在当今快速发展的威胁环境中,保护您的关键系统是不可谈判的。这就是由沙特阿拉伯国家网络安全局(NCA)开发的关键系统网络安全控制(CSCC)发挥作用的地方。该控制旨在帮助组织加强其关键系统并提升其网络弹性。
理解 NCA 定义的关键系统:
“任何系统或网络,其故障、操作的未经授权更改、对其本身或存储或处理的数据的未经授权访问,可能导致组织业务和服务的可用性负面影响,或对国家层面造成负面的经济、财务、安全或社会影响。”
NCA 关键系统识别标准:
1. 对国家安全的负面影响。
2. 对王国声誉和公众形象的负面影响。
3. 重大经济损失(即超过 GDP 的 0.01%)。
4. 对大量用户提供的服务的负面影响(即超过 5% 的人口)。
5. 生命损失。
6. 未经授权泄露被分类为绝密或机密的数据。
7. 对一个(或多个)重要部门运营的负面影响。
关键系统网络安全控制概述:
在以下各节中,我们将探讨 ManageEngine 的综合统一端点管理和安全解决方案 Endpoint Central 如何帮助您制定符合关键系统网络安全控制的统一网络安全策略。
| 序号 | 关键系统网络安全控制 | Endpoint Central 的帮助方式 |
| 2-1 | 资产管理 确保组织拥有准确且详细的信息技术资产清单,以支持组织的网络安全和运营需求,维护信息技术资产的机密性、完整性和可用性。 2-1-1 除了 ECC 子域 2-1 中的控制外,信息技术资产管理的网络安全要求至少包括以下内容: 2-1-1-1 保持关键系统资产的年度更新清单。 2-1-1-2 确定资产所有者并使其参与关键系统资产管理生命周期。 | Endpoint Central 拥有 综合的硬件和软件资产管理能力, 可列出网络中存储的关键计算机、硬件、软件和文件。 |
| 2-2 | 身份与访问管理 确保对信息技术资产的逻辑访问安全且受限,以防止未经授权的访问,并仅允许完成分配任务所需的授权访问。 2-2-1 除了 ECC 控制 2-2-3 中的子控制外,关键系统身份与访问管理的网络安全要求至少包括以下内容: 2-2-1-1 禁止来自沙特阿拉伯王国外的远程访问。 2-2-1-2 限制来自沙特阿拉伯王国内的远程访问,并由组织的安全运营中心验证每次访问尝试,持续监控与远程访问相关的活动。 2-2-1-3 所有用户必须使用多因素认证。 2-2-1-4 特权用户和用于管理关键系统的系统必须使用多因素认证,详见控制内容。 2-2-1-5 制定并实施高标准且安全的密码策略。 2-2-1-6 使用安全的方法和算法存储和处理密码,例如:哈希函数。 2-2-1-7 安全管理应用程序和系统的服务账户,禁止这些账户进行交互式登录。 2-2-1-8 除数据库管理员外,禁止所有用户直接访问和操作数据库。用户对数据库的访问和操作必须通过应用程序进行,同时考虑实施安全方案以限制或禁止数据库管理员查看机密数据。 2-2-2 参考 ECC 子控制 2-2-3-5,关键系统用户身份和访问权限必须至少每三个月审查一次。 |
|
| 2-3 | 信息系统和信息处理设施保护 确保信息系统和信息处理设施(包括工作站和基础设施)免受网络风险的保护。 除了 ECC 控制 2-3-3 中的子控制外,保护关键系统和信息处理设施的网络安全要求至少包括以下内容: 2-3-1-1 对托管关键系统的服务器允许执行的应用和软件操作文件进行白名单管理。 2-3-1-2 使用组织批准的端点保护解决方案保护关键系统托管服务器。 2-3-1-3 对外部和互联网连接的关键系统每月至少应用一次安全补丁和更新,内部关键系统每季度至少应用一次,符合组织批准的变更管理机制。 2-3-1-4 为高权限账户分配隔离网络(管理网络)中的特定工作站,该网络与其他网络或服务(如电子邮件服务或互联网)隔离。 2-3-1-5 使用安全加密算法和协议加密所有关键系统技术组件的非控制台管理访问的网络流量。 2-3-1-6 至少每六个月审查关键系统配置并进行加固。 2-3-1-7 审查并更改默认配置,确保删除硬编码、后门及/或默认密码(如适用)。 2-3-1-8 保护系统日志和关键文件,防止未经授权访问、篡改、非法修改及/或删除。 | Endpoint Central 的应用控制模块允许管理员 允许白名单/黑名单软件应用 在关键端点上进行管理。 Endpoint Central 帮助您的组织遵守 75+ CIS 基准 确保托管关键应用的服务器安全。 Endpoint Central 还帮助管理员 加固 Web 服务器 ,提供 零日漏洞 和 安全配置错误的修复。 Endpoint Central 提供对 Windows、Linux 和 macOS 及 Windows Server 操作系统的全面补丁支持,还可为 1,000+ 第三方应用程序、硬件驱动和 BIOS 提供补丁。 Endpoint Central 的网络中立架构使管理员即使在关键端点与互联网隔离的情况下也能进行管理。 |
| 2-4 | 网络安全管理 确保组织网络免受网络风险的保护。 除了 ECC 控制 2-5-3 中的子控制外,关键系统网络安全管理的网络安全要求至少包括以下内容: 2-4-1-1 逻辑和/或物理隔离关键系统网络。 2-4-1-2 至少每六个月审查一次防火墙规则和访问列表。 2-4-1-3 除非经过扫描确认网络设备具备符合关键系统可接受安全级别的安全控制,否则禁止本地网络设备直接连接关键系统。 2-4-1-4 禁止关键系统连接无线网络。 2-4-1-5 在网络层面防护针对高级持续性威胁(APT)。 2-4-1-6 禁止为提供内部服务且无强烈外部访问需求的关键系统连接互联网。 2-4-1-7 为有限数量组织(非个人)提供服务的关键系统,应使用与互联网隔离的网络。 2-4-1-8 保护关键系统免受分布式拒绝服务(DDoS)攻击,限制因这些攻击而产生的风险。 2-4-1-9 关键系统防火墙访问列表仅允许白名单策略。 | Endpoint Central 的 自定义组功能 允许管理员逻辑隔离关键系统,便于有效管理和安全防护。 Endpoint Central 便于管理员为关键系统配置 Windows 防火墙。 限制设备连接公共 Wi-Fi,或者管理员可确保关键设备通过证书连接其组织的 WiFi。 Endpoint Central 还允许管理员 创建 Wi-Fi 配置文件 以管理关键端点。 移动设备安全 Endpoint Central 的网络中立架构使管理员即使在关键端点与互联网隔离的情况下也能进行管理。 |
| 2-5 | 确保移动设备(包括笔记本、智能手机、平板)免受网络风险,并确保在执行自带设备(BYOD)政策时安全处理组织信息(包括敏感信息)。 除了 ECC 控制 2-6-3 的子控制外,组织中移动设备安全和 BYOD 的网络安全要求至少包括以下内容: 2-5-1-1 除经过风险评估并获得组织网络安全职能必要批准的临时期间外,禁止移动设备访问关键系统。 2-5-1-2 对访问关键系统的移动设备实施整盘加密。 条件访问策略 | Endpoint Central 拥有 验证授权用户访问业务关键系统和数据。 条件 Exchange 访问 Endpoint Central 拥有 限制未管理设备访问,仅允许经过 MDM 批准的 BYOD 设备访问 Exchange 服务器。Endpoint Central 可启用 Mac 设备的 FileVault 加密 通过其 MDM 功能。 数据和信息保护 |
| 2-6 | 确保组织数据和信息的机密性、完整性和可用性,符合组织政策、程序及相关法律法规。 除 ECC 控制 2-7-3 的子控制外,保护和处理数据及信息的网络安全要求至少包括以下内容: 2-6-1-1 除在生产环境中外,禁止在任何其他环境中使用关键系统数据,除非采取严格控制措施保护数据,如:数据掩码或数据混淆技术。 2-6-1-2 对关键系统内的所有数据进行分类。 2-6-1-3 利用数据泄露防护技术保护关键系统的分类数据。 2-6-1-4 根据相关法规确定关键系统相关数据的保留期限。 2-6-1-5 在关键系统生产环境中仅保留必要数据。 2-6-1-6 禁止将关键系统数据从生产环境转移至任何其他环境。 Endpoint Central 提供 |
|
| 2-7 | 确保根据组织政策、程序及相关法律法规,正确且高效地使用密码学保护信息资产。 除 ECC 控制 2-8-3 中的子控制外,密码学网络安全要求至少包括以下内容: 2-7-1-1 加密所有关键系统的数据传输。 2-7-1-2 对所有关键系统的静态数据(文件、数据库或数据库中特定列)进行加密。 2-7-1-3 按 NCA 发布的规定,使用安全且最新的方法、算法、密钥和设备。 Endpoint Central 赋能管理员通过开启 Windows 系统的 BitLocker 加密和 Mac 设备的 FileVault 加密,为终端用户设备提供强有力的数据保护。 | 支持 FIPS 140-2 合规算法,Endpoint Central 允许用户启用 FIPS 模式 ,为 IT 运营提供高度安全的环境。漏洞管理 |
| 2-9 | 确保及时发现和有效修复技术漏洞,防止或减少利用这些漏洞对组织发起网络攻击的可能性。 除 ECC 控制 2-10-3 的子控制外,关键系统技术漏洞管理的网络安全要求至少包括以下内容: 2-9-1-1 使用可信的方法和工具进行漏洞评估。 2-9-1-2 至少每月对外部及互联网连接的关键系统技术组件进行漏洞评估和修复(安装安全更新和补丁),内部关键系统每季度至少进行一次。 2-9-1-3 对关键漏洞应立即修复,符合组织批准的变更管理流程。参考 ECC 子控制 2-10-3-1,关键系统技术组件必须每月至少进行一次漏洞评估。 Endpoint Central 提供全面的漏洞管理,包括持续评估和单一控制台威胁可视化。除漏洞评估外,还提供内置漏洞修复功能。 | 对于关键和非关键信息系统,Endpoint Central 提供 基于风险的漏洞管理 ,使管理员能根据 CVSS 分数、CVE 影响类型、补丁可用性等指标优先处理漏洞。 网络安全事件日志和监控管理 |
| 2-11 | 确保及时收集、分析和监控网络安全事件,及早发现潜在网络攻击,防止或减少对组织运营的负面影响。 2-11-1 除 ECC 控制 2-12-3 中的子控制外,关键系统事件日志和监控管理的网络安全要求至少包括以下内容: 在所有关键系统技术组件上启用网络安全事件日志。 2-11-1-1 启用并监控与文件完整性管理相关的警报及事件日志。 2-11-1-2 监控和分析用户行为。 2-11-1-3 全天候监控关键系统安全事件。 2-11-1-4 维护并保护关键系统安全事件日志。 2-11-1-4 Maintaining and protecting critical systems security events logs. 2-11-1-5 日志应包含所有详细信息(例如,时间、日期、ID 及受影响的系统)。 参考 ECC 子控制 2-12-3-5,网络安全关键系统事件日志的保留期限必须至少为 18 个月,符合相关立法和监管要求。 |
|
| 2-12 | Web 应用安全 为确保面向互联网的 Web 应用安全免受网络风险,除了 ECC 控制 2-15-3 中的子控制外,组织关键系统的外部 Web 应用的网络安全要求必须至少包括以下内容: 2-12-1-1 安全会话管理,包括会话真实性、会话锁定和会话超时。2-12-1-2 应用 Open Web Application Security Project (OWASP) 十大漏洞的最低标准。 参考 ECC 子控制 2-15-3-2,必须使用至少三层的多层架构原则。 |
|
| 2-13 | 应用安全 确保关键系统内部应用免受网络风险的保护。 2-13-1 必须实施关键系统内部应用的网络安全要求。 2-13-2 关键系统内部应用的网络安全要求必须至少包括以下内容: 2-13-3-1 采用多层架构原则,且层数不得少于三层。 2-13-3-2 使用安全协议(例如 HTTPS)。 2-13-3-3 制定用户可接受使用政策。 2-13-3-4 安全会话管理,包括会话真实性、会话锁定和会话超时。关键系统内部应用的网络安全要求必须定期审查。 |
|
