设备安全指南:安全原则

  • A+
所属分类:安全闲碎

原则

描述

数据传输保护

数据在从 EUD 传输到 EUD 使用的任何服务时应受到保护。IPsec VPN 提供了最符合标准的方式来执行此操作,但也可以使用 TLS VPN 或每个应用程序的 TLS 连接。


强烈建议根据适当的安全特性正式保证此功能达到基础级。

静态数据保护

当设备处于“休息”状态时,存储在设备上的数据应该得到令人满意的加密。对于智能手机等永远在线的设备,这是设备锁定的时间。


强烈建议根据适当的安全特性正式保证此功能达到基础级。

验证

应考虑此处描述的三种身份验证类型中的每一种:

  • 用户到设备:用户只有在成功验证设备后才被授予访问设备的权限。

  • 用户到服务:用户只有在成功通过他们的设备对服务进行身份验证后才能访问企业服务。
  • 设备到服务:只有可以向企业验证的设备才被授予访问权限。

作为组织身份验证策略的一部分,身份验证过程的每个阶段都应设计为对其他阶段进行补充。

安全启动

未经授权的实体不应该能够修改设备的启动过程,并且应该检测到任何这样做的尝试。

平台完整性和应用程序沙箱

尽管平台内的应用程序或组件可能受到威胁,设备仍可以继续安全运行,并且您可以限制设备上应用程序的功能。

应用白名单

企业可以定义哪些应用程序能够在设备上执行,并且这些策略在设备上得到强有力的执行。

恶意代码检测与防范

该设备可以检测、隔离和击败设备上存在的恶意代码。

安全策略执行

组织设置的安全策略在整个平台上得到了强有力的实施。组织可以在技术上在设备上强制执行最少的安全关键策略集。这些不能被用户覆盖。

外部接口保护

该设备能够限制暴露给不受信任的网络和设备的一组端口(物理和逻辑)和服务。以这种方式暴露的任何软件都可以抵御恶意攻击。

设备更新政策

可以发布安全更新并远程验证整个设备资产的补丁级别。

用于企业分析的事件收集

该设备向审计和监控服务报告安全关键事件。防止用户篡改此报告。

事件响应

组织已制定计划来响应和了解安全事件的影响。这应该得到设备和组织内适当功能的支持。在设备丢失的情况下,这可能需要向设备发送擦除命令并撤销凭据。

设备安全指南:安全原则

参考来源:英国国家网络安全中心官网

设备安全指南:安全原则

E N D

设备安全指南:安全原则


网络安全等级保护:等级保护中的密码技术
网络安全等级保护:网络产品和服务安全通用要求之基本级安全通用要求
网络安全等级保护:政务计算机终端核心配置规范思维导图
数据安全:数据安全能力成熟度模型之能力成熟度等级描述与GP思维导图
网络安全等级保护:标识与鉴别的基本概念
如何衡量网络安全培训的有效性?


相关推荐: 安全工程师最详细学习和职业规划路线(书籍推荐和导图下载)

作者:华章尹老师 来源:大数据DT(ID:hzdashuju) 网络安全行业热火朝天,但我们很少看到这个领域相关职业路线的规划,这一方面是由于这个行业还比较年轻,还没有完全建立职业路径,另一方面也是因为高端职位以前比较少,很少有人到达顶峰,所以难以总结。 但随…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: