继续说加固基准。
要讨论加固基准,绕不开 CIS 编制的CIS Benchmarks,因为很长时间内,CIS Benchmarks 是唯一成体系的基础设施加固实践指南。
参照 CIS 编制加固基准的组织过程,国内也需要有类似的组织建立一个社区化的平台,召集和组织志愿者研讨、开发、编写和发布各种加固基准,以及发掘加固基准的深入应用,比如自动化的加固和检查工具等。
而不是现在(就以国产操作系统为例),普遍更时兴的做法:
给系统管理员弄个黑箱工具,“一键加固”。
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
有必要先提一下 CIS Benchmarks 的编制过程是如何组织的。
CIS Benchmarks 的编制是基于“共识”的指导作用,每项基准均由该主题下的专家组以通过协商获得一致意见的审查过程创建的。
专家组也可称为建立共识的参与者,每位参与者都从各自不同背景的视角提供意见,这些个人背景包括咨询、软件开发、审计和合规、安全研究、运营、政府和法律。
每项 CIS 加固基准都要经过两个阶段的共识审查:
第一阶段发生在加固基准的初始开发阶段。在此阶段,主题专家组召开会议,讨论、创建和测试加固基准的工作草案,在对建议的加固基准内容达成共识之前进行充分的讨论。
第二阶段在加固基准草案发布之后开始。在此阶段,所有由互联网社区提供的反馈都将由共识团队进行审查,确定反馈内容是否纳入加固基准。
由此,经过修改补充的加固基准草案在最终审定后完成并作为正式版本发布。