ISO27040标准保护管理界面的控制方式
发布时间:2020-12-04 作者:广汇联合 来源:广汇联合
一、企业要做的内容
1.准备《保护管理接口安全策略》
2.准备《认证和授权安全策略》
3.准备《特权访问管理安全策略》
4.准备《远程工作安全策略》
5.准备《合作方访问管理安全策略》
6.准备《安全审计、会计和监控安全策略》
二、审核员关注的内容
1.是否依据《保护管理接口安全策略》实施保护
2.是否依据《认证和授权安全策略》实施保护
3.是否依据《特权访问管理安全策略》实施保护
4.是否依据《远程工作安全策略》实施保护
5.是否依据《合作方访问管理安全策略》实施保护
6.是否依据《安全审计、会计和监控安全策略》实施保护
三、条款、目标、控制措施
为了保护软件/固件接口,组织应:
A、使用防火墙和TCP包装器将对管理网络的访问限制为授权的系统和协议;
B、使用实体身份验证在存储系统和管理系统之间建立信任关系:
C、利用IDS和IPS机制识别和防范异常行为;
D、使用具有适当安全控制的ICT基础设施(域名系统或DNS、服务定位协议或SLP、网络时间协议或NTP),以避免间接攻击;
E、使用适当的特权用户控件,包括身份验证 、授权 、和安全审核/监视:
F、确保操作系统和应用程序是最新的,并且对攻击有足够的防御能力
四、远程管理存储系统时应使用以下附加安全措施:
A、对所有远程访问使用安全通道(虚拟专用网或VPN、TLS、安全外壳或SSH、超文本传输协议安全或HTTPS)采用强认证或多因素认证;
B、将权限限制在所需的最小值(即,最小权限);
组织应设计组织和技术控制,以限制用于远程(非本地)供应商维护会话的管理接口
A、技术控制应将通信流量(即系统、端口和协议)限制在远程供应商维护操作所需的最低限度。
B、在对访问方进行身份验证之后,应该在访问点设计额外的控件来授权供应商维护会话。其中包括接受、请求批准或拒绝请求的会话。
C、应生成包含供应商操作审核记录的适当日志。
D、该组织应将拨号接入线路限制为授权接入方。