了解合规性策略:

合规性功能可以确保终端符合设定的基准配置,提高安全性,满足监管要求。每个合规性策略都是一组规则的集合,基于全球统一的安全配置标准和最佳实践指南,对终端和终端上的软件进行审计,准确掌握并改进安全态势。抵御网络攻击的第一道防线是确保在终端中实施并维护基本的安全配置。Vulnerability Manager Plus的合规性模块,能够定期审计系统配置的合规性,满足CIS基准等全球统一的合规性要求,并提供关于改进合规性的详细建议。

CIS策略:

互联网安全中心(CSI)通过来自世界各地的网络安全专业人员和主题专家组成的团队达成一致共识,为各种应用程序、操作系统、服务器和数据库制定基准。CIS基准包括了调整目标系统安全配置的标准和最佳实践,被全球各行各业的组织广泛用来实现安全和合规性目标。此外,PCI DSS(支付卡行业数据安全标准)、HIPPA(健康保险责任法案)、FISMA(联邦信息安全管理法案)和其他监管制度中详细的配置建议与CIS基准一致,并以CIS基准为最终标准。

Vulnerability Manager Plus的CIS策略直接基于CIS基准,开箱即用,并已得到CIS的正式认证,可用于审计。认证通过提交每个基准内所有规则(配置建议)的测试用例,并经CIS人员验证后获得。Vulnerability Manager Plus的CIS合规性功能,可以评估终端安全配置是否符合CIS策略中的规则,并针对每一个不合规规则提出改进建议。策略中的每个规则都会分配一个配置文件,此配置文件表示建议配置的安全级别。

  • 配置文件级别1(L1)表示最低配置建议,通常被认为可以安全地应用于大多数系统,不会对性能产生广泛影响。带有1级配置文件标签的策略只包含1级配置建议或规则。
  • 配置文件级别2(L2)表示深度防御,其中包括针对高度安全环境的配置建议,需要更多的协调和计划来实现,并将业务中断降到最低。带有2级配置文件标签的策略同时包含1级和2级配置建议或规则。

查看Vulnerability Manager Plus支持的CIS基准完整列表

在控制台中查看CIS策略的路径:合规性> 组策略> 创建组,点击策略可查看详细信息。下图为CIS基准策略的详细视图。

每个CIS策略中的规则根据其涉及的组件进行分组,例如密码策略、帐户锁定策略等。点击组件的标题可以展开并查看规则。每个规则都提供了安全配置建议值。在审计扫描期间,将评估系统的安全配置是否符合这些规则。点击规则可查看:

  • 安全设置/配置、默认值、取值范围,以及建议值的详细概览。
  • 为建议值提供详细的理由说明。
  • 系统设置违反规则时实现建议值的修复方法详细步骤。

注意:中央漏洞数据库中新的合规性策略,或现有策略的更改,都会在每天凌晨1点定期同步到中央服务器。在常规的漏洞数据库同步期间,不会发生合规性数据同步。如果合规性数据同步失败,请参阅本文档进行故障排除。