基本 8 成熟度模型
2023年8月23日
八大要素解释
Healthdirect Australia 满足 healthdirect 视频通话服务所有方面至少达到二级成熟度的所有要求。healthdirect 视频通话服务上次重新评估是否符合“基本八项”标准是在 2023 年 8 月 17 日。如果您想了解更多关于视频通话“基本八项”成熟度模型评估的详细信息,请联系videocallsupport@healthdirect.org.au 。
虽然没有任何单一的缓解策略能够保证杜绝网络安全事件,但ACSC建议各组织以E8缓解策略为基准实施。该基准策略使攻击者更难入侵系统。此外,与应对大规模网络安全事件相比,主动实施E8策略在时间、金钱和精力方面更具成本效益。根据攻击者面临的威胁,我们建议了一种实施顺序,以帮助各组织为其系统构建强大的网络安全态势。在组织将所需的缓解策略实施到初步阶段后,他们应该专注于提高实施的成熟度,以便最终完全符合每项缓解策略的意图。ACSC建议作为基准的E8策略如下:
-
应用程序控制
应用程序控制仅允许选定的软件应用程序在计算机上运行。它旨在防止未经批准的软件应用程序(包括恶意软件)的执行。 - 修补应用程序修补软件应用程序中的安全漏洞。这很重要,因为攻击者会利用应用程序中已知的安全漏洞来攻击计算机
- 禁用不受信任的 Microsoft Office 宏Microsoft Office 应用程序可以使用称为“宏”的软件来自动执行日常任务。宏越来越多地被用于下载恶意软件。宏可能允许攻击者访问敏感信息,因此应该保护或禁用宏。
- 用户应用程序强化。这包括阻止网络浏览器访问 Adobe Flash Player、网络广告以及互联网上不受信任的 Java 代码等活动。Flash、Java 和网络广告长期以来一直是传播恶意软件感染计算机的常用方式。
- 限制管理员 (admin) 权限。这意味着管理员权限仅用于管理系统、安装合法软件和应用软件补丁。这些权限应仅限于真正需要的人使用。管理员帐户是“王国的钥匙”,攻击者可以利用这些帐户完全访问信息和系统。
- 修补操作系统修补操作系统中的安全漏洞。这很重要,因为攻击者会利用操作系统中已知的安全漏洞来攻击计算机。
- 多因素身份验证是指用户只有在成功提供多个独立证据后才能获得访问权限。多重身份验证可以大大增加攻击者获取信息的难度。
- 每日备份重要数据这意味着定期备份所有数据并将其离线存储,或以不可重写和不可擦除的方式在线存储。这使得组织在遭遇网络安全事件时能够再次访问数据。
基本八项成熟度模型
为了帮助各组织确定其实施E8的有效性,我们开发了一个成熟度模型。该模型为每种缓解策略定义了四个成熟度级别。
- 成熟度级别零-有限或与缓解策略的意图不一致
- 成熟度一级——部分符合缓解策略的意图
- 成熟度二级——基本与缓解策略的意图一致
- 成熟度三级——完全符合缓解策略的意图