允許用戶(hù)設(shè)置、配置和維護(hù)自己的工作站或服務(wù)器可能會(huì)創(chuàng)建一個(gè)不一致的環(huán)境，其中特定的工作站或服務(wù)器比其他工作站或服務(wù)器更容易受到攻擊。這種類(lèi)型的環(huán)境可以很容易地讓對(duì)手在網(wǎng)絡(luò)上獲得最初的立足點(diǎn)。標(biāo)準(zhǔn)操作環(huán)境（SOE） 是操作系統(tǒng)和應(yīng)用程序的標(biāo)準(zhǔn)化實(shí)施，旨在確保一致且安全的基線(xiàn)。

當(dāng)國(guó)有企業(yè)從服務(wù)提供商等第三方獲得時(shí)，應(yīng)考慮網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)，例如意外或故意包含惡意內(nèi)容或配置。為了減少此類(lèi)事件的可能性，組織不僅應(yīng)該從可信來(lái)源獲取其國(guó)有企業(yè)，而且還應(yīng)該在使用前對(duì)其進(jìn)行掃描，以確保其完整性。

SOE用于工作站和服務(wù)器。

第三方提供的 SOE 在使用之前會(huì)掃描惡意內(nèi)容和配置。

較新版本的操作系統(tǒng)通常會(huì)在安全功能方面比舊版本有所改進(jìn)。這可能會(huì)使攻擊者更難以為他們發(fā)現(xiàn)的安全漏洞創(chuàng)建可靠的漏洞。使用較舊的操作系統(tǒng)版本，特別是那些不再受供應(yīng)商支持的操作系統(tǒng)，使組織暴露于開(kāi)發(fā)技術(shù)，這些技術(shù)后來(lái)在較新版本中得到了緩解。

x64（64位）版本的 Microsoft Windows 包括 x86（32 位）版本所缺乏的其他安全功能。使用 x86（32 位）版本的 Microsoft Windows 會(huì)使組織暴露于 x64（64 位）版本的MicrosoftWindows 所緩解的利用技術(shù)。

最新版本或先前版本的操作系統(tǒng)用于工作站、服務(wù)器和網(wǎng)絡(luò)設(shè)備。

當(dāng)操作系統(tǒng)以默認(rèn)狀態(tài)部署時(shí)，很容易導(dǎo)致不安全的操作環(huán)境，允許對(duì)手在網(wǎng)絡(luò)上獲得初始立足點(diǎn)。操作系統(tǒng)中存在許多選項(xiàng)，以允許將它們配置為安全狀態(tài)，以最大程度地降低此安全風(fēng)險(xiǎn)。澳大利亞網(wǎng)絡(luò)安全中心（ACSC） 和供應(yīng)商經(jīng)常制作加固指南，以協(xié)助安全地配置各種操作系統(tǒng)。

實(shí)施 ACSC 和供應(yīng)商指南是為了幫助加固操作系統(tǒng)的配置。

默認(rèn)操作系統(tǒng)賬戶(hù)將被禁用、重命名或更改其密碼。

不需要的操作系統(tǒng)賬戶(hù)、軟件、組件、服務(wù)和功能將被禁用或刪除。

可移動(dòng)媒體的自動(dòng)執(zhí)行功能被禁用。

Internet Explorer11 被禁用或刪除。

.NET Framework 3.5（包括 .NET 2.0 和 3.0）被禁用或刪除。

非特權(quán)用戶(hù)無(wú)法繞過(guò)、禁用或修改操作系統(tǒng)的安全功能。

禁止非特權(quán)用戶(hù)在 MicrosoftWindows 中運(yùn)行腳本執(zhí)行引擎，包括：

Windows ScriptHost （cscript.exe 和 wscript.exe）

PowerShell （powershell.exe， powershell_ise.exe 和 pwsh.exe）

命令提示符（cmd.exe）

Windows ManagementInstrumentation （wmic.exe）

當(dāng)本地管理員賬戶(hù)與常用賬戶(hù)名和密碼短語(yǔ)一起使用時(shí)，它可以允許在一個(gè)工作站或服務(wù)器上破壞這些憑據(jù)的對(duì)手輕松地通過(guò)網(wǎng)絡(luò)傳輸?shù)狡渌ぷ髡净蚍?wù)器。

本地管理員賬戶(hù)被禁用;或者，使用對(duì)每個(gè)設(shè)備的本地管理員賬戶(hù)都是隨機(jī)且唯一的密碼短語(yǔ)。

應(yīng)用程序管理

雖然安裝任何應(yīng)用程序的能力可能是用戶(hù)的業(yè)務(wù)要求，但攻擊者可以利用此權(quán)限，他們可以通過(guò)電子郵件發(fā)送惡意應(yīng)用程序，或?qū)⑵渫泄茉谑芨腥镜木W(wǎng)站上，并使用社交工程技術(shù)說(shuō)服用戶(hù)安裝它。即使安裝應(yīng)用程序需要特權(quán)訪(fǎng)問(wèn)權(quán)限，如果用戶(hù)認(rèn)為或可以確信安裝應(yīng)用程序的要求是合法的，他們也會(huì)經(jīng)常使用其特權(quán)訪(fǎng)問(wèn)權(quán)限。此外，如果將應(yīng)用程序配置為使用提升的權(quán)限進(jìn)行安裝，則攻擊者可以通過(guò)創(chuàng)建 Windows 安裝程序安裝包來(lái)創(chuàng)建屬于本地管理員組的新賬戶(hù)來(lái)利用此漏洞。管理此安全風(fēng)險(xiǎn)的一種方法是允許用戶(hù)從組織管理的軟件存儲(chǔ)庫(kù)或受信任的應(yīng)用程序市場(chǎng)中安裝經(jīng)過(guò)審查和批準(zhǔn)的應(yīng)用程序。

用戶(hù)無(wú)法安裝未經(jīng)批準(zhǔn)的軟件。

用戶(hù)無(wú)法卸載或禁用已批準(zhǔn)的軟件。

攻擊者可以通過(guò)電子郵件發(fā)送惡意代碼，或在受感染的網(wǎng)站上托管惡意代碼，并使用社交工程技術(shù)誘使用戶(hù)執(zhí)行它。此類(lèi)惡意代碼通常旨在利用現(xiàn)有應(yīng)用程序中的安全漏洞，無(wú)需安裝即可成功。應(yīng)用程序控制可以是一種非常有效的機(jī)制，不僅可以防止惡意代碼執(zhí)行，還可以確保只能安裝經(jīng)過(guò)批準(zhǔn)的應(yīng)用程序。

在開(kāi)發(fā)應(yīng)用程序控制規(guī)則時(shí)，定義已批準(zhǔn)的可執(zhí)行文件（例如.exe和.com文件）、軟件庫(kù)（例如.dll和.ocx 文件）、腳本（例如 .ps1、.bat、.cmd、.vbs 和 .js 文件）、安裝程序（例如 .msi、.msp 和 .mst 文件）、已編譯的 HTML（例如 .chm）、HTML 應(yīng)用程序（例如 .hta）、控制面板小程序（例如 .cpl）和從頭開(kāi)始的驅(qū)動(dòng)程序比依賴(lài)于當(dāng)前駐留在工作站或服務(wù)器上的列表更安全。此外，組織最好定義自己的規(guī)則集，而不是依賴(lài)于應(yīng)用程序控制供應(yīng)商的規(guī)則集。

請(qǐng)注意，對(duì)于僅實(shí)施基本八個(gè)成熟度模型中成熟度級(jí)別 2 的組織，安全控制 1656、1658、1582、1544、1659 和 1662-1663 不適用。

應(yīng)用程序控制在工作站上實(shí)現(xiàn)。

應(yīng)用程序控制在面向互聯(lián)網(wǎng)的服務(wù)器上實(shí)現(xiàn)。

應(yīng)用程序控制在非面向 Internet 的服務(wù)器上實(shí)現(xiàn)。

應(yīng)用程序控制將  可執(zhí)行文件、軟件庫(kù)、腳本、安裝程序、已編譯的 HTML、HTML 應(yīng)用程序和控制面板小程序的執(zhí)行限制在組織批準(zhǔn)的集合中。

應(yīng)用程序控制將驅(qū)動(dòng)程序  的執(zhí)行限制為組織批準(zhǔn)的集。

應(yīng)用程序控制是使用加密哈希規(guī)則、發(fā)布者證書(shū)規(guī)則或路徑規(guī)則實(shí)現(xiàn)的。

應(yīng)用控制規(guī)則集  每年或更頻繁地進(jìn)行驗(yàn)證。

使用發(fā)布者證書(shū)規(guī)則實(shí)現(xiàn)應(yīng)用程序控制時(shí)，將同時(shí)使用發(fā)布者名稱(chēng)和產(chǎn)品名稱(chēng)。

使用路徑規(guī)則實(shí)現(xiàn)應(yīng)用程序控制時(shí)，文件系統(tǒng)權(quán)限配置為防止未經(jīng)授權(quán)修改文件夾和文件權(quán)限、文件夾內(nèi)容（包括添加新文件）和批準(zhǔn)執(zhí)行的單個(gè)文件。

微軟的 "推薦阻止規(guī)則" 已經(jīng)實(shí)現(xiàn)。

微軟的 "推薦驅(qū)動(dòng)程序阻止規(guī)則" 已實(shí)現(xiàn)。

所有用戶(hù)（執(zhí)行特定管理活動(dòng)時(shí)的特權(quán)用戶(hù)除外）都不能禁用、繞過(guò)或免于應(yīng)用程序控制。

記錄工作站上允許和阻止的執(zhí)行。

記錄面向 Internet 的服務(wù)器上允許和阻止的執(zhí)行。

記錄非面向 Internet 的服務(wù)器上允許和阻止的執(zhí)行。

應(yīng)用程序控制事件日志，包括文件名、日期/時(shí)間戳以及與事件關(guān)聯(lián)的用戶(hù)的用戶(hù)名。

應(yīng)用程序控制事件日志被集中存儲(chǔ)并防止未經(jīng)授權(quán)的修改和刪除，監(jiān)控入侵跡象，并在檢測(cè)到網(wǎng)絡(luò)安全事件時(shí)采取行動(dòng)。

漏洞利用防護(hù)

當(dāng)操作系統(tǒng)中的漏洞利用生產(chǎn)功能尚未啟用時(shí)，為 Microsoft Windows 開(kāi)發(fā)漏洞的攻擊對(duì)手將更成功地利用安全漏洞。

Microsoft 的漏洞利用防護(hù)功能在工作站和服務(wù)器上實(shí)現(xiàn)。

PowerShell

PowerShell是Microsoft開(kāi)發(fā)的一種功能強(qiáng)大的腳本語(yǔ)言，用于為自動(dòng)化系統(tǒng)管理提供集成界面，并且由于其無(wú)處不在并且易于使用來(lái)完全控制Microsoft Windows環(huán)境，因此是系統(tǒng)管理員工具包的重要組成部分。但是，它也是對(duì)手手中的危險(xiǎn)利用工具。為了防止利用早期 PowerShell 版本中的安全漏洞進(jìn)行攻擊，應(yīng)從操作系統(tǒng)中刪除WindowsPowerShell 2.0 功能。此外，PowerShell 的語(yǔ)言模式應(yīng)設(shè)置為"約束語(yǔ)言模式"，以實(shí)現(xiàn)功能和安全性之間的平衡。最后，PowerShell 中提供的日志記錄功能（如模塊日志記錄、腳本塊日志記錄和轉(zhuǎn)錄）可以在涉及 PowerShell 被用于惡意目的的網(wǎng)絡(luò)安全事件后為事件響應(yīng)者提供寶貴的信息。

請(qǐng)注意，對(duì)于僅實(shí)施基本八個(gè)成熟度模型中成熟度級(jí)別 2 的組織，安全控制 1621-1622 和 1665 不適用。

Windows PowerShell2.0 被禁用或刪除。

PowerShell 配置為使用約束語(yǔ)言模式。

PowerShell 配置為使用模塊日志記錄、腳本塊日志記錄和轉(zhuǎn)錄功能。

PowerShell 腳本塊日志受受保護(hù)的事件日志記錄功能保護(hù)。

記錄鎖定的 PowerShell 腳本執(zhí)行。

PowerShell 事件日志集中存儲(chǔ)并防止未經(jīng)授權(quán)的修改和刪除，監(jiān)視入侵跡象，并在檢測(cè)到網(wǎng)絡(luò)安全事件時(shí)采取措施。

基于主機(jī)的入侵防御系統(tǒng)

許多端點(diǎn)安全解決方案都依賴(lài)于簽名來(lái)檢測(cè)惡意代碼。僅當(dāng)已分析特定惡意代碼段并且簽名是最新的時(shí)，此方法才有效。不幸的是，攻擊者可以創(chuàng)建已知惡意代碼的變體，或開(kāi)發(fā)新的看不見(jiàn)的惡意代碼，以繞過(guò)傳統(tǒng)的基于簽名的檢測(cè)機(jī)制?；谥鳈C(jī)的入侵防御系統(tǒng)（HIPS） 可以使用基于行為的檢測(cè)方案來(lái)幫助識(shí)別和阻止異常行為，例如進(jìn)程注入、擊鍵日志記錄、驅(qū)動(dòng)程序加載和呼叫掛鉤，以及檢測(cè)防病毒供應(yīng)商尚未識(shí)別的惡意代碼。

HIPS 在工作站上實(shí)現(xiàn)。

HIPS 在高價(jià)值服務(wù)器上實(shí)現(xiàn)，例如身份驗(yàn)證服務(wù)器、域名系統(tǒng)服務(wù)器、Web 服務(wù)器、文件服務(wù)器和電子郵件服務(wù)器。

軟件防火墻

網(wǎng)絡(luò)防火墻通常無(wú)法防止惡意代碼在網(wǎng)絡(luò)上傳播，或者阻止對(duì)手提取重要數(shù)據(jù)，因?yàn)樗鼈兺ǔＶ荒芸刂瓶梢栽诓煌W(wǎng)段之間使用哪些端口或協(xié)議。許多形式的惡意代碼專(zhuān)門(mén)設(shè)計(jì)用于通過(guò)使用通用協(xié)議（如超文本傳輸協(xié)議，超文本傳輸協(xié)議安全，  簡(jiǎn)單郵件傳輸協(xié)議和域名系統(tǒng)）來(lái)利用這一點(diǎn)。軟件防火墻比網(wǎng)絡(luò)防火墻更有效，因?yàn)樗鼈兛梢钥刂颇男?yīng)用程序和服務(wù)可以與工作站和服務(wù)器進(jìn)行通信。內(nèi)置的 Windows 防火墻應(yīng)用于控制特定應(yīng)用程序的入站和出站流量。

在工作站和服務(wù)器上實(shí)施了軟件防火墻，以限制入站和出站網(wǎng)絡(luò)連接。

防病毒軟件

當(dāng)供應(yīng)商開(kāi)發(fā)軟件時(shí)，他們可能不會(huì)使用安全的編碼實(shí)踐。攻擊者可以通過(guò)開(kāi)發(fā)惡意代碼來(lái)利用尚未檢測(cè)到和補(bǔ)救的安全漏洞來(lái)利用這一點(diǎn)。由于開(kāi)發(fā)功能正常且可靠的漏洞利用程序通常需要花費(fèi)大量時(shí)間和精力，因此對(duì)手通常會(huì)盡可能多地重復(fù)使用其漏洞利用程序。雖然防病毒供應(yīng)商可能會(huì)分析漏洞利用，但在沒(méi)有任何措施來(lái)檢測(cè)它們的組織中，它們通常仍然是一種可行的入侵方法。

防病毒軟件在工作站和服務(wù)器上實(shí)施，并配置了：

1.啟用基于簽名的檢測(cè)并將其設(shè)置為高級(jí)別

2.啟用基于啟發(fā)式的檢測(cè)并將其設(shè)置為高級(jí)別

3.啟用勒索軟件保護(hù)措施

4.檢測(cè)簽名檢查貨幣并至少每天更新一次

5.為所有固定磁盤(pán)和可移動(dòng)媒體配置自動(dòng)和定期掃描。

防病毒軟件啟用了信譽(yù)評(píng)級(jí)功能。

設(shè)備訪(fǎng)問(wèn)控制軟件

使用設(shè)備訪(fǎng)問(wèn)控制軟件來(lái)防止未經(jīng)授權(quán)的可移動(dòng)媒體和設(shè)備（例如智能手機(jī)、平板電腦、藍(lán)牙設(shè)備、無(wú)線(xiàn)設(shè)備和4G/5G加密狗）通過(guò)外部通信接口（例如通用串行總線(xiàn)、藍(lán)牙和近場(chǎng)通信）連接到工作站和服務(wù)器，作為縱深防御工作站和服務(wù)器保護(hù)方法的一部分，增加了價(jià)值。

還已經(jīng)證明，攻擊者可以通過(guò)允許直接內(nèi)存訪(fǎng)問(wèn)（DMA）的外部通信接口將設(shè)備連接到鎖定的工作站和服務(wù)器，并隨后訪(fǎng)問(wèn)內(nèi)存中的加密密鑰。此外，對(duì)手可以在內(nèi)存中讀取或?qū)懭胨麄兿胍娜魏蝺?nèi)容。針對(duì)此安全漏洞的最佳防御措施是禁用對(duì)允許 DMA 的外部通信接口（例如 FireWire、ExpressCard 和 Thunderbolt）的訪(fǎng)問(wèn)。

通過(guò)使用設(shè)備訪(fǎng)問(wèn)控制軟件或禁用操作系統(tǒng)中的外部通信接口，可以防止  將  未縱的可移動(dòng)介質(zhì)和  設(shè)備  連接到工作站和服務(wù)器。

允許 DMA 的外部通信接口被禁用。

如果可移動(dòng) media 的使用沒(méi)有業(yè)務(wù)要求，則阻止通過(guò)使用設(shè)備訪(fǎng)問(wèn)控制軟件寫(xiě)入。

應(yīng)用程序加固

應(yīng)用程序選擇

在選擇應(yīng)用程序時(shí)，組織必須優(yōu)先考慮那些致力于保護(hù)編碼實(shí)踐并在維護(hù)其應(yīng)用程序安全性方面具有良好記錄的供應(yīng)商。這不僅有助于加固應(yīng)用程序，還會(huì)增加供應(yīng)商及時(shí)發(fā)布補(bǔ)丁以修復(fù)其應(yīng)用程序中的任何安全漏洞的可能性。

應(yīng)用程序是從已承諾保護(hù)開(kāi)發(fā)和維護(hù)實(shí)踐的供應(yīng)商中選擇的。

應(yīng)用程序版本

較新版本的應(yīng)用程序通常會(huì)在安全功能方面引入比舊版本更好的功能。這可能會(huì)使攻擊者更難以為他們發(fā)現(xiàn)的安全漏洞創(chuàng)建可靠的漏洞。使用較舊版本的應(yīng)用程序，尤其是關(guān)鍵業(yè)務(wù)應(yīng)用程序，如辦公生產(chǎn)力套件、Web 瀏覽器及其擴(kuò)展、電子郵件客戶(hù)端、可移植文檔格式 （PDF） 軟件和安全產(chǎn)品，使組織暴露于利用技術(shù)，這些技術(shù)后來(lái)在較新版本的應(yīng)用程序中得到緩解。

最新版本的辦公生產(chǎn)力套件、Web 瀏覽器及其擴(kuò)展、電子郵件客戶(hù)端、PDF 軟件和安全產(chǎn)品在國(guó)有企業(yè)中使用。

當(dāng)國(guó)有企業(yè)中存在時(shí)，將使用最新版本的 Web 服務(wù)器軟件、存儲(chǔ)重要數(shù)據(jù)的服務(wù)器應(yīng)用程序以及其他可訪(fǎng)問(wèn) Internet 的服務(wù)器應(yīng)用程序。

加固應(yīng)用程序配置

默認(rèn)情況下，許多應(yīng)用程序啟用用戶(hù)不需要的功能，而安全功能可能被禁用或設(shè)置為較低的安全級(jí)別。對(duì)于可能成為對(duì)手目標(biāo)的關(guān)鍵業(yè)務(wù)應(yīng)用程序（如辦公生產(chǎn)力套件、Web 瀏覽器及其擴(kuò)展程序、電子郵件客戶(hù)端、PDF 軟件和安全產(chǎn)品）而言，這尤其危險(xiǎn)。為了幫助最大程度地降低此安全風(fēng)險(xiǎn)，ACSC 會(huì)生成指南來(lái)幫助安全地配置關(guān)鍵業(yè)務(wù)應(yīng)用程序。此外，為了幫助安全地配置其應(yīng)用程序，供應(yīng)商可能會(huì)提供自己的安全指南。

Web 瀏覽器不會(huì)從互聯(lián)網(wǎng)上處理 Java。

網(wǎng)絡(luò)瀏覽器不處理  來(lái)自互聯(lián)網(wǎng)的網(wǎng)絡(luò)廣告。

Internet Explorer11 不處理來(lái)自互聯(lián)網(wǎng)的內(nèi)容。

Microsoft Office 被阻止創(chuàng)建子進(jìn)程。

Microsoft Office 被阻止創(chuàng)建可執(zhí)行內(nèi)容。

Microsoft Office 被阻止將代碼注入其他進(jìn)程。

Microsoft Office 配置為阻止激活對(duì)象鏈接和嵌入包。

PDF 軟件被阻止創(chuàng)建子進(jìn)程。

實(shí)施了針對(duì) Web 瀏覽器、Microsoft Office 和 PDF 軟件的 ACSC 或供應(yīng)商加固指南。

Web瀏覽器，Microsoft Office和PDF軟件中的任何不需要的功能都將被禁用。

Web 瀏覽器、Microsoft Office 和 PDF 軟件附加組件的使用僅限于組織批準(zhǔn)的附加組件。

如果支持，將實(shí)施 Microsoft 的攻擊面減少規(guī)則。

用戶(hù)無(wú)法更改 Web 瀏覽器、Microsoft Office 和 PDF 軟件安全設(shè)置。

MicrosoftOffice 宏

Microsoft Office 文件可以包含用 Visual Basic for Applications 編程語(yǔ)言編寫(xiě)的嵌入式代碼（稱(chēng)為宏）。宏可以包含一系列命令，這些命令可以編碼或記錄，并在以后重播以自動(dòng)執(zhí)行重復(fù)性任務(wù)。宏是功能強(qiáng)大的工具，用戶(hù)可以輕松地創(chuàng)建它們，從而大大提高他們的工作效率。但是，攻擊者還可以創(chuàng)建宏來(lái)執(zhí)行各種惡意活動(dòng)，例如協(xié)助破壞工作站以泄露或拒絕對(duì)敏感或機(jī)密數(shù)據(jù)的訪(fǎng)問(wèn)。為了降低此安全風(fēng)險(xiǎn)，組織應(yīng)為沒(méi)有已證明業(yè)務(wù)需求的用戶(hù)禁用 Microsoft Office 宏，并保護(hù)其余用戶(hù)使用這些宏。

請(qǐng)注意，對(duì)于僅實(shí)施基本八個(gè)成熟度模型中的成熟度級(jí)別 2 的組織，安全控制 1674、1487、1675-1676 和 1678 不適用。

對(duì)于沒(méi)有已證明的業(yè)務(wù)需求的用戶(hù)，將禁用 MicrosoftOffice 宏。

來(lái)自互聯(lián)網(wǎng)的文件中的 MicrosoftOffice 宏將被阻止。

已啟用 MicrosoftOffice 宏防病毒掃描。

Microsoft Office 宏被阻止進(jìn)行 Win32 API 調(diào)用。

僅允許從沙盒環(huán)境、受信任位置或由受信任的發(fā)布者進(jìn)行數(shù)字簽名的 MicrosoftOffice 宏執(zhí)行。

只有負(fù)責(zé)驗(yàn)證 MicrosoftOffice 宏是否沒(méi)有惡意代碼的特權(quán)用戶(hù)才能寫(xiě)入和修改受信任位置中的內(nèi)容。

由不受信任的發(fā)布者進(jìn)行數(shù)字簽名的 MicrosoftOffice 宏無(wú)法通過(guò)消息欄或后臺(tái)視圖啟用。

Microsoft Office 的受信任發(fā)布者列表每年或更頻繁地進(jìn)行驗(yàn)證。

用戶(hù)無(wú)法更改 MicrosoftOffice 宏安全設(shè)置。

將記錄允許和阻止的 MicrosoftOffice 宏執(zhí)行。

Microsoft Office 宏事件日志是集中存儲(chǔ)并防止未經(jīng)授權(quán)的修改和刪除的日志，監(jiān)視入侵跡象，并在檢測(cè)到網(wǎng)絡(luò)安全事件時(shí)采取措施。

身份驗(yàn)證加固

賬戶(hù)類(lèi)型

當(dāng)這些準(zhǔn)則涉及身份驗(yàn)證加固時(shí)，它同樣適用于所有賬戶(hù)類(lèi)型。這包括非特權(quán)賬戶(hù)、特權(quán)賬戶(hù)、碎玻璃賬戶(hù)和服務(wù)賬戶(hù)。

身份驗(yàn)證類(lèi)型

當(dāng)這些準(zhǔn)則涉及身份驗(yàn)證加固時(shí)，它同樣適用于交互式身份驗(yàn)證和非交互式身份驗(yàn)證。

系統(tǒng)進(jìn)行身份驗(yàn)證

在向用戶(hù)授予對(duì)系統(tǒng)及其資源的訪(fǎng)問(wèn)權(quán)限之前，必須對(duì)它們進(jìn)行身份驗(yàn)證。這通常通過(guò)多因素身份驗(yàn)證（例如用戶(hù)名以及生物識(shí)別和密碼）或通過(guò)單因素身份驗(yàn)證（例如用戶(hù)名和密碼短語(yǔ)）來(lái)實(shí)現(xiàn)。

在授予用戶(hù)對(duì)系統(tǒng)及其資源的訪(fǎng)問(wèn)權(quán)限之前，將對(duì)用戶(hù)進(jìn)行身份驗(yàn)證。

多重身份驗(yàn)證

多重身份驗(yàn)證使用兩個(gè)或多個(gè)身份驗(yàn)證因素來(lái)確認(rèn)用戶(hù)的身份。這可能包括：

1.用戶(hù)知道的內(nèi)容，例如密碼

2.用戶(hù)擁有的東西，例如安全密鑰、智能卡、手機(jī)或物理一次性密碼令牌

3.用戶(hù)是某些東西，例如指紋或他們的面部幾何形狀。

但請(qǐng)注意，如果用戶(hù)知道的內(nèi)容被寫(xiě)下來(lái)，或者鍵入到文件中并存儲(chǔ)為純文本，這將成為用戶(hù)擁有的東西，而不是用戶(hù)知道的東西。

特權(quán)用戶(hù)、遠(yuǎn)程訪(fǎng)問(wèn)解決方案的用戶(hù)以及有權(quán)訪(fǎng)問(wèn)重要數(shù)據(jù)存儲(chǔ)庫(kù)的用戶(hù)由于其訪(fǎng)問(wèn)級(jí)別而更有可能成為攻擊者的目標(biāo)。因此，對(duì)這些賬戶(hù)使用多重身份驗(yàn)證尤為重要。此外，多重身份驗(yàn)證對(duì)于任何系統(tǒng)管理活動(dòng)都至關(guān)重要，因?yàn)樗梢酝ㄟ^(guò)阻止或減慢對(duì)手獲得對(duì)資產(chǎn)的無(wú)限制訪(fǎng)問(wèn)的能力來(lái)限制妥協(xié)的后果。在這方面，多重身份驗(yàn)證可以作為跳轉(zhuǎn)服務(wù)器身份驗(yàn)證過(guò)程的一部分實(shí)現(xiàn)，其中所管理的資產(chǎn)不支持多重身份驗(yàn)證。

實(shí)現(xiàn)多重身份驗(yàn)證時(shí)，可以實(shí)現(xiàn)多種不同的身份驗(yàn)證因素。不幸的是，某些身份驗(yàn)證因素（例如生物識(shí)別技術(shù)或通過(guò)短信服務(wù)，Internet協(xié)議語(yǔ)音或電子郵件發(fā)送的代碼）比其他因素更容易受到損害。因此，建議將涉及用戶(hù)具有的某些內(nèi)容的有限數(shù)量的身份驗(yàn)證因素用作多重身份驗(yàn)證實(shí)現(xiàn)的一部分。此外，為了提高安全性，建議使用抗驗(yàn)證程序模擬身份驗(yàn)證因素來(lái)防止實(shí)時(shí)網(wǎng)絡(luò)釣魚(yú)攻擊。

當(dāng)憑據(jù)在其他系統(tǒng)上重用時(shí)，實(shí)現(xiàn)多重身份驗(yàn)證的好處可能會(huì)減少。例如，當(dāng)用作遠(yuǎn)程訪(fǎng)問(wèn)的多重身份驗(yàn)證的一部分的用戶(hù)名和密碼與用于公司工作站的用戶(hù)名和密碼相同時(shí)。在這種情況下，如果攻擊者破壞了用于遠(yuǎn)程訪(fǎng)問(wèn)的設(shè)備，他們可以捕獲用戶(hù)名和密碼，以便在不需要使用多重身份驗(yàn)證的公司工作站上重復(fù)使用。

請(qǐng)注意，對(duì)于僅實(shí)施基本八個(gè)成熟度模型中的成熟度級(jí)別 2 的組織，安全控制 1505、1682和 1684 不適用。

多重身份驗(yàn)證用于對(duì)系統(tǒng)的非特權(quán)用戶(hù)進(jìn)行身份驗(yàn)證。

多重身份驗(yàn)證用于對(duì)系統(tǒng)的特權(quán)用戶(hù)進(jìn)行身份驗(yàn)證。

如果組織的用戶(hù)向組織的面向 Internet 的服務(wù)進(jìn)行身份驗(yàn)證，則組織的用戶(hù)將使用多重身份驗(yàn)證。

如果組織的用戶(hù)向處理、存儲(chǔ)或傳達(dá)其組織敏感數(shù)據(jù)的第三方面向 Internet 的服務(wù)進(jìn)行身份驗(yàn)證，則組織的用戶(hù)將使用多重身份驗(yàn)證。

如果組織的用戶(hù)向處理、存儲(chǔ)或通信其組織的非敏感數(shù)據(jù)的第三方面向 Internet 的服務(wù)進(jìn)行身份驗(yàn)證，則組織的用戶(hù)將使用多重身份驗(yàn)證（如果可用）。

默認(rèn)情況下，如果非組織用戶(hù)向組織的面向 Internet 的服務(wù)進(jìn)行身份驗(yàn)證，則為這些用戶(hù)啟用多重身份驗(yàn)證（但用戶(hù)可以選擇退出）。

多重身份驗(yàn)證用于對(duì)訪(fǎng)問(wèn)重要數(shù)據(jù)存儲(chǔ)庫(kù)的用戶(hù)進(jìn)行身份驗(yàn)證。

多重身份驗(yàn)證使用：用戶(hù)擁有的東西和用戶(hù)知道的東西，或者用戶(hù)擁有的東西被用戶(hù)知道或正在解鎖的東西。

多重身份驗(yàn)證具有驗(yàn)證程序模擬性。

用于多重身份驗(yàn)證的密碼至少為 6 個(gè)字符，除非適用更嚴(yán)格的要求。

用于在 SECRET 系統(tǒng)上進(jìn)行多重身份驗(yàn)證的密碼至少為 8 個(gè)字符。

在 TOP SECRET 系統(tǒng)上用于多重身份驗(yàn)證的密碼至少為 10 個(gè)字符。

實(shí)現(xiàn)多重身份驗(yàn)證時(shí)，任何身份驗(yàn)證因素本身都不能用于對(duì)另一個(gè)系統(tǒng)進(jìn)行單重身份驗(yàn)證。

記錄成功和不成功的多重身份驗(yàn)證。

多重身份驗(yàn)證事件日志被集中存儲(chǔ)并防止未經(jīng)授權(quán)的修改和刪除，監(jiān)控入侵跡象，并在檢測(cè)到網(wǎng)絡(luò)安全事件時(shí)采取行動(dòng)。

單因素身份驗(yàn)證

用戶(hù)賬戶(hù)受損的一個(gè)重大威脅是脫機(jī)密碼/密碼破解工具。當(dāng)攻擊者從系統(tǒng)獲得對(duì)用戶(hù)名和散列密碼/密碼短語(yǔ)列表的訪(fǎng)問(wèn)權(quán)限時(shí)，他們可以嘗試通過(guò)將已知密碼/密碼短語(yǔ)的哈希與他們獲得的散列密碼/密碼短語(yǔ)列表中的哈希進(jìn)行比較來(lái)恢復(fù)它們。通過(guò)查找匹配項(xiàng)，攻擊者將知道與給定用戶(hù)名關(guān)聯(lián)的密碼/密碼。結(jié)合在一起，這通常會(huì)形成一組完整的賬戶(hù)憑據(jù)。

為了降低此安全風(fēng)險(xiǎn)，組織應(yīng)實(shí)施多重身份驗(yàn)證。請(qǐng)注意，雖然單因素身份驗(yàn)證不再被認(rèn)為適合保護(hù)敏感或機(jī)密數(shù)據(jù)，但可能無(wú)法在某些系統(tǒng)上實(shí)現(xiàn)多重身份驗(yàn)證。在這種情況下，組織將需要通過(guò)引入復(fù)雜性并隨著時(shí)間的推移繼續(xù)增加其長(zhǎng)度來(lái)增加對(duì)手破壞密碼/密碼短語(yǔ)所需的平均時(shí)間。這種長(zhǎng)度的增加可以通過(guò)使用密碼而不是密碼來(lái)平衡可用性。在系統(tǒng)不支持密碼的情況下，并且作為絕對(duì)的最后手段，將需要實(shí)現(xiàn)系統(tǒng)支持的最強(qiáng)密碼長(zhǎng)度和復(fù)雜性。

當(dāng)系統(tǒng)不支持多重身份驗(yàn)證時(shí)，將改為使用密碼進(jìn)行單重身份驗(yàn)證。

用于單因素身份驗(yàn)證的密碼短語(yǔ)至少為 4 個(gè)隨機(jī)單詞，總最小長(zhǎng)度為 14 個(gè)字符，除非適用更嚴(yán)格的要求。

用于 SECRET 系統(tǒng)上單因素身份驗(yàn)證的密碼短語(yǔ)至少為 5 個(gè)隨機(jī)單詞，總長(zhǎng)度最小為 17 個(gè)字符。

在 TOP SECRET 系統(tǒng)上用于單因素身份驗(yàn)證的密碼短語(yǔ)至少為 6 個(gè)隨機(jī)單詞，總長(zhǎng)度最小為 20 個(gè)字符。

用于單因素身份驗(yàn)證的密碼：

1.不是由歌詞，電影，文學(xué)或任何其他公開(kāi)可用的材料構(gòu)成的

2.不要在自然語(yǔ)言中形成真正的句子

3.不是分類(lèi)單詞的列表。

用于單因素身份驗(yàn)證的密碼短語(yǔ)不能用于向多個(gè)不同的系統(tǒng)進(jìn)行身份驗(yàn)證。

設(shè)置和重置用戶(hù)賬戶(hù)的憑據(jù)

當(dāng)代表用戶(hù)設(shè)置或重置密碼/密碼短語(yǔ)時(shí)，重要的是隨機(jī)生成密碼/密碼短語(yǔ)，并在對(duì)其身份進(jìn)行充分驗(yàn)證后（例如，親自將自己及其通行證呈現(xiàn)給服務(wù)臺(tái)或已知同事，或回答一組質(zhì)詢(xún)-響應(yīng)問(wèn)題），通過(guò)安全的通信通道提供給他們，以防止他們受到損害。如果無(wú)法做到這一點(diǎn)，就需要實(shí)施基于風(fēng)險(xiǎn)的替代措施。

代表用戶(hù)設(shè)置或重置的密碼/密碼短語(yǔ)是隨機(jī)生成的。

用戶(hù)在為其賬戶(hù)收集密碼/密碼時(shí)提供足夠的證據(jù)來(lái)驗(yàn)證其身份。

密碼/密碼短語(yǔ)通過(guò)安全的通信通道提供給用戶(hù)，或者，如果不可能，則分成幾個(gè)部分，一部分提供給用戶(hù)，另一部分提供給用戶(hù)的主管。

未設(shè)置自己的初始密碼/密碼的用戶(hù)需要在首次使用時(shí)進(jìn)行更改。

設(shè)置和重置服務(wù)賬戶(hù)的憑據(jù)

為了向服務(wù)賬戶(hù)提供額外的安全性和憑據(jù)管理功能，Microsoft 在 Microsoft Windows Server 2012 中引入了組托管服務(wù)賬戶(hù)。這樣，創(chuàng)建為組托管服務(wù)賬戶(hù)的服務(wù)賬戶(hù)不需要管理員手動(dòng)管理憑據(jù)，因?yàn)椴僮飨到y(tǒng)會(huì)自動(dòng)管理憑據(jù)。這可確保服務(wù)賬戶(hù)憑據(jù)不會(huì)放錯(cuò)位置或被遺忘，并且會(huì)定期自動(dòng)更改。

服務(wù)賬戶(hù)創(chuàng)建為組托管服務(wù)賬戶(hù)。

賬戶(hù)鎖定

在指定次數(shù)的失敗登錄嘗試后鎖定賬戶(hù)可降低成功進(jìn)行密碼噴涂攻擊的可能性。但是，應(yīng)小心，因?yàn)閷?shí)現(xiàn)賬戶(hù)鎖定功能可能會(huì)增加拒絕服務(wù)的可能性。或者，可以將某些系統(tǒng)配置為自動(dòng)減慢重復(fù)失敗的登錄嘗試的速度，而不是鎖定賬戶(hù)。實(shí)施多重身份驗(yàn)證也是降低成功密碼噴涂攻擊可能性的有效方法。

賬戶(hù)在最多五次登錄嘗試失敗后被鎖定。

在重新授權(quán)訪(fǎng)問(wèn)權(quán)限之前，將調(diào)查重復(fù)的賬戶(hù)鎖定。

賬戶(hù)解鎖

為了降低社交工程工具破壞賬戶(hù)的可能性，用戶(hù)在請(qǐng)求賬戶(hù)解鎖時(shí)應(yīng)提供足夠的證據(jù)來(lái)驗(yàn)證其身份。

用戶(hù)在請(qǐng)求賬戶(hù)解鎖時(shí)提供足夠的證據(jù)來(lái)驗(yàn)證其身份。

不安全的身份驗(yàn)證方法

身份驗(yàn)證方法需要防止盜竊、攔截、復(fù)制、偽造、未經(jīng)授權(quán)的訪(fǎng)問(wèn)和未經(jīng)授權(quán)的修改。例如，局域網(wǎng)（LAN）管理器和NTLAN管理器身份驗(yàn)證方法使用弱哈希算法。因此，用作LAN管理器身份驗(yàn)證和NTLAN管理器身份驗(yàn)證（即NTLMv1、NTLMv2和NTLM2）一部分的密碼/密碼很容易受到損害。相反，組織應(yīng)該在Microsoft Windows環(huán)境中使用Kerberos進(jìn)行身份驗(yàn)證。

禁用了易受重放攻擊的身份驗(yàn)證方法。

LAN 管理器和 NT LAN 管理器身份驗(yàn)證方法被禁用。

特權(quán)賬戶(hù)是"受保護(hù)的用戶(hù)"安全組的成員。

保護(hù)憑據(jù)

將憑據(jù)存儲(chǔ)在它授予訪(fǎng)問(wèn)權(quán)限的系統(tǒng)中會(huì)增加對(duì)手獲得對(duì)系統(tǒng)訪(fǎng)問(wèn)權(quán)限的可能性。例如，密碼/密碼短語(yǔ)絕不應(yīng)被寫(xiě)下來(lái)并粘貼在筆記本電腦或計(jì)算機(jī)顯示器上，安全密鑰、智能卡或一次性密碼令牌絕不應(yīng)留在計(jì)算機(jī)或筆記本電腦包中。此外，在將憑據(jù)輸入系統(tǒng)時(shí)遮擋憑據(jù)可以幫助保護(hù)它們免受屏幕刮刀和肩部沖浪者的侵害。

如果將憑據(jù)存儲(chǔ)在系統(tǒng)上，則應(yīng)實(shí)施足夠的保護(hù)，以防止它們作為目標(biāo)網(wǎng)絡(luò)入侵的一部分而受到損害。例如，憑據(jù)可以存儲(chǔ)在密碼保管庫(kù)中，而不是存儲(chǔ)在 Microsoft Word 或 Excel 文檔中，存儲(chǔ)在數(shù)據(jù)庫(kù)中的憑據(jù)可以進(jìn)行哈希處理、加鹽和拉伸，或者憑據(jù)可以存儲(chǔ)在硬件安全模塊中。此外，還可以啟用安全功能（如 Windows Defender 憑據(jù)防護(hù)和 Windows Defender 遠(yuǎn)程憑據(jù)防護(hù)）為憑據(jù)提供額外的保護(hù)。

最后，非對(duì)稱(chēng)身份驗(yàn)證和憑據(jù)的安全傳輸降低了對(duì)手以有效用戶(hù)的名義攔截和使用此類(lèi)憑據(jù)訪(fǎng)問(wèn)系統(tǒng)的可能性。

請(qǐng)注意，對(duì)于僅實(shí)施基本八個(gè)成熟度模型中成熟度級(jí)別 2 的組織，安全控制 1686 不適用。

本地管理員賬戶(hù)和服務(wù)賬戶(hù)的憑據(jù)是未識(shí)別的、不可預(yù)測(cè)的和托管的。

憑據(jù)與它們授予訪(fǎng)問(wèn)權(quán)限的系統(tǒng)分開(kāi)存儲(chǔ)。

憑據(jù)在輸入系統(tǒng)時(shí)會(huì)被遮擋。

存儲(chǔ)的密碼/密碼短語(yǔ)通過(guò)確保它們經(jīng)過(guò)散列，加鹽和拉伸來(lái)保護(hù)。

Windows DefenderCredential Guard 和 Windows DefenderRemote Credential Guard 已啟用。

在以下情況下，密碼/密碼短語(yǔ)將被更改：

1.它們直接受到損害

2.他們被懷疑受到損害

3.它們出現(xiàn)在在線(xiàn)數(shù)據(jù)泄露數(shù)據(jù)庫(kù)中

4.它們被發(fā)現(xiàn)存儲(chǔ)在網(wǎng)絡(luò)上的明文中

5.它們被發(fā)現(xiàn)正在通過(guò)網(wǎng)絡(luò)以明文形式傳輸

6.共享賬戶(hù)的成員身份更改

7.它們?cè)谶^(guò)去12個(gè)月內(nèi)沒(méi)有改變。

會(huì)話(huà)終止

在適當(dāng)?shù)姆腔顒?dòng)時(shí)間段后，實(shí)施在工作時(shí)間以外自動(dòng)終止用戶(hù)會(huì)話(huà)的措施（請(qǐng)注意，這在不同的工作區(qū)域之間可能有所不同），然后重新啟動(dòng)工作站，可以幫助進(jìn)行系統(tǒng)維護(hù)活動(dòng)（例如修補(bǔ)）以及刪除可能已危及系統(tǒng)但未能獲得持久性的任何對(duì)手。

在工作時(shí)間以外，在適當(dāng)?shù)姆腔顒?dòng)時(shí)間段之后，用戶(hù)會(huì)話(huà)將終止，工作站將重新啟動(dòng)。

會(huì)話(huà)和屏幕鎖定

會(huì)話(huà)和屏幕鎖定可防止對(duì)用戶(hù)已通過(guò)身份驗(yàn)證才能訪(fǎng)問(wèn)的系統(tǒng)進(jìn)行未經(jīng)授權(quán)的訪(fǎng)問(wèn)。

系統(tǒng)配置了會(huì)話(huà)或屏幕鎖定，該鎖定：

1.在用戶(hù)處于非活動(dòng)狀態(tài)最多 15 分鐘后激活， 或者如果用戶(hù)手動(dòng)激活，則激活

2.隱藏屏幕上的所有會(huì)話(huà)內(nèi)容

3.確保在激活會(huì)話(huà)或屏幕鎖定之前，屏幕不會(huì)進(jìn)入節(jié)能狀態(tài)

4.要求用戶(hù)重新進(jìn)行身份驗(yàn)證以解鎖系統(tǒng)

5.拒絕用戶(hù)禁用會(huì)話(huà)或屏幕鎖定機(jī)制。

登錄界面

在授予對(duì)系統(tǒng)的訪(fǎng)問(wèn)權(quán)限之前向用戶(hù)顯示登錄界面會(huì)提醒他們其安全責(zé)任。登錄界面可能涵蓋以下主題：

1.系統(tǒng)的靈敏度或分類(lèi)

2.對(duì)系統(tǒng)的訪(fǎng)問(wèn)僅限于授權(quán)用戶(hù)

3.系統(tǒng)可接受的用法和安全策略

4.用戶(hù)同意遵守上述政策

5.違反上述政策的法律后果

6.監(jiān)控和審計(jì)活動(dòng)的詳細(xì)信息

7.任何問(wèn)題的聯(lián)系點(diǎn)。

系統(tǒng)具有登錄界面，要求用戶(hù)在授予訪(fǎng)問(wèn)權(quán)限之前確認(rèn)并接受其安全責(zé)任。

我們尋求有關(guān)登錄界面的確切措辭的法律建議。

虛擬化加固

容器化

容器允許系統(tǒng)的廣泛部署，并可用于快速擴(kuò)展系統(tǒng)。但是，它們?nèi)匀皇沁\(yùn)行軟件的系統(tǒng)，應(yīng)被視為任何其他系統(tǒng)。與其他類(lèi)型的系統(tǒng)相比，在容器化環(huán)境中應(yīng)用安全控制可能采取不同的形式。例如，修補(bǔ)工作站上的操作系統(tǒng)的操作可能與確保將修補(bǔ)的映像用于容器不同，但原理是相同的。一般而言，適用于非容器化系統(tǒng)的相同安全風(fēng)險(xiǎn)可能也適用于容器化系統(tǒng)。

計(jì)算環(huán)境之間的功能分離

基于軟件的隔離機(jī)制通常用于在多個(gè)計(jì)算環(huán)境之間共享物理服務(wù)器的硬件。使用基于軟件的隔離機(jī)制共享物理服務(wù)器硬件的好處包括增加物理服務(wù)器可用于的活動(dòng)范圍，并最大限度地提高其硬件的利用率。

計(jì)算環(huán)境可以由安裝在虛擬機(jī)中的整個(gè)操作系統(tǒng)組成，其中隔離機(jī)制是虛擬機(jī)監(jiān)控程序，這在提供基礎(chǔ)結(jié)構(gòu)即服務(wù)的云服務(wù)中常用?；蛘撸?jì)算環(huán)境可以由一個(gè)應(yīng)用程序組成，該應(yīng)用程序使用物理服務(wù)器的基礎(chǔ)操作系統(tǒng)的共享內(nèi)核，其中隔離機(jī)制是應(yīng)用程序容器或應(yīng)用程序沙箱，這在提供平臺(tái)即服務(wù)的云服務(wù)中常用。單個(gè)應(yīng)用程序中數(shù)據(jù)的邏輯分離（通常用于提供軟件即服務(wù)的云服務(wù)）不被視為與多個(gè)計(jì)算環(huán)境相同。

破壞單個(gè)計(jì)算環(huán)境或合法控制單個(gè)計(jì)算環(huán)境的對(duì)手可能會(huì)利用隔離機(jī)制中的配置錯(cuò)誤或安全漏洞來(lái)破壞同一物理服務(wù)器上的其他計(jì)算環(huán)境，或破壞物理服務(wù)器的基礎(chǔ)操作系統(tǒng)。

當(dāng)使用基于軟件的隔離機(jī)制共享物理服務(wù)器的硬件時(shí)，隔離機(jī)制來(lái)自使用安全編碼實(shí)踐的供應(yīng)商，并且在發(fā)現(xiàn)安全漏洞后，及時(shí)開(kāi)發(fā)和分發(fā)修補(bǔ)程序。

使用基于軟件的隔離機(jī)制共享物理服務(wù)器的硬件時(shí)，通過(guò)刪除不需要的功能并限制對(duì)用于管理隔離機(jī)制的管理界面的訪(fǎng)問(wèn)，可以加固隔離機(jī)制的配置。

使用基于軟件的隔離機(jī)制共享物理服務(wù)器的硬件時(shí)，將加固服務(wù)器上運(yùn)行的基礎(chǔ)操作系統(tǒng)。

當(dāng)使用基于軟件的隔離機(jī)制共享物理服務(wù)器的硬件時(shí)，會(huì)及時(shí)將修補(bǔ)程序應(yīng)用于隔離機(jī)制和底層操作系統(tǒng)。

當(dāng)使用基于軟件的隔離機(jī)制共享物理服務(wù)器的硬件時(shí)，會(huì)及時(shí)對(duì)隔離機(jī)制和底層操作系統(tǒng)執(zhí)行完整性和日志監(jiān)控。

當(dāng)使用基于軟件的隔離機(jī)制共享 SECRET 或 TOP SECRET 工作負(fù)載的物理服務(wù)器硬件時(shí)，物理服務(wù)器和在物理服務(wù)器上運(yùn)行的所有計(jì)算環(huán)境屬于同一分類(lèi)，并且位于同一安全域中。 

• 信息安全手冊(cè)之網(wǎng)絡(luò)安全角色指南

• 信息安全手冊(cè)之網(wǎng)絡(luò)安全事件指南

• 信息安全手冊(cè)之外包指南

• 信息安全手冊(cè)之安全文檔指南

• 信息安全手冊(cè)之網(wǎng)絡(luò)安全原則

• 信息安全手冊(cè)之物理安全指南

• 信息安全手冊(cè)之人員安全指南

• 信息安全手冊(cè)之通信系統(tǒng)指南

• 信息安全手冊(cè)之企業(yè)移動(dòng)性指南

• 信息安全手冊(cè)之評(píng)估產(chǎn)品指南

• 信息安全手冊(cè)之信通技術(shù)設(shè)備指南

• 信息安全手冊(cè)之媒體指南