以下文档详细说明了 Endpoint Central 如何帮助企业实现 RBI 合规的某些要求。
印度储备银行有其自身的一套网络法律。这是由于低准入门槛、不断变化的性质、资源丰富、攻击速度和规模不断增加所致。所有银行必须遵守中央银行提出的严格规定才能在印度运营。Endpoint Central 可以帮助遵守所提出的指导方针,以增强安全性和弹性。具体如下:
| 需求 | 序号 | 需求描述 | Endpoint Central 如何满足? |
| 业务 IT 资产清单管理 | 1.1 | 维护一个最新的资产清单,包括业务数据/信息 包括客户数据/信息、业务应用、支持的 IT 基础设施和设施 — 硬件/软件/网络设备、关键人员、 服务等,指明其业务关键性。银行可能有自己的 框架/标准来识别关键资产。 | 通过 Endpoint Central 的库存管理和报告,获取笔记本、台式机和移动设备的详细硬件和软件信息。 通过与 helpdesk 解决方案 ServiceDesk Plus (SDP) 集成,可以分配设备的重要性等级。 |
| 防止未经授权的软件执行 | 2.1 | 维护一个最新的、最好是集中管理的授权/未经授权软件库存。建议实施授权应用/软件/库等的白名单机制。 | Endpoint Central 的软件库存提供应用控制,通过禁止不必要/恶意软件实现。 |
| 2.2 | 建立集中或其他方式控制终端用户 PC、笔记本、工作站、服务器、移动设备等软件/应用安装的机制,并能阻止/预防及识别未经授权软件/应用在这些设备/系统上的安装和运行。 | Endpoint Central 的软件管理和自助服务门户功能可用于实现从中央控制台安装/卸载软件。 此外,阻止可执行文件和禁止软件功能可以阻止不必要的软件在网络中安装。 | |
| 2.3 | 持续监控各供应商/OEM 发布的补丁、CERT-in 及其他类似机构发布的公告,按照银行补丁管理政策,迅速应用安全补丁。如果供应商针对已知或广为报道的漏洞发布了补丁,银行必须有机制通过紧急补丁管理流程迅速应用这些补丁。 | 所有补丁信息均从供应商网站收集,经过彻底分析后录入补丁数据库,然后与 Endpoint Central 服务器同步。 使用自动补丁管理功能,补丁管理的全过程实现自动化,从漏洞数据库同步、网络中所有机器扫描缺失补丁、部署缺失补丁,到提供补丁部署状态的定期更新。利用此功能,也可修补零日漏洞。补丁可在测试环境自动测试和批准后再推广到业务关键环境。 | |
| 2.4 | 制定明确的框架,包括例外理由、例外持续时间、授予例外的流程和审批权限,由具备业务和技术理解能力的高级人员定期复审已授予的例外。 | Endpoint Central 提供禁止网络内软件运行的功能。也可为特定用户组配置全局排除,或按应用程序配置排除。 阻止可执行文件可以应用于选定的用户组或资产。 | |
| 安全配置 | 5.1 | 对所有类别设备(终端/工作站、移动设备、操作系统、数据库、应用程序、网络设备、安全设备、安全系统等)制定并应用基线安全要求/配置,覆盖整个生命周期(从设计到部署),并定期审查, | Endpoint Central 提供专门的安全策略配置,支持组织范围或仅适用于选定终端/用户。还支持防火墙规则的自定义。Endpoint Central 覆盖所有主流操作系统、驱动程序及 250 多种第三方应用的补丁管理,在修复易受攻击的应用或操作系统方面发挥重要作用。 地理追踪功能有助于定位丢失设备,从而防止数据丢失。 通过 Endpoint Central 可实现设备锁定功能。MDM 还提供额外安全策略。 Browser Security Plus 插件帮助防止基于浏览器的威胁,保护企业数据免遭凭据窃取、网络钓鱼攻击和意外数据泄露。 |
| 5.2 | 定期评估关键设备(如防火墙、网络交换机、安全设备等)配置和补丁级别,涵盖银行网络中的所有系统,包括数据中心、第三方托管站点、共享基础设施位置。 | Endpoint Central 定期扫描网络资产,确定易受攻击的系统和应用、防火墙状态、杀毒状态及 FileVault/BitLocker 状态。扫描频率可配置。 | |
| 应用安全生命周期(ASLC) | 6.8 | 考虑实施措施,如在移动/智能手机上安装“容器化”应用,仅限企业专用,且加密且与其他手机数据/应用隔离;也可以考虑实现远程擦除容器化应用数据,使其在需要时无法读取。 | 使用 Endpoint Central 可实现企业数据容器化,并能够阻止剪贴板访问。 可基于设备所有权(BYOD 和 COPE)配置策略、限制和分组。 支持自带设备在退役时进行企业擦除,企业拥有的个人启用设备亦可完全擦除。 Endpoint Central 提供地理围栏功能,支持组织实现访问管理。 |
| 补丁/漏洞及变更管理 | 7.1 | 制定书面风险为基础的策略,用于盘点需要打补丁的 IT 组件、补丁识别及应用,以最大限度减少易受攻击系统数量及其暴露时间窗口。 | Endpoint Central 的补丁管理可部署适用于所有主流设备操作系统—Windows、Mac、Linux 及 250 多款第三方应用的补丁,也包括各类组件驱动更新。 定期扫描网络中 IT 资产以识别易受攻击的系统和应用。 Endpoint Central 的自动补丁部署(APD)功能使系统管理员能够自动部署缺失补丁。 可为各种设备配置专用部署策略,支持在非工作时间开启设备打补丁,避免业务时间重启,针对关键设备如服务器则支持更新后自动关机。 |
| 7.2 | 建立系统和流程,识别、跟踪、管理及监控直接连接互联网的终端设备操作系统和应用软件的补丁状况,以及服务器操作系统/数据库/应用程序/中间件等的补丁管理。 | ||
| 7.3 | 业务应用、支持技术、服务组件及设施的变更应通过健全的配置管理流程管理,确保变更的完整性,建立配置基线。 | Endpoint Central 预建设的配置和集合可用于 IT 资产的配置基线管理。 新设备根据所属 OU/组自动设定基线。 Endpoint Central 可强制在每次启动时进行配置基线检查,以增强安全性。 | |
| 用户访问控制/管理 | 8.1 | 实施措施控制 Office 文档中 VBA/宏的使用,控制电子邮件系统允许的附件类型。 | Endpoint Central 脚本库中含有 200 多个自定义脚本,可用于多种定制和安全活动,包括控制 Office 文档中 VBA/宏的使用。 |
| 8.3 | 禁止终端用户工作站/PC/笔记本拥有管理员权限,访问权限按需提供并限定具体时间,遵循既定流程。 | 使用 Endpoint Central 可管理用户组,添加或移除域用户和本地用户(新用户及现有用户)本地管理员权限组。本地管理员账户也可通过 Endpoint Central 功能禁用。 Endpoint Central 的全面权限管理功能,允许用户对特定用户或组限制/允许文件、文件夹及注册表访问。 | |
| 8.6 | 实施控制以减少无效登录次数,停用闲置账户。 | Endpoint Central 提供全面的 Active Directory 用户报告,包括未使用账户、非活跃账户、已禁用账户、已过期账户、密码过期账户等,帮助识别网络中的闲置账户。 Endpoint Central 提供现成的用户登录报告,用于监控用户登录历史。 | |
| 8.7 | 监控登录模式的异常变化。 | ||
| 8.8 | 实施措施控制 PC/笔记本等设备的软件安装。 | 提供专用的软件管理模块实现软件安装/卸载。 软件可在网络中被禁止,禁止的软件可自动从设备中卸载。 Endpoint Central 的阻止可执行文件功能可阻止不受信任/未知的可执行文件。 | |
| 8.9 | 实施远程管理/擦除/锁定移动设备(包括笔记本等)控制。 | Endpoint Central 支持远程管理、远程锁定和擦除移动设备。 | |
| 可移动介质 | 12.1 | 制定并实施针对各类设备(包括但不限于工作站/PC/笔记本/移动设备/服务器等)可移动介质/BYOD 的使用限制和安全使用政策,并在使用后安全擦除数据。 | Endpoint Central 的安全 USB 功能允许网络管理员选择性限制 USB 使用范围,通过限制或允许全部使用。可在计算机级或用户级设置限制,灵活制定基于员工角色和部门的 USB 访问策略,实现安全管理。 |
| 12.4 | 考虑通过 Active Directory 或端点管理系统实施集中策略,实现可移动介质的白名单/黑名单/限制管理。 | ||
| 12.5 | 默认策略是除非特别授权定义用途和使用期限,否则不允许在银行环境中使用可移动设备和介质。 | USB 设备在整个网络中默认被阻止,限制可在用户或设备级别解除,提供 USB 使用许可的灵活性。 | |
| 高级实时威胁防御与管理 | 13.2 | 为所有类别设备(终端设备如 PC/笔记本/移动设备等)、服务器(操作系统、数据库、应用等)、网页/互联网网关、邮件网关、无线网络、短信服务器等,部署防恶意软件、杀毒保护及行为检测系统,包括集中管理和监控的工具和流程。 | 提供 Windows Defender、Microsoft Security Essentials、Microsoft Forefront Endpoint Protection 2010 服务器管理、Microsoft Forefront Client Security 和 Mcafee Virusscan Enterprise 的杀毒更新管理。 |
| 13.3 | 考虑实施互联网网站/系统的白名单机制。 | 使用 Browser Security Plus 插件,IT 管理员可以实现 URL 的白名单和黑名单管理。 | |
| 审计日志设置 | 17.1 | 实施并定期验证各设备、系统软件和应用软件的适当日志/审计跟踪设置,确保日志包含唯一识别所需的最小信息,例如日期、时间戳、源地址、目标地址以及每个数据包和/或事件和/或交易的其他有用元素。 | 硬件和软件的添加/移除均被记录,包含时间戳、日期、USB 设备名称和用户名以便审核。此外,这些变更可通过电子邮件及时通知相关负责人,便于紧急处理。 |
| 指标 | 21.2 | 一些示例指标包括防恶意软件软件覆盖率及更新百分比、补丁延迟、用户意识培训程度、漏洞相关指标等。 | Endpoint Central 提供全面、交互式的见解和信息图,可用于快速浏览大量设备数据,识别和解决漏洞。此外,还提供有助于深入了解关键更新、安装状态、更新失败、漏洞数据库更新等的报告。 |
