2016年,印度储备银行(RBI)推出了网络安全框架,以加强在印度运营的银行的安全态势。 附件1 本框架规定了银行必须实施的网络安全和弹性最低基准,以保护其网络、系统和客户数据。
Endpoint Central 提供了全面的安全和合规解决方案,帮助银行符合这些监管要求。从设备管理和访问控制到威胁检测和事件响应,Endpoint Central 使银行能够增强安全性、降低风险并确保合规。
| 需求 | 序号 | 需求描述(附件1中) | Endpoint Central 如何满足? |
| 业务IT资产的清单管理 | 1.1 | 保持最新的资产清单,包括业务数据/信息(含客户数据/信息)、业务应用程序、支持的IT 基础设施及设施——硬件/软件/网络设备、关键人员、服务等,并指明其业务关键性。银行可能有自己的框架/标准来识别关键资产。 | 从 Endpoint Central 的 清单管理 和 报告中获取关于笔记本、台式机和移动设备的广泛硬件和软件信息。. Endpoint Central 的 自定义组 功能允许管理员逻辑分隔系统,便于有效管理和保护。 通过 集成 我们的服务台解决方案 ServiceDesk Plus (SDP),可为设备分配关键性等级。 |
| 1.2 | 根据银行的信息分类/敏感度标准分类数据/信息 | Endpoint Central 使 IT 管理员能够 发现和分类 各种结构化和非结构化数据,采用指纹识别、正则表达式、基于文件扩展名的过滤器和关键字搜索等先进机制。 | |
| 1.3 | 根据数据/信息的存储、传输、处理、访问及在银行网络内外的使用方式和其敏感级别及所面临的风险进行适当管理和保护。 | Endpoint Central 使用 FIPS 140-2 合规 算法。用户可以启用 FIPS 模式,在高度安全的环境中运行 IT 业务。 Endpoint Central 在远程故障排除操作中采用 256 位高级加密标准(AES)加密协议。 | |
| 防止未授权软件执行 | 2.1 | 保持最新且优选集中管理的授权/未授权软件清单。考虑实施允许名单管理授权的应用程序/软件/库等。 | 管理员可以 禁止用户 安装不必要的软件,并创建允许/阻止的软件列表 用于其 IT 环境。 2.2 |
| 具备集中或其他方式控制终端用户PC、笔记本、工作站、服务器、移动设备等的软件/应用安装机制,以及阻止/识别未授权软件/应用的安装和运行机制。 | 可以利用 | Endpoint Central 的 软件部署 功能从中央控制台安装/卸载软件应用。 Endpoint Central 还提供 自助服务门户,终端用户可以直接下载 IT 管理员为其配置的软件应用。 通过应用控制模块,管理员可以进行允许名单或阻止名单管理。 此外, 禁止软件 功能可阻止不必要的软件在网络中安装。 对于移动设备,管理员可以使用我们的 MDM 功能进行 应用阻止列表管理。 | |
| 2.3 | 持续监控各供应商/OEM发布的补丁、CERT-in及其他类似机构发布的安全通告,并按银行的补丁管理政策迅速应用安全补丁。如果OEM/制造商/供应商发布了针对已知广泛曝光漏洞的补丁/补丁系列,银行必须有相应机制,遵循紧急补丁管理流程迅速部署。 | 所有补丁信息均从供应商网站收集,经过严格分析后录入补丁数据库,并与 Endpoint Central 服务器同步。 使用 自动补丁部署 功能,实现补丁管理流程的全面自动化——从同步漏洞库、扫描网络设备检测缺失补丁、部署补丁,到提供定期补丁部署状态更新。利用此功能,零日漏洞也可以及时修补。还可自动在测试环境中测试和批准补丁,然后推送到业务关键环境。 | |
| 2.4 | 建立明确定义的框架,包括例外情况的正当性、例外持续时间、批准流程及审批权威,对例外实施定期由熟悉业务和技术背景的高级官员审核。 | Endpoint Central 采用最小权限原则,提供强大的 端点权限管理 功能,实现针对应用程序的权限控制和 即时访问。 通过应用控制模块,管理员可 管理软件的允许或阻止名单。此外, 禁止软件 可阻止不必要的软件在网络中安装。 | |
| 网络管理与安全 | 4.2 | 维护银行网络(场内/场外)及允许接入银行网络的授权设备的最新/集中清单。银行可考虑实施自动化网络发现和管理解决方案。 | 从 Endpoint Central 的清单管理和报告功能获取笔记本、台式机和移动设备的详细硬件和软件信息。 |
| 4.3 | 确保所有网络设备配置恰当,并定期评估其配置是否符合期望的网络安全级别。 | Endpoint Central 方便管理员 配置 Windows 防火墙 给终端用户使用。 安全运营团队可执行 端口审计 ,在零日漏洞情况下大幅降低攻击面。 Endpoint Central 通过启用管理员实施广泛的 威胁防护配置 ,实现安全浏览。 阻止/限制终端用户 从恶意网站下载(含恶意软件)文件或访问这些网站。 还提供 加固网页服务器 和修复 安全配置错误的功能。 | |
| 4.5 | 配备识别授权硬件/移动设备(笔记本、手机、平板等)的机制,确保仅当其满足银行安全要求时予以联网。 | Endpoint Central 的 系统隔离策略 帮助组织主动管理系统合规性,减少漏洞,提升整体安全态势。 | |
| 4.6 | 拥有自动识别未授权设备连接银行网络并阻断此类连接的机制。 | Endpoint Central 的 条件访问策略 还防止未授权访问组织设备及其应用。Endpoint Central 还利用 基于证书的身份验证 | |
| 4.7 | 建立机制检测并应对系统、服务器、网络设备和端点中的异常活动。 | Endpoint Central 可 警报 IT 管理团队,当管理的 IT 网络内出现硬件变更、软件安装和卸载、禁止软件安装,或提醒管理员终端用户硬盘空间不足、许可过期后的软件使用等可疑行为。 | |
| 安全配置 | 5.1 | 制定并应用基线安全要求/配置于所有类别设备(端点/工作站、移动设备、操作系统、数据库、应用程序、网络设备、安全设备、安全系统等),涵盖生命周期全过程(从设计到部署),并定期审查, | Endpoint Central 提供专用的 配置 (移动设备使用 配置文件 )以推行覆盖全组织或选定端点/用户的安全策略。还提供 防火墙规则 的可定制性。针对所有主流操作系统、驱动及超过 850 个第三方应用 的补丁管理功能,修复易受攻击的应用或系统。 地理追踪 能帮助定位丢失设备,防止数据泄露。 Endpoint Central 实现设备锁定功能。 浏览器安全帮助防止基于浏览器的威胁,保护企业数据免受凭证窃取、钓鱼攻击和意外数据泄露。 |
| 5.2 | 定期评估银行网络(含数据中心、第三方托管站点、共享基础设施区域)内所有关键设备(如防火墙、网络交换机、安全设备等)的配置和补丁级别。 | Endpoint Central 定期扫描网络资产,检测易受攻击系统与应用、火墙状态、防病毒状态以及 FileVault/Bitlocker 状态。扫描频率可配置。 | |
| 应用安全生命周期 (ASLC) | 6.8 | 考虑实施措施,如在移动/智能手机上安装“容器化”应用,仅用于专属业务,且加密隔离,必要时可远程擦除容器内数据,使其不可读。 | 使用 Endpoint Central 可实现企业数据容器化,并防止访问剪贴板。 可配置基于设备所有权(自带设备BYOD和公司持有设备COPE)的策略、限制和分组。 支持 企业擦除 自带设备以及公司持有、个人启用设备的注销时完整擦除。 Endpoint Central 提供的地理围栏功能赋能组织实施访问管理。 |
| 补丁/漏洞与变更管理 | 7.1 | 遵循有文件记录的风险基础策略,盘点需打补丁的IT组件,识别及应用补丁,最小化易受攻击系统数量及暴露时间。 | Endpoint Central 补丁管理支持部署补丁至所有主流设备操作系统-Windows、Mac、Linux 及超过 850 个第三方应用。补丁方案还包括各类组件的驱动更新。 定期扫描网络内 IT 资产,识别易受攻击的系统和应用。 Endpoint Central 的自动补丁部署(APD)功能赋予系统管理员自动部署缺失补丁的能力。 可针对所有设备类型配置专门部署策略,支持非工作时间开启设备打补丁,防止影响营业时间内重启,适用于服务器等关键设备,补丁更新后自动关机。 |
| 7.2 | 建立系统和流程,以识别、跟踪、管理和监控直接连接互联网终端用户设备以及服务器操作系统/数据库/应用/中间件等补丁状态。 | ||
| 7.3 | 业务应用、支持技术、服务组件及设施的变更应通过强健配置管理流程及配置基线加以管理,确保变更完整性。 | Endpoint Central 预设配置和集合可用于 IT 资产的配置基线管理。 新注册设备根据所属OU/组自动应用基线。 Endpoint Central 可强制每次启动时执行配置基线,提升安全性。 | |
| 7.6 | 作为威胁缓解措施,识别事件根因并应用必要补丁修补漏洞。 | Endpoint Central 可辅助补丁管理 Windows、Linux、Mac 服务器,850+ 第三方应用,BIOS 及硬件驱动。 | |
| 用户访问控制/管理 | 8.1 | 提供对银行资产/服务的安全访问,无论是在银行网络内部还是外部,通过保护静态数据/信息(例如,若设备支持则使用加密)和传输中的数据(例如,使用VPN或其他安全网络协议等技术)。 | Endpoint Central 使管理员能够通过管理来加密终端用户的设备。 BitLocker 适用于 Windows 系统,Mac 设备则使用 FileVault。 |
| 8.3 | 禁止终端用户工作站/PC/笔记本电脑上的管理员权限,依据“知情需要”原则及已建立流程,按需和限定时间提供访问权限。 | 为确保只有符合特定条件的授权用户/设备可以访问资源,Endpoint Central 具备 条件访问策略. Endpoint Central 利用最小权限原则,并拥有强大的 终端特权管理 能力,支持针对应用程序的特权管理。 即时访问 | |
| 8.6 | 实施控制以最小化无效登录次数,停用闲置账户。 | Endpoint Central 提供包括未使用账户、非活跃账户、禁用账户、过期账户、密码过期账户的 AD 用户综合报告,可识别网络中的闲置账户。 Endpoint Central 提供开箱即用的 用户登录报告 以监控用户登录历史。 | |
| 8.7 | 监控登录模式的任何异常变化。 | ||
| 8.8 | 实施措施控制在 PC/笔记本电脑等设备上的软件安装。 | 提供专用软件管理模块用于安装/卸载软件。管理员还可以创建允许/禁止的软件列表。通过使用禁止软件功能,管理员可以 在网络中禁止某些软件,并能自动从设备卸载被禁止的软件。 使用 Endpoint Central 的阻止可执行文件功能,可以阻止不可信/未知的可执行文件。 | |
| 8.9 | 实施远程管理/擦除/锁定移动设备(包括笔记本电脑等)的控制措施。 | 可通过 Endpoint Central 实现对移动设备的远程管理、远程锁定和擦除。 | |
| 8.10 | 实施控制措施,限制 Office 文档中 VBA/宏的使用,控制电子邮件系统中允许的附件类型。 | Endpoint Central 利用自定义脚本配置功能,确保无业务需求的用户禁用宏。为防止通过电子邮件泄露数据,我们有 DLP for Outlook。 | |
| 可移动媒体 | 12.1 | 定义并实施策略,限制和安全使用各种类型设备(包括但不限于工作站/PC/笔记本电脑/移动设备/服务器等)上的可移动媒体/BYOD,并确保使用后数据安全擦除。 | Endpoint Central 的 Secure USB 功能允许网络管理员通过限制或允许完全使用,选择性地限制 USB 实例的使用范围。可在计算机级别或用户级别设置限制,这一灵活性的策略制定基于员工的角色和部门。借助其 Device Control 模块,管理员可以创建受信任设备,仅允许这些设备完全使用。Endpoint Central 的 Next-Gen Antivirus 扫描 外设设备,在用户开始访问时即时扫描。USB 实例可默认在整个网络中被阻止,限制可在用户或设备级别取消,提供 USB 使用权限的灵活性。 |
| 12.2 | 限制可传输/复制至/从这类设备的媒体类型和信息内容。 | ||
| 12.3 | 在允许读写访问前,先对可移动媒体进行恶意软件/病毒扫描。 | ||
| 12.4 | 考虑通过 Active Directory 或终端管理系统实施集中策略,以白名单/黑名单/限制可移动媒体的使用。 | ||
| 12.5 | 默认规则中,除非针对定义的使用和使用期限有明确授权,否则银行环境内不允许使用可移动设备和媒体。 | ||
| 高级实时威胁防御与管理 | 13.2 | 实施针对所有类别设备(如终端设备如 PC/笔记本电脑/移动设备等)、服务器(操作系统、数据库、应用软件等)、Web/互联网网关、邮件网关、无线网络、短信服务器等的反恶意软件、防病毒保护及行为检测系统,包括集中管理和监控的工具和流程。 | Endpoint Central 内置 下一代杀毒引擎 利用 AI 辅助的实时行为检测和深度学习技术,主动检测网络威胁。 除了实时威胁检测外,Endpoint Central 还积极进行事件取证,供 SecOps 分析威胁的根本原因和严重程度。 如果下一代杀毒引擎在端点检测到可疑行为,可以隔离相关端点,并在彻底取证分析后重新部署到生产环境。 Endpoint Central 利用微软的卷影复制服务,每三小时为您的网络文件提供即时且不可删除的备份。 若文件被勒索软件感染,可用最近的备份复制文件进行恢复。 |
| 13.3 | 考虑实施互联网网站/系统的白名单策略。 | 使用 Browser Security Plus 插件,IT 管理员可以实现 URL 的白名单和黑名单管理。 | |
| 数据泄漏防护策略 | 15.1 | 制定全面的数据丢失/泄漏防护策略,以保护敏感(包括机密)业务和客户数据/信息。 | Endpoint Central 提供 高级数据泄漏防护能力,能够检测和分类个人身份信息(PII)。通过允许管理员配置针对云服务和外设的传输政策,全面控制 IT 环境中的数据流。 其外设设备管理功能还允许阻止/限制外部存储设备,并帮助管理员创建终端用户可使用的受信任设备列表。能实现文件追踪,监控敏感文件尤其是在迁移至外部设备时。同时对敏感数据执行文件映像操作,无论何时复制或修改其外设设备内的文件。 |
| 15.2 | 这应包括保护终端设备中处理的数据、传输中的数据,以及存储于服务器和其他数字存储设备中,无论是在线还是离线。 | ||
| 审计日志设置 | 17.1 | 实施并定期验证捕获适当日志/审计轨迹的设置,涵盖每台设备、系统软件和应用软件,确保日志至少包含可以唯一识别日志的信息,比如日期、时间戳、源地址、目的地址以及每个数据包和/或事件和/或事务的其他有用元素。 | 增加/移除的硬件和软件均被记录,包含时间戳、日期、USB 设备名称和用户名用于审计。此外,出现变更时还能通过邮件提醒相关部门,以便紧急处理。 |
| 事件响应与管理 | 19.4 | 银行的 BCP/DR 能力应充分有效地支持银行的网络韧性目标,并设计为使银行能够快速从网络攻击/其他事件中恢复,安全恢复关键业务,符合恢复时间目标,同时确保过程和数据安全。 | Endpoint Central 还提供 即时且不可删除的文件备份 ,每三小时利用微软卷影复制服务备份网络文件。 若文件被勒索软件感染,可用最近的备份复制文件进行恢复。 |
| 指标 | 21.2 | 示范性指标包括反恶意软件软件的覆盖范围及更新率、补丁延迟、用户意识培训程度、漏洞相关指标等。 | Endpoint Central 提供全面的交互式洞察和信息图,助力分析大量设备数据以识别并解决漏洞。此外,还提供报告分析关键更新、安装状态、失败的更新、漏洞数据库更新等。 |
