合规审计-企业安全的基石

根据Tenable在2016年底进行的一项调查，只有50％的客户正在使用我们的SC或SCCV的配置核查审计功能。这是一个坏消息，好消息是那些使用过这个功能的客户真的很喜欢它。但回到坏消息，Tenable和CIS组织做过一项单独的研究项目，研究发现只有55％的企业客户为笔记本电脑，工作站和服务器设定安全配置标准或基线，这使得许多系统具有潜在的不必要的开放端口和服务，使用弱密码或默认密码，过度宽泛的用户权限和其他配置缺陷设置。

安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。

根据CIS Critical Security Controls研究，需要配置企业的移动设备，笔记本电脑，工作站和服务器的授权硬件和软件的安全基线要求。这并不只是CIS组织一家如此建议 - 其他安全框架和合规标准也反映了安全配置系统的重要性。 

即使企业遵循严格的配置管理和提供安全的“黄金镜像”，企业仍然应该经常审核配置，以确定在手动修改配置时发生的不可避免的配置偏移。此外，企业应该安全地配置整个企业网络各个环节的安全基线，而不仅仅是操作系统 - 特别是面向互联网的服务器。不要忽视虚拟化，云基础架构，容器，容器平台，Web服务器和数据库服务器。

配置核查整个网络设备，而不仅仅是操作系统 
企业可以从多个来源获得可用的配置标准。CIS公布了三十多个基线标准，DISA发布了一些安全技术实施指南（STIG），许多供应商发布了自己的安全基线指南。您可能需要根据组织的具体要求定制标准。关键是现在就要开始

Tenable可提供的帮助 
Tenable的SC或SCCV提供了超过300个配置审核文件，涵盖多个版本的主流操作系统，云基础架构，Web服务器，数据库，Windows应用程序和网络设备。此外，SecurityCenter 5已完全通过安全内容自动化协议（SCAP）1.2认证。 
SecurityCenter提供三种报告机制来满足一系列要求，每个都可以针对特定的业务系统来确定重点：

•根据资产类型列表逐个设置和逐个审核结果的报告，并确定需要修复的设置。 
•仪表盘显示合规状态，允许用户根据需要点击获得详细信息（参见下面的示例）。 
•Tenable也为中国客户定制了等保仪表盘，方便用户了解自己的系统跟等保要求的差距（见下文示例）。 
•高管Report报告卡（ARCs），可以向高管传达的企业合规状态概述。