安全控制框架 2024
控制项模式安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。
现有机制将外部身份验证器的使用限制为符合美国国家标准与技术研究所 (NIST) 要求的外部身份验证器,并维护可接受的外部身份验证器列表。
存在接受和电子验证组织个人身份验证 (PIV) 凭证的机制。
存在接受并以电子方式验证来自第三方的个人身份验证 (PIV) 凭证的机制。
存在自动化机制来接受联邦身份、凭证和访问管理 (FICAM) 批准的第三方凭证。
存在强制执行符合“最小权限”原则的逻辑访问控制 (LAC) 权限的机制。
现有机制将敏感/受监管数据的访问权限限制为仅那些工作需要此类访问权限的个人。
现有机制可以在收到对组织构成重大风险的用户的通知后立即禁用帐户。
存在机制来强制限制用户在组织定义的时间段内连续无效的登录尝试,并在超过最大不成功尝试次数时自动锁定帐户。
存在主动管理个人、群组、系统、服务、应用程序、访客和临时帐户的帐户管理的机制。
存在允许个人在特定环境或情况下使用替代身份验证方法的机制。
现有机制要求通过带外通道发送校对通知,以验证用户的地址(物理地址或数字地址)。
存在强制执行基于属性的访问控制 (ABAC) 的机制,以实现支持信息安全共享的策略驱动的动态授权。
存在审核特权功能执行情况的机制。
存在严格管理身份验证、授权和审核 (AAA) 解决方案(本地部署和外部服务提供商 (ESP) 托管的解决方案)使用的机制。
存在一些机制来掩盖认证过程中认证信息的反馈,以保护信息免遭未经授权的个人可能的利用/使用。
存在安全管理用户和设备身份验证器的机制。
存在限制显式授权的特权用户访问安全功能的机制。
存在定义和记录系统、应用程序和服务上允许和禁止的帐户类型的机制。
存在自动化机制来审核帐户创建、修改、启用、禁用和删除操作,并通知组织定义的人员或角色。
存在自动化机制来确定密码验证器是否足够强大,足以满足组织定义的密码长度和复杂性要求。
存在自动化机制来支持系统帐户的管理(例如目录服务)。
现有机制可确保基于生物识别的身份验证满足组织定义的误报和漏报生物识别质量要求。
如果不再需要或不再允许,则存在在人员角色和职责发生变化后撤销用户访问权限的机制。
存在限制每个系统帐户的并发会话数量的机制。
存在自动化机制,可以在实体交互的生命周期中实现持续的重新身份验证。
存在防止共享通用 ID、密码或其他通用身份验证方法的机制。
存在用于协调用户名标识符与外部组织以进行标识符的跨组织管理的机制。
现有机制可确保加密模块遵守适用的法律、法规和合同的安全强度要求。
现有机制将包含敏感/受监管数据的数据库的访问权限限制为仅限必要的服务或工作需要此类访问权限的个人。
存在限制执行管理任务或需要提升对专用计算机的访问权限的任务的机制。
现有机制可确保在帐户创建或系统安装过程中更改默认身份验证器。
作为初始资产配置管理流程的一部分,存在通过集中管理系统加入域来确保设备识别和身份验证准确的机制。
存在强制加密通信密钥的机制,以防止使用一个密钥来访问多个设备。
存在自动化机制,可在组织定义的时间段后禁用不活动帐户。
存在用于分离个人、凭证服务提供商和依赖方之间的用户属性或凭证断言关系的机制。
存在自动化机制来强制执行特权命令的双重授权。
存在动态管理用户名和系统标识符的机制。
存在建立和控制“仅限紧急访问”帐户的机制。
存在自动化机制来禁止在组织定义的时间段后使用缓存的身份验证器。
存在联合凭证的机制,以允许对个人和设备进行跨组织身份验证。
当使用组验证器时,存在要求个体通过个体验证器进行验证的机制。
存在自动化机制,利用硬件安全模块 (HSM) 来保护组件所依赖的身份验证器。
存在自动化机制,以确保满足组织定义的基于硬件令牌的身份验证的令牌质量要求。
在使用基于加密且抗重放的双向身份验证建立连接之前,存在用于唯一识别和集中身份验证、授权和审核 (AAA) 设备的机制。
存在用于唯一识别和集中验证、授权和审核 (AAA) 向组织提供服务的第三方用户和流程的机制。
存在用于唯一识别和集中验证、授权和审核 (AAA) 组织用户以及代表组织用户的流程的机制。
存在识别和验证第三方系统和服务的机制。
存在管理用户名和系统命名标准的机制。
现有机制可促进身份识别和访问管理控制的实施。
现有机制要求向登记机构提供个人身份证明。
存在的机制要求通过组织定义的验证和验证方法来验证和验证所提供的身份证据。
在发布身份验证器或修改访问权限之前,存在验证用户身份的机制。
存在通过独特的用户名特征来识别承包商和其他第三方用户的机制。
在创建第三方用户帐户之前,存在进行亲自或受信任的第三方身份验证的机制。
现有机制要求身份证据的验证和核实必须亲自在指定的登记机构进行。
存在利用最小权限概念的机制,仅允许授权访问根据组织业务功能完成分配的任务所需的流程。
存在利用多重身份验证 (MFA) 来验证特权帐户的本地访问的机制。
现有机制可确保新帐户或现有帐户权限更改需要管理层批准。
存在自动化机制来强制执行多重身份验证 (MFA): (1) 远程网络访问; (2) 第三方系统、应用程序和/或服务;和/或 (3) 对关键系统或存储、传输和/或处理敏感/受监管数据的系统的非控制台访问。
存在实施安全保障措施的机制,以管理因个人在多个信息系统上拥有帐户而造成的损害风险。
存在利用多重身份验证 (MFA) 来验证非特权帐户的网络访问权限的机制。
现有机制可利用多重身份验证 (MFA) 来验证特权帐户的网络访问权限。
存在授权远程访问的机制,以便在关键系统上或仅出于迫切的操作需求而存储、传输和/或处理敏感/受监管数据的情况下执行特权命令。
现有机制可确保未加密的静态身份验证器不会嵌入到应用程序、脚本中或存储在功能密钥上。
存在禁止特权用户在执行非安全功能时使用特权帐户的机制。
存在在特定条件下实施带外身份验证 (OOBA) 的机制。
存在实现多重身份验证(MFA)以访问特权和非特权帐户的机制,使得其中一个因素由与正在访问的系统分离的设备独立提供。
存在生成成对假名标识符的机制,没有关于数据主体的识别信息,以阻止对数据主体的活动跟踪和分析。
存在强制执行复杂性、长度和生命周期考虑因素的机制,以确保基于密码的身份验证的严格标准。
存在通过密码管理器工具来保护和存储密码的机制。
存在实现模式隐藏显示的机制,以隐藏会话锁定期间先前在显示器上可见的信息。
存在定期审查分配给个人和服务帐户的权限的机制,以验证对此类权限的需求,并根据需要重新分配或删除不必要的权限。
存在识别和记录特定用户操作的支持原理的机制,这些操作可以在系统上执行而无需识别或身份验证。
存在自动化机制,通过构建和验证到可接受的信任锚的证书路径来验证证书,包括检查证书状态信息以进行基于 PKI 的身份验证。
存在自动化机制来防止应用程序以高于用户权限的权限级别执行。
存在禁止非组织用户进行特权访问的机制。
存在唯一管理特权帐户的机制,以将帐户标识为特权用户或服务。
存在用于清点所有特权帐户并验证每个具有提升特权的人员是否已获得适当级别的组织管理人员授权的机制。
存在限制和控制用户和服务的特权访问权限的机制。
存在用于在基础设施环境之间分离特权帐户的机制,以降低一个基础设施环境中受到损害而横向影响其他基础设施环境的风险。
存在限制将特权帐户分配给管理层批准的人员和/或角色的机制。
存在防止非特权用户执行特权功能的机制,包括禁用、规避或更改已实施的安全保障措施/对策。
存在保护认证器的机制,该机制与使用认证器允许访问的信息的敏感性相称。
存在强制用户和设备根据组织定义的需要重新身份验证的情况重新进行身份验证的机制。
存在实现参考监视器的机制,该参考监视器是防篡改的、始终被调用的、足够小以进行分析/测试并且可以保证其完整性。
存在自动化机制,用于在组织为每种类型的帐户定义的时间段后禁用或删除临时和紧急帐户。
存在采用抗重放认证的自动化机制。
存在仅在某些组织定义的条件下授权使用共享/组帐户的机制。
存在保留人员责任记录的机制,以确保记录授予个人(系统和应用程序方面)的所有访问权限、提供授权的人、授予授权的时间以及上次审查访问权限的时间。
存在撤销逻辑和物理访问授权的机制。
存在对用户和资源实施基于角色的访问控制 (RBAC) 策略的机制,该策略对敏感/受监管的数据访问应用“需要知道”和细粒度的访问控制。
存在一些机制,用于在组织定义的不活动时间段后或在收到用户的请求后启动会话锁定,并保留会话锁定,直到用户使用已建立的标识和身份验证方法重新建立访问权限。
存在自动机制,可以在会话结束时或在组织定义的不活动期后注销用户(无论是本地网络还是远程会话)。
现有机制可确保外部服务提供商为有权访问组织数据或资产的任何第三方用户提供最新且准确的信息。
存在为组织的系统和服务提供透明身份验证(例如单点登录(SSO))功能的机制。
存在审核所有系统帐户并禁用任何无法与业务流程和所有者关联的帐户的机制。
存在在雇佣或合同终止时及时撤销用户访问权限的机制。
存在自动化机制来强制执行用户和/或角色的使用条件。
存在使系统符合联邦身份、凭证和访问管理 (FICAM) 发布的配置文件的机制。
存在限制和严格控制能够超越系统和应用程序控制的实用程序的机制。
存在自动化机制来维护授权用户和服务帐户的当前列表。
现有机制可确保对非消费者用户和管理员进行适当的用户身份管理。
存在提供注销功能并向用户显示明确的注销消息以指示会话可靠终止的机制。
存在利用正式用户注册和注销流程来管理访问权限分配的机制。
现有机制迫使用户在使用身份验证机制(例如密码、口令、物理或逻辑安全令牌、智能卡、证书等)时遵循公认的做法。