英国网络基础认证是一项旨在帮助组织抵御网络威胁的网络安全认证计划。该认证由英国政府国家网络安全中心 (NCSC) 支持。 该认证基于五项关键技术控制,由官方认证合作伙伴 IASME 监督自我评估认证过程。
作为认证流程的一部分,组织必须完成 自我评估问卷,该问卷需由董事会成员或组织内具备资质的权威人员审核并签署。签署后,评估必须提交给 IASME 许可的认证机构 进行审核和认证。认证有效期为12个月,需每年续期以确保持续符合要求。
ManageEngine:以网络基础认证为榜样引领行业
我们自豪地宣布 ManageEngine 获得了 网络基础认证 和 网络基础Plus认证。这些认证体现了我们坚持一致的网络安全标准,展现了我们致力于强大安全实践并以身作则的承诺。
英国网络基础认证的优势:
根据 IASME,获得网络基础认证的关键好处包括:
- 展示网络安全承诺:向客户、合作伙伴和利益相关者证明网络安全是贵组织的首要任务。
- 抢占网络风险先机:定期评估确保您的系统符合公认的网络安全框架,帮助主动应对新的和新兴的威胁。
Endpoint Central 助您获取英国网络基础认证的三大理由:
安全配置 – 保障防护
Endpoint Central 通过强有力的安全措施帮助您的组织保持良好的网络卫生。从数据加密、防止未经授权的权限提升、阻止数据泄露,到 USB 访问管理,Endpoint Central 确保您的系统保持安全、合规,并能抵御不断演变的网络威胁。
跨设备无缝更新
通过 Endpoint Central 的全面修补管理,领先漏洞防护。它支持 Windows、Mac 和 Linux 设备的更新,以及 1000 多款第三方应用程序。除了传统终端,还简化了移动设备的更新——涵盖 Apple、Android 及商店和内部应用——确保每台设备保持安全和最新。
Endpoint Central 提供全面的 IT 可视化
利用 Endpoint Central 的先进资产管理工具,全面掌握您的 IT 基础设施。主动监控、管理和保护资产,同时利用强大的反恶意软件功能。具备一键数据恢复和终端隔离等功能,Endpoint Central 最小化业务中断,保持运营顺畅和弹性。
两种等级的网络基础认证
组织可选择最符合其网络安全需求和保证要求的认证等级。
网络基础认证: 基于自我评估和对五项关键技术控制的验证的基础级认证。
网络基础Plus认证: 包括对 IT 系统的实地技术审计,以验证所需控制的正确实施。
最新版本的《网络基础认证:IT基础设施要求》(v3.1) 强调了 资产管理的重要性 在有效实施五项关键技术控制中的作用,尽管该项 并未正式列为其中之一。借鉴 NCSC 关于资产管理的指导,我们概述了 Endpoint Central 如何独特地支持您的组织实现高效、全面的资产管理。点击 这里 了解更多
同样,最新版本的《网络基础认证:IT基础设施要求》(v3.1) 将自带设备 (BYOD) 纳入范围。这意味着寻求英国网络基础认证的组织 必须确保 BYOD 设备得到有效管理和保护 ,符合框架要求。参考 NCSC 关于 BYOD 管理的指导,Endpoint Central 能助您的组织建立稳健的 BYOD 安全与合规控制。点击这里 了解更多。
下表详细展示了 Endpoint Central 如何战略性地帮助您的组织有效实施并在五项关键技术控制中表现出色。
控制项 | 描述 (取自 《网络基础认证:IT 基础设施要求》v3.1)) | Endpoint Central 的助力 |
防火墙 | 要求
必须为范围内的每台设备配置正确的防火墙(或具备防火墙功能的网络设备)。
信息:大多数桌面和笔记本操作系统预装了软件防火墙;建议开启这些防火墙,而非第三方防火墙应用。
对所有防火墙(或具备防火墙功能的网络设备),您的组织必须: - 将默认管理员密码更改为强且唯一密码(参见基于密码的认证)— 或完全禁用远程管理访问
防止互联网访问防火墙管理界面,除非存在明确且书面记录的业务需求,且该界面应受以下控制之一保护:
i) 多因素认证
ii) 对访问 IP 进行允许列表限制,仅限小范围信任地址,并结合适当管理的密码认证方法 默认阻止未经验证的入站连接 确保所有入站防火墙规则由授权人员批准并有文档记录,文档中应注明业务需求 当不再需要时,应迅速移除或禁用不必要的防火墙规则
必须在不受信任网络(如公共 Wi-Fi 热点)使用的设备上启用软件防火墙
| Endpoint Central 为管理员提供 配置 Windows 防火墙 的便捷工具,适用于终端用户。 |
安全配置 | 要求
计算机和网络设备
您的组织必须主动管理计算机和网络设备,并定期: 删除和禁用不必要的用户账户(如访客账户和未使用的管理员账户) 更改任何默认或易猜测的账户密码(参见基于密码的认证) 卸载或禁用不必要的软件(包括应用程序、系统工具和网络服务) 禁用任何允许文件自动执行的自动运行功能(例如文件下载时自动执行) 确保用户经过身份验证后才能访问组织数据或服务 确保对物理在场的用户实施适当的设备锁定控制
设备解锁凭证
如果访问设备服务(如登录笔记本或解锁手机)需要用户物理存在,则必须在用户获得访问权限前设置生物识别、密码或 PIN 等凭证。
选择的身份验证方法(生物识别、密码或 PIN)必须防护暴力破解攻击。若支持配置,应采用以下措施之一: 必须使用技术控制管理凭证质量。如果凭证仅用于设备解锁,密码或 PIN 长度至少为 6 个字符;如果凭证同时用于认证,必须符合“用户访问控制”中描述的完整密码要求。 | 使用 Endpoint Central 撤销非必要用户的管理员权限 并执行 最小权限原则。
管理员可以 禁止用户 安装不必要的软件,并可创建允许/ 阻止 在其 IT 环境中使用的软件列表。
Endpoint Central 还可 阻止可执行文件 功能,防止文件自动执行。Endpoint Central 还允许管理员控制 其他应用产生的子进程。为保证安全访问企业应用,Endpoint Central 利用企业级单点登录 (SSO) 通过 Kerberos 协议。Endpoint Central 还利用基于证书的认证,使用 SCEP。 Endpoint Central 允许管理员为运行 Android、Apple 和 Windows 系统的移动设备设置
密码策略, 确保终端用户为设备设置强密码。该策略允许管理员配置最大失败密码尝试次数、最长空闲时间自动锁定等多项设置。 安全更新管理 |
您必须确保所有范围内的软件保持最新状态。所有范围内的设备软件必须: | 要求
获得许可和支持 当软件不再受支持或被剔除出范围时,使用定义的子集阻断所有互联网流量,确保其从设备中移除 尽可能启用自动更新 在发布更新后的 14 天内完成更新,包括应用任何使更新有效所需的手动配置 更新条件包括:* i) 更新修复了供应商定义为“关键”或“高风险”的漏洞
ii) 更新修复的漏洞 CVSS v3 基线分数为 7 或以上
iii) 供应商未提供漏洞严重级别细节的更新
请注意:
为最佳安全效果,我们强烈建议(但非强制)所有已发布更新在发布后 14 天内安装。 及时更新极为重要。14 天被视为实施此要求的合理时间,超过此时可能构成严重安全风险,过短可能不切实际。
*信息:
若供应商使用不同术语描述漏洞严重程度,请参见通用漏洞评分系统 (CVSS) 的精确定义。就网络基础认证方案而言,“关键”或“高风险”漏洞指 CVSS 3.0 评分 7 及以上,或被供应商标识为“关键”或“高风险”。 警告: 一些供应商会将多种不同严重级别的问题作为一个安全更新发布。若其中包含任何“关键”或“高风险”问题,则必须在 14 天内安装。 Endpoint Central 提供全面的漏洞管理,持续评估并从单一控制台显示威胁。除了漏洞评估外,还内置漏洞修复。Endpoint Central 实现 | 基于风险的漏洞管理, 帮助管理员基于 CVSS 分数、CVE 影响类型、补丁可用性等指标优先处理漏洞。Endpoint Central 提供集成控制台供 IT 运维和安全运维共同管理和保护终端。支持基于角色的访问控制,允许安全职能分配给独立安全专家。 Endpoint Central 配备漏洞年龄矩阵和
漏洞严重性汇总, 提供有关补丁实施影响的深入洞察。此外,还提供关于易受攻击系统和缺失补丁的详尽报告。Endpoint Central 支持补丁测试与批准,管理员可先在小范围电脑中测试补丁,后推送到整个组织。支持 Windows、Linux、macOS 和 Windows Server OS 的全面补丁管理,并支持 1000 多款第三方应用、硬件驱动及 BIOS。Endpoint Central 补丁服务级别协议:第三方更新支持在供应商发布后 6-9 小时内完成。 |
您的组织必须控制用户账户及其访问组织数据和服务的权限。需注意这也包括第三方账户——例如支持服务使用的账户。 | 要求
您还需了解用户账户的认证方式并相应管理认证。
这意味着您的组织必须:
设立用户账户创建及审批流程 在授予访问应用或设备权限前,使用唯一凭证认证用户(参见基于密码的认证) 当账户不再需要时(如用户离职或账户长时间不活跃)移除或禁用账户 在可用时实施多因素认证(MFA)——访问云服务必须始终使用 MFA 使用专用账户执行管理活动(禁止用管理账户进行邮件收发、网页浏览等标准用户行为,以避免不必要的风险) 当特殊访问权限不再需要时撤销或禁用(例如员工调岗后) 基于密码的认证
所有用户账户必须认证用户。使用密码认证时,应采取以下保护措施:
防止暴力破解密码猜测,至少采取以下一项措施:
多因素认证(见下文)
限速尝试次数,用户失败次数越多,需等待的试图间隔时间越长——5 分钟内不超过 10 次尝试
账户在不超过 10 次失败尝试后锁定 使用技术控制管理密码质量,这至少应包括以下一项: between attempts increases with each unsuccessful attempt – you shouldn’t allow more than 10 guesses in 5 minutes Locking accounts after no more than 10 unsuccessful attempts
Use technical controls to manage the quality of passwords. This will include one of the
following: 使用多因素认证(见下文) 密码最短长度为至少12个字符,无最大长度限制 密码最短长度为至少8个字符,无最大长度限制 限制并使用拒绝列表自动阻止常用密码。
支持用户为其工作账户选择唯一密码,方法包括: 教育用户避免使用常见密码,如宠物名、常见键盘组合或他们在其他地方使用过的密码。这可以包括教导用户使用某些密码管理器内置的密码生成器功能。 通过推广使用多个单词(至少三个)来创建密码,鼓励用户选择更长的密码(如NCSC关于使用三个随机单词的指导)。 提供可用的安全密码存储(例如密码管理器或安全的锁柜),并清楚说明其使用方式和时间。 不强制定期更改密码 不强制密码复杂性要求
您还应确保建立一个流程,以便在
知晓或怀疑密码或账户被泄露时,及时更改密码。
多因素认证(MFA)
除了为未受其他技术控制保护的密码提供额外安全层外,您还应始终使用多因素认证,为管理账户和可从互联网访问的账户提供额外安全保障。
多因素认证中密码部分的密码长度必须至少为8个字符,无最大长度限制。
需要考虑的四种附加因素类型: 托管/企业设备 受信设备上的应用程序 物理独立令牌 已知或受信账户
应选择既可用又易于访问的附加因素。您可能需要进行用户测试以确定最适合用户的方案。更多信息请参见NCSC关于MFA的指导。
| 使用 Endpoint Central 并使用 Endpoint Central 实施最小权限原则。
密码策略, 确保终端用户为设备设置强密码。该策略允许管理员配置最大失败密码尝试次数、最长空闲时间自动锁定等多项设置。 安全更新管理
Zoho 提供 Zoho OneAuth 以满足多因素认证需求。
Zoho 还提供 Zoho Vault - 企业密码管理器。 |
恶意软件防护 | 要求
您必须确保所有相关设备上激活恶意软件防护机制。对于每台设备,必须至少使用以下选项之一。大多数现代产品已将这些选项整合到软件中,您也可以购买第三方产品。所有软件必须保持激活状态,按供应商指示及时更新,并配置如下:
反恶意软件软件(适用于运行 Windows 或 MacOS 的包括服务器、桌面计算机和笔记本电脑的设备选项)
使用反恶意软件软件保护设备时,必须配置为: 按供应商建议进行更新 防止恶意软件运行 防止执行恶意代码 防止连接到恶意网站
应用程序白名单(适用于所有相关设备的选项)
仅允许经代码签名批准的应用程序在设备上执行。您必须: | Endpoint Central 内置 下一代防病毒引擎 (现以抢先体验形式提供),通过其 AI 辅助的实时行为检测和深度学习技术,主动检测诸如恶意软件的网络威胁。 除了实时恶意软件检测外,Endpoint Central 还主动执行事件取证,供安全运营分析威胁的根本原因和严重性。如果下一代防病毒引擎在端点检测到可疑行为/恶意软件,可将该端点隔离,经彻底取证分析后,方可恢复投入生产。
Endpoint Central 还提供 网络文件的即时不可擦除备份 每三小时通过利用 Microsoft 的卷影复制服务完成。如果文件感染勒索软件,可用文件的最新备份进行恢复。Endpoint Central 的应用控制模块允许管理员 允许列/阻止列 软件应用 |
推荐阅读/链接:
使用 Endpoint Central 轻松实现 ISO 合规
满足 PCI DSS 要求已不再是金融机构的难题。
合规实践:使用 Endpoint Central 的成功案例