需复杂技术设备。

    面向中大型企业,需部署企业级技术(如应用白名单、网络分段)并配备专业安全团队,覆盖全部18项控制。

    适用于受监管行业(如金融、医疗),需额外专项能力(如渗透测试、供应商风险评估),满足合规性要求。

    专业防护(IG2)

    高级防护(IG3)

    02

    基础安全控制措施

    硬件资产清单管理

    全生命周期管理

    清单需记录资产MAC地址、所属部门、责任人及网络授权状态,对未授权设备实施自动隔离策略(如802.1X认证),并建立硬件退役流程。

    多源数据整合

    通过DHCP日志、IPAM系统及网络流量分析工具(如NetFlow)实现被动发现,补充主动扫描盲区,确保BYOD和临时接入设备能被有效追踪。

    主动发现工具应用

    部署主动扫描工具(如Nmap、Nessus)定期探测网络设备,自动识别新接入的硬件资产并更新中央库存数据库,覆盖传统IT设备、IoT终端及云实例。

    采用SCCM、Jamf等工具自动采集软件名称、版本号、安装路径及补丁状态,与CMDB系统集成实现实时更新,特别关注容器内应用和SaaS服务。

    自动化清单构建

    在关键系统部署AppLocker或类似解决方案,仅允许经过代码签名和哈希验证的可执行文件运行,阻断未经审批的脚本和便携式应用。

    白名单技术实施

    建立软件生命周期管理策略,通过漏洞数据库(如CVE)和厂商公告验证支持状态,对EOL软件强制标记并制定迁移计划。

    供应商支持验证

    通过资产管理系统建立软件与宿主设备的映射关系,识别未授权软件安装的硬件节点,支持快速定位合规风险。

    软硬件关联分析

    软件资产权限控制

    01

    02

    03

    04

    持续漏洞评估

    自动化扫描机制

    配置Tenable.io或Qualys等工具按预设策略(每周/关键补丁发布后)执行扫描,覆盖操作系统、中间件和网络设备,支持SCAP协议实现标准化评估。

    闭环修复验证

    通过工单系统(如JiraServiceDesk)跟踪漏洞修复进度,扫描后72小时内验证补丁有效性,对无法修复的漏洞实施补偿性控制(如WAF规则)。

    风险优先级划分

    结合CVSS评分、资产关键性和漏洞可利用性(如ExploitDB数据)建立修复优先级矩阵,避免资源分散在低风险漏洞上。

    03

    数据保护核心控制

    数据加密实施标准

    传输加密要求

    采用TLS1.2及以上协议保障数据传输安全,禁止使用SSLv3等已淘汰协议,确保数据在公共网络中的机密性。

    对敏感数据(如PII、财务信息)实施AES-256或同等强度的加密算法,密钥管理需符合FIPS140-2标准。

    在云存储和跨系统交互场景中强制启用端到端加密,确保数据在生成、传输、存储全生命周期的保护。

    静态数据加密规范

    端到端加密策略

    访问控制权限管理

    最小权限原则实施

    基于RBAC模型设计权限矩阵,通过属性基访问控制(ABAC)实现动态授权,确保用户仅能访问业务必需的数据资源

    02

    04

    03

    01

    会话监控与异常检测

    部署UEBA系统分析访问模式,对非常规时间访问、高频次批量查询等异常行为实时触发二次认证或会话终止

    多因素认证强化

    在标准密码认证基础上

    您可能关注的文档

    最近下载

    文档评论(0)

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >