安全控制框架 2024
控制项模式安全控制框架(SCF)是一个全面的网络安全控制框架,包含超过1000个控制要求,覆盖隐私、网络安全、数据保护、业务连续性等多个领域。SCF旨在帮助组织满足多个法规和标准的合规要求。
存在利用自适应电子邮件保护的机制,其中涉及在电子邮件保护的应用和执行中采用基于风险的分析。
无论用户的位置或周围网络的安全状况如何,都存在终止、检查、控制和重新启动应用程序流量的机制。
当在不同安全域之间传输信息时,存在自动机制来检查信息中是否存在未经批准的信息并禁止传输此类信息。
现有机制可确保共同提供域名服务 (DNS) 解析服务的系统具有容错能力并实现内部/外部角色分离。
存在强制系统和进程使用代理对互联网绑定流量进行身份验证的机制,以实现用户、组和/或位置感知的安全控制。
存在利用经过身份验证的接收链的机制,该机制允许中间人签署自己对原始电子邮件的身份验证,从而允许下游实体接受中间人的身份验证,即使电子邮件已更改。
存在通过身份验证和强加密来保护无线访问的机制。
存在自动化机制来监视和控制远程访问会话。
存在实施带宽控制技术的机制,以限制带宽密集型域类别使用的带宽量。
存在监视和控制外部网络边界和网络内关键内部边界的通信的机制。
存在防止与使用一组已知不良证书的系统和/或服务进行通信的机制。
存在防止加密数据绕过内容检查机制的机制。
自动内容解除和重建 (CDR) 机制可检测是否存在未经批准的活动内容并促进其删除,从而生成仅包含已知安全元素的内容。
存在自动化机制来唯一地识别和验证信息传输的源点和目的地点。
存在实施跨域解决方案 (CDS) 的机制,以减轻在安全域之间访问或传输信息的特定安全风险。
存在实施和管理访问控制列表 (ACL) 的机制,以提供数据流强制执行,将网络流量明确限制为仅授权的流量。
存在自动化机制来实施数据丢失防护 (DLP),以在存储、传输和处理敏感信息时保护敏感信息。
在不同安全域之间传输信息时,存在自动化机制,利用数据类型标识符来验证信息流决策所必需的数据。
当在不同安全域之间传输信息时,存在自动化机制来将信息分解为与策略相关的子组件,以便提交给策略执行机制。
存在自动化机制来防止或限制拒绝服务攻击的影响。
存在配置防火墙和路由器配置的机制,以默认拒绝网络流量并在例外情况下允许网络流量(例如,拒绝全部、例外允许)。
存在自动化机制来实现安全策略过滤器,当在不同安全域之间传输信息时,需要完全枚举的格式来限制数据结构和内容。
存在禁止或严格控制敏感/受监管数据飞地(安全区域)的互联网访问的机制。
在向最终用户发布之前,存在禁用系统组件内部嵌入的不必要的无线网络功能的机制。
存在监控非军事区 (DMZ) 网段的机制,以将不可信网络与可信网络分开。
存在强制 Internet 绑定网络流量通过代理设备(例如策略执行点 (PEP))进行 URL 内容过滤和 DNS 过滤的机制,以限制用户连接到危险或禁止的 Internet 站点的能力。
现有机制可实现域签名验证保护,根据基于域的消息身份验证报告和一致性 (DMARC) 对传入电子邮件进行身份验证。
现有机制可确保域名服务 (DNS) 解析的设计、实施和管理,以保护名称/地址解析的安全。
现有机制可确保域名查找(无论是内部域还是外部域)根据域名系统安全扩展 (DNSSEC) 进行验证。
存在锁定域名注册商的机制,以防止因未经授权删除、转移或其他未经授权修改域名注册详细信息而导致拒绝服务。
存在自动化机制,用于在运行时动态隔离(例如,沙箱)不受信任的组件,其中组件在包含故障的环境中被隔离,但它仍然可以与应用程序协作。
存在保护电子消息通信的机密性、完整性和可用性的机制。
现有机制可实现电子邮件过滤安全服务,以检测电子邮件中的恶意附件并阻止用户访问它们。
存在监控组织电子邮件域声誉并保护电子邮件域声誉的机制。
存在自动化机制来实现电子邮件标签,将组织定义的标签应用于传入或传出电子邮件。
存在对在其他数据类型中嵌入数据施加限制的机制。
存在使用组织批准的加密方式对外发电子邮件进行加密的机制。
存在禁止最终用户消息传递技术传输未受保护的敏感/受监管数据的机制。
在允许设备连接到组织技术资产之前,存在自动化机制来验证端点设备的安全状况(例如,软件版本、补丁级别等)。
现有机制可提供快速断开或禁用用户远程访问会话的能力。
存在一些机制,可以在不使用组织定义的边界保护设备的情况下禁止敏感系统直接连接到外部网络。
存在为每个外部电信服务维护托管接口的机制,以保护通过每个接口传输的信息的机密性和完整性。
存在实施和管理安全访客网络的机制。
存在自动化机制来实施主机遏制保护,以撤销或隔离主机对网络的访问。
存在强制对访问控制列表 (ACL) 和类似规则集进行日常人工审查的机制。
存在使用互连安全协议 (ISA) 或类似方法授权系统与其他系统之间的连接的机制,该协议记录了每个互连的接口特征、网络安全和数据隐私要求以及所通信信息的性质。
存在通过授权系统内部连接并记录每个内部连接的接口特征、安全要求和所传送信息的性质来控制内部系统连接的机制。
存在实施互联网地址黑名单保护的机制,阻止从列入黑名单的互联网地址接收或发往黑名单互联网地址的流量。
存在与拥有、运营和/或维护内联网系统的其他组织建立信任关系的机制,允许授权个人: (1) 从外部系统访问内联网; (2) 使用外部系统处理、存储和/或传输组织控制的信息。
存在自动机制,用于在用户注销或其他会话终止时使会话标识符无效。
存在采用边界保护来隔离支持关键任务和/或业务功能的系统、服务和流程的机制。
存在将安全功能实现为分层结构的机制,该结构最大限度地减少设计各层之间的交互,并避免较低层对较高层的功能或正确性的任何依赖。
存在限制与其系统的并发外部网络连接数量的机制。
存在通过托管网络访问控制点(例如 VPN 集中器)路由所有远程访问的机制。
存在基于元数据强制执行信息流控制的机制。
存在对元数据应用网络安全和/或数据隐私过滤器的自动化机制。
自动化机制的存在可以实现物理或虚拟的微分段,以便根据应用程序和数据工作流通信需求来划分网络。
存在在会话结束时或在组织定义的不活动时间段之后终止网络连接的机制。
存在采用网络入侵检测/预防系统(NIDS/NIPS)来检测和/或预防对网络的入侵的机制。
存在开发、管理和更新程序的机制,以促进网络安全控制(NSC)的实施。
现有机制可确保网络架构利用网络分段来隔离系统、应用程序和服务,从而保护其免受其他网络资源的影响。
存在将安全属性与信息、源和目标对象相关联的机制,以强制执行定义的信息流控制配置作为流控制决策的基础。
存在利用带外信道来电子传输信息和/或将系统组件或设备物理运输给授权个人的机制。
存在将基于网络的处理规则应用于个人数据 (PD) 的数据元素的机制。
存在自动化机制来根据既定标准评估访问请求,以动态且统一地强制执行访问权限和许可。
存在防止公开披露内部网络信息的机制。
存在自动化机制来防止敏感/受监管数据未经授权地通过托管接口泄露。
加密机制的存在是为了保护远程访问会话的机密性和完整性(例如 VPN)。
存在自动化机制以确保网络流量符合互联网工程任务组 (IETF) 协议规范。
存在定义、控制和审查组织批准的安全远程访问方法的机制。
存在限制特权命令的执行和通过远程访问访问安全相关信息的机制,仅用于迫切的操作需求。
存在自动化机制来实施资源遏制保护,以删除或隔离资源对其他资源的访问。
存在识别和明确授权允许独立配置无线网络功能的用户的机制。
现有机制可测试无线接入点 (WAP) 的存在并识别设施内所有授权和未授权的 WAP。
存在通过组织认可的托管接口上的代理服务器将内部通信流量路由到外部网络的机制。
存在自动化机制,通过专用的托管接口路由网络特权访问,以实现访问控制和审核。
加密机制的存在是为了实施强大的加密和安全协议,以在开放的公共网络传输过程中保护敏感/受监管的数据。
当客户端系统请求时,存在对从权威源接收到的域名服务 (DNS) 解析响应执行数据源身份验证和数据完整性验证的机制。
存在实现安全管理子网的机制,通过实现具有与系统其他组件的受管接口的单独子网,将安全工具和支持组件与其他内部系统组件隔离。
通过向这些隔离的网段提供特定于 enclave 的 IT 服务(例如,目录服务、DNS、NTP、ITAM、反恶意软件、补丁管理等),可以将敏感/受监管的数据 enclave(安全区域)与企业提供的 IT 资源隔离开来。
存在实施发件人拒绝名单保护的机制,以防止接收来自列入拒绝名单的发件人、域和/或电子邮件服务器的电子邮件。
存在验证电子邮件通信合法性的机制,方法是配置域命名服务 (DNS) 发件人策略框架 (SPF) 记录以指定被授权从指定域发送电子邮件的 IP 地址和/或主机名。
存在实施分段控制的机制,以限制敏感/受监管数据飞地(安全区域)的入站和出站连接。
存在实现单独网络地址(例如不同子网)以连接到不同安全域中的系统的机制。
存在保护通信会话的真实性和完整性的机制。
自动化机制的存在可通过软件定义网络 (SDN) 架构实现动态、策略驱动的网络分段、访问控制和流量管理。
存在主动控制和监控用于通过远程访问访问、支持或维护系统组件的第三方帐户的机制。
存在自动机制来生成和识别每个会话的唯一会话标识符。
现有机制使用户能够对其电子邮件进行数字签名,从而允许外部各方根据基于域的消息身份验证报告和一致性 (DMARC) 电子邮件身份验证协议对电子邮件的发件人及其内容进行身份验证。
现有机制可以合并用户提交的网络钓鱼尝试、垃圾邮件或其他恶意行为,以更好地保护组织。
现有机制使虚拟局域网 (VLAN) 能够限制网络上的设备与子网上的其他设备直接通信的能力,并限制攻击者横向移动以危害相邻系统的能力。
存在配置代理的机制,以使加密的通信流量对监控工具和机制可见。
存在将无线通信限制在组织控制的边界内的机制。
现有机制可监控无线网段以实施无线入侵检测/预防系统 (WIDS/WIPS) 技术。
存在通过监视未经授权的无线连接来保护外部和内部无线链路免受信号参数攻击的机制,包括扫描未经授权的无线接入点并在发现未经授权的连接时采取适当的操作。
存在控制授权无线使用并监控未经授权的无线访问的机制。
存在定义安全远程办公实践并管理远程工作人员对系统和数据的远程访问的机制。
现有机制将所有用户和设备视为潜在威胁,并阻止对数据和资源的访问,直到用户得到正确的身份验证并获得访问授权。