| 独联体控制 | 独联体子控制 | 资产类型 | 安全功能 | 标题 | 描述 |
| 1 | 硬件资产的库存和控制 | ||||
| 主动管理(盘点,跟踪和更正)网络上的所有硬件设备,以便仅授予授权的设备访问权限,找到并防止未经授权的和不受管理的设备获得访问权限。 | |||||
| 1 | 1.1 | 设备 | 识别 | 使用主动发现工具 | 利用主动发现工具来识别连接到组织网络的设备并更新硬件资产清单。 |
| 1 | 1.2 | 设备 | 识别 | 使用被动资产发现工具 | 利用被动发现工具来识别连接到组织网络的设备,并自动更新组织的硬件资产清单。 |
| 1 | 1.3 | 设备 | 识别 | 使用DHCP日志更新资产清单 | 在所有DHCP服务器或IP地址管理工具上使用动态主机配置协议(DHCP)日志记录来更新组织的硬件资产清单。 |
| 1 | 1.4 | 设备 | 识别 | 维护详细的资产清单 | 维护所有技术资产的准确和最新清单,并有可能存储或处理信息。此清单应包括所有硬件资产,无论是否连接到组织的网络。 |
| 1 | 1.5 | 设备 | 识别 | 维护资产库存信息 | 确保硬件资产清单记录了每个资产的网络地址,硬件地址,计算机名称,数据资产所有者和部门,以及硬件资产是否已被批准连接到网络。 |
| 1 | 1.6 | 设备 | 响应 | 处理未授权资产 | 确保将未经授权的资产从网络中删除,隔离或及时更新清单。 |
| 1 | 1.7 | 设备 | 保护 | 部署端口级访问控制 | 利用遵循802.1x标准的端口级别访问控制来控制哪些设备可以向网络进行身份验证。认证系统应绑定到硬件资产清单数据中,以确保只有授权的设备才能连接到网络。 |
| 1 | 1.8 | 设备 | 保护 | 利用客户端证书对硬件资产进行身份验证 | 使用客户端证书对连接到组织的受信任网络的硬件资产进行身份验证。 |
| 2 | 软件资产的清单和控制 | ||||
| 主动管理(盘点,跟踪和更正)网络上的所有软件,以便仅安装授权软件并可以执行,并且可以发现未授权和不受管理的软件并阻止其安装或执行。 | |||||
| 2 | 2.1 | 应用领域 | 识别 | 维护授权软件的清单 | 维护企业中出于任何业务目的在任何业务系统上所需的所有授权软件的最新列表。 |
| 2 | 2.2 | 应用领域 | 识别 | 确保供应商支持软件 | 确保仅将当前支持并接收供应商更新的软件应用程序或操作系统添加到组织的授权软件清单中。库存系统中应将不支持的软件标记为不支持。 |
| 2 | 2.3 | 应用领域 | 识别 | 利用软件清单工具 | 在整个组织中利用软件清单工具来自动化业务系统上所有软件的文档编制。 |
| 2 | 2.4 | 应用领域 | 识别 | 跟踪软件清单信息 | 软件清单系统应跟踪所有软件的名称,版本,发布者和安装日期,包括组织授权的操作系统。 |
| 2 | 2.5 | 应用领域 | 识别 | 整合软件和硬件资产清单 | 应将软件清单系统绑定到硬件资产清单中,以便从单个位置跟踪所有设备和关联的软件。 |
| 2 | 2.6 | 应用领域 | 响应 | 解决未经批准的软件 | 确保删除未经授权的软件或及时更新清单 |
| 2 | 2.7 | 应用领域 | 保护 | 利用应用程序白名单 | 在所有资产上使用应用程序白名单技术,以确保仅执行授权软件,并且阻止所有未授权软件在资产上执行。 |
| 2 | 2.8 | 应用领域 | 保护 | 实施图书馆的应用程序白名单 | 组织的应用程序白名单软件必须确保仅允许将授权的软件库(例如* .dll,*。ocx,*。so等)加载到系统进程中。 |
| 2 | 2.9 | 应用领域 | 保护 | 实施脚本的应用程序白名单 | 组织的应用程序白名单软件必须确保仅授权的,经过数字签名的脚本(例如* .ps1, * .py,宏等)允许在系统上运行。 |
| 2 | 2.10 | 应用领域 | 保护 | 在物理上或逻辑上隔离高风险应用程序 | 应该使用物理上或逻辑上隔离的系统来隔离和运行业务运营所需的软件,但会给组织带来更高的风险。 |
| 3 | 持续漏洞管理 | ||||
| 不断获取,评估新信息并采取措施,以识别漏洞,补救并最大程度地减少攻击者的机会。 | |||||
| 3 | 3.1 | 应用领域 | 检测 | 运行自动漏洞扫描工具 | 使用最新的,符合安全内容自动化协议(SCAP)的漏洞扫描工具,每周或更频繁地自动扫描网络上的所有系统,以识别组织系统上的所有潜在漏洞。 |
| 3 | 3.2 | 应用领域 | 检测 | 执行经过身份验证的漏洞扫描 | 使用在每个系统上本地运行的代理或使用在测试的系统上配置了较高权限的远程扫描程序,执行经过身份验证的漏洞扫描。 |
| 3 | 3.3 | 用户数 | 保护 | 保护专用评估帐户 | 使用专用帐户进行经过身份验证的漏洞扫描,不应将其用于任何其他管理活动,并且应将其绑定到位于特定IP地址的特定计算机。 |
| 3 | 3.4 | 应用领域 | 保护 | 部署自动操作系统补丁程序管理工具 | 部署自动化软件更新工具,以确保操作系统正在运行软件供应商提供的最新安全更新。 |
| 3 | 3.5 | 应用领域 | 保护 | 部署自动化软件补丁程序管理工具 | 部署自动软件更新工具,以确保所有系统上的第三方软件都在运行软件供应商提供的最新安全更新。 |
| 3 | 3.6 | 应用领域 | 响应 | 比较背对背漏洞扫描 | 定期比较连续漏洞扫描的结果,以验证漏洞是否已得到及时修复。 |
| 3 | 3.7 | 应用领域 | 响应 | 利用风险评估流程 | 利用风险评估流程来优先处理发现的漏洞。 |
| 4 | 控制特权的使用 | ||||
| 用于跟踪/控制/预防/纠正计算机,网络和应用程序上管理特权的使用,分配和配置的过程和工具。 | |||||
| 4 | 4.1 | 用户数 | 检测 | 维护行政帐户清单 | 使用自动化工具来盘点所有管理帐户,包括域帐户和本地帐户,以确保只有经过授权的个人才能获得特权。 |
| 4 | 4.2 | 用户数 | 保护 | 更改默认密码 | 在部署任何新资产之前,将所有默认密码更改为与管理级别帐户一致的值。 |
| 4 | 4.3 | 用户数 | 保护 | 确保使用专用管理帐户 | 确保所有具有管理帐户访问权限的用户将专用帐户或辅助帐户用于提升活动。此帐户应仅用于管理活动,而不能用于Internet浏览,电子邮件或类似活动。 |
| 4 | 4.4 | 用户数 | 保护 | 使用唯一密码 | 在不支持多因素身份验证的地方(例如本地管理员,root或服务帐户),帐户将使用该系统唯一的密码。 |
| 4 | 4.5 | 用户数 | 保护 | 对所有管理访问使用多因素身份验证 | 对所有管理帐户访问使用多因素身份验证和加密通道。 |
| 4 | 4.6 | 用户数 | 保护 | 对所有管理任务使用专用工作站 | 确保管理员将专用计算机用于所有管理任务或需要管理访问权限的任务。这台机器将从组织的主要网络中分割出来,并且不允许Internet访问。本机将不会用于阅读电子邮件,撰写文档或浏览Internet。 |
| 4 | 4.7 | 用户数 | 保护 | 限制对脚本工具的访问 | 将对脚本工具(例如Microsoft®PowerShell和Python)的访问权限限制为仅需要访问这些功能的管理或开发用户。 |
| 4 | 4.8 | 用户数 | 检测 | 记录并提醒管理组成员身份更改 | 配置系统以发出日志条目并在将帐户添加到任何分配了管理权限的组中或从中删除帐户时发出警报。 |
| 4 | 4.9 | 用户数 | 检测 | 登录失败的管理帐户并发出警报 | 配置系统以发出日志条目,并在未成功登录到管理帐户时发出警报。 |
| 5 | 移动设备,便携式计算机,工作站和服务器上的硬件和软件的安全配置 | ||||
| 使用严格的配置管理和更改控制过程来建立,实施和主动管理(跟踪,报告,更正)移动设备,便携式计算机和工作站的安全配置,以防止攻击者利用易受攻击的服务和设置。 | |||||
| 5 | 5.1 | 应用领域 | 保护 | 建立安全配置 | 维护所有授权操作系统和软件的书面安全配置标准。 |
| 5 | 5.2 | 应用领域 | 保护 | 维护安全映像 | 根据组织批准的配置标准,为企业中的所有系统维护安全的映像或模板。应当使用这些映像或模板之一来映像任何受到破坏的新系统部署或现有系统。 |
| 5 | 5.3 | 应用领域 | 保护 | 安全地存储主映像 | 将主映像和模板存储在经过完整性监控工具验证的安全配置的服务器上,以确保只能对映像进行授权更改。 |
| 5 | 5.4 | 应用领域 | 保护 | 部署系统配置管理工具 | 部署系统配置管理工具,该工具将以定期计划的时间间隔自动实施配置设置并将其重新部署到系统。 |
| 5 | 5.5 | 应用领域 | 检测 | 实施自动化配置监控系统 | 利用符合安全内容自动化协议(SCAP)的配置监视系统来验证所有安全配置元素,对已批准的异常进行分类,并在发生未经授权的更改时发出警报。 |
| 6 | 维护,监视和分析审核日志 | ||||
| 收集,管理和分析事件的审核日志,这些事件可以帮助检测,理解攻击或从攻击中恢复。 | |||||
| 6 | 6.1 | 网络 | 检测 | 利用三个同步时间源 | 使用至少三个同步的时间源,所有服务器和网络设备都会从中定期检索时间信息,以便日志中的时间戳一致。 |
| 6 | 6.2 | 网络 | 检测 | 激活审核日志 | 确保已在所有系统和网络设备上启用本地日志记录。 |
| 6 | 6.3 | 网络 | 检测 | 启用详细日志记录 | 使系统日志记录能够包含详细信息,例如事件源,日期,用户,时间戳,源地址,目标地址和其他有用的元素。 |
| 6 | 6.4 | 网络 | 检测 | 确保有足够的日志存储空间 | 确保所有存储日志的系统都有足够的存储空间来存储生成的日志。 |
| 6 | 6.5 | 网络 | 检测 | 中央日志管理 | 确保将适当的日志汇总到中央日志管理系统以进行分析和检查。 |
| 6 | 6.6 | 网络 | 检测 | 部署SIEM或日志分析工具 | 部署安全信息和事件管理(SIEM)或日志分析工具以进行日志关联和分析。 |
| 6 | 6.7 | 网络 | 检测 | 定期查看日志 | 定期查看日志以识别异常或异常事件。 |
| 6 | 6.8 | 网络 | 检测 | 定期调整SIEM | 定期调整您的SIEM系统,以更好地识别可操作的事件并减少事件噪音。 |
| 7 | 电子邮件和Web浏览器保护 | ||||
| 通过与网络浏览器和电子邮件系统的交互,将攻击面和攻击者的机率降至最低。 | |||||
| 7 | 7.1 | 应用领域 | 保护 | 确保仅使用完全受支持的浏览器和电子邮件客户端 | 确保只允许在组织中执行完全受支持的Web浏览器和电子邮件客户端,最好仅使用供应商提供的最新版本的浏览器和电子邮件客户端。 |
| 7 | 7.2 | 应用领域 | 保护 | 禁用不必要或未经授权的浏览器或电子邮件客户端插件 | 卸载或禁用任何未授权的浏览器或电子邮件客户端插件或附加应用程序。 |
| 7 | 7.3 | 应用领域 | 保护 | 限制在Web浏览器和电子邮件客户端中使用脚本语言 | 确保只有授权的脚本语言才能在所有Web浏览器和电子邮件客户端中运行。 |
| 7 | 7.4 | 网络 | 保护 | 维护和实施基于网络的URL过滤器 | 实施基于网络的URL筛选器,该筛选器限制了系统连接到未经组织批准的网站的能力。无论组织是否实际在组织机构内,都应对组织的每个系统强制执行此过滤。 |
| 7 | 7.5 | 网络 | 保护 | 订阅URL分类服务 | 订阅URL分类服务,以确保它们具有最新的可用网站类别定义。默认情况下,未分类的站点将被阻止。 |
| 7 | 7.6 | 网络 | 检测 | 记录所有URL请求者 | 记录来自组织的每个系统的所有URL请求,无论是现场系统还是移动设备,以识别潜在的恶意活动并协助事件处理程序识别潜在的受感染系统。 |
| 7 | 7.7 | 网络 | 保护 | 使用DNS筛选服务 | 使用域名系统(DNS)筛选服务可帮助阻止对已知恶意域的访问。 |
| 7 | 7.8 | 网络 | 保护 | 实施DMARC并启用接收方验证 | 为了降低来自有效域的欺骗或修改电子邮件的可能性,请首先实施基于域的消息身份验证,报告和一致性(DMARC)策略和验证,首先要实现发件人策略框架(SPF)和域密钥标识邮件(DKIM)标准。 |
| 7 | 7.9 | 网络 | 保护 | 阻止不必要的文件类型 | 如果文件类型对于组织的业务而言不是必需的,则阻止所有电子邮件附件进入组织的电子邮件网关。 |
| 7 | 7.10 | 网络 | 保护 | 沙箱所有电子邮件附件 | 使用沙箱分析和阻止具有恶意行为的入站电子邮件附件。 |
| 8 | 恶意软件防御 | ||||
| 在企业中的多个位置控制恶意代码的安装,传播和执行,同时优化自动化的使用以实现防御,数据收集和纠正措施的快速更新。 | |||||
| 8 | 8.1 | 设备 | 保护 | 利用集中管理的反恶意软件 | 利用集中管理的反恶意软件来连续监视和防御组织的每个工作站和服务器。 |
| 8 | 8.2 | 设备 | 保护 | 确保反恶意软件和签名已更新 | 确保组织的反恶意软件定期更新其扫描引擎和签名数据库。 |
| 8 | 8.3 | 设备 | 保护 | 启用操作系统防利用功能/部署防利用技术 | 启用操作系统中可用的反利用功能,例如数据执行保护(DEP)或地址空间布局随机化(ASLR),或部署可以配置为对更广泛的应用程序和可执行文件应用保护的适当工具箱。 |
| 8 | 8.4 | 设备 | 检测 | 配置可移动设备的反恶意软件扫描 | 配置设备,以便它们在插入或连接时自动对可移动媒体进行反恶意软件扫描。 |
| 8 | 8.5 | 设备 | 保护 | 将设备配置为不自动运行内容 | 将设备配置为不自动运行可移动媒体中的内容。 |
| 8 | 8.6 | 设备 | 检测 | 集中反恶意软件日志记录 | 将所有恶意软件检测事件发送到企业反恶意软件管理工具和事件日志服务器以进行分析和警报。 |
| 8 | 8.7 | 网络 | 检测 | 启用DNS查询记录 | 启用域名系统(DNS)查询日志记录以检测已知恶意域的主机名查找。 |
| 8 | 8.8 | 设备 | 检测 | 启用命令行审核日志记录 | 为命令外壳(例如Microsoft PowerShell和Bash)启用命令行审核日志记录。 |
| 9 | 网络端口,协议和服务的限制和控制 | ||||
| 管理(跟踪/控制/纠正)网络设备上端口,协议和服务的持续运行使用,以最大程度地减少攻击者可以利用的漏洞窗口。 | |||||
| 9 | 9.1 | 设备 | 识别 | 将活动端口,服务和协议与资产清单相关联 | 将活动端口,服务和协议与资产清单中的硬件资产相关联。 |
| 9 | 9.2 | 设备 | 保护 | 确保仅批准的端口,协议和服务正在运行 | 确保仅在侦听具有经过验证的业务需求的系统上的网络端口,协议和服务在每个系统上运行。 |
| 9 | 9.3 | 设备 | 检测 | 执行定期的自动端口扫描 | 定期对所有系统执行自动端口扫描,并在系统上检测到未经授权的端口时发出警报。 |
| 9 | 9.4 | 设备 | 保护 | 应用基于主机的防火墙或端口过滤 | 使用默认拒绝规则在最终系统上应用基于主机的防火墙或端口过滤工具,该规则将丢弃所有流量,但明确允许的服务和端口除外。 |
| 9 | 9.5 | 设备 | 保护 | 实施应用防火墙 | 将应用程序防火墙放在所有关键服务器的前面,以验证和验证流向服务器的流量。任何未经授权的流量都应被阻止并记录。 |
| 10 | 数据恢复能力 | ||||
| 用于通过可靠的方法正确备份关键信息以及时恢复关键信息的过程和工具。 | |||||
| 10 | 10.1 | 数据 | 保护 | 确保定期自动备份 | 确保定期自动备份所有系统数据。 |
| 10 | 10.2 | 数据 | 保护 | 执行完整的系统备份 | 确保通过映像等过程将组织的所有关键系统备份为一个完整的系统,以实现整个系统的快速恢复。 |
| 10 | 10.3 | 数据 | 保护 | 在备份媒体上测试数据 | |
| 10 | 10.4 | 数据 | 保护 | 保护备份 | 确保备份在存储时以及在网络上移动时都通过物理安全性或加密得到了适当的保护。这包括远程备份和云服务。 |
| 10 | 10.5 | 数据 | 保护 | 确保所有备份至少有一个脱机备份目标 | 确保所有备份都有至少一个脱机(即,不能通过网络连接访问)备份目标。 |
| 11 | 网络设备(如防火墙,路由器和交换机)的安全配置 | ||||
| 使用严格的配置管理和更改控制过程来建立,实施和主动管理(跟踪,报告,更正)网络基础设施设备的安全配置,以防止攻击者利用易受攻击的服务和设置。 | |||||
| 11 | 11.1 | 网络 | 识别 | 维护网络设备的标准安全配置 | 维护所有授权网络设备的书面安全配置标准。 |
| 11 | 11.2 | 网络 | 识别 | 文档流量配置规则 | 所有允许流量流经网络设备的配置规则都应记录在配置管理系统中,并说明每个规则的特定业务原因,负责该业务需求的特定个人名称以及预期的预期持续时间。 |
| 11 | 11.3 | 网络 | 检测 | 使用自动化工具验证标准设备配置并检测更改 | 将所有网络设备配置与为使用中的每个网络设备定义的批准的安全配置进行比较,并在发现任何偏差时发出警报。 |
| 11 | 11.4 | 网络 | 保护 | 在所有网络设备上安装任何与安全相关的更新的最新稳定版本 | 在所有网络设备上安装任何与安全相关的更新的最新稳定版本。 |
| 11 | 11.5 | 网络 | 保护 | 使用多重身份验证和加密会话管理网络设备 | 使用多因素身份验证和加密会话管理所有网络设备。 |
| 11 | 11.6 | 网络 | 保护 | 对所有网络管理任务使用专用计算机 | 确保网络工程师将专用机器用于所有管理任务或需要提升访问权限的任务。该机器应从组织的主要网络中分段,并且不允许Internet访问。本机不得用于阅读电子邮件,撰写文档或浏览互联网。 |
| 11 | 11.7 | 网络 | 保护 | 通过专用网络管理网络基础架构 | 跨网络连接管理网络基础结构,该网络连接与该网络的业务用途分开,它们依赖于单独的VLAN或最好完全依赖于不同的物理连接来进行网络设备的管理会话。 |
| 12 | 边界防御 | ||||
| 检测/预防/纠正不同信任级别的信息传输网络的流,重点关注破坏安全的数据。 | |||||
| 12 | 12.1 | 网络 | 识别 | 维护网络边界清单 | 维护组织所有网络边界的最新清单。 |
| 12 | 12.2 | 网络 | 检测 | 扫描跨可信网络边界的未经授权的连接 | 从每个受信任的网络边界之外进行定期扫描,以检测跨边界可访问的任何未授权连接。 |
| 12 | 12.3 | 网络 | 保护 | 拒绝与已知恶意IP地址的通信 | 拒绝与已知的恶意或未使用的Internet IP地址进行通信,并将访问权限限制为仅在组织的每个网络边界处访问的受信任和必要的IP地址范围。 |
| 12 | 12.4 | 网络 | 保护 | 拒绝通过未授权端口的通信 | 拒绝通过未经授权的TCP或UDP端口或应用程序流量进行的通信,以确保仅允许授权的协议在组织的每个网络边界处跨入或流出网络的网络边界。 |
| 12 | 12.5 | 网络 | 检测 | 配置监视系统以记录网络数据包 | 配置监视系统,以记录通过组织的每个网络边界处的边界的网络数据包。 |
| 12 | 12.6 | 网络 | 检测 | 部署基于网络的IDS传感器 | 部署基于网络的入侵检测系统(IDS)传感器,以寻找异常的攻击机制,并在组织的每个网络边界处检测这些系统的危害。 |
| 12 | 12.7 | 网络 | 保护 | 部署基于网络的入侵防御系统 | 部署基于网络的入侵防御系统(IPS),以在组织的每个网络边界处阻止恶意网络流量。 |
| 12 | 12.8 | 网络 | 检测 | 在网络边界设备上部署NetFlow集合 | 在所有网络边界设备上启用NetFlow收集和日志记录数据。 |
| 12 | 12.9 | 网络 | 检测 | 部署应用程序层筛选代理服务器 | 确保所有进出Internet的网络流量都经过经过身份验证的应用程序层代理,该代理被配置为过滤未经授权的连接。 |
| 12 | 12.10 | 网络 | 检测 | 在代理处解密网络流量 | 在分析内容之前,请在边界代理服务器上解密所有加密的网络流量。但是,组织可以使用允许通过代理访问的站点白名单,而无需解密流量。 |
| 12 | 12.11 | 用户数 | 保护 | 要求所有远程登录以使用多重身份验证 | 要求对组织网络的所有远程登录访问权限,以加密传输中的数据并使用多因素身份验证。 |
| 12 | 12.12 | 设备 | 保护 | 管理所有设备远程登录内部网络 | 在访问网络之前,扫描所有远程登录到组织网络的企业设备,以确保以与本地网络设备相同的方式实施了组织的每个安全策略。 |
| 13 | 数据保护 | ||||
| 用于防止数据泄露,减轻被泄露数据的影响并确保敏感信息的隐私和完整性的过程和工具。 | |||||
| 13 | 13.1 | 数据 | 识别 | 维护敏感信息清单 | 维护由组织的技术系统存储,处理或传输的所有敏感信息的清单,包括位于现场或在远程服务提供商处的那些信息。 |
| 13 | 13.2 | 数据 | 保护 | 删除组织不定期访问的敏感数据或系统 | 从网络中删除组织不定期访问的敏感数据或系统。这些系统仅应由偶尔需要使用系统或完全虚拟化并关闭电源(直到需要)的业务部门用作独立系统(与网络断开连接)。 |
| 13 | 13.3 | 数据 | 检测 | 监视和阻止未经授权的网络流量 | 在网络外围部署自动化工具,以监视敏感信息的未经授权的传输,并在警告信息安全专业人员的同时阻止此类传输。 |
| 13 | 13.4 | 数据 | 保护 | 仅允许访问授权的云存储或电子邮件提供商 | 仅允许访问授权的云存储或电子邮件提供商。 |
| 13 | 13.5 | 数据 | 检测 | 监视和检测任何未经授权的加密使用 | 监视离开组织的所有流量,并检测任何未经授权的加密使用。 |
| 13 | 13.6 | 数据 | 保护 | 加密移动设备数据 | 利用批准的加密机制来保护存储在所有移动设备上的企业数据。 |
| 13 | 13.7 | 数据 | 保护 | 管理USB设备 | 如果需要USB存储设备,则应使用可配置系统以允许使用特定设备的企业软件。应该维护此类设备的清单。 |
| 13 | 13.8 | 数据 | 保护 | 管理系统的外部可移动媒体的读/写配置 | 如果不需要支持此类设备的业务,请将系统配置为不将数据写入外部可移动介质。 |
| 13 | 13.9 | 数据 | 保护 | 加密USB存储设备上的数据 | 如果需要USB存储设备,则在静止时必须对存储在此类设备上的所有数据进行加密。 |
| 14 | 基于需要的受控访问 | ||||
| 根据对哪些人,计算机和应用程序具有访问这些关键资产的需求和权利的正式确定,用于跟踪/控制/预防/纠正对关键资产(例如信息,资源,系统)的安全访问的过程和工具基于批准的分类。 | |||||
| 14 | 14.1 | 网络 | 保护 | 根据灵敏度对网络进行细分 | 根据服务器上存储的信息的标签或分类级别对网络进行分段,将所有敏感信息定位在单独的虚拟局域网(VLAN)上。 |
| 14 | 14.2 | 网络 | 保护 | 在VLAN之间启用防火墙过滤 | 在VLAN之间启用防火墙过滤,以确保只有授权的系统才能与履行其特定职责所需的其他系统通信。 |
| 14 | 14.3 | 网络 | 保护 | 禁用工作站到工作站的通信 | 禁用所有工作站到工作站的通信,以限制攻击者通过私有VLAN或微分段之类的技术横向移动并损害相邻系统的能力。 |
| 14 | 14.4 | 数据 | 保护 | 加密运输中的所有敏感信息 | 对传输中的所有敏感信息进行加密。 |
| 14 | 14.5 | 数据 | 检测 | 利用活动发现工具识别敏感数据 | 利用主动发现工具来识别组织的技术系统存储,处理或传输的所有敏感信息,包括位于现场或远程服务提供商的技术信息,并更新组织的敏感信息清单。 |
| 14 | 14.6 | 数据 | 保护 | 通过访问控制列表保护信息 | 使用文件系统,网络共享,声明,应用程序或数据库特定的访问控制列表,保护存储在系统上的所有信息。这些控制措施将强制执行以下原则:只有授权人员才能根据其访问信息的需要来访问信息,这是他们职责的一部分。 |
| 14 | 14.7 | 数据 | 保护 | 通过自动化工具实施对数据的访问控制 | 使用自动化工具,例如基于主机的Data Loss Prevention,即使在从系统中复制数据时也可以对数据实施访问控制。 |
| 14 | 14.8 | 数据 | 保护 | 加密静态信息 | 使用一种工具加密静态的所有敏感信息,该工具需要未集成到操作系统中的辅助身份验证机制才能访问该信息。 |
| 14 | 14.9 | 数据 | 检测 | 强制执行详细日志记录以访问或更改敏感数据 | 强制执行详细的审核日志记录,以访问敏感数据或更改敏感数据(利用文件完整性监控或安全信息和事件监控之类的工具)。 |
| 15 | 无线访问控制 | ||||
| 用于跟踪/控制/预防/纠正无线局域网(WLAN),接入点和无线客户端系统的安全使用的过程和工具。 | |||||
| 15 | 15.1 | 网络 | 识别 | 维护授权的无线访问点清单 | 维护连接到有线网络的授权无线访问点清单。 |
| 15 | 15.2 | 网络 | 检测 | 检测连接到有线网络的无线访问点 | 配置网络漏洞扫描工具,以检测和警告连接到有线网络的未授权无线访问点。 |
| 15 | 15.3 | 网络 | 检测 | 使用无线入侵检测系统 | 使用无线入侵检测系统(WIDS)来检测和警告连接到网络的未授权无线访问点。 |
| 15 | 15.4 | 设备 | 保护 | 如果不需要,请禁用设备上的无线访问 | 在不具有无线访问目的的设备上禁用无线访问。 |
| 15 | 15.5 | 设备 | 保护 | 限制客户端设备上的无线访问 | 在确实具有基本无线业务目的的客户端计算机上配置无线访问,以仅允许访问授权的无线网络并限制对其他无线网络的访问。 |
| 15 | 15.6 | 设备 | 保护 | 在无线客户端上禁用对等无线网络功能 | 在无线客户端上禁用对等(ad hoc)无线网络功能。 |
| 15 | 15.7 | 网络 | 保护 | 利用高级加密标准(AES)加密无线数据 | 利用高级加密标准(AES)对传输中的无线数据进行加密。 |
| 15 | 15.8 | 网络 | 保护 | 使用需要相互多因素身份验证的无线身份验证协议 | 确保无线网络使用身份验证协议,例如可扩展身份验证协议-传输层安全性(EAP / TLS),该协议要求相互进行多因素身份验证。 |
| 15 | 15.9 | 设备 | 保护 | 禁用设备的无线外围设备访问 | 禁用设备的无线外围设备访问(例如蓝牙和近场通信(NFC)),除非出于商业目的需要进行此类访问。 |
| 15 | 15.10 | 网络 | 保护 | 为个人和不受信任的设备创建单独的无线网络 | 为个人或不受信任的设备创建一个单独的无线网络。从该网络进行的企业访问应视为不可信,并进行相应的过滤和审核。 |
| 16 | 帐户监控 | ||||
| 积极管理系统和应用程序帐户的生命周期-创建,使用,休眠,删除-以最大程度地减少攻击者利用它们的机会。 | |||||
| 16 | 16.1 | 用户数 | 识别 | 维护身份验证系统清单 | 维护每个组织的身份验证系统的清单,包括位于现场或在远程服务提供商处的系统。 |
| 16 | 16.2 | 用户数 | 保护 | 配置集中式身份验证点 | 通过尽可能少的集中式身份验证点为所有帐户配置访问权限,包括网络,安全性和云系统。 |
| 16 | 16.3 | 用户数 | 保护 | 需要多因素身份验证 | 无论是现场管理还是由第三方提供商管理,都需要对所有系统上的所有用户帐户进行多因素身份验证。 |
| 16 | 16.4 | 用户数 | 保护 | 加密或散列所有身份验证凭据 | 存储时,对所有身份验证凭据进行加密或哈希加密。 |
| 16 | 16.5 | 用户数 | 保护 | 加密用户名和身份验证凭据的传输 | 确保所有帐户用户名和身份验证凭据都使用加密通道在网络上传输。 |
| 16 | 16.6 | 用户数 | 识别 | 维护帐户清单 | 维护由身份验证系统组织的所有帐户的清单。 |
| 16 | 16.7 | 用户数 | 保护 | 建立撤销访问权限的过程 | 建立并遵循自动流程,通过在员工或承包商终止或更改职责后立即禁用帐户来撤销系统访问权限。禁用这些帐户,而不是删除帐户,可以保留审核记录。 |
| 16 | 16.8 | 用户数 | 响应 | 禁用任何未关联的帐户 | 禁用任何无法与业务流程或业务所有者相关联的帐户。 |
| 16 | 16.9 | 用户数 | 响应 | 禁用休眠帐户 | 在设定的闲置时间后,自动禁用休眠帐户。 |
| 16 | 16.10 | 用户数 | 保护 | 确保所有帐户都有到期日期 | 确保所有帐户都有受监控和强制执行的到期日期。 |
| 16 | 16.11 | 用户数 | 保护 | 不活动后锁定工作站会话 | 在标准时间不活动后自动锁定工作站会话。 |
| 16 | 16.12 | 用户数 | 检测 | 监视尝试访问已停用帐户的尝试 | 监视通过审核日志记录访问已停用帐户的尝试。 |
| 16 | 16.13 | 用户数 | 检测 | 帐户登录行为偏差警报 | 当用户偏离正常的登录行为(例如时间,工作站位置和持续时间)时发出警报。 |
| 17 | 实施安全意识和培训计划 | ||||
| 对于组织中的所有职能角色(优先考虑对企业及其安全至关重要的任务),请确定支持企业防御所需的特定知识,技能和能力;制定并执行一项综合计划,以评估,发现差距并通过政策,组织计划,培训和意识计划进行补救。 | |||||
| 17 | 17.1 | 不适用 | 不适用 | 进行技能差距分析 | 进行技能差距分析,以了解员工所不遵循的技能和行为,并使用此信息来构建基线教育路线图。 |
| 17 | 17.2 | 不适用 | 不适用 | 提供培训以填补技能差距 | 提供培训以解决所发现的技能差距,从而对员工的安全行为产生积极影响。 |
| 17 | 17.3 | 不适用 | 不适用 | 实施安全意识计划 | 创建一个安全意识计划,以供所有员工定期完成,以确保他们了解并展示必要的行为和技能,以帮助确保组织的安全。组织的安全意识计划应以连续且引人入胜的方式进行沟通。 |
| 17 | 17.4 | 不适用 | 不适用 | 经常更新意识内容 | 确保组织的安全意识计划经常(至少每年)更新一次,以解决新技术,威胁,标准和业务需求。 |
| 17 | 17.5 | 不适用 | 不适用 | 对员工进行安全认证培训 | 培训员工有关启用和利用安全身份验证的重要性。 |
| 17 | 17.6 | 不适用 | 不适用 | 培训员工识别社会工程学攻击 | 培训员工如何识别社交网络攻击的不同形式,例如网络钓鱼,电话诈骗和假冒电话。 |
| 17 | 17.7 | 不适用 | 不适用 | 培训员工敏感数据处理 | 培训员工如何识别和正确存储,传输,存档和销毁敏感信息。 |
| 17 | 17.8 | 不适用 | 不适用 | 培训员工意外数据泄露的原因 | 培训员工以了解意外数据泄露的原因,例如丢失移动设备或由于电子邮件中的自动完成功能而向错误的人发送电子邮件。 |
| 17 | 17.9 | 不适用 | 不适用 | 培训员工识别和报告事件 | 对员工进行培训,使其能够识别出最常见的事件指标并能够报告此类事件。 |
| 18 | 应用软件安全 | ||||
| 管理所有内部开发和获取的软件的安全生命周期,以防止,检测和纠正安全漏洞。 | |||||
| 18 | 18.1 | 不适用 | 不适用 | 建立安全的编码规范 | 建立适合于所用编程语言和开发环境的安全编码实践。 |
| 18 | 18.2 | 不适用 | 不适用 | 确保对所有内部开发的软件执行显式错误检查 | 对于内部开发的软件,请确保对所有输入(包括大小,数据类型以及可接受的范围或格式)执行明确的错误检查并记录在案。 |
| 18 | 18.3 | 不适用 | 不适用 | 验证仍然支持所购软件 | 验证开发人员是否仍支持从组织外部购买的所有软件的版本,或者根据开发人员的安全建议对其进行适当加固。 |
| 18 | 18.4 | 不适用 | 不适用 | 仅使用最新和受信任的第三方组件 | 仅对组织开发的软件使用最新的和受信任的第三方组件。 |
| 18 | 18.5 | 不适用 | 不适用 | 仅使用标准化且经过广泛审查的加密算法 | 仅使用标准化的,当前接受的和经过广泛审查的加密算法。 |
| 18 | 18.6 | 不适用 | 不适用 | 确保对软件开发人员进行安全编码方面的培训 | 确保所有软件开发人员均接受针对其特定开发环境和职责编写安全代码的培训。 |
| 18 | 18.7 | 不适用 | 不适用 | 应用静态和动态代码分析工具 | 应用静态和动态分析工具来验证内部开发的软件是否遵守安全编码惯例。 |
| 18 | 18.8 | 不适用 | 不适用 | 建立接受和解决软件漏洞报告的流程 | 建立一个程序来接受和解决软件漏洞的报告,包括为外部实体提供一种与您的安全组联系的方法。 |
| 18 | 18.9 | 不适用 | 不适用 | 分开的生产和非生产系统 | 为生产和非生产系统维护单独的环境。开发人员不应不受监控地访问生产环境。 |
| 18 | 18.10 | 不适用 | 不适用 | 部署Web应用程序防火墙 | 通过部署Web应用程序防火墙(WAF)来保护Web应用程序,该防火墙会检查流向Web应用程序的所有通信是否受到常见Web应用程序攻击。对于非基于Web的应用程序,如果给定应用程序类型可用这样的工具,则应部署特定的应用程序防火墙。如果流量已加密,则设备应位于加密之后,或者能够在分析之前解密流量。如果两种方法都不适当,则应部署基于主机的Web应用程序防火墙。 |
| 18 | 18.11 | 不适用 | 不适用 | 对数据库使用标准强化配置模板 | 对于依赖数据库的应用程序,请使用标准强化配置模板。属于关键业务流程的所有系统也都应进行测试。 |
| 19 | 事件响应与管理 | ||||
| 通过开发和实施事件响应基础结构(例如计划,定义的角色,培训,沟通,管理监督)来快速发现攻击,然后有效地控制破坏,消除攻击者的存在,从而保护组织的信息及其声誉。 ,并恢复网络和系统的完整性。 | |||||
| 19 | 19.1 | 不适用 | 不适用 | 文件事件响应程序 | 确保有书面的事故响应计划,该计划定义人员的角色以及事故处理/管理的阶段。 |
| 19 | 19.2 | 不适用 | 不适用 | 分配事件响应的职务和职责 | 将处理计算机和网络事件的职称和职责分配给特定人员,并通过解决方案确保在整个事件中进行跟踪和记录。 |
| 19 | 19.3 | 不适用 | 不适用 | 指定管理人员以支持事件处理 | 指定管理人员和备份人员,他们将通过扮演关键的决策角色来支持事件处理流程。 |
| 19 | 19.4 | 不适用 | 不适用 | 制定组织范围内的报告事件标准 | 针对系统管理员和其他工作人员向事件处理团队报告异常事件所需的时间,设计组织范围的标准,这种报告的机制以及事件通知中应包括的信息种类。 |
| 19 | 19.5 | 不适用 | 不适用 | 维护用于报告安全事件的联系信息 | 组装和维护用于报告安全事件的第三方联系信息,例如执法部门,相关政府部门,供应商以及信息共享和分析中心(ISAC)合作伙伴。 |
| 19 | 19.6 | 不适用 | 不适用 | 发布有关报告计算机异常和事件的信息 | 向所有工作人员发布有关报告计算机异常和事件的信息,并发送给事件处理团队。此类信息应包括在常规的员工意识活动中。 |
| 19 | 19.7 | 不适用 | 不适用 | 进行人员定期事件情景会议 | 为参与事件响应的员工计划并执行例行的事件,响应演习和场景,以保持意识和舒适感,以应对现实中的威胁。练习应使用可用的工具和数据来测试沟通渠道,决策制定和事件响应者的技术能力。 |
| 19 | 19.8 | 不适用 | 不适用 | 创建事件评分和优先级架构 | 根据对组织的已知或潜在影响创建事件评分和优先级排序方案。利用分数来定义状态更新和升级程序的频率。 |
| 20 | 渗透测试和红队练习 | ||||
| 通过模拟攻击者的目标和行动,测试组织防御的整体实力(技术,流程和人员)。 | |||||
| 20 | 20.1 | 不适用 | 不适用 | 建立渗透测试程序 | 建立用于渗透测试的程序,其中包括全方位的混合攻击,例如无线,基于客户端的攻击和Web应用程序攻击。 |
| 20 | 20.2 | 不适用 | 不适用 | 进行定期的内部和外部渗透测试 | 进行定期的外部和内部渗透测试,以识别可用于成功利用企业系统的漏洞和攻击媒介。 |
| 20 | 20.3 | 不适用 | 不适用 | 进行定期的红队演习 | 定期进行红队演习,以测试组织是否准备好识别和阻止攻击或快速有效地做出响应。 |
| 20 | 20.4 | 不适用 | 不适用 | 包括存在未受保护的系统信息和伪像的测试 | 包括测试是否存在不受保护的系统信息和对攻击者有用的工件,包括网络图,配置文件,较旧的渗透测试报告,包含密码或其他对系统操作至关重要的信息的电子邮件或文档。 |
| 20 | 20.5 | 不适用 | 不适用 | 为通常不在生产中测试的元素创建测试台 | 创建一个模拟生产环境的测试台,以进行特定的渗透测试,以及Red Team针对生产中通常未测试的元素的攻击,例如针对监督控制和数据采集以及其他控制系统的攻击。 |
| 20 | 20.6 | 不适用 | 不适用 | 在Concert中使用漏洞扫描和渗透测试工具 | 同时使用漏洞扫描和渗透测试工具。漏洞扫描评估的结果应作为指导和集中渗透测试工作的起点。 |
| 20 | 20.7 | 不适用 | 不适用 | 确保使用开放的,机器可读的标准记录渗透测试的结果 | 尽可能确保使用开放的,机器可读的标准(例如,SCAP)记录红队的结果。设计一种确定红队练习结果的评分方法,以便可以随时间比较结果。 |
| 20 | 20.8 | 不适用 | 不适用 | 控制和监视与渗透测试相关的帐户 | 应该对用于执行渗透测试的任何用户或系统帐户进行控制和监视,以确保它们仅用于合法目的,并且在测试结束后将其删除或恢复为正常功能。 |
通知事项
全部清除
2020年7月4日上午9:49
