1、网络安全意识培训
1)提供网络安全意识培训
组织应确保向所有人员提供网络安全意识培训,以协助他们了解其安全责任。网络安全意识培训的内容将取决于每个组织的安全目标;但是,责任超出标准用户的人员将需要量身定制的特权用户培训。
2)通过在线服务报告可疑联系人
在线服务,如电子邮件,互联网论坛,消息传递应用程序和社交媒体上的直接消息传递都可能被对手用来试图从人员那里获取敏感或机密信息。因此,应告知人员通过在线服务进行的可疑联系以及如何报告。
通过在线服务,工作人员将被告知可疑联系是什么以及如何报告。
3)将工作信息发布到在线服务
应建议工作人员特别注意不要将工作信息发布到在线服务,除非获得授权,特别是在互联网论坛和社交媒体上。即使是孤立的看起来是良性的信息,也可能与其他信息一起产生相当大的安全影响。此外,为确保个人的个人意见不被误解,应建议工作人员为在线服务保留单独的工作和个人账户,特别是在使用社交媒体时。
建议工作人员不要将工作信息发布到未经授权的在线服务,并报告发布此类信息的情况。
建议工作人员为在线服务保留单独的工作和个人账户。
4)将个人信息发布到在线服务
应告知人员,他们发布到在线服务(如社交媒体)的任何个人信息都可能被对手用来详细了解他们的生活方式和兴趣。反过来,这些信息可用于建立信任,以便从他们那里获取敏感或机密信息,或影响他们采取特定行动,例如打开恶意电子邮件附件或访问恶意网站。此外,鼓励人员对在线服务使用任何可用的隐私设置可以通过限制谁可以查看他们的信息以及他们与此类服务的交互来降低这种安全风险。
我们告知人员与将个人信息发布到在线服务相关的安全风险,并鼓励他们使用任何可用的隐私设置来限制谁可以查看此类信息。
5)通过在线服务发送和接收文件
当人员通过未经授权的在线服务(如消息传递应用程序和社交媒体)发送和接收文件时,他们通常会绕过为检测和隔离恶意代码而实施的安全控制措施。建议人员通过授权的在线服务发送和接收文件,以确保文件得到适当的保护并扫描恶意代码。
建议工作人员不要通过未经授权的在线服务发送或接收文件。
2、访问系统及其资源
1)安全许可
如果这些准则涉及安全许可,则适用于澳大利亚安全许可或澳大利亚正式承认的外国政府的安全许可。
2)系统访问要求
记录系统及其资源的访问要求有助于确定人员是否具有适当的授权、安全许可、简报和需要知道来访问系统及其资源。应记录访问要求的用户类型包括非特权用户、特权用户、外国公民和承包商。
系统及其资源的访问要求记录在其系统安全计划中。
人员在获准进入系统及其资源之前,应接受适当的就业检查,并在必要时持有适当的安全许可。
工作人员在获准进入系统及其资源之前收到任何必要的情况介绍。
3)用户识别
拥有唯一可识别的用户可确保对系统及其资源的访问负责。此外,如果系统处理、存储或传达敏感数据的,并且外国公民有权访问该系统,则必须将外国公民识别为此类数据。
被授予访问系统及其资源权限的人员是唯一可识别的。
共享用户账户的使用受到严格控制,并且使用此类账户的人员是唯一可识别的。
作为承包商的人员被确定为承包商。
如果系统处理、存储或传输敏感数据,则将识别为外国公民的人员,包括其特定国籍。
4)对系统的无特权访问
寻求访问系统、应用程序和数据存储库的人员应具有由其经理或其他适当机构验证的真正业务需求。
对系统、应用程序和数据存储库的非特权访问请求在首次请求时进行验证。
记录非特权访问的使用。
未受保护的访问事件日志被集中存储并保护,以防止未经授权的修改和删除,监控入侵迹象,并在检测到网络安全事件时采取行动。
5)外国公民无特权地使用系统
由于部分数据相关的额外敏感性,因此严格控制外国对此类数据的访问。
外国公民,包括借调的外国国民,无法访问处理、存储或传输敏感数据的系统,除非有有效的安全控制措施来确保他们无法访问这些数据。
外国公民,不包括借调的外国国民,无法访问处理、存储或传输敏感数据的系统,除非有有效的安全控制措施来确保他们无法访问此类数据。
6)对系统的特权访问
特权账户被认为是可以更改或规避系统安全控制的账户。这也适用于仅具有有限权限的用户,例如软件开发人员,但仍可以绕过安全控制。特权账户通常能够修改应用程序的系统配置、账户权限、审核日志和安全配置。
特权用户(在某些情况下是特权服务账户)是攻击者的目标,因为他们可能会授予对系统的完全访问权限。因此,确保特权账户无法访问互联网,电子邮件和Web服务,可以最大程度地减少这些账户受到损害的机会。
请注意,对于仅实施基本八个成熟度模型中的成熟度级别2的组织,安全控制1508、1649和1651-1653不适用。(注:本部分为澳大利亚独有,仅供参考)
对系统和应用程序的特权访问请求在首次请求时进行验证。
对数据存储库的特权访问请求在首次请求时进行验证。
对系统和应用程序的特权访问仅限于用户和服务履行其职责所需的权限。
实时管理用于管理系统和应用程序。
特权用户被分配一个专用的特权账户,仅用于需要特权访问的任务。
记录特权访问的使用。
将记录对特权账户和组的更改。
特权访问事件日志被集中存储并保护,以防止未经授权的修改和删除,监控入侵迹象,并在检测到网络安全事件时采取行动。
特权账户和组更改事件日志被集中存储并防止未经授权的修改和删除,监控入侵迹象,并在检测到网络安全事件时采取行动。
特权用户账户将被禁止访问互联网、电子邮件和网络服务。
特权服务账户将被禁止访问互联网、电子邮件和网络服务。
7)外国公民对系统的特权访问
外国公民,包括借调的外国国民,没有特权访问处理、存储或传输AUSTEO或REL 数据的系统。
外国公民,不包括借调的外国国民,没有特权访问处理、存储或传输AGAO 数据的系统。
8)暂停进入系统
对系统、应用程序和数据存储库的访问将在同一天被删除或暂停,人员不再有合法的访问要求。
当检测到人员从事恶意活动时,将尽快删除或暂停对系统、应用程序和数据存储库的访问。
系统和应用程序的无特权继承将在不活动45天后自动禁用。
对系统和应用程序的特权访问将在不活动45天后自动禁用。
数据存储库的紧随功能将在不活动45天后自动禁用。
除非重新验证,否则对系统和应用程序的特权访问将在12个月后自动禁用。
除非重新验证,否则对数据存储库的特权访问将在12个月后自动禁用。
9)记录人员访问系统的授权
保留系统账户请求的记录将有助于保持人事问责制。这是为了确保有一份记录,记录所有被授权访问系统的人员,他们的用户身份,谁提供了授权,何时授予授权以及上次审查访问的时间。
在每个系统的生命周期内维护一个安全记录,包括:
7. 当访问被撤销时(如果适用)。
10)临时访问系统
当人员被允许临时访问系统时,将实施有效的安全控制,以限制他们只能访问他们履行职责所需的数据。
不向处理、存储或通信已隔离或敏感隔离信息的系统授予临时访问权限。
11)紧急访问系统
重要的是,组织不要失去对系统的访问权限。因此,组织应始终有一种在紧急情况下获得访问权限的方法。通常,当无法通过正常的身份验证过程访问系统时(例如,由于身份验证服务配置错误,安全设置配置错误或由于网络安全事件),将发生此类紧急情况。在这些情况下,可以使用中断Break Glass账户(也称为紧急访问账户)重新获得访问权限。由于Break Glass 账户通常具有可用于系统的最高级别的权限,因此应格外小心地保护它们并监视任何入侵或滥用的迹象。
当使用Break Glass账户时,所采取的行动将不能直接归因于个人,并且系统可能不会生成审计日志。因此,需要实施额外的安全控制,以确保系统的完整性。在此过程中,组织应确保使用Break Glass账户进行的配置更改使用变更管理流程和程序进行识别和记录。这包括记录使用Break Glass的个人、使用Break Glass的原因以及对系统进行任何配置更改的原因。
由于每个Break Glass账户的保管人应是唯一知道该账户凭据的一方,因此在另一方授权访问后,保管人需要更改凭据并对其进行测试。支持自动凭据更改和测试的新式密码管理器可以帮助减少此类活动的管理开销。
在最初实施时,每次发生基本的信息技术基础设施变化时,对紧急访问系统的方法至少记录和测试一次。
仅当无法使用正常身份验证过程时,才会使用 Break Glass 账户。
Break Glass 账户仅用于特定的授权活动。
记录Break Glass账户的使用。
Break Glass 事件日志被集中存储并受到保护,防止未经授权的修改和删除,监控入侵迹象,并在检测到网络安全事件时采取行动。
Break glass 账户凭据在被任何其他方访问后由账户保管人更改。
更改凭据后,将测试"Break Glass"账户。
注:本文档翻译参考来源为ACSC,部分词汇在本文中做了技术性调整
关注公众号
回复“220403”获取
“勒索软件二进制文件的经验比较分析”机翻PDF版
原文始发于微信公众号(祺印说信安):信息安全手册之人员安全指南
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论