如果企業(yè)想為自身創(chuàng)建一套安全的數(shù)字化“資料館”，數(shù)據(jù)完整性將不可或缺。這個(gè)原則主要包含了兩件需要做的事情。首先，它需要維護(hù)文件的完整性，其中包括操作系統(tǒng)文件、應(yīng)用程序數(shù)據(jù)、配置文件數(shù)據(jù)、日志和其他關(guān)鍵數(shù)據(jù)等等。其次，它需要保護(hù)系統(tǒng)的完整性，這樣才能確保應(yīng)用程序、終端和網(wǎng)絡(luò)系統(tǒng)能夠按照預(yù)期去執(zhí)行各自的功能及任務(wù)。

[[237080]]

只有通過(guò)將用戶(hù)、企業(yè)運(yùn)營(yíng)過(guò)程和安全技術(shù)結(jié)合成一個(gè)整體框架，數(shù)字完整性才有可能實(shí)現(xiàn)。沒(méi)有適當(dāng)?shù)闹笇?dǎo)，這是很難做到的。不過(guò)幸運(yùn)的是，互聯(lián)網(wǎng)安全關(guān)鍵控制中心(又名CIS Control)能夠幫助大家，在這篇文章中，我們將給大家提供幾點(diǎn)在建立和保持?jǐn)?shù)據(jù)完整性時(shí)需要特別注意關(guān)鍵之處，希望可以幫助到大家。

CIS Control的20條控制建議

• Control20：滲透測(cè)試與紅隊(duì)實(shí)踐
• Contorl19：事件響應(yīng)與管理
• Contorl18：應(yīng)用軟件安全
• Contorl17：安全意識(shí)與培訓(xùn)程序
• Contorl16：賬戶(hù)監(jiān)視與控制
• Contorl15：無(wú)線訪問(wèn)控制
• Contorl14：訪問(wèn)受控
• Contorl13：數(shù)據(jù)保護(hù)
• Contorl12：邊界防護(hù)
• Contorl11：網(wǎng)絡(luò)設(shè)備安全配置(防火墻、路由器和交換機(jī))
• Contorl10：數(shù)據(jù)恢復(fù)
• Contorl9：網(wǎng)絡(luò)端口、協(xié)議和服務(wù)控制
• Contorl8：惡意軟件防御
• Contorl7：電子郵件與Web瀏覽器防護(hù)
• Contorl6：維護(hù)、監(jiān)控和分析審計(jì)日志
• Contorl5：移動(dòng)設(shè)備、筆記本電腦、工作站和服務(wù)器的硬件及軟件安全配置
• Contorl4：管理員權(quán)限控制
• Contorl3：漏洞管理
• Contorl2：軟件資產(chǎn)控制
• Contorl1：硬件資產(chǎn)控制

其中，CIS Control 3、5和11能夠幫助組織持續(xù)性管理他們的漏洞，加固關(guān)鍵終端的安全，并監(jiān)控違法操作。CIS Control 17能夠幫助組織為員工開(kāi)展安全意識(shí)培訓(xùn)課程，而這些課程能夠給員工帶來(lái)基本的安全技能和應(yīng)對(duì)安全威脅的能力。CIS Control 6可幫助組織設(shè)計(jì)自己的日志審計(jì)策略，并根據(jù)情況修改自己的管理計(jì)劃。

在這些控制方案的幫助下，企業(yè)可以通過(guò)下面六個(gè)步驟來(lái)建立和維護(hù)自身的數(shù)據(jù)完整性。

***步：建立基礎(chǔ)設(shè)施的配置基準(zhǔn)線

首先，組織需要清楚了解自己的硬件和軟件資產(chǎn)是如何配置的，這里可以參考CISControl 5和11所提供的方案來(lái)設(shè)立一條配置基準(zhǔn)線，并根據(jù)這條基準(zhǔn)線來(lái)管理設(shè)備配置，記錄異常信息，并在出現(xiàn)未授權(quán)操作時(shí)發(fā)出警告。企業(yè)在設(shè)計(jì)好適當(dāng)?shù)牟僮鳂?biāo)準(zhǔn)后，應(yīng)部署到所有授權(quán)終端上。

第二步：確定需要進(jìn)行監(jiān)控的關(guān)鍵文件和數(shù)據(jù)

設(shè)好基準(zhǔn)線之后，組織需要利用自己的關(guān)鍵文件和數(shù)據(jù)來(lái)監(jiān)測(cè)基準(zhǔn)線的有效性。他們可以利用CIS Control 7-17來(lái)改進(jìn)監(jiān)控方案(引入節(jié)點(diǎn)主鏡像、操作系統(tǒng)二進(jìn)制文件和Web服務(wù)器目錄等等)。他們還應(yīng)該關(guān)注那些能夠觸及核心文件或涉及日志和警報(bào)生成的關(guān)鍵進(jìn)程。

第三步：記錄靜態(tài)和動(dòng)態(tài)配置監(jiān)控程序

組織可以利用CISControl 3.1和3.2來(lái)配置他們的自動(dòng)化漏洞掃描工具，他們應(yīng)該考慮使用靜態(tài)和動(dòng)態(tài)監(jiān)控方法，前者有利于對(duì)固定的網(wǎng)絡(luò)參數(shù)進(jìn)行安全檢查和評(píng)估，后者可以幫助組織在***時(shí)間了解到配置的變化。

第四步：實(shí)現(xiàn)持續(xù)化漏洞監(jiān)控

配置好漏洞掃描工具之后，組織需要確定持續(xù)性漏洞監(jiān)控流程的范圍。作為整個(gè)計(jì)劃的一部分，他們需要遵循CIS Control 3來(lái)確保能夠在***時(shí)間知道那些修改基準(zhǔn)線配置或?qū)⒔M織暴露在安全風(fēng)險(xiǎn)下的可疑行為。除此之外，他們還應(yīng)該了解IT技術(shù)人員和安全專(zhuān)家如何通過(guò)協(xié)同合作來(lái)加固數(shù)據(jù)完整性。

第五步：建立正式的修改管理流程

組織在建立了正式的安全評(píng)估流程之后，配置修改管理這個(gè)環(huán)節(jié)才能夠更好地發(fā)揮其作用。比如說(shuō)，他們可以考慮建立一個(gè)配置修改管理委員會(huì)，這個(gè)委員會(huì)有權(quán)對(duì)***優(yōu)先級(jí)的問(wèn)題采取適當(dāng)?shù)男袆?dòng)，對(duì)漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)，并及時(shí)采取行動(dòng)。

第六步：建立員工培訓(xùn)計(jì)劃

***，組織需要遵循CIS Control 18來(lái)為員工建立安全意識(shí)培訓(xùn)計(jì)劃。首先需要對(duì)員工在IT技能和安全行為上的缺失進(jìn)行分析，并根據(jù)分析結(jié)果來(lái)設(shè)置一條基準(zhǔn)線，企業(yè)需要按照這條基準(zhǔn)線來(lái)對(duì)員工進(jìn)行安全培訓(xùn)，以彌補(bǔ)技能方面的缺失。

一個(gè)持續(xù)化流程

建立和維持?jǐn)?shù)據(jù)完整性是一個(gè)需要持續(xù)進(jìn)行下去的任務(wù)，它要求組織持續(xù)性地投入，如果你想深入了解如何保證企業(yè)數(shù)據(jù)完整性的內(nèi)容，請(qǐng)參考這篇【白皮書(shū)】。