基本网络安全控制(ECC)是由国家网络安全局(NCA)于2018年制定的基础网络安全控制。ECC已被全国各组织强制执行,设定了网络安全合规的基本标准。
ECC结构分为五大战略领域——网络安全治理、防御、韧性、第三方与云计算以及工业控制系统——进一步细分为29个子域和114项控制措施,提供了保护数字生态系统的全面路线图。
本指南将探讨ManageEngine统一端点管理与安全解决方案Endpoint Central如何帮助您的组织符合ECC的严格要求,帮助您制定统一且强大的网络安全策略。深入了解合规如何转化为韧性。
注意: 沙特阿拉伯王国的所有组织必须遵守基本网络安全控制。其他控制虽然针对特定领域,但应视为基本网络安全控制的扩展。
| 序号 | 基本网络安全控制 | Endpoint Central 的帮助方式 |
| 1- 6 | 信息与技术项目管理中的网络安全 确保网络安全要求被纳入项目管理方法和程序,以保护 信息与技术资产的机密性、完整性和可用性,遵守组织政策 及程序和相关法律法规。 目标控制 1-6-1 项目及资产(信息/技术)中的网络安全要求:必须将网络安全要求纳入项目和资产(信息/技术)变更管理方法和程序中,以识别和管理项目管理生命周期中的网络安全风险。 网络安全要求必须成为技术项目总体需求的关键部分。 变更管理至少应包括以下内容: 1-6-2-1 漏洞评估与修复 1-6-2-2 在技术项目变更或上线前进行配置审查、安全配置、加固和补丁管理。 1-6-3 软件与应用程序开发项目的网络安全要求至少应包括: 1-6-3-1 使用安全编码标准。 1-6-3-2 使用受信任和授权的软件开发工具及库。 1-6-3-3 针对组织定义的网络安全要求进行软件合规性测试。 1-6-3-4 软件组件之间的安全集成。 1-6-3-5 软件产品上线前进行配置审查、安全配置、加固和补丁管理。 1-6-4 项目管理中的网络安全要求须定期审查。 | Endpoint Central 提供强大的漏洞管理功能,通过持续威胁评估和统一控制台实现全面可见性。除识别漏洞外,还通过内置工具高效简化修复流程。 无论管理关键还是非关键的信息系统,Endpoint Central均赋能管理员 基于风险的优先级排序。漏洞可根据CVSS得分、CVE影响类型、补丁可用性等关键因素进行排名。 支持Windows、Linux、macOS及Windows Server操作系统的广泛补丁管理,确保顺畅更新。并具备 Web服务器加固 及解决 安全配置错误 的功能,增强系统防御。 |
| 1-7 | 遵守网络安全标准、法律法规 确保组织的网络安全计划符合相关法律法规要求。 目标控制 1-7-1 组织必须遵守相关的国家网络安全法律法规。 1-7-2 组织必须遵守任何国家批准的与网络安全相关的国际协议和承诺。 | Endpoint Central 有助于遵守SAMA、PDPA及其他国家法律。 |
| 2-1 | 资产管理 确保组织拥有准确详尽的信息与技术资产清单,以支持网络安全和运营需求,维护信息与技术资产的机密性、完整性和可用性。 目标控制 2-1-1 信息与技术资产管理的网络安全要求必须被定义、记录并批准。 2-1-2 信息与技术资产管理的网络安全要求必须得到实施。 2-1-3 信息与技术资产的可接受使用政策必须被定义、记录并批准。 2-1-4 信息与技术资产的可接受使用政策必须得到实施。 2-1-5 信息与技术资产必须按照相关法律法规要求进行分类、标记和处理。 2-1-6 信息与技术资产管理的网络安全要求必须定期审查。 | Endpoint Central 提供强大的 资产管理能力 ,涵盖硬件和软件,提供网络中计算机、设备、安装硬件、软件及存储文件的详细清单。 其MDM功能扩展至移动设备,提供对组织内所有移动设备的全面可见性。 通过先进的 库存报告 功能,Endpoint Central简化审计准备工作,确保符合行业标准。此外,它支持管理员分发使用条款政策,包括安全强制、合规指南和最佳实践。管理员还可透明告知用户设备数据收集及其用途。 身份与访问管理 |
| 2-2 | 目标
| 最小权限原则 ,提供强大的端点权限管理,包括针对应用的权限控制和即时访问。它执行 条件访问策略 ,确保只有授权用户才能访问关键业务系统和敏感数据。 对于IT管理员和安全运营团队,Endpoint Central通过 基于角色的访问控制 (RBAC)和 多因素认证 (MFA)增强控制台安全。 信息系统和信息处理设施保护 |
| 2-3 |
| 下一代防病毒引擎 (当前为早期访问版),通过AI辅助的实时行为检测和深度学习技术主动检测网络威胁。 Endpoint Central支持Windows、Linux、macOS及Windows Server操作系统的全面补丁管理,并可为1000+第三方应用程序、硬件驱动和BIOS提供补丁。 Endpoint Central结合其外设设备管理功能,允许您 阻止/限制外部存储设备 ,并能让管理员 创建受信任设备列表 ,用户的端点仅允许使用该列表中的设备。它可协助实施 文件跟踪 ,尤其是在敏感文件移动至外部设备时进行追踪。您还可以对敏感数据进行 文件影子操作 ,在复制或修改外设中的数据时记录操作。 邮箱保护 |
| 2-4 | 目标 确保组织邮箱服务免受网络风险威胁。 2-4-1 邮箱保护的网络安全要求必须定义、记录并批准。 必须定义、记录并批准保护信息系统和信息处理设施的网络安全要求。 确保信息系统和信息处理设施(包括工作站和基础设施)免受网络风险威胁。 2-4-2 邮箱服务的网络安全要求必须得到实施。 2-4-3 邮箱保护的网络安全要求至少应包括: 2-4-3-1 使用先进且最新的邮箱保护技术分析和过滤邮箱信息(特别是钓鱼邮件和垃圾邮件)。 2-4-3-2 远程和Webmail访问邮箱服务的多因素认证。 2-4-3-3 邮箱归档和备份。 2-4-3-4 安全管理并防御通常利用零日病毒和恶意软件的高级持续威胁(APT)。 2-4-3-5 对组织邮箱服务域的验证(例如使用发件人策略框架(SPF))。 2-4-4 邮箱服务的网络安全要求必须定期审查。 Endpoint Central 的 | 钓鱼防护功能 保护用户免受恶意文件攻击。 Endpoint Central 可协助管理员配置 Exchange 活动同步策略 ,确保Exchange服务器与受管设备之间的安全通信。 Endpoint Central 还提供 专用应用 ,以安全查看附件,并在需要时仅允许批准的应用打开附件。 Endpoint Central 拥有 条件Exchange访问 ,限制非受管设备访问,仅允许MDM批准的BYOD设备访问Exchange服务器。 网络安全管理 |
| 2-5 | 确保组织网络免受网络风险威胁。 确保对信息与技术资产的逻辑访问安全且受限,防止未经授权访问,仅允许授权用户访问以完成指定任务。确保信息系统和信息处理设施(包括工作站和基础设施)免受网络风险威胁。 2-5-1 网络安全管理的网络安全要求必须定义、记录并批准。 2-5-2 网络安全管理的网络安全要求必须实施。 2-5-3 网络安全管理的网络安全要求至少应包括: 通过防火墙和纵深防御原则实现网络段的逻辑或物理隔离和分段。 2-5-3-1 生产、测试和开发环境之间的网络隔离。安全浏览和互联网连接,包括限制文件存储/共享和远程访问网站的使用,并防护可疑网站。 2-5-3-2 2-5-3-3 使用强认证和加密技术保护无线网络。 2-5-3-4 在将任何无线网络连接到组织内部网络前,必须开展全面的风险评估和管理活动以评估并管理网络风险。 2-5-3-5 网络服务、协议和端口的管理与限制。 2-5-3-6 入侵防御系统(IPS)。 确保信息系统和信息处理设施(包括工作站和基础设施)免受网络风险威胁。 2-5-3-7 域名服务(DNS)安全。 对互联网浏览通道的安全管理和防护,防范利用零日病毒和恶意软件的高级持续威胁(APT)。 2-5-3-8 2-5-4 网络安全管理的网络安全要求必须定期审查。 Endpoint Central 的网络中立架构允许我们的管理员在多种场景中管理端点——如测试和开发环境可与生产环境分开。 | Endpoint Central 对管理员配置非常方便 Endpoint Central comes handy for admins to configure 面向终端用户的 Windows 防火墙. SecOps 可以执行 端口审计 并在发生零日漏洞时,大幅减少其攻击面。 Endpoint Central 通过使管理员能够执行广泛的 威胁防护配置,实现安全浏览。 阻止/限制终端用户 下载文件 (可能包含恶意软件)来自恶意网站或访问这些网站。 |
| 2-6 | 移动设备安全确保信息系统和信息处理设施(包括工作站和基础设施)免受网络风险威胁。 确保移动设备(包括笔记本、智能手机、平板电脑)免受网络风险的保护,并确保在使用自带设备政策(BYOD)时组织信息(包括敏感信息)的安全处理。 目标控制 2-6-1 必须定义、记录并批准移动设备安全和 BYOD 的网络安全要求。 2-6-2 必须实施移动设备安全和 BYOD 的网络安全要求。 2-6-3 移动设备安全和 BYOD 的网络安全要求必须至少包括以下内容: 2-6-3-1 分离和加密存储在移动设备和 BYOD 上的组织数据和信息。 2-6-3-2 基于工作职责的受控和受限使用。 2-6-3-3 在设备丢失、被盗或与组织终止/分离时,安全擦除存储在移动设备和 BYOD 上的组织数据和信息。 2-6-3-4 移动设备用户的安全意识。 2-6-4 必须定期审查移动设备安全和 BYOD 的网络安全要求。 | Endpoint Central 的 BYOD 政策确保在终端用户设备上个人和企业数据的分离/容器化。 Endpoint Central 有条件访问 Exchange,限制未管理设备的访问,仅允许 MDM 批准的 BYOD 设备访问 Exchange 服务器。 使用 Endpoint Central,您可以 允许 BYOD 设备访问 Microsoft 365 应用 前提是满足特定的安全条件、操作系统和补丁版本,并且具备密码、DLP 政策及其他要求。 Endpoint Central 帮助管理员执行 远程擦除 以确保设备丢失时企业数据的安全。 Endpoint Central 提供分发 使用条款 政策给用户,这些政策可包含安全要求、合规性和建议。允许管理员通知用户其设备收集的数据及其原因。 |
| 2-7 | 数据和信息保护 确保根据组织政策和程序以及相关法律法规,组织数据和信息的机密性、完整性和可用性。 目标控制 2-7-1 必须根据相关法律法规定义、记录和批准保护和处理数据和信息的网络安全要求。 2-7-2 必须实施保护和处理数据和信息的网络安全要求。 2-7-3 保护和处理数据和信息的网络安全要求必须至少包括以下内容: 2-7-3-1 数据和信息所有权。 2-7-3-2 数据和信息分类与标记机制。 2-7-3-3 数据和信息隐私。 2-7-4 必须定期审查保护和处理数据和信息的网络安全要求。 | Endpoint Central 提供 高级数据泄露防护 功能,可检测和分类个人身份信息(PII)。它允许管理员配置通过云服务和外围设备的数据传输策略,全面控制 IT 环境内的数据流。 通过其 BYOD 政策,Endpoint Central 确保终端用户设备上个人和企业数据的明确分离,维护隐私和安全。 |
| 2-8 | 密码学 确保根据组织政策和程序以及相关法律法规,正确高效地使用密码学保护信息资产。 目标控制 2-8-1 必须定义、记录和批准密码学的网络安全要求。 2-8-2 必须实施密码学的网络安全要求。 2-8-3 密码学的网络安全要求必须至少包括以下内容: 2-8-3-1 经批准的密码解决方案标准及其技术和法规限制。 2-8-3-2 在密码密钥生命周期内的安全管理。 2-8-3-3 根据分类及相关法律法规,对传输中和静态数据的加密。 2-8-4 必须定期审查密码学的网络安全要求。 | Endpoint Central 使用 符合 FIPS 140-2 的算法。用户可以启用 FIPS 模式,在高度安全的环境中运行其 IT。 Endpoint Central 可以帮助管理员使用其 Bitlocker 管理 对终端用户的 Windows 设备加密 ,对 Mac 设备进行 |
| 2-10 | FileVault 加密。 确保对信息与技术资产的逻辑访问安全且受限,防止未经授权访问,仅允许授权用户访问以完成指定任务。 漏洞管理 2-2-1 身份与访问管理的网络安全要求必须被定义、记录并批准。 确保及时检测和有效修复技术漏洞,以防止或最大限度减少利用这些漏洞对组织发起网络攻击的可能性。 2-10-1 必须定义、记录和批准技术漏洞管理的网络安全要求。 2-10-2 必须实施技术漏洞管理的网络安全要求。 2-10-3 技术漏洞管理的网络安全要求必须至少包括以下内容: 2-10-3-1 定期漏洞评估。 2-10-3-2 基于严重性等级的漏洞分类。 2-10-3-3 基于分类和相关风险级别的漏洞修复。 2-10-3-4 安全补丁管理。 2-10-3-5 订阅授权和可信的网络安全资源,以获取最新技术漏洞信息和通知。 | 2-10-4 必须定期审查技术漏洞管理的网络安全要求。 Endpoint Central 提供全面的漏洞管理,包括持续评估和从单一控制台监控威胁。除漏洞评估外,还提供对检测漏洞的内置修复。对于关键和非关键信息系统,Endpoint Central 提供 基于风险的漏洞管理 ,以便管理员根据 CVSS 分数、CVE 影响类型、补丁可用性等指标优先处理漏洞。 Endpoint Central 提供统一控制台供 ITops 和 SecOps 管理和保护终端设备。Endpoint Central 具备基于角色的访问控制,可将 IT 的安全功能分配给独立安全专家。Endpoint Central 提供全面的补丁支持,涵盖 Windows、Linux 和 macOS 以及 Windows Server 操作系统。它还可补丁 1000 多个第三方应用程序、硬件驱动程序和 BIOS。Endpoint Central 还 集成 |
| 2-12 | 其他漏洞评估解决方案,如 Tenable。 确保对信息与技术资产的逻辑访问安全且受限,防止未经授权访问,仅允许授权用户访问以完成指定任务。 网络安全事件日志和监控管理 必须定义、记录并批准保护信息系统和信息处理设施的网络安全要求。 确保及时收集、分析和监控网络安全事件,早期发现潜在的网络攻击,以防止或最大限度减少对组织运营的负面影响。 2-12-1 必须定义、记录和批准事件日志和监控管理的网络安全要求。 2-12-2 必须实施事件日志和监控管理的网络安全要求。 2-12-3 事件日志和监控管理的网络安全要求必须至少包括以下内容: 2-12-3-1 对关键信息资产启用网络安全事件日志。 2-12-3-2 对远程访问和特权用户账户启用网络安全事件日志。 2-12-3-3 确定网络安全事件日志收集所需技术(如 SIEM)。 2-12-3-4 持续监控网络安全事件。 2-12-3-5 网络安全事件日志的保留期限(必须至少 12 个月)。 | 下一代防病毒引擎 (当前为早期访问版),通过AI辅助的实时行为检测和深度学习技术主动检测网络威胁。 Endpoint Central支持Windows、Linux、macOS及Windows Server操作系统的全面补丁管理,并可为1000+第三方应用程序、硬件驱动和BIOS提供补丁。 2-12-4 必须定期审查事件日志和监控管理的网络安全要求。 除了实时威胁检测外,Endpoint Central 还主动执行事件取证,帮助 SecOps 分析威胁的根本原因和严重程度。 请参阅 Eventlog Analyzer - |
| 2-13 | ManageEngine 的日志分析工具 确保组织邮箱服务免受网络风险威胁。 网络安全事件和威胁管理 2-2-1 身份与访问管理的网络安全要求必须被定义、记录并批准。 确保及时识别、检测、有效管理和处理网络安全事件和威胁,以防止或最大限度减少对组织运营的负面影响,考虑到 37140 号皇家法令,日期为 1438H 年 8 月 14 日。 2-13-1 网络安全事件和威胁管理的要求必须定义、记录和批准。2-13-1 2-13-2 必须实施网络安全事件和威胁管理的要求。 2-13-3 网络安全事件和威胁管理的要求必须至少包括以下内容: 2-13-3-1 网络安全事件响应计划和升级程序。 2-13-3-2 网络安全事件分类。 2-13-3-3 向 NCA 报告网络安全事件。 2-13-3-4 与 NCA 共享事件通知、威胁情报、漏洞指示器和报告。 2-13-3-5 收集和处理威胁情报源。 | 下一代防病毒引擎 (当前为早期访问版),通过AI辅助的实时行为检测和深度学习技术主动检测网络威胁。 2-13-4 必须定期审查网络安全事件和威胁管理的要求 2-12-4 必须定期审查事件日志和监控管理的网络安全要求。 |
确保信息系统和信息处理设施(包括工作站和基础设施)免受网络风险威胁。
确保信息系统和信息处理设施(包括工作站和基础设施)免受网络风险威胁。
确保信息系统和信息处理设施(包括工作站和基础设施)免受网络风险威胁。
