如果企業(yè)想為自身創(chuàng)建一套安全的數(shù)字化“資料館”，數(shù)據(jù)完整性將不可或缺。這個原則主要包含了兩件需要做的事情。首先，它需要維護(hù)文件的完整性，其中包括操作系統(tǒng)文件、應(yīng)用程序數(shù)據(jù)、配置文件數(shù)據(jù)、日志和其他關(guān)鍵數(shù)據(jù)等等。其次，它需要保護(hù)系統(tǒng)的完整性，這樣才能確保應(yīng)用程序、終端和網(wǎng)絡(luò)系統(tǒng)能夠按照預(yù)期去執(zhí)行各自的功能及任務(wù)。

[[237080]]

只有通過將用戶、企業(yè)運營過程和安全技術(shù)結(jié)合成一個整體框架，數(shù)字完整性才有可能實現(xiàn)。沒有適當(dāng)?shù)闹笇?dǎo)，這是很難做到的。不過幸運的是，互聯(lián)網(wǎng)安全關(guān)鍵控制中心(又名CIS Control)能夠幫助大家，在這篇文章中，我們將給大家提供幾點在建立和保持?jǐn)?shù)據(jù)完整性時需要特別注意關(guān)鍵之處，希望可以幫助到大家。

CIS Control的20條控制建議

• Control20：滲透測試與紅隊實踐
• Contorl19：事件響應(yīng)與管理
• Contorl18：應(yīng)用軟件安全
• Contorl17：安全意識與培訓(xùn)程序
• Contorl16：賬戶監(jiān)視與控制
• Contorl15：無線訪問控制
• Contorl14：訪問受控
• Contorl13：數(shù)據(jù)保護(hù)
• Contorl12：邊界防護(hù)
• Contorl11：網(wǎng)絡(luò)設(shè)備安全配置(防火墻、路由器和交換機(jī))
• Contorl10：數(shù)據(jù)恢復(fù)
• Contorl9：網(wǎng)絡(luò)端口、協(xié)議和服務(wù)控制
• Contorl8：惡意軟件防御
• Contorl7：電子郵件與Web瀏覽器防護(hù)
• Contorl6：維護(hù)、監(jiān)控和分析審計日志
• Contorl5：移動設(shè)備、筆記本電腦、工作站和服務(wù)器的硬件及軟件安全配置
• Contorl4：管理員權(quán)限控制
• Contorl3：漏洞管理
• Contorl2：軟件資產(chǎn)控制
• Contorl1：硬件資產(chǎn)控制

其中，CIS Control 3、5和11能夠幫助組織持續(xù)性管理他們的漏洞，加固關(guān)鍵終端的安全，并監(jiān)控違法操作。CIS Control 17能夠幫助組織為員工開展安全意識培訓(xùn)課程，而這些課程能夠給員工帶來基本的安全技能和應(yīng)對安全威脅的能力。CIS Control 6可幫助組織設(shè)計自己的日志審計策略，并根據(jù)情況修改自己的管理計劃。

在這些控制方案的幫助下，企業(yè)可以通過下面六個步驟來建立和維護(hù)自身的數(shù)據(jù)完整性。

***步：建立基礎(chǔ)設(shè)施的配置基準(zhǔn)線

首先，組織需要清楚了解自己的硬件和軟件資產(chǎn)是如何配置的，這里可以參考CISControl 5和11所提供的方案來設(shè)立一條配置基準(zhǔn)線，并根據(jù)這條基準(zhǔn)線來管理設(shè)備配置，記錄異常信息，并在出現(xiàn)未授權(quán)操作時發(fā)出警告。企業(yè)在設(shè)計好適當(dāng)?shù)牟僮鳂?biāo)準(zhǔn)后，應(yīng)部署到所有授權(quán)終端上。

第二步：確定需要進(jìn)行監(jiān)控的關(guān)鍵文件和數(shù)據(jù)

設(shè)好基準(zhǔn)線之后，組織需要利用自己的關(guān)鍵文件和數(shù)據(jù)來監(jiān)測基準(zhǔn)線的有效性。他們可以利用CIS Control 7-17來改進(jìn)監(jiān)控方案(引入節(jié)點主鏡像、操作系統(tǒng)二進(jìn)制文件和Web服務(wù)器目錄等等)。他們還應(yīng)該關(guān)注那些能夠觸及核心文件或涉及日志和警報生成的關(guān)鍵進(jìn)程。

第三步：記錄靜態(tài)和動態(tài)配置監(jiān)控程序

組織可以利用CISControl 3.1和3.2來配置他們的自動化漏洞掃描工具，他們應(yīng)該考慮使用靜態(tài)和動態(tài)監(jiān)控方法，前者有利于對固定的網(wǎng)絡(luò)參數(shù)進(jìn)行安全檢查和評估，后者可以幫助組織在***時間了解到配置的變化。

第四步：實現(xiàn)持續(xù)化漏洞監(jiān)控

配置好漏洞掃描工具之后，組織需要確定持續(xù)性漏洞監(jiān)控流程的范圍。作為整個計劃的一部分，他們需要遵循CIS Control 3來確保能夠在***時間知道那些修改基準(zhǔn)線配置或?qū)⒔M織暴露在安全風(fēng)險下的可疑行為。除此之外，他們還應(yīng)該了解IT技術(shù)人員和安全專家如何通過協(xié)同合作來加固數(shù)據(jù)完整性。

第五步：建立正式的修改管理流程

組織在建立了正式的安全評估流程之后，配置修改管理這個環(huán)節(jié)才能夠更好地發(fā)揮其作用。比如說，他們可以考慮建立一個配置修改管理委員會，這個委員會有權(quán)對***優(yōu)先級的問題采取適當(dāng)?shù)男袆?，對漏洞進(jìn)行風(fēng)險評級，并及時采取行動。

第六步：建立員工培訓(xùn)計劃

***，組織需要遵循CIS Control 18來為員工建立安全意識培訓(xùn)計劃。首先需要對員工在IT技能和安全行為上的缺失進(jìn)行分析，并根據(jù)分析結(jié)果來設(shè)置一條基準(zhǔn)線，企業(yè)需要按照這條基準(zhǔn)線來對員工進(jìn)行安全培訓(xùn)，以彌補(bǔ)技能方面的缺失。

一個持續(xù)化流程

建立和維持?jǐn)?shù)據(jù)完整性是一個需要持續(xù)進(jìn)行下去的任務(wù)，它要求組織持續(xù)性地投入，如果你想深入了解如何保證企業(yè)數(shù)據(jù)完整性的內(nèi)容，請參考這篇【白皮書】。