安全运营漫谈03:CIS Controls中关于资产管理都有哪些条款
▼▼控制域1:硬件资产清单与控制
1.1利用主动发现工具
1.2使用被动资产发现工具
利用被动发现工具识别连接到组织网络的设备,并自动更新组织的硬件资产清单。
1.3使用DHCP日志更新资产清单
在所有DHCP服务器上使用动态主机配置协议(DHCP)日志记录或IP地址管理工具来更新组织的硬件资产清单。
1.4维护详细资产清单
对所有可能存储或处理信息的技术资产保持准确和最新的清单。此清单应包括所有硬件资产,无论其是否连接到组织的网络。
1.5维护资产清单信息
确保硬件资产清单记录每个资产的网络地址、硬件地址、机器名称、数据资产所有者和部门,以及硬件资产是否已被批准连接到网络。
1.6处理未经授权的资产
确保未经授权的资产从网络中删除、隔离或及时更新清单。
▼▼控制域2:软件资产清单与控制
2.1维护授权软件清单
在任何业务系统上维护企业为业务目的所需授权软件的最新列表。
2.2确保软件得到供应商的支持
确保只有当前受支持的软件应用程序或操作系统以及接收供应商更新的软件才会被添加到组织的授权软件清单中。在清单系统中,应标记不受支持的软件。
2.3使用软件清单工具
在整个组织中利用软件清单工具来自动化管理业务系统上所有软件文档。
2.4跟踪软件清单信息
软件清单系统应该跟踪所有软件的名称、版本、发布人和安装日期,包括组织授权的操作系统。
2.5整合软件和硬件资产清单
软件清单系统应该绑定到硬件资产清单,这样所有设备和相关软件都可以从一个位置进行跟踪。
2.6处理未经批准的软件
确保未授权的软件被移除出资产库或及时更新库存
除了硬件、软件这些资产外,网络端口、协议及服务算不算信息资产?第一感觉来讲应该不算,但是它们是不是安全保护对象?面临不面临安全风险?这样一想感觉又是信息资产。
把网络端口、协议及服务这些对象,算作信息资产也好,算作信息资产的重要属性也好,总之是都要把他们统一管控起来,来控制并降低其所面临的安全风险。
▼▼控制域9:限制和控制网络端口、协议及服务
9.1将活动端口、服务和协议与资产目录关联起来
将活动端口、服务和协议与资产目录中的硬件资产关联起来。
9.2确保只运行经过批准的端口、协议和服务
确保每个系统上只运行在具有经过验证的网络端口、协议和服务之上。
9.3定期自动执行端口扫描
类似的还有账号,把它作为信息资产可能让很多人费解,但确实是安全上重要的保护对象,这一点不可否认吧。所以还是按照信息资产来管理比较好,你看最佳实践标准条款都摆在那里了。
▼▼控制域4:控制和管理权限的使用
4.1维护管理员账号列表
使用自动化工具对所有管理帐户(包括域和本地帐户)进行分类,确保授权账户拥有更高的权限。
▼▼控制域16:账号监控与控制
16.6维护账号清单
维护认证系统所有帐户的清单。
数据作为信息资产这个是没有什么争议的,但通常来讲不管在固定资产管理系统、CMDB系统,还是在网络资产测绘系统中基本上是不包含的。(注意这里说的是数据,而不是数据库。)
近些年数据安全的监管要求或最佳实践标准中,大部分都有关于数据发现、分类分级的相关条款,目前市场上相关的数据安全产品功能也涵盖了这部分内容,在这里不多做阐述。
▼▼控制域13:数据保护
13.1维护敏感信息清单
维护组织技术系统存储、处理或传输的所有敏感信息清单,包括现场或远程服务供应商的信息。
▼▼控制域14:基于“知所必须”的受控访问
14.5利用主动发现工具来识别敏感数据
利用主动发现工具识别系统存储、处理或传输过程中的敏感信息(包括现场或远程服务供应商的敏感信息),并更新敏感信息目录。
除了上面这些涉及到的信息资产外,还有哪些需要进行安全保护的对象呢?它们能通过工具进行自动化识别吗?如果想到欢迎留言讨论。
扩展 · 本文相关链接