ISO27040標(biāo)準(zhǔn)保護(hù)管理界面的控制方式
發(fā)布時(shí)間:2020-12-04 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
一、企業(yè)要做的內(nèi)容
1.準(zhǔn)備《保護(hù)管理接口安全策略》
2.準(zhǔn)備《認(rèn)證和授權(quán)安全策略》
3.準(zhǔn)備《特權(quán)訪問管理安全策略》
4.準(zhǔn)備《遠(yuǎn)程工作安全策略》
5.準(zhǔn)備《合作方訪問管理安全策略》
6.準(zhǔn)備《安全審計(jì)、會(huì)計(jì)和監(jiān)控安全策略》
二、審核員關(guān)注的內(nèi)容
1.是否依據(jù)《保護(hù)管理接口安全策略》實(shí)施保護(hù)
2.是否依據(jù)《認(rèn)證和授權(quán)安全策略》實(shí)施保護(hù)
3.是否依據(jù)《特權(quán)訪問管理安全策略》實(shí)施保護(hù)
4.是否依據(jù)《遠(yuǎn)程工作安全策略》實(shí)施保護(hù)
5.是否依據(jù)《合作方訪問管理安全策略》實(shí)施保護(hù)
6.是否依據(jù)《安全審計(jì)、會(huì)計(jì)和監(jiān)控安全策略》實(shí)施保護(hù)
三、條款、目標(biāo)、控制措施
為了保護(hù)軟件/固件接口,組織應(yīng):
A、使用防火墻和TCP包裝器將對(duì)管理網(wǎng)絡(luò)的訪問限制為授權(quán)的系統(tǒng)和協(xié)議;
B、使用實(shí)體身份驗(yàn)證在存儲(chǔ)系統(tǒng)和管理系統(tǒng)之間建立信任關(guān)系:
C、利用IDS和IPS機(jī)制識(shí)別和防范異常行為;
D、使用具有適當(dāng)安全控制的ICT基礎(chǔ)設(shè)施(域名系統(tǒng)或DNS、服務(wù)定位協(xié)議或SLP、網(wǎng)絡(luò)時(shí)間協(xié)議或NTP),以避免間接攻擊;
E、使用適當(dāng)?shù)奶貦?quán)用戶控件,包括身份驗(yàn)證 、授權(quán) 、和安全審核/監(jiān)視:
F、確保操作系統(tǒng)和應(yīng)用程序是最新的,并且對(duì)攻擊有足夠的防御能力
四、遠(yuǎn)程管理存儲(chǔ)系統(tǒng)時(shí)應(yīng)使用以下附加安全措施:
A、對(duì)所有遠(yuǎn)程訪問使用安全通道(虛擬專用網(wǎng)或VPN、TLS、安全外殼或SSH、超文本傳輸協(xié)議安全或HTTPS)采用強(qiáng)認(rèn)證或多因素認(rèn)證;
B、將權(quán)限限制在所需的最小值(即,最小權(quán)限);
組織應(yīng)設(shè)計(jì)組織和技術(shù)控制,以限制用于遠(yuǎn)程(非本地)供應(yīng)商維護(hù)會(huì)話的管理接口
A、技術(shù)控制應(yīng)將通信流量(即系統(tǒng)、端口和協(xié)議)限制在遠(yuǎn)程供應(yīng)商維護(hù)操作所需的最低限度。
B、在對(duì)訪問方進(jìn)行身份驗(yàn)證之后,應(yīng)該在訪問點(diǎn)設(shè)計(jì)額外的控件來授權(quán)供應(yīng)商維護(hù)會(huì)話。其中包括接受、請(qǐng)求批準(zhǔn)或拒絕請(qǐng)求的會(huì)話。
C、應(yīng)生成包含供應(yīng)商操作審核記錄的適當(dāng)日志。
D、該組織應(yīng)將撥號(hào)接入線路限制為授權(quán)接入方。