安全控制框架 2024
控制项模式安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。
存在记录、评估风险以及批准或拒绝标准化配置偏差的机制。
存在实现配置管理职责分离的机制,以防止开发人员执行生产配置管理职责。
存在自动化机制,通过连续诊断和缓解 (CDM) 或类似技术来管理和报告系统的基线配置。
现有机制允许通过应用一组已定义的定制操作来专门化或定制基线控制,这些定制操作特定于: (1) 使命/业务功能; (二)运行环境; (3) 特定威胁或漏洞; (4) 其他可能影响任务/业务成功的条件或情况。
存在自动化机制来监视、执行和报告端点设备的配置。
存在促进配置管理控制实施的机制。
现有机制可以通过更严格的基线配置来配置高风险区域中使用的系统。
存在将开发和测试环境的基线配置与操作基线配置分开管理的机制,以最大限度地减少意外更改的风险。
存在明确允许(允许名单/白名单)和/或阻止(拒绝名单/黑名单)有权在系统上执行的应用程序的机制。
存在自动化机制,用于识别与批准基线的未经授权的偏差,并实施自动化弹性操作来补救未经授权的更改。
存在通过明确禁止或限制端口、协议和/或服务的使用来将系统配置为仅提供基本功能的机制。
存在配置网络设备以同步启动和运行配置文件的机制。
存在建立安全使用开源软件参数的机制。
存在定期审查系统配置的机制,以识别和禁用不必要和/或不安全的功能、端口、协议和服务。
存在配置系统以防止执行未经授权的软件程序的机制。
存在一些机制来响应未经授权的配置设置更改(作为安全事件)。
存在配置系统以阻止软件安装的机制,除非该操作是由特权用户或服务执行的。
存在保留基线配置的先前版本以支持回滚的机制。
存在审查和更新基线配置的机制: (1) 至少每年一次; (2) 因故需要时; (3) 作为系统组件安装和升级的一部分。
存在配置系统、应用程序和流程以限制对敏感/受监管数据的访问的机制。
每当收集、创建、更新、删除和/或存档敏感/受监管数据时,都会存在自动机制来生成事件日志。
存在执行软件使用限制的机制,以遵守适用的合同协议和版权法。
存在防止远程设备分割隧道的机制,除非使用组织定义的保护措施安全地配置分割隧道。
现有机制用于开发、记录和维护符合行业认可的系统强化标准的技术平台的安全基线配置。
存在将系统配置为在检测到未经授权的软件安装时生成警报的机制。
现有机制仅允许经批准的互联网浏览器和电子邮件客户端在系统上运行。
存在限制非特权用户安装未经授权的软件的机制。
存在实施零接触配置 (ZTP) 或类似技术的机制,以便在将设备添加到网络时自动、安全地配置设备。