NIST SP 800-171是一系列关于敏感联邦数据安全和保密的权威指南。任何为国防部、NASA和其他联邦或国家机构存储、处理或传输CUI的组织都必须遵守NIST 800-171。
Endpoint Central能够为系统部署基线配置,维护组织系统的资产清单,包括软件和硬件。
| 需求编号 | 需求描述 | Endpoint Central如何实现这些需求? |
|---|---|---|
| 3.1 |
访问控制 |
|
| 3.1.1 |
将系统访问限制在授权用户、授权用户发起的进程和设备(包括其他系统)。 |
Endpoint Central的用户管理配置,能够创建本地用户并添加到合适的组,为其分配合理的系统访问权限。 |
| 3.1.2 |
将系统访问限制在授权用户允许执行的交易和功能类型。 |
Endpoint Central的用户管理配置,能够创建本地用户并添加到合适的组,为其分配合理的系统访问权限。 |
| 3.1.5 |
使用最小特权原则,包括特定的安全功能和特权帐户。 |
“特权访问管理”的会话追踪功能可以监督特权用户的活动,实现对特权访问的双重控制。本地用户账户可以使用Endpoint Central的用户管理配置进行管理。 |
| 3.1.7 |
防止非特权用户执行特权功能,并在审计日志中记录此类功能的执行。 |
Endpoint Central的用户管理配置,能够创建本地用户并添加到合适的组,为其分配合理的系统访问权限。 Endpoint Central有权访问所有系统的“事件查看器”,监视每个系统中执行的活动。您还可以进行分类筛选,只监视所需的活动。 |
| 3.1.8 |
限制失败登录尝试。 |
Endpoint Central的自定义脚本配置,能够从中央控制台为所有终端部署脚本,限制登录尝试次数。 |
| 3.1.9 |
提供符合适用CUI规则的隐私和安全通知。 |
Endpoint Central的法律公告配置,能够在整个组织内显示重大声明或法律公告,每当用户按“Ctrl+Alt+Del”键登录时,都将显示配置的提示信息。 |
| 3.1.10 |
使用带有模式隐藏的会话锁,空闲一定时间后,阻止访问和查看数据。 |
Endpoint Central的电源管理配置,能够在计算机空闲特定时间后强制屏幕进入休眠状态,还可以设置唤醒时是否需要输入密码。 |
| 3.1.12 |
监视并控制远程访问会话。 |
Endpoint Central的防火墙配置,能够阻止特定用户或计算机的出站远程控制端口,阻止未授权的远程会话。 |
| 3.1.13 |
用加密机制保护远程访问会话的机密性。 |
HTTPS支持Endpoint Central的远程控制功能,能够保护远程访问会话的机密性。 |
| 3.1.15 |
授权远程执行特权命令和远程访问安全信息。 |
从Endpoint Central的集中控制台向多台计算机部署特权命令,并远程控制系统的显示器。 |
| 3.1.18 |
控制移动设备的连接。 |
Endpoint Central的SCEP证书分发功能,能够阻止未授权移动设备连接到组织的网络中。 根据平台为所有移动设备部署配置文件,限制移动设备的使用,包括设备上的匿名活动。 |
| 3.1.19 |
加密移动设备和移动计算平台中的CUI。 |
使用Endpoint Central的移动设备管理功能在移动设备上将CUI容器化。如果发现任何恶意行为,比如数据盗窃,设备就会被远程数据擦除。Endpoint Central还可以强制执行复杂密码策略,预定义密码要求,保护设备安全。 |
| 3.1.20 |
验证并控制/限制外部系统的连接和使用。 |
Endpoint Central的Device Control Plus选件,能够限制USB设备的使用。通过部署严格的设备策略,您可以立即识别连接到终端的设备。 |
| 3.1.21 | 限制在外部系统上使用便携式存储设备。 |
Endpoint Central的Device Control Plus选件,能够限制USB设备和其他便携式存储设备的使用,防止系统中存储的CUI被盗。 |
| 3.1.22 |
控制CUI在公共可访问系统上发布或处理。 |
Endpoint Central的浏览器管理选件,能够将网站或网站组加入黑名单,限制用户通过浏览器公开发布CUI。 Endpoint Central的App Control选件,能够仅授权已批准的软件在公共可访问系统中运行。Device Control Plus选件能够阻止/取消阻止在公共可访问系统上使用可移动存储设备,保护组织系统安全。 |
| 3.3 |
审计和问责制 |
|
| 3.3.1 |
创建并保留系统审计日志和记录,监视、分析和调查非法或未授权的系统活动,并导出报表。 |
Endpoint Central有权访问所有系统的“事件查看器”,监视每个系统中执行的活动。您还可以进行分类筛选,只监视所需的活动。 |
| 3.3.2 |
确保追踪到每个系统用户的每个行为,用户和行为一一对应,且对其行为负责。 |
Endpoint Central的用户登录报表,能够追踪被管终端上用户的登录和退出历史记录。管理员和技术员在产品Web控制台中执行的操作将记录在日志中,为审计提供详细信息。 |
| 3.3.3 |
检查并更新日志事件 |
Endpoint Central有权访问所有系统的“事件查看器”,监视每个系统中执行的活动。您还可以进行分类筛选,只监视所需的活动。 |
| 3.4 |
配置管理 |
|
| 3.4.1 |
在各自的系统开发周期中,建立和维护组织系统的基线配置和资产清单(包括硬件、软件、固件和文档)。 |
|
| 3.4.2 |
为组织系统中使用的信息技术产品建立并执行安全配置设置。 |
Endpoint Central的安全策略配置功能,能够在终端部署安全策略。 Endpoint Central的VMP选件,能够识别系统中的安全错误配置,并从中央控制台进行修复。 Endpoint Central的“应用控制”选件,能够将应用程序和独立的EXE列入黑名单或白名单,阻止未授权应用程序执行恶意活动。 Endpoint Central的“浏览器管理”选件,能够保护组织系统中浏览器的使用安全。 Endpoint Central的Bitlocker选件,能够加密组织系统中的硬盘驱动器。 Endpoint Central的Device Control Plus选件,能够允许/阻止可移动设备和便携式设备,保护系统安全。 |
| 3.4.3 |
跟踪、审查、批准或不批准,并记录对组织系统的更改。 |
Endpoint Central的Vulnerability Manager Plus选件,能够定期扫描系统,识别安全错误配置的漏洞,并提供一键修复功能。此外,所有硬件和软件变更都能及时追踪。Endpoint Central还能追踪补丁和软件更新,并部署配置进行安装。 |
| 3.4.4 |
在实施之前分析变更的安全性影响 |
Endpoint Central“补丁管理”中的“测试和批准”功能,能够在部署补丁之前查看补丁更新与网络中系统的兼容性。Endpoint Central为配置和软件部署等其他模块提供了针对特定目标的测试部署功能。 |
| 3.4.5 |
定义、记录、批准和执行与组织系统更改相关的物理和逻辑访问限制。 |
Endpoint Central的“配置”模块下的各种“用户配置”设置,能够根据组织需求执行逻辑限制。 |
| 3.4.6 |
采用最少功能的原则,配置组织系统,只提供必要的功能。 |
Endpoint Central的Application Control Plus选件,支持有关应用程序及其特权访问的特权包围功能,使组织能够在建立最小特权原则(POLP)的同时,不影响生产力。 |
| 3.4.7 |
限制、禁用或阻止不必要程序、功能、端口、协议和服务的使用。 |
Endpoint Central的“应用控制”选件,能够将应用程序和独立的EXE列入黑名单或白名单,阻止未授权应用程序执行恶意活动。 Endpoint Central的“防火墙配置”功能,能够在入站和出站连接中阻止/允许特定端口。 Endpoint Central的“服务配置”功能,能够从所有机器上删除未经批准的服务。 Endpoint Central的Device Control Plus选件,能够限制便携式存储设备和蓝牙的使用,防止机器中储存的CUI被盗。 |
| 3.4.8 |
应用例外情况下拒绝(黑名单)策略,阻止未经授权软件的使用,或者全部拒绝,例外情况下允许(白名单)策略,仅允许授权软件的使用。 |
Endpoint Central的“应用控制”选件,能够在整个组织中将应用程序列入黑名单或白名单,或仅针对特定的组。 |
| 3.4.9 |
控制和监视用户安装的软件。 |
Endpoint Central的“自助服务门户”,能够向目标用户/计算机发布软件。与手动软件部署不同,您可以将软件列表发布到组(目标用户/计算机),授权用户根据需要自己安装软件。Application Control Plus选件的“黑名单”功能,能够将应用程序黑名单与不同的自定义组关联,同时考虑用户在企业中的角色。 |
| 3.5 |
身份认证 |
|
| 3.5.1 |
识别系统用户、代表用户的操作进程和设备。 |
Endpoint Central的System Manager,能够执行各种系统管理任务。例如,查看被管计算机的用户列表。Endpoint Central还能够查看与每台计算机相关联的设备列表,以及启用/禁用与设备相关的驱动程序。 Endpoint Central能够识别和查看机器中运行的系统用户、进程和服务,还可查看通用的设备标识符,如MAC和IP。 还可以添加自定义字段,并且可以根据您的需求用不同的标识符来标记端点。 |
| 3.5.2 |
在用户、进程或设备访问组织系统之前,进行身份验证。 |
在“工具”->“System Manager”下,可以查看被管计算机的用户列表,和与其关联的设备列表。系统管理器还提供了一个系统上的运行进程列表,可以根据需要停止或管理进程,可以使用MDM和“应用程序控制”模块启用特权访问。 |
| 3.5.7 |
在创建新密码时强制执行最低密码复杂度和字符更改。 |
在Endpoint Central中使用自定义脚本强制密码复杂度。 |
| 3.5.9 |
允许系统登录时使用临时密码,并立即更改为永久密码。 |
Endpoint Central的“用户管理配置”,能够定义用户范围,并指定用户名和密码。 |
| 3.7 |
维护 |
|
| 3.7.1 |
对组织系统进行维护。 |
Endpoint Central提供的配置,可以帮助您管理应用程序、系统设置、桌面设置和安全策略。Endpoint Central还提供了各种各样的工具,帮助您进行故障排除,维护组织系统。 |
| 3.7.5 |
通过外部网络连接建立非本地维护会话,需要多因素身份验证,并在非本地维护完成时终止此类连接。 |
可以使用Endpoint Central的双因素认证执行多因素身份验证。双因素认证启用后,系统会提示用户输入一次性密码(OTP)以及默认密码。Endpoint Central支持两种方式的双因素认证,使用电子邮件和Google Authenticator。Endpoint Central的“远程桌面共享”功能,能够访问网络中用于非本地维护的远程计算机。 |
| 3.7.6 |
监督没有访问授权的维修人员的维修活动。 |
Endpoint Central的“远程控制”功能,使用仅查看模式,监督维护人员在终端上的活动。 |
| 3.8 |
介质保护 |
|
| 3.8.1 |
保护(即物理控制和安全存储)含有CUI的系统介质,包括纸质和数字介质。 |
Endpoint Central的Device Control Plus选件,能够限制可移动存储介质的使用。 |
| 3.8.2 |
仅限授权用户访问系统介质上的CUI。 |
Endpoint Central的Device Control Plus选件,能够控制、阻止并监视USB和外围设备。Endpoint Central的“驱动器映射”配置,能够将远程网络资源映射到用户计算机上,并且操作流程更方便快捷。 |
| 3.8.3 |
清理或销毁含CUI的系统介质,供处理或释放后重新使用。 |
使用Endpoint Central的file文件夹操作从组织系统中删除含有CUI的文件。 |
| 3.8.5 |
控制对含有CUI介质的访问,并维护介质在控制区域外运输时的问责制。 |
ManageEngine的Device Control Plus选件,能够管理USB设备;提供诸如文件跟踪和文件镜像等功能,建立对文件操作的灵活而广泛的控制;还能应用管理协议,有效保护在网络范围内或跨网络范围传输的所有数据。Endpoint Central的“驱动器映射配置”还能管理共享和网络驱动器。 |
| 3.8.7 |
控制系统组件上可移动介质的使用。 |
Endpoint Central的Device Control Plus选件,提供了更高级的功能,能够控制所有类型可移动介质的使用。 |
| 3.8.9 |
保护存储区域的备份CUI的机密性。 |
Endpoint Central的Bitlocker选件,能够加密存储CUI备份的硬盘驱动器,保护数据安全。 |
| 3.9 |
人员安全 |
|
| 3.9.2 |
确保含有CUI的组织系统在人员变动(如解雇和调动)期间和之后受到保护。 |
Endpoint Central的“远程擦除”功能,能够在人员解雇和调动时远程擦除系统。在擦除数据之前,您可以使用产品的文件夹备份配置来备份该文件夹。您还可以使用file文件夹配置,将这些备份文件移动到安全的系统存储库中。 |
| 3.11 |
风险评估 |
|
| 3.11.1 |
定期评估组织系统运行及相关CUI的处理、存储或传输对组织运营(包括使命、职能、形象或声誉)、组织资产和个人造成的风险。 |
Endpoint Central每个模块都有预定义的报表功能,能够审计与组织系统相关的信息,为采取措施加强CUI安全性提供参考。您可以使用安全组件获取系统的状态,并以内置报表的形式呈现。在查看系统安全健康状态后,您可以直接从报表执行必要的操作。 |
| 3.11.2 |
定期扫描组织系统和应用程序中的漏洞,以及在识别到新漏洞影响了这些系统和应用程序时执行扫描。 |
Endpoint Central的Vulnerability Manager Plus选件,能够定期扫描组织系统,发现软件漏洞,并实施补丁修复;还可以发现安全错误配置,并从集中控制台批量修复。 |
| 3.11.3 |
根据风险评估修复漏洞。 |
Endpoint Central的Vulnerability Manager Plus选件,能够定期扫描系统,发现漏洞,并实施补丁修复,降低风险。 Vulnerability Manager Plus还可以发现组织系统中的安全错误配置,并从集中控制台批量修复。 |
| 3.12 |
安全评估 |
|
| 3.12.1 |
定期评估组织系统中的安全控制,确定这些控制在应用中是否有效。 |
Endpoint Central每个模块都有预定义的报表功能,能够审计与组织系统相关的信息,为采取措施加强CUI安全性提供参考。您可以使用安全组件获取系统的状态,并以内置报表的形式呈现。在查看系统安全健康状态后,您可以直接从报表执行必要的操作。 |
| 3.12.2 |
制定和实施行动计划,纠正缺陷,减少或消除组织系统中的漏洞。 |
Endpoint Central的“补丁管理”功能,能够定期扫描并识别漏洞,为系统部署缺失的补丁,纠正缺陷。Endpoint Central的Vulnerability Manager Plus选件,能够发现组织系统中的安全错误配置,并从集中控制台批量修复。 |
| 3.12.3 |
持续监测安全控制,确保控制的有效性。 |
Endpoint Central提供了关于网络中被管终端安全状态的数据,帮助您进行检测,并确保控制不会日久失效。 |
| 3.13 |
系统和通信保护 |
|
| 3.13.1 |
监视、控制和保护组织系统外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。 |
Endpoint Central的“防火墙配置”,能够阻止/允许使用指定端口的系统上的入站或出站通信,尽量减少通过匿名端口的攻击。 |
| 3.13.4 |
防止通过共享系统资源进行未经授权和无意的信息传输。 |
Endpoint Central提供数据访问控制信息,包括以各种权限级别共享的文件夹。“权限管理”可以撤销这些文件夹的权限。 |
| 3.13.16 |
保护存储中的CUI的机密性。 |
Endpoint Central能够为共享文件夹授予不同级别的访问权限。这种数据访问控制信息有助于降低CUI以完全或写入级权限共享的风险。 Endpoint Central的Bitlocker选件,能够加密系统硬盘,确保这些系统上存储的CUI的安全性。 |
| 3.14 |
系统和信息完整性 |
|
| 3.14.1 |
及时识别、报告并纠正系统缺陷。 |
Endpoint Central的“漏洞扫描”功能,能够识别存在安全配置错误、缺少补丁、服务包和防病毒定义更新的系统,并从一个集中控制台修复这些缺陷。 |
| 3.14.3 |
监视系统安全警告和通报,并采取应对措施。 |
Endpoint Central提供了事件日志(分类为错误、信息消息和警告),为审计和故障排除提供参考。“漏洞模块”可以评估被管终端的安全态势。 |
| 3.14.6 |
监视组织系统,包括入站和出站通信流量,检测攻击和潜在攻击的迹象。 |
Endpoint Central的防火墙配置,能够阻止/允许系统上的入站和出站连接,尽量减少通过匿名端口的攻击。 |
| 3.14.7 |
识别组织系统的未授权使用 |
Endpoint Central的“USB审计”功能,能够跟踪每个系统上USB设备的使用情况。Endpoint Central还能检测包含未经批准的应用程序的系统,并卸载该软件。 |
ISO
PCI
GDPR
VPAT
HIPAA
RBI
NIST