一般来说，DISA STIG 比 CIS 基准更严格。请记住，对于 STIG，所需的确切配置取决于基于任务保障类别 (I-III) 和机密级别（公共-分类）的系统分类，为您提供九种不同的可能配置要求组合。CIS 通常有一级和二级类别。

OpenVAS 可能会满足您对基线/基准评估的需求。Nessus 也可以工作，并且最多可免费用于 16 个 IP 地址的非商业用途。对于商业用途，它仍然相当实惠。

我还没有为这些不同的标准找到一个全面的人行横道。迄今为止我见过的最好的尝试是在这里（一个网络档案副本）：http ://www.dir.texas.gov/sitecollectiondocuments/security/texas%20cybersecurity%20framework/dir_control_crosswalk.xls 。然而，这个电子表格是一个对照比较，而不是我认为你真正感兴趣的基线/基准。

关于 NIST 要求，是的，800-123 是要求系统实施 800-53A 中的控制的基线文件。这些要求与基准的不同之处在于 NIST 要求告诉您必须实施的控制，但不确切地告诉您必须如何实施。基准通常非常具体，因为您必须将设置 X 设置为值 Y。

希望这可以帮助。

一个区别是很容易找到可靠的自动化工具来检查合规性。我相信 Nessus 为您列出的大多数模板提供了可用的模板，但有些已经过时了。无论如何，我会选择一个让您尽可能轻松地检查并保持合规性的产品。

以下是一些重要的考虑因素：

• 您针对给定的基准或指南进行强化的原因是什么？
• 你会被审计吗？
  • 是否有您的审核员更熟悉的首选路线或路线？
• 您将使用哪些工具进行自我审核？
  • 这些工具是否有策略或插件来根据给定的基准审核您的系统？

如果您只是因为有人告诉您要“安全”而对操作系统进行加固，那么您将受到更少的限制，并且可以通过每个指南来选择您的偏好。所有提到的强化模型都将产生一个更安全的系统。

在回答你的问题之前，我想定义一个你使用的词（硬化）。根据无所不知的 wiki，我将其定义为“通过减少系统漏洞表面来保护系统的过程”。要知道哪种方法适合您，您必须知道您希望实现什么。

国防部（和其他行业）中的一些人可能只应用 STIG，而其他人则不仅仅应用 STIG。这就是使用安全工程师喜欢区分合规性和安全性的原因。合规性检查一个框说你做了... 安全检查那个框，看看你是否可以进一步做任何其他事情来减轻弱点。

此外，如果您查看应用程序安全和开发 STIG，它实际上指出“IAO 应确保如果 DoD STIG 或 NSA 指南不可用，第三方产品将按可用的降序配置：1)商业公认的做法，(2) 独立测试结果，或 (3) 供应商文献。”

关于国防部政策，您必须了解的一件事是，最高层的政策并不总是最终/全部。通常需要遵循多层策略。下层政策只能更严格，不能更严格。因此，本质上可能需要一些程序来应用所有建议。但是，您通常会发现通常存在大量重叠。

当存在相互矛盾的指导时，优先级较高的政策胜过较低的优先级政策。对于试图“强化”系统的人，我说在安全方面犯了错误。还要了解任何指导都是由可能犯错误的人编写的。这就是为什么由于类型 O 和对技术的误解而进行了多次修订的原因。

当指导破坏某些东西时会发生什么，这就是人们必须决定 X 的风险是否大于无法使用 Y 的风险。