NIST 网络安全框架 2.0 2.0

配置管理实践已建立并应用 标准：例如：建立、测试、部署和维护强化基线，以执行组织的网络安全策略并仅提供必要的功能（即，最小功能原则) | 示例2：在安装或升级软件时，审核所有可能影响网络安全的默认配置设置 | 示例3：监控已实施的软件是否偏离已批准的基线

硬件的维护、更换和移除应与风险相称 标准：例1：当硬件缺乏所需的安全功能或无法支持具有所需安全功能的软件时，更换硬件 | 例2：制定并实施硬件生命周期结束的维护支持和废弃计划 | 例3：以安全、负责任且可审计的方式进行硬件处置

日志记录会被生成并提供用于持续监控 标准： 示例1：配置所有操作系统、应用程序和服务（包括基于云的服务）以生成日志记录 | 示例2：配置日志生成器以安全地将其日志共享给组织的日志基础设施系统和服务 | 示例3：配置日志生成器以记录零信任架构所需的数据

安全的软件开发实践已经被整合，并且在整个软件开发生命周期中对其性能进行监控 标准： 示例1：保护组织开发的软件的所有组件免受篡改和未经授权的访问 | 示例2：确保组织产生的所有软件安全，其发布版本中的漏洞最少 | 示例3：维护在生产环境中使用的软件，并且在不再需要软件时安全地处理它

根据风险对软件进行维护、替换和移除 标准： 例1：在漏洞管理计划规定的时间范围内执行常规和紧急补丁更新 例2：更新容器镜像，并部署新的容器实例以替换现有实例，而不是更新现有实例 例3：将已达到生命周期结束的软件和服务版本替换为受支持和维护的版本 例4：卸载并移除带来不当风险的未经授权的软件和服务 例5：卸载并移除任何不必要的软件组件例如，操作系统实用程序）攻击者可能滥用 | 示例6：定义并实施软件和服务生命周期结束的维护支持和淘汰计划

防止安装和运行未授权的软件 标准：示例1：当风险需要时，仅限执行允许的软件或禁止执行被禁止和未授权的软件 | 示例2：在安装新软件之前验证软件来源及其完整性 | 示例3：配置平台仅使用批准的DNS服务，以阻止访问已知恶意域名 |Ex4：配置平台以仅允许安装组织批准的软件