网络安全成熟度模型认证(一级和二级) 2.0
控制项模式CMMC 1级和2级内容摘自官方NIST SP 800-171r2控制声明,其中1级子集标记与CMMC 2.0基础范围一致。
将系统访问限制在授权用户、代表授权用户操作的进程以及设备(包括其他系统)范围内。
将系统访问限制在授权用户允许执行的交易类型和功能范围内。
根据批准的授权控制受控未分类信息(CUI)的流动。
将个人职责分开,以降低在没有勾结情况下发生恶意行为的风险。
采用最小权限原则,包括针对特定的安全功能和特权账户。
在访问非安全功能时使用非特权账户或角色。
防止非特权用户执行特权功能,并在审计日志中记录此类功能的执行情况。
限制登录失败的尝试次数。
提供符合适用CUI规则的隐私和安全通知。
使用会话锁和隐藏显示模式,以防止在一段时间不活动后访问和查看数据。
在满足特定条件后(自动)终止用户会话。
监控和控制远程访问会话。
使用加密机制来保护远程访问会话的机密性。
通过受管理的访问控制点进行远程访问路由。
授权远程执行特权命令和远程访问安全相关信息。
在允许此类连接之前,请授权无线访问。
使用身份验证和加密保护无线访问。
控制移动设备的连接。
在移动设备和移动计算平台上加密受控未分类信息(CUI)。
验证并控制/限制与外部系统的连接和使用。
限制在外部系统上使用便携式存储设备。
控制在公开可访问系统上发布或处理的CUI。
确保组织系统的管理者、系统管理员和用户了解其活动相关的安全风险,以及与这些系统安全相关的适用政策、标准和程序。
确保人员接受培训,以执行其分配的信息安全相关职责和责任。
提供安全意识培训,教导识别和报告潜在的内部威胁迹象。
创建并保留系统审计日志和记录,范围足以支持对非法或未经授权的系统活动进行监控、分析、调查和报告。
确保可以唯一地追踪系统中每个用户的操作,以便对他们的行为追究责任。
查看并更新已记录的事件。
在审计日志处理失败时发出警报。
将审计记录的审查、分析和报告流程与对非法、未经授权、可疑或异常活动迹象的调查和响应相关联。
提供审计记录减少和报告生成,以支持按需分析和报告。
提供一种系统功能,将内部系统时钟与权威来源进行比较和同步,以生成审计记录的时间戳。
保护审计信息和审计记录工具,防止未经授权的访问、修改和删除。
将审计日志功能的管理权限限制在部分特权用户范围内。
在各自的系统开发生命周期中,建立并维护组织系统(包括硬件、软件、固件和文档)的基线配置和清单。
为组织系统中使用的信息技术产品建立并执行安全配置设置。
跟踪、审查、批准或拒绝,并记录对组织系统的更改。
在实施之前分析变更的安全影响。
定义、记录、批准并执行与组织系统变更相关的物理和逻辑访问限制。
通过配置组织系统仅提供必要功能,遵循最小功能原则。
限制、禁用或阻止非必要程序、功能、端口、协议和服务的使用。
应用按例外拒绝(黑名单)策略以防止使用未经授权的软件,或应用全拒绝、按例外允许(白名单)策略以允许执行经过授权的软件。
控制和监控用户安装的软件。
识别系统用户、代表用户操作的进程以及设备。
对用户、进程或设备的身份进行认证(或验证),作为允许访问组织系统的前提条件。
对特权账户的本地和网络访问以及非特权账户的网络访问使用多因素身份验证。
对特权账户和非特权账户的网络访问使用防重放认证机制。
防止在规定期限内重复使用标识符。
在定义的非活动期后禁用标识符。
在创建新密码时,强制执行最低密码复杂度并更改字符。
禁止在指定的次数内重复使用密码。
允许在系统登录时使用临时密码,并立即更改为永久密码。
仅存储和传输经过加密保护的密码。
认证信息的模糊反馈。
为组织系统建立一个操作性事件处理能力,包括准备、检测、分析、遏制、恢复和用户响应活动。
跟踪、记录并向组织内外的指定官员和/或主管部门报告事件。
测试组织的事件响应能力。
对组织系统进行维护。
对用于进行系统维护的工具、技术、机制和人员提供控制措施。
确保送往外部维护的设备已清除任何受控非公开信息(CUI)。
在将媒体用于组织系统之前,检查包含诊断和测试程序的媒体是否含有恶意代码。
要求通过外部网络连接建立非本地维护会话时使用多因素身份验证,并在非本地维护完成后终止此类连接。
监督没有所需访问权限的维护人员的维护活动。
保护 (i.
将系统媒介上的受控未分类信息(CUI)的访问限制在授权用户范围内。
在处置或释放以供再使用之前,清理或销毁包含受控未分类信息(CUI)的系统媒介。
在媒体上标注必要的受控未分类信息(CUI)标记和分发限制。
控制对包含受控未分类信息 (CUI) 的媒体的访问,并在媒体运送到受控区域之外时保持责任追踪。
在传输过程中,为存储在数字介质上的受控未分类信息 (CUI) 实施加密机制以保护其机密性,除非采用其他物理保护措施进行保护。
控制系统组件上可移动媒体的使用。
当便携式存储设备无法识别所有者时,禁止使用该设备。
保护存储位置备份的受控未分类信息(CUI)机密性。
在授权访问包含受控未分类信息(CUI)的组织系统之前,对个人进行筛查。
确保在人员调动(如离职和调岗)期间及之后,包含受控未分类信息(CUI)的组织系统得到保护。
限制未经授权的人员访问组织的系统、设备及其操作环境,仅允许授权人员访问。
保护和监控组织系统的物理设施及支持基础设施。
护送访客并监督访客活动。
维护物理访问的审计日志。
控制和管理物理访问设备。
在备用工作场所执行对受控未分类信息(CUI)的保护措施。
定期评估由组织系统的运行及与之相关的机密未分类信息(CUI)的处理、存储或传输所导致的,对组织运营(包括任务、职能、形象或声誉)、组织资产和个人的风险。
定期扫描组织系统和应用程序中的漏洞,并在发现影响这些系统和应用程序的新漏洞时进行扫描。
根据风险评估修复漏洞。
定期评估组织系统中的安全控制措施,以确定这些控制措施在实际应用中是否有效。
制定并实施行动计划,以纠正缺陷并减少或消除组织系统中的脆弱性。
持续监控安全控制措施,以确保这些控制措施的持续有效性。
制定、记录并定期更新系统安全计划,描述系统边界、系统运行环境、安全要求的实现方式,以及与其他系统的关系或连接。
监控、控制和保护通信(i.
采用建筑设计、软件开发技术和系统工程原理,在组织系统中促进有效的信息安全。
将用户功能与系统管理功能分开。
防止通过共享系统资源的未授权和无意的信息传输。
为公开可访问的系统组件实现子网,这些组件与内部网络在物理上或逻辑上是分离的。
默认拒绝网络通信流量,并允许例外的网络通信流量(即
防止远程设备同时与组织系统建立非远程连接,并通过其他连接与外部网络中的资源进行通信。
实施加密机制以防止在传输过程中未经授权的CUI泄露,除非已通过其他物理保护措施进行保护。
在会话结束或达到定义的不活动时间后,终止与通信会话相关的网络连接。
为组织系统中使用的加密技术建立和管理加密密钥。
在用于保护受控未分类信息(CUI)机密性时,使用经 FIPS 验证的加密技术。
禁止远程启动协作计算设备,并向在设备旁的用户显示设备使用状态。
控制和监控移动代码的使用。
控制和监控互联网语音协议(VoIP)技术的使用。
保护通信会话的真实性。
保护静止状态下的受控未分类信息 (CUI) 的机密性。
及时识别、报告并纠正系统缺陷。
在组织系统的指定位置提供对恶意代码的防护。
监控系统安全警报和通告,并采取相应措施。
在有新版本发布时更新恶意代码防护机制。
对组织系统进行定期扫描,并在从外部来源下载、打开或执行文件时进行实时扫描。
监控组织系统,包括进出通信流量,以检测攻击及潜在攻击的迹象。
识别组织系统的未经授权使用。