如果企業想為自身創建一套安全的數字化“資料館”，數據完整性將不可或缺。這個原則主要包含了兩件需要做的事情。首先，它需要維護文件的完整性，其中包括操作系統文件、應用程序數據、配置文件數據、日志和其他關鍵數據等等。其次，它需要保護系統的完整性，這樣才能確保應用程序、終端和網絡系統能夠按照預期去執行各自的功能及任務。

[[237080]]

只有通過將用戶、企業運營過程和安全技術結合成一個整體框架，數字完整性才有可能實現。沒有適當的指導，這是很難做到的。不過幸運的是，互聯網安全關鍵控制中心(又名CIS Control)能夠幫助大家，在這篇文章中，我們將給大家提供幾點在建立和保持數據完整性時需要特別注意關鍵之處，希望可以幫助到大家。

CIS Control的20條控制建議

• Control20：滲透測試與紅隊實踐
• Contorl19：事件響應與管理
• Contorl18：應用軟件安全
• Contorl17：安全意識與培訓程序
• Contorl16：賬戶監視與控制
• Contorl15：無線訪問控制
• Contorl14：訪問受控
• Contorl13：數據保護
• Contorl12：邊界防護
• Contorl11：網絡設備安全配置(防火墻、路由器和交換機)
• Contorl10：數據恢復
• Contorl9：網絡端口、協議和服務控制
• Contorl8：惡意軟件防御
• Contorl7：電子郵件與Web瀏覽器防護
• Contorl6：維護、監控和分析審計日志
• Contorl5：移動設備、筆記本電腦、工作站和服務器的硬件及軟件安全配置
• Contorl4：管理員權限控制
• Contorl3：漏洞管理
• Contorl2：軟件資產控制
• Contorl1：硬件資產控制

其中，CIS Control 3、5和11能夠幫助組織持續性管理他們的漏洞，加固關鍵終端的安全，并監控違法操作。CIS Control 17能夠幫助組織為員工開展安全意識培訓課程，而這些課程能夠給員工帶來基本的安全技能和應對安全威脅的能力。CIS Control 6可幫助組織設計自己的日志審計策略，并根據情況修改自己的管理計劃。

在這些控制方案的幫助下，企業可以通過下面六個步驟來建立和維護自身的數據完整性。

***步：建立基礎設施的配置基準線

首先，組織需要清楚了解自己的硬件和軟件資產是如何配置的，這里可以參考CISControl 5和11所提供的方案來設立一條配置基準線，并根據這條基準線來管理設備配置，記錄異常信息，并在出現未授權操作時發出警告。企業在設計好適當的操作標準后，應部署到所有授權終端上。

第二步：確定需要進行監控的關鍵文件和數據

設好基準線之后，組織需要利用自己的關鍵文件和數據來監測基準線的有效性。他們可以利用CIS Control 7-17來改進監控方案(引入節點主鏡像、操作系統二進制文件和Web服務器目錄等等)。他們還應該關注那些能夠觸及核心文件或涉及日志和警報生成的關鍵進程。

第三步：記錄靜態和動態配置監控程序

組織可以利用CISControl 3.1和3.2來配置他們的自動化漏洞掃描工具，他們應該考慮使用靜態和動態監控方法，前者有利于對固定的網絡參數進行安全檢查和評估，后者可以幫助組織在***時間了解到配置的變化。

第四步：實現持續化漏洞監控

配置好漏洞掃描工具之后，組織需要確定持續性漏洞監控流程的范圍。作為整個計劃的一部分，他們需要遵循CIS Control 3來確保能夠在***時間知道那些修改基準線配置或將組織暴露在安全風險下的可疑行為。除此之外，他們還應該了解IT技術人員和安全專家如何通過協同合作來加固數據完整性。

第五步：建立正式的修改管理流程

組織在建立了正式的安全評估流程之后，配置修改管理這個環節才能夠更好地發揮其作用。比如說，他們可以考慮建立一個配置修改管理委員會，這個委員會有權對***優先級的問題采取適當的行動，對漏洞進行風險評級，并及時采取行動。

第六步：建立員工培訓計劃

***，組織需要遵循CIS Control 18來為員工建立安全意識培訓計劃。首先需要對員工在IT技能和安全行為上的缺失進行分析，并根據分析結果來設置一條基準線，企業需要按照這條基準線來對員工進行安全培訓，以彌補技能方面的缺失。

一個持續化流程

建立和維持數據完整性是一個需要持續進行下去的任務，它要求組織持續性地投入，如果你想深入了解如何保證企業數據完整性的內容，請參考這篇【白皮書】。