以下文档详细说明了 Endpoint Central 如何帮助企业实现 NIST 800-53 合规性的某些要求。
NIST 特别出版物 800-53 为所有联邦信息系统和机构建立了基础的安全和隐私控制。对于政府实体以及寻求 FedRAMP 授权的云服务提供商,实施这些严格标准是保护组织运营和资产的强制性要求。
Endpoint Central 为组织提供满足这些严格基线所需的全面端点管理和安全功能。以下文档详细说明了 Endpoint Central 的功能如何帮助您满足关键的 NIST 800-53 控制类别,包括配置管理 (CM)、访问控制 (AC)、系统和信息完整性 (SI) 以及审计和责任制 (AU) 等。
| 序号 | 要求描述 | Endpoint Central 如何满足? |
|---|---|---|
| 访问控制 | ||
| AC-2 | 定义并记录系统中允许和明确禁止使用的账户类型;分配账户管理员;要求 [组织定义的先决条件和标准] 以加入组和角色;指定系统的授权用户、组和角色成员及访问授权(即权限)及每个账户的 [组织定义的属性];要求 [组织定义的人员或角色] 批准账户创建请求;根据 [组织定义的策略、程序、先决条件和标准] 创建、启用、修改、禁用及移除账户;监控账户使用;在账户不再需要、用户被终止或调岗,以及个人系统使用权限或知情需求发生变化时,在 [组织定义的时间段] 内通知账户管理员及 [组织定义的人员或角色];基于有效的访问授权、预期系统使用及组织或相关使命和业务功能要求的其他属性授权系统访问。 | 本地和目录用户管理让管理员能够创建、修改和移除具有范围角色和策略执行的账户。 |
| AC-3 | 根据适用的访问控制策略,强制执行对信息和系统资源逻辑访问的批准授权。 | 控制台操作的基于角色访问控制(谁可以部署补丁/软件/脚本,启动远程控制,管理策略);特权操作的审计日志。 |
| AC-5 | 识别并记录 [组织定义的需要职责分离的个人职责];定义系统访问授权以支持职责分离。 | 系统提供预定义的不重叠角色,如管理员、技术员、审计员、IT资产管理员和补丁管理员。例如,分配某人“审计员”角色明确限制其仅能查看软件库存和合规报告的只读视图;无权部署软件或修改配置。同样,“IT资产管理员”仅限于硬件/软件生命周期跟踪,完全与漏洞修复工作流程分离。 |
| AC-6 | 采用最小权限原则,只允许用户(或代表用户的进程)进行完成分配任务所必需的授权访问。 | 通过细粒度角色权限和限制部署及远程操作的范围/目标实现最小权限执行。 |
| AC-7 | 在 [组织定义的时间段] 内,强制限制用户连续无效登录尝试次数为 [组织定义的数字];并在超过最大失败尝试次数时自动 [锁定账户或节点一定时间、直到管理员释放、或根据组织定义的延迟算法延迟下次登录提示]。 | 通过 Endpoint Central 部署的自定义脚本可执行登录尝试限制和锁定策略。 |
| AC-8 | 在允许访问系统之前,向用户显示 [组织定义的系统使用通知消息或横幅],提供符合适用法律、行政命令、指令、法规、政策、标准和指南的隐私及安全通知,并声明:用户正在访问美国政府系统;系统使用可能被监控、记录并接受审计;禁止未经授权使用系统,违者将承担刑事和民事责任;使用系统即表示同意监控和记录。 | Endpoint Central 的法律通知配置使您能够在整个企业显示重要公告和法律通知。用户按 ctrl+alt+del 登录时将显示配置的消息。 |
| AC-10 | 限制每个 [组织定义账户及/或账户类型] 的并发会话数至 [组织定义的数字]。 | 是否支持身份集成?- 通过使用基于 SAML 认证的单点登录 (SSO) 集成,或通过直接与 ADSelfService Plus 和 Identity360 等身份门户集成,管理员可以执行严格的“禁止并发登录”策略。 |
| AC-11 | 防止系统进一步访问,[在组织定义的不活动时间后启用设备锁定,要求用户在离开系统前主动锁定];并保持设备锁定,直到用户通过既定身份识别和认证程序重新获取访问权限。 | 利用 Endpoint Central 的电源管理配置,在指定的不活动时间后强制屏幕休眠或待机,且可配置休眠后是否需要密码。 |
| AC-12 | 在 [组织定义的条件或触发事件] 发生时,自动终止用户会话。 | 管理员可配置不活动会话超时(即空闲用户会话自动注销的时间)。 |
| AC-17 | 建立并记录允许的每种远程访问类型的使用限制、配置/连接要求及实施指导;在允许连接前授权每种远程访问类型。 | 远程控制模块提供具有可配置权限及会话/审计日志记录的终端远程会话。 |
| AC-18 | 建立每种无线访问类型的配置要求、连接要求及实施指导;在允许连接前授权无线访问类型。 | MDM 配置可部署/管理 Wi-Fi 配置及相关合规性;配置模板可帮助强制执行端点无线相关设置(如适用)。 |
| AC-19 | 建立组织控制的移动设备配置要求、连接要求及实施指导,包括设备位于非受控区域时;并授权移动设备连接到组织系统。 | 使用 Endpoint Central 的 SCEP 证书分发功能防止未经授权的移动设备连接组织网络。 基于平台向所有移动设备部署配置文件,限制移动设备使用,包括其匿名活动。 |
| AC-20 | [建立组织定义的条款与条件,识别组织声明的控制措施],符合与所有权、运营和/或维护外部系统的其他组织建立的信任关系,允许授权个人:从外部系统访问系统;使用外部系统处理、存储或传输组织控制的信息;或禁止使用 [组织定义的外部系统类型]。 | Endpoint Central 的 Device Control Plus 功能提供限制 USB 设备使用的功能。通过分配严格的设备策略,您可以即时识别连接到端点的设备。 |
| AC-21 | 使授权用户能够确定给予共享伙伴的访问授权是否符合 [组织定义信息共享情况下] 的信息访问和使用限制;并采用 [组织定义的自动化机制或手动流程] 协助用户进行信息共享和协作决策。 | Endpoint Central 的 DLP 功能帮助授权仅批准的用户访问系统中的敏感内容。 |
| AC-22 | 指定授权公开访问信息的个人;培训授权个人,确保公开访问信息不包含非公开信息;发布前审核拟公开内容,确保不包含非公开信息;并 [组织定义频率] 审核公开系统内容,发现非公开信息时予以移除。 | 利用 Endpoint Central 的浏览器管理功能,通过网站或网站组黑名单限制用户通过浏览器公开发布 CUI。 Endpoint Central 的应用控制功能帮助仅授权批准软件运行于公开访问系统中。Device Control Plus 功能帮助在公开访问系统中阻止/解除阻止可移动存储设备,保障组织系统安全。 |
| 审计和责任制 | ||
| AU-2 | 识别系统支持审计功能的事件类型:[系统能记录的组织定义事件类型];协调事件记录功能与其他需要审计信息的组织实体,以指导事件记录的选择标准;指定系统内事件类型日志记录要求及频率;说明选定事件类型适合事后调查的理由;并 [组织定义频率] 审核和更新记录事件类型。 | Endpoint Central 收集并集中事件日志和审计记录,关键活动可配置日志记录。 |
| AU-3 | 确保审计记录包含以下信息:事件类型;事件发生时间;事件发生地点;事件来源;事件结果;及与事件相关的任何个人、主体或对象/实体身份。 | 审计记录包含控制台操作和部署的操作员及操作元数据;支持管理活动的可追溯性。 |
| AU-4 | 分配审计日志存储容量以满足 [组织定义的审计日志保留要求]。 | 审计/日志保留及存储大小由 Endpoint Central 服务器管理;支持维护所需审计记录量。 我们可维护最长达 2 年的审计日志。 |
| AU-5 | 在审计日志过程失败时,于 [组织定义时间段] 内向 [组织定义人员或角色] 警报;并采取以下附加措施:[组织定义附加措施]。 | 虽然 UEM 控制台生成日志,企业对应日志失败的响应通过集成同厂商生态内的安全信息与事件管理 (SIEM) 及日志管理解决方案处理,具体为 EventLog Analyzer 和 Log360。 |
| AU-6 | [组织定义频率] 审查并分析系统审计记录,识别 [组织定义不适当或异常活动] 及其潜在影响;将结果报告给 [组织定义人员或角色];并在基于执法、情报或其他可信信息源风险变化时,调整系统内审计记录的审查、分析和报告级别。 | 管理员可使用详细审计日志和内置报告审查记录事件进行安全分析。 |
| AU-7 | 提供实施审计记录减少及报告生成能力:支持按需审查、分析和报告需求及事件事后调查;且不更改审计记录的原始内容或时间顺序。 | 管理员可生成针对性报告,如高风险软件审计、用户登录报告、端口审计及详细 USB 设备连接历史,仅提取相关事件。 |
| AU-8 | 使用内部系统时钟生成审计记录的时间戳;时间戳满足 [组织定义时间测量粒度],使用协调世界时 (UTC)、具有固定本地时区偏移的时间,或包括本地时间偏移。 | 补丁/软件/配置部署及远程操作的作业历史和审计日志均带时间戳。 |
| AU-9 | 保护审计信息和日志工具免遭未授权访问、修改和删除;检测到未授权访问、修改或删除时,发出警报给 [组织定义人员或角色]。 | RBAC 限制谁能查看/导出审计日志和管理记录;支持控制台内审计数据访问权限。 |
| AU-11 | 按 [组织定义符合记录保留政策的时间段] 保留审计记录,以支持事后事件调查和满足法规及组织信息保留要求。 | 日志/报告和历史作业/部署数据的可配置保留支持审计保留要求。 |
| AU-12 | 为系统定义的组件生成 AU-2a 中能审计事件类型的审计记录;允许 [组织定义人员或角色] 选择系统组件需记录的事件类型;并为 AU-2c 定义事件类型生成包含 AU-3 中审计记录内容的日志。 | Endpoint Central 为各模块的管理和操作行为生成审计日志。 |
| AU-14 | 为 [组织定义用户或角色] 提供并实施在 [组织定义情形] 下记录、查看、听取、记录用户会话内容的能力;并在法律顾问协助及符合适用法律、行政命令、指令、法规、政策、标准和指南的前提下开发、集成及使用会话审计活动。 | 远程控制会话记录和审计日志提供远程端点操作的会话级责任追踪。 |
| 评估、授权与监控 | ||
| CA-7 | 制定系统级持续监控策略并依据组织级持续监控策略实施持续监控,包括:建立需监控的系统级指标 [组织定义指标];制定监控频率和控制效果评估频率 [组织定义];根据持续监控策略持续进行控制评估;持续监控系统及组织定义指标;关联和分析控制评估及监控产生的信息;针对控制评估和监控信息分析结果采取响应措施;并将系统安全与隐私状态按 [组织定义频率] 报告给 [组织定义人员或角色]。 | 补丁合规性、配置合规性、加密状态及设备合规性的合规及态势仪表盘/报告提供持续监控信号。 |
| 配置管理 | ||
| CM-2 | 制定、记录并在配置控制下维护系统当前基线配置;并按 [组织定义频率] 及 [组织定义情形] 在系统组件安装或升级时审查和更新基线配置。 | Endpoint Central 能维护组织系统硬件和软件库存。您可以通过 Endpoint Central 向系统部署基线配置。 |
| CM-3 | 确定并记录受配置控制的系统变更类型;审查并批准或拒绝配置控制的变更,明确考虑安全和隐私影响分析;记录相关决策;实施批准变更;保留变更记录达 [组织定义时间段];监控审查配置控制变更活动;通过 [组织定义配置变更控制元素] 协调和监督变更控制活动,召集频率为 [组织定义频率和/或条件]。 | Endpoint Central 的 Vulnerability Manager Plus 功能定期扫描系统,识别安全配置违规并一键修复。所有硬件和软件变更均及时跟踪。Endpoint Central 还跟踪补丁和软件更新。您可以通过部署配置进行修复。 |
| CM-4 | 在变更实施前分析系统变更以确定潜在的安全和隐私影响。 | 利用 Endpoint Central 的补丁管理中的“测试和批准”功能,您可在网络中部署补丁前查看补丁兼容性。Endpoint Central 其他模块如配置和软件部署也提供目标测试部署功能。 |
| CM-5 | 定义、记录、批准并执行与系统变更相关的物理和逻辑访问限制。 | 利用 Endpoint Central 配置模块中的各类用户配置设置,执行符合需求的逻辑限制。 RBAC 限制谁可更改配置、部署操作系统映像、推送软件/脚本及批准补丁部署;操作均可审计。 |
| CM-6 | 建立并记录系统中组件的配置设置,使用 [组织定义的通用安全配置],以反映与运营需求一致的最严格模式;实施配置设置;识别、记录并批准基于 [组织定义运营需求] 的任何偏离;并根据组织政策和程序监控及控制配置变更。 | 使用 Endpoint Central 的安全策略配置向端点部署安全策略。 利用 Endpoint Central 的 Vulnerability Manager 功能,从集中控制台识别安全配置错误并修复。 使用 Endpoint Central 的应用控制功能,通过黑名单或白名单管理应用和独立 EXE,防止未授权应用执行恶意活动。 利用 Endpoint Central 的浏览器管理功能保障组织系统的安全浏览。 使用 Endpoint Central 的 Bitlocker 管理功能加密组织系统硬盘。 通过 Endpoint Central 的 Device Control Plus 功能允许或阻止可移动和便携设备,保障系统安全。 |
| CM-7 | 配置系统仅提供 [组织定义的关键使命功能];禁止或限制使用以下功能、端口、协议、软件和/或服务:[组织定义的禁止或限制的功能、系统端口、协议、软件和/或服务]。 | Endpoint Central 的 Application Control Plus 功能在应用及其特权访问方面实施最小权限原则 (POLP),帮助企业建立而不影响生产效率。 软件库存可识别已安装组件;软件部署可移除/禁用不需要的应用;模板/脚本可强化或禁用不必要服务。 |
| CM-8 | 制定、记录系统组件库存:准确反映系统;包含系统内所有组件;不重复计数组件或分配至其他系统的组件;具备追踪和报告所需的粒度;包含实现系统组件可追溯性的信息 [组织定义信息];并按 [组织定义频率] 审核和更新组件库存。 | Endpoint Central 能维护组织系统硬件和软件库存,MDM 库存扩展至移动设备。 |
| CM-9 | 制定、记录并实施系统配置管理计划:涵盖角色、职责及配置管理流程和程序;建立全生命周期识别配置项及管理的流程;定义配置项并将其纳入配置管理;并由 [组织定义人员或角色] 审核批准。 | 平台提供必要工具,将特定配置项(如操作系统设置、浏览器安全策略、外设访问规则)置于严格自动控制下。拥有 50 多个预定义配置模板,涵盖防火墙设置、Wi-Fi 配置文件、环境变量和驱动映射,确保 CM-9 计划中记录的策略转化为不可更改的技术现实。 |
| CM-10 | 按合同协议和版权法使用软件及相关文档;跟踪受数量许可保护的软件使用控制复制和分发;控制并记录对点对点文件共享技术的使用,确保不被用于未经授权的分发、展示、表演或复制受版权保护的作品。 | 利用 Endpoint Central 的应用控制功能阻止或允许应用和独立 EXE,防止未授权应用执行恶意活动;也可通过禁止软件实现。 |
| CM-11 | 建立 [组织定义政策] 规范用户安装软件;通过以下方法强制执行软件安装政策:[组织定义方法];按 [组织定义频率] 监控政策合规性。 | Endpoint Central 提供自助门户,允许发布软件至目标用户/计算机。区别于手动部署,您可向群组发布软件列表,赋权用户根据需求安装软件。Application Control Plus 具备黑名单功能,可将应用黑名单关联至不同定制群组,同时考虑用户在企业中的角色。 |
| 应急计划 | ||
| CP-9 | 备份包含于 [组织定义系统组件] 的用户级信息 [组织定义频率];备份系统级信息 [组织定义频率];备份系统文档(包括安全与隐私相关文档)[组织定义频率];保护备份信息的机密性、完整性及可用性。 | Endpoint Central 提供可导出证据,依赖服务器/数据库备份实现恢复能力;实际备份时间表、存储和恢复过程由外部/基础设施负责。 |
| CP-10 | 在中断、妥协或故障后,[于组织定义时间段内,符合恢复时间和恢复点目标],恢复系统至已知状态。 | Endpoint Central 通过重新映像设备、重新部署标准应用、重新应用配置及确保设备补丁合规性,加速端点恢复。 |
| 识别与认证 | ||
| IA-2 | 唯一识别并认证组织用户,将该唯一标识与代表用户的进程关联。 | Endpoint Central 认证管理员/技术员登录控制台,并能整合目录服务实现集中认证,同时执行 RBAC。 |
| IA-3 | 唯一识别并认证 [组织定义设备及/或设备类型],在建立 [本地、远程、网络] 连接前进行。 | Endpoint Central 通过代理注册识别受管理设备并维护唯一设备记录;它可以部署/管理证书以支持设备对服务的身份验证。 可以添加自定义字段,并根据您的需求用不同标识符标记端点。 |
| IA-5 | 通过以下方式管理系统认证器:验证作为初始认证器分发一部分的接收认证器的个人、组、角色、服务或设备的身份;为组织发放的任何认证器建立初始认证器内容;确保认证器机制强度足以满足其预期用途;建立并执行初始认证器分发、丢失、泄露或损坏认证器以及撤销认证器的管理程序;在首次使用前更改认证器默认内容;在[组织定义的时间周期]或发生[组织定义的事件]时更改或刷新认证器;保护认证器内容不被未经授权的泄露和修改;要求个人采取并设备实施特定控制以保护认证器;当组或角色账户成员发生变化时更改认证器。 | Endpoint Central 能部署和管理证书(续订、清单)并存储用于管理任务的凭据,并在支持的情况下管理 BitLocker 恢复密钥。 Endpoint Central 支持通过配置传播密码策略和系统认证策略。 |
| 事件响应 | ||
| IR-4 | 实施与事件响应计划一致的事件处理能力,包括准备、检测与分析、遏制、消除和恢复;协调事件处理活动与应急规划活动;将持续事件处理活动中的经验教训纳入事件响应程序、培训和测试,并相应实施变更;确保组织内事件处理活动的严谨性、强度、范围及结果具有可比性和可预测性。 | Endpoint Central 支持事件处理,能够实现快速远程调查(远程控制)、部署修复脚本、卸载未授权应用、应用补丁及生成证据报告。 |
| 维护 | ||
| MA-2 | 根据制造商或供应商规格和/或组织要求,安排、记录并审核系统组件的维护、修理和更换记录;批准并监控所有维护活动,无论是在现场还是远程执行,无论系统或其组件是在现场服务还是转移到其他地点;要求[组织定义的人员或角色]明确批准将系统或系统组件从组织设施移出进行异地维护、修理或更换;在移出组织设施进行异地维护、修理或更换前,对设备进行清理以移除所有相关媒体上的信息;检查所有潜在受影响的控制以验证维护、修理或更换后控制仍正常运行;在组织维护记录中包含[组织定义的维护相关信息]。 | Endpoint Central 通过计划部署、维护窗口、远程支持工具和维护操作的审计日志支持受控维护。 |
| MA-3 | 批准、控制并监控系统维护工具的使用;并按[组织定义频率]审查以前批准的系统维护工具。 | Endpoint Central 提供内置远程管理工具和受控的软件/脚本部署机制,减少对临时工具的需求。 |
| MA-4 | 批准和监控非本地维护和诊断活动;仅允许符合组织政策并在系统安全计划中记录的非本地维护和诊断工具使用;在建立非本地维护和诊断会话时采用强认证;记录非本地维护和诊断活动;非本地维护完成时终止会话和网络连接。 | Endpoint Central 通过基于角色的访问控制(RBAC)和限定范围访问管理安全远程会话,实现非本地维护,并提供会话/审计轨迹作为证据。 |
| MA-6 | 在[组织定义时间周期]内,在[组织定义系统组件]出现故障时获取维护支持和/或备件。 | Endpoint Central 通过自动补丁/更新工作流、漏洞修复优先级排序和合规报告,实现及时维护。 |
| 媒体保护 | ||
| MP-2 | 限制对[组织定义的数字和/或非数字媒体类型]的访问,仅限[组织定义的人员或角色]。 | 通过 Endpoint Central 的 Device Control Plus 功能/Secure USB 功能限制可移动存储媒体的使用。 Endpoint Central 的 Device Control 功能使您能够管理 USB 设备,并提供文件追踪和文件影子复制等功能,帮助您建立灵活但全面的文件操作控制。它能帮助您应用相关协议,管理和有效保护所有在网络内部或跨网络边界传输的数据。共享和网络驱动器可以通过 Endpoint Central 中的驱动器映射配置进行管理。 |
| MP-5 | 使用[组织定义的控制措施]保护和控制[组织定义的系统媒体类型]在受控区域之外运输时的安全;在受控区域之外运输期间保持系统媒体的可追溯性;记录与系统媒体运输相关的活动;限制系统媒体运输活动仅限授权人员。 | Endpoint Central 的 Device Control 功能使您能够管理 USB 设备,并提供文件追踪和文件影子复制等功能,帮助您建立灵活但全面的文件操作控制。它能帮助您应用相关协议,管理和有效保护所有在网络内部或跨网络边界传输的数据。 |
| MP-6 | 在处置、脱离组织控制或再利用之前,使用[组织定义的清理技术和程序]对[组织定义的系统媒体]进行清理;并采用符合信息安全类别或分类要求的清理强度和完整性的清理机制。 | 使用 Endpoint Central 的文件夹操作删除包含任何来自贵组织系统数据的文件。 |
| MP-7 | 使用[组织定义的控制措施]对[组织定义的系统媒体类型]在[组织定义系统或系统组件]上使用进行[限制或禁止];当可携带存储设备无明确所有者时,禁止在组织系统中使用此类设备。 | Endpoint Central 强制执行端点对可移动媒体的控制,并可应用 DLP/设备策略减少对媒体的未经授权复制。 |
| 风险评估 | ||
| RA-3 | 执行风险评估,包括:识别系统的威胁和漏洞;确定因未经授权访问、使用、泄露、中断、修改或破坏系统及其处理、存储或传输的信息及相关信息而可能造成的伤害概率和严重程度;确定因处理个人身份信息而对个人产生不利影响的可能性和影响;将组织和任务或业务流程视角的风险评估结果与系统级风险评估集成;在[安全与隐私计划、风险评估报告或组织定义文档]中记录风险评估结果;按[组织定义频率]审查风险评估结果;将风险评估结果分发给[组织定义的人员或角色];并在系统、其运行环境或其他可能影响系统安全或隐私状态的条件发生重大变化时,按[组织定义频率]更新风险评估。 | Endpoint Central 的漏洞管理功能定期扫描系统以发现漏洞并通过补丁进行修复,帮助降低风险。 它还能够发现组织系统中的安全配置错误,并允许您通过集中管理控制台批量修复。 |
| RA-4 | [已废止:合并入 RA-3。] | Endpoint Central 的漏洞管理功能定期扫描系统以发现漏洞并通过补丁进行修复,帮助降低风险。 它还能够发现组织系统中的安全配置错误,并允许您通过集中管理控制台批量修复。 |
| RA-5 | 按[组织定义频率和/或根据组织定义流程随机]监控和扫描系统及托管应用中的漏洞,以及当发现和报告潜在影响系统的新漏洞时;采用促进工具间互操作性和自动化漏洞管理部分流程的漏洞监测工具和技术,使用以下标准:平台、软件缺陷和配置错误的枚举;检查表和测试程序的格式化;漏洞影响的测量;分析漏洞扫描报告和漏洞监测结果;根据组织风险评估,在[组织定义响应时间]内修复合法漏洞;与[组织定义的人员或角色]分享漏洞监测及控制评估过程中获悉的信息,协助消除其他系统中类似漏洞。 | Endpoint Central 进行端点漏洞评估(缺少补丁、不安全配置[若支持]),对修复优先级排序,并通过部署工作流跟踪关闭状态。 |
| 系统与服务采购 | ||
| SA-6 | [已废止:合并入 CM-10、SI-7。] | Endpoint Central 通过应用控制和库存可视化强制执行软件执行/安装的技术限制。 |
| SA-7 | [已废止:合并入 CM-11、SI-7。] | Endpoint Central 能通过权限控制和应用执行策略限制和监控用户安装的软件,生成库存报告。 |
| SA-22 | 当开发商、供应商或制造商不再支持系统组件时,替换该组件;及/或提供以下认证替代支持方案:[内部支持、组织定义的外部供应商支持]。 | Endpoint Central 识别操作系统/应用版本及补丁级别以突出不受支持的组件,并能协助修复(更新/卸载)。 |
| 系统与通信保护 | ||
| SC-2 | 将用户功能(包括用户界面服务)与系统管理功能分开。 | UEM 平台完美体现了逻辑隔离。系统管理功能——如定义配置、部署软件和管理补丁——严格限于安全的基于 Web 的管理控制台。该控制台需专用认证,受细粒度 RBAC 控制,并可进一步通过单点登录(SSO)和多因素认证(MFA)加强安全。相反,普通终端用户仅与“自助服务门户”或轻量级本地代理交互。自助服务门户充当受限展示层,允许非特权用户触发预先批准的软件安装或本地 IT 请求,而不会暴露任何底层系统管理接口或管理权限。 |
| SC-8 | 保护传输信息的[机密性、完整性]。 | Endpoint Central 支持服务器、代理和 Web 控制台之间使用 TLS 配置的加密通信,并能管理端点使用的证书。 |
| SC-12 | 在系统中采用加密技术时,按照以下密钥管理要求建立和管理加密密钥:[组织定义的密钥生成、分发、存储、访问和销毁要求]。 | Endpoint Central 能部署和管理证书,并能存储/检索管理设备的 BitLocker 恢复密钥,提供清单和恢复证据。 |
| SC-13 | 确定[组织定义的加密用途];并为每个指定的加密用途实施以下类型的加密:[组织定义的每种指定用途的加密类型]。 | Endpoint Central 支持加密保护,通过启用磁盘加密管理(BitLocker 策略、恢复密钥管理)和加密管理通道实现。 |
| SC-17 | 根据[组织定义的证书策略]颁发公钥证书或从批准的服务供应商获取公钥证书;并仅在组织管理的信任存储或证书存储中包含批准的信任锚。 | Endpoint Central 管理端点证书(部署、过期跟踪、续订工作流[若支持])并提供证书清单报告。 |
| SC-28 | 保护静态信息的[机密性、完整性]: [组织定义的静态信息]。 | Endpoint Central 支持通过管理磁盘加密(BitLocker)、限制可移动存储和应用端点 DLP 策略(如支持)保护静态数据。 |
| SC-41 | [物理或逻辑地]禁用或移除以下系统或系统组件上的[组织定义的连接端口或输入/输出设备]: [组织定义的系统或组件]。 | Endpoint Central 通过设备控制策略强制设备类别/端口限制,并能限制外设使用,提供合规证据。 |
| SC-42 | 禁止在[组织定义的设施、区域或系统]中使用具有组织定义环境感知能力的设备,和/或禁止远程激活组织系统或系统组件上的环境感知能力,但允许以下组织定义的例外情况;并向[组织定义的用户组]明示传感器使用。 | Endpoint Central 能清点设备硬件能力,并在支持时通过设备控制策略限制特定设备功能。 |
| SC-43 | 建立以下系统组件的使用限制和实施指导:[组织定义的系统组件];并授权、监控和控制该等组件在系统中的使用。 | Endpoint Central 的 Device Control 功能提供限制 USB 设备使用的功能。通过使用设备控制解决方案分配严格的设备策略,您可以即时识别连接到端点的设备。 |
| 系统与信息完整性 | ||
| SI-2 | 识别、报告并修正系统缺陷;在安装前测试与缺陷修复相关的软件和固件更新的有效性及潜在副作用;在[组织定义时间段]内安装与安全相关的软件和固件更新;并将缺陷修复纳入组织配置管理流程。 | 使用 Endpoint Central 的漏洞扫描识别具有安全配置错误和缺少补丁、服务包及病毒定义更新的系统,并从集中控制台修复这些缺陷。 |
| SI-3 | 在系统入口和出口实施[基于签名的、非基于签名的]恶意代码保护机制以检测和消除恶意代码;根据组织配置管理政策和程序,自动更新恶意代码保护机制;配置恶意代码保护机制以:执行系统的周期性扫描[组织定义频率],及在[端点、网络入口和出口点]对来自外部源的文件进行实时扫描,响应组织政策要求下载、打开或执行文件;并[阻止恶意代码、隔离恶意代码、采取组织定义的措施]响应恶意代码检测;处理恶意代码检测和消除过程中的误报及其对系统可用性的潜在影响。 | Endpoint Central 提供端点恶意软件保护功能,通过浏览器强化、应用控制和可移动媒体限制减少暴露,并附带状态/报告证据。 |
| SI-4 | 监控系统以检测:符合以下监控目标的攻击和潜在攻击指示器[组织定义的监控目标];以及未经授权的本地、网络和远程连接;通过以下技术和方法识别系统未经授权使用[组织定义的技术和方法];调用内部监控功能或部署监控设备:战略性地在系统内收集组织确定的关键信息;和在系统内临时地点跟踪组织关注的特定交易类型;分析检测到的事件和异常;系统监控活动级别根据组织运营和资产、个人、其他组织或国家风险变化进行调整;就系统监控活动获取法律意见;并向[组织定义的人员或角色]按[组织定义频率]提供[组织定义的系统监控信息]。 | Endpoint Central 提供事件日志(分类为错误、信息消息和警告),有助于审计和故障排除。利用漏洞模块可评估受管端点的安全姿态。 通过库存、补丁合规和审计报告的持续监控有助于识别异常系统活动。 |
| SI-5 | 持续接收[组织定义外部组织]发布的系统安全警报、通告和指令;必要时生成内部安全警报、通告和指令;向[组织定义的人员或角色、组织元素、外部组织]传达安全警报、通告和指令;并按照既定时间框架执行安全指令,或通知发出组织不合规程度。 | Endpoint Central 吸收补丁/漏洞内容,提供仪表盘和报告,突出显示所需修复措施,支持通过计划导出向运营团队分发。 |
| SI-6 | 验证[组织定义的安全和隐私功能]的正确运行;在 SI-6a 所指定的系统过渡状态、由具备适当权限的用户命令或[组织定义频率]执行功能验证;向[组织定义的人员或角色]发出未通过安全与隐私验证测试的警告;发现异常时,采取[关闭系统、重启系统、组织定义的替代措施]。 | 通过配置设置、补丁级别、加密状态和移动设备合规性报告验证安全状态。 |
| SI-7 | 采用完整性验证工具检测以下软件、固件和信息的未经授权更改:[组织定义的软件、固件和信息];检测到未经授权更改时采取以下措施:[组织定义的措施]。 | Endpoint Central 通过控制允许的软件、保持补丁及时性及部署已知良好映像/软件基线来支持完整性,并附带库存和部署证据。 自动补丁和完整性策略帮助确保系统运行经过批准且最新的软件版本。 |
| SI-11 | 生成提供必要纠正行动信息但不泄露可被利用信息的错误消息;且仅向[组织定义的人员或角色]展示错误消息。 | UEM 平台通过其集中日志和警报架构积极支持此控制。在例行操作期间(如代理部署失败、补丁安装错误或身份验证拒绝),系统生成特定的、已清理的错误代码(如“身份验证类型无效”、“域控制器不可访问”、“多次登录失败尝试”)。这些错误日志在管理控制台中展示。 |
| SI-14 | 实施非持久性[组织定义的系统组件和服务],其在已知状态启动,并在[使用会话结束、组织定义频率]终止。 | Endpoint Central 通过操作系统映像恢复终端到已知基线,并通过应用控制减少持久性。 |
