合规性:NIST 800-171

NIST SP 800-171是一系列关于敏感联邦数据安全和保密的权威指南。任何为国防部、NASA和其他联邦或国家机构存储、处理或传输CUI的组织都必须遵守NIST 800-171。

下面将详细介绍Endpoint Central如何实现NIST 800-171合规

Endpoint Central能够为系统部署基线配置,维护组织系统的资产清单,包括软件和硬件。

 

需求编号 需求描述 Endpoint Central如何实现这些需求?
3.1

访问控制

 
3.1.1

将系统访问限制在授权用户、授权用户发起的进程和设备(包括其他系统)。

Endpoint Central的用户管理配置,能够创建本地用户并添加到合适的组,为其分配合理的系统访问权限。

3.1.2

将系统访问限制在授权用户允许执行的交易和功能类型。

Endpoint Central的用户管理配置,能够创建本地用户并添加到合适的组,为其分配合理的系统访问权限。

3.1.5

使用最小特权原则,包括特定的安全功能和特权帐户。

“特权访问管理”的会话追踪功能可以监督特权用户的活动,实现对特权访问的双重控制。本地用户账户可以使用Endpoint Central的用户管理配置进行管理。

3.1.7

防止非特权用户执行特权功能,并在审计日志中记录此类功能的执行。

Endpoint Central的用户管理配置,能够创建本地用户并添加到合适的组,为其分配合理的系统访问权限。

Endpoint Central有权访问所有系统的“事件查看器”,监视每个系统中执行的活动。您还可以进行分类筛选,只监视所需的活动。

3.1.8

限制失败登录尝试。

Endpoint Central的自定义脚本配置,能够从中央控制台为所有终端部署脚本,限制登录尝试次数。

3.1.9

提供符合适用CUI规则的隐私和安全通知。

Endpoint Central的法律公告配置,能够在整个组织内显示重大声明或法律公告,每当用户按“Ctrl+Alt+Del”键登录时,都将显示配置的提示信息。

3.1.10

使用带有模式隐藏的会话锁,空闲一定时间后,阻止访问和查看数据。

Endpoint Central的电源管理配置,能够在计算机空闲特定时间后强制屏幕进入休眠状态,还可以设置唤醒时是否需要输入密码。

3.1.12

监视并控制远程访问会话。

Endpoint Central的防火墙配置,能够阻止特定用户或计算机的出站远程控制端口,阻止未授权的远程会话。

3.1.13

用加密机制保护远程访问会话的机密性。

HTTPS支持Endpoint Central的远程控制功能,能够保护远程访问会话的机密性。

3.1.15

授权远程执行特权命令和远程访问安全信息。

从Endpoint Central的集中控制台向多台计算机部署特权命令,并远程控制系统的显示器。

3.1.18

控制移动设备的连接。

Endpoint Central的SCEP证书分发功能,能够阻止未授权移动设备连接到组织的网络中。

根据平台为所有移动设备部署配置文件,限制移动设备的使用,包括设备上的匿名活动。

3.1.19

加密移动设备和移动计算平台中的CUI。

使用Endpoint Central的移动设备管理功能在移动设备上将CUI容器化。如果发现任何恶意行为,比如数据盗窃,设备就会被远程数据擦除。Endpoint Central还可以强制执行复杂密码策略,预定义密码要求,保护设备安全。

3.1.20

验证并控制/限制外部系统的连接和使用。

Endpoint Central的Device Control Plus选件,能够限制USB设备的使用。通过部署严格的设备策略,您可以立即识别连接到终端的设备。

3.1.21 限制在外部系统上使用便携式存储设备。

Endpoint Central的Device Control Plus选件,能够限制USB设备和其他便携式存储设备的使用,防止系统中存储的CUI被盗。

3.1.22

控制CUI在公共可访问系统上发布或处理。

Endpoint Central的浏览器管理选件,能够将网站或网站组加入黑名单,限制用户通过浏览器公开发布CUI。

Endpoint Central的App Control选件,能够仅授权已批准的软件在公共可访问系统中运行。Device Control Plus选件能够阻止/取消阻止在公共可访问系统上使用可移动存储设备,保护组织系统安全。

3.3

审计和问责制

 

3.3.1

创建并保留系统审计日志和记录,监视、分析和调查非法或未授权的系统活动,并导出报表。

Endpoint Central有权访问所有系统的“事件查看器”,监视每个系统中执行的活动。您还可以进行分类筛选,只监视所需的活动。

3.3.2

确保追踪到每个系统用户的每个行为,用户和行为一一对应,且对其行为负责。

Endpoint Central的用户登录报表,能够追踪被管终端上用户的登录和退出历史记录。管理员和技术员在产品Web控制台中执行的操作将记录在日志中,为审计提供详细信息。

3.3.3

检查并更新日志事件

Endpoint Central有权访问所有系统的“事件查看器”,监视每个系统中执行的活动。您还可以进行分类筛选,只监视所需的活动。

3.4

配置管理

 
3.4.1

在各自的系统开发周期中,建立和维护组织系统的基线配置和资产清单(包括硬件、软件、固件和文档)。

3.4.2

为组织系统中使用的信息技术产品建立并执行安全配置设置。

Endpoint Central的安全策略配置功能,能够在终端部署安全策略。

Endpoint Central的VMP选件,能够识别系统中的安全错误配置,并从中央控制台进行修复。

Endpoint Central的“应用控制”选件,能够将应用程序和独立的EXE列入黑名单或白名单,阻止未授权应用程序执行恶意活动。

Endpoint Central的“浏览器管理”选件,能够保护组织系统中浏览器的使用安全。

Endpoint Central的Bitlocker选件,能够加密组织系统中的硬盘驱动器。

Endpoint Central的Device Control Plus选件,能够允许/阻止可移动设备和便携式设备,保护系统安全。

3.4.3

跟踪、审查、批准或不批准,并记录对组织系统的更改。

Endpoint Central的Vulnerability Manager Plus选件,能够定期扫描系统,识别安全错误配置的漏洞,并提供一键修复功能。此外,所有硬件和软件变更都能及时追踪。Endpoint Central还能追踪补丁和软件更新,并部署配置进行安装。

3.4.4

在实施之前分析变更的安全性影响

Endpoint Central“补丁管理”中的“测试和批准”功能,能够在部署补丁之前查看补丁更新与网络中系统的兼容性。Endpoint Central为配置和软件部署等其他模块提供了针对特定目标的测试部署功能。

3.4.5

定义、记录、批准和执行与组织系统更改相关的物理和逻辑访问限制。

Endpoint Central的“配置”模块下的各种“用户配置”设置,能够根据组织需求执行逻辑限制。

3.4.6

采用最少功能的原则,配置组织系统,只提供必要的功能。

Endpoint Central的Application Control Plus选件,支持有关应用程序及其特权访问的特权包围功能,使组织能够在建立最小特权原则(POLP)的同时,不影响生产力。

3.4.7

限制、禁用或阻止不必要程序、功能、端口、协议和服务的使用。

Endpoint Central的“应用控制”选件,能够将应用程序和独立的EXE列入黑名单或白名单,阻止未授权应用程序执行恶意活动。

Endpoint Central的“防火墙配置”功能,能够在入站和出站连接中阻止/允许特定端口。

Endpoint Central的“服务配置”功能,能够从所有机器上删除未经批准的服务。

Endpoint Central的Device Control Plus选件,能够限制便携式存储设备和蓝牙的使用,防止机器中储存的CUI被盗。

3.4.8

应用例外情况下拒绝(黑名单)策略,阻止未经授权软件的使用,或者全部拒绝,例外情况下允许(白名单)策略,仅允许授权软件的使用。

Endpoint Central的“应用控制”选件,能够在整个组织中将应用程序列入黑名单或白名单,或仅针对特定的组。

3.4.9

控制和监视用户安装的软件。

Endpoint Central的“自助服务门户”,能够向目标用户/计算机发布软件。与手动软件部署不同,您可以将软件列表发布到组(目标用户/计算机),授权用户根据需要自己安装软件。Application Control Plus选件的“黑名单”功能,能够将应用程序黑名单与不同的自定义组关联,同时考虑用户在企业中的角色。

3.5

身份认证

 

3.5.1

识别系统用户、代表用户的操作进程和设备。

Endpoint Central的System Manager,能够执行各种系统管理任务。例如,查看被管计算机的用户列表。Endpoint Central还能够查看与每台计算机相关联的设备列表,以及启用/禁用与设备相关的驱动程序。

Endpoint Central能够识别和查看机器中运行的系统用户、进程和服务,还可查看通用的设备标识符,如MAC和IP。

还可以添加自定义字段,并且可以根据您的需求用不同的标识符来标记端点。

3.5.2

在用户、进程或设备访问组织系统之前,进行身份验证。

在“工具”->“System Manager”下,可以查看被管计算机的用户列表,和与其关联的设备列表。系统管理器还提供了一个系统上的运行进程列表,可以根据需要停止或管理进程,可以使用MDM和“应用程序控制”模块启用特权访问。

3.5.7

在创建新密码时强制执行最低密码复杂度和字符更改。

在Endpoint Central中使用自定义脚本强制密码复杂度。

3.5.9

允许系统登录时使用临时密码,并立即更改为永久密码。

Endpoint Central的“用户管理配置”,能够定义用户范围,并指定用户名和密码。

3.7

维护

 

3.7.1

对组织系统进行维护。

Endpoint Central提供的配置,可以帮助您管理应用程序、系统设置、桌面设置和安全策略。Endpoint Central还提供了各种各样的工具,帮助您进行故障排除,维护组织系统。

3.7.5

通过外部网络连接建立非本地维护会话,需要多因素身份验证,并在非本地维护完成时终止此类连接。

可以使用Endpoint Central的双因素认证执行多因素身份验证。双因素认证启用后,系统会提示用户输入一次性密码(OTP)以及默认密码。Endpoint Central支持两种方式的双因素认证,使用电子邮件和Google Authenticator。Endpoint Central的“远程桌面共享”功能,能够访问网络中用于非本地维护的远程计算机。

3.7.6

监督没有访问授权的维修人员的维修活动。

Endpoint Central的“远程控制”功能,使用仅查看模式,监督维护人员在终端上的活动。

3.8

介质保护

 

3.8.1

保护(即物理控制和安全存储)含有CUI的系统介质,包括纸质和数字介质。

Endpoint Central的Device Control Plus选件,能够限制可移动存储介质的使用。

3.8.2

仅限授权用户访问系统介质上的CUI。

Endpoint Central的Device Control Plus选件,能够控制、阻止并监视USB和外围设备。Endpoint Central的“驱动器映射”配置,能够将远程网络资源映射到用户计算机上,并且操作流程更方便快捷。

3.8.3

清理或销毁含CUI的系统介质,供处理或释放后重新使用。

使用Endpoint Central的file文件夹操作从组织系统中删除含有CUI的文件。

3.8.5

控制对含有CUI介质的访问,并维护介质在控制区域外运输时的问责制。

ManageEngine的Device Control Plus选件,能够管理USB设备;提供诸如文件跟踪和文件镜像等功能,建立对文件操作的灵活而广泛的控制;还能应用管理协议,有效保护在网络范围内或跨网络范围传输的所有数据。Endpoint Central的“驱动器映射配置”还能管理共享和网络驱动器。

3.8.7

控制系统组件上可移动介质的使用。

Endpoint Central的Device Control Plus选件,提供了更高级的功能,能够控制所有类型可移动介质的使用。

3.8.9

保护存储区域的备份CUI的机密性。

Endpoint Central的Bitlocker选件,能够加密存储CUI备份的硬盘驱动器,保护数据安全。

3.9

人员安全

 

3.9.2

确保含有CUI的组织系统在人员变动(如解雇和调动)期间和之后受到保护。

Endpoint Central的“远程擦除”功能,能够在人员解雇和调动时远程擦除系统。在擦除数据之前,您可以使用产品的文件夹备份配置来备份该文件夹。您还可以使用file文件夹配置,将这些备份文件移动到安全的系统存储库中。

3.11

风险评估

 

3.11.1

定期评估组织系统运行及相关CUI的处理、存储或传输对组织运营(包括使命、职能、形象或声誉)、组织资产和个人造成的风险。

Endpoint Central每个模块都有预定义的报表功能,能够审计与组织系统相关的信息,为采取措施加强CUI安全性提供参考。您可以使用安全组件获取系统的状态,并以内置报表的形式呈现。在查看系统安全健康状态后,您可以直接从报表执行必要的操作。

3.11.2

定期扫描组织系统和应用程序中的漏洞,以及在识别到新漏洞影响了这些系统和应用程序时执行扫描。

Endpoint Central的Vulnerability Manager Plus选件,能够定期扫描组织系统,发现软件漏洞,并实施补丁修复;还可以发现安全错误配置,并从集中控制台批量修复。

3.11.3

根据风险评估修复漏洞。

Endpoint Central的Vulnerability Manager Plus选件,能够定期扫描系统,发现漏洞,并实施补丁修复,降低风险。

Vulnerability Manager Plus还可以发现组织系统中的安全错误配置,并从集中控制台批量修复。

3.12

安全评估

 

3.12.1

定期评估组织系统中的安全控制,确定这些控制在应用中是否有效。

Endpoint Central每个模块都有预定义的报表功能,能够审计与组织系统相关的信息,为采取措施加强CUI安全性提供参考。您可以使用安全组件获取系统的状态,并以内置报表的形式呈现。在查看系统安全健康状态后,您可以直接从报表执行必要的操作。

3.12.2

制定和实施行动计划,纠正缺陷,减少或消除组织系统中的漏洞。

Endpoint Central的“补丁管理”功能,能够定期扫描并识别漏洞,为系统部署缺失的补丁,纠正缺陷。Endpoint Central的Vulnerability Manager Plus选件,能够发现组织系统中的安全错误配置,并从集中控制台批量修复。

3.12.3

持续监测安全控制,确保控制的有效性。

Endpoint Central提供了关于网络中被管终端安全状态的数据,帮助您进行检测,并确保控制不会日久失效。

3.13

系统和通信保护

 

3.13.1

监视、控制和保护组织系统外部边界和关键内部边界的通信(即组织系统传输或接收的信息)。

Endpoint Central的“防火墙配置”,能够阻止/允许使用指定端口的系统上的入站或出站通信,尽量减少通过匿名端口的攻击。

3.13.4

防止通过共享系统资源进行未经授权和无意的信息传输。

Endpoint Central提供数据访问控制信息,包括以各种权限级别共享的文件夹。“权限管理”可以撤销这些文件夹的权限。

3.13.16

保护存储中的CUI的机密性。

Endpoint Central能够为共享文件夹授予不同级别的访问权限。这种数据访问控制信息有助于降低CUI以完全或写入级权限共享的风险。

Endpoint Central的Bitlocker选件,能够加密系统硬盘,确保这些系统上存储的CUI的安全性。

3.14

系统和信息完整性

 

3.14.1

及时识别、报告并纠正系统缺陷。

Endpoint Central的“漏洞扫描”功能,能够识别存在安全配置错误、缺少补丁、服务包和防病毒定义更新的系统,并从一个集中控制台修复这些缺陷。

3.14.3

监视系统安全警告和通报,并采取应对措施。

Endpoint Central提供了事件日志(分类为错误、信息消息和警告),为审计和故障排除提供参考。“漏洞模块”可以评估被管终端的安全态势。

3.14.6

监视组织系统,包括入站和出站通信流量,检测攻击和潜在攻击的迹象。

Endpoint Central的防火墙配置,能够阻止/允许系统上的入站和出站连接,尽量减少通过匿名端口的攻击。

3.14.7

识别组织系统的未授权使用

Endpoint Central的“USB审计”功能,能够跟踪每个系统上USB设备的使用情况。Endpoint Central还能检测包含未经批准的应用程序的系统,并卸载该软件。

我们的客户