网络安全–在当今的数字世界中,网络安全是保护公司最宝贵资产–知识产权,客户信息,财务和贸易数据以及员工记录等的关键。随着与Internet的连接性增加,公司信息系统受到破坏的风险也随之增加。此威胁涉及所有类型和规模的企业。确保公司信息技术(IT)和数据安全的措施至关重要,列出的标准为会员的整体网络安全计划提供了基础。
关键定义:网络安全–网络安全是一种活动或过程,旨在保护计算机,网络,程序和数据免受意外或未经授权的访问,更改或破坏。它是确定,分析,评估和传达与网络有关的风险,并考虑所付出的成本和收益,将其接受,避免,转移或降低到可接受水平的过程。
信息技术(IT)– IT包括计算机,存储,网络和其他物理设备,基础架构和过程,用于创建,处理,存储,保护和交换所有形式的电子数据。
|
ID |
标准 |
实施指导 |
必须/应该 |
|
4.1 |
C-TPAT会员必须具有全面的书面网络安全政策和/ 或程序,以保护信息技术(IT)系统。书面的IT 政策至少必须涵盖所有单独的网络安全标准。 |
鼓励成员遵循基于公认的行业框架/标准的网络安全协议。*美国国家标准技术研究院(NIST)是提供网络安全框(https://www.nist.gov/cyberframework)基于现有标准,指南和惯例提供自愿指导,以帮助管理和减少内部和外部的网络安全风险。它可用于帮助确定和降低网络安全风险的优先级,它是使策略,业务和技术方法保持一致以管理该风险的工具。该框架是组织风险管理流程和网络安全计划的补充。或者,没有现有网络安全计划的组织可以使用该框架作为建立框架的参考。 * NIST是商务部下属的非监管联邦机构,负责促进和维护测量标准,并且是联邦政府的技术标准开发商。 |
必须 |
|
4.2 |
为了保护信息技术(IT)系统免受常见的网络安全威胁,公司必须在会员的计算机系统中安装足够的软件/硬件保护,以防止恶意软件(病毒,间谍软件,蠕虫,特洛伊木马等)和内部/外部入侵(防火墙)。成员必须确保其安全软件是最新的并定期接收安全更新。会员必须制定政策和程序,以防止通过社会工程学进行攻击。如果发生数据泄露或其他未发现的事件导致数据和/或设备丢失,则过程必须包括IT系统和/或数据的恢复(或更换)。 |
|
必须 |
|
4.3 |
使用网络系统的C-TPAT成员必须定期测试其IT基础 结构的安全性。如果发现漏洞,则必须尽快采取纠正措施。 |
安全的计算机网络对企业至关重要,要确保受到保护,就需要定期进测试。这可以通过计划漏洞扫描来完成。就像保安人员检查企业的门窗是否打开一样,漏洞扫描(VS)可以识别计算机上的漏洞(开放的端口和IP地址),其操作系统以及软件,黑客可以通过这些漏洞来访问公司的IT系统。VS通过将其扫描结果与已知漏洞的数据库进行比较来做到这一点,并为企业采取行动提供纠正报告。有许多免费和商业版本的漏洞扫描仪。 测试的频率将取决于各种因素,包括公司的业务模式和风险水平。例如,只要企业的网络基础结构发生变化,公司就应该运行这些测试。但是,网络攻击在所有规模的企业中都在增加,在设计测试计划时需要考虑到这一点。 |
必须 |
|
4.4 |
网络安全政策应解决会员如何与政府和其他商业 伙伴共享有关网络安全威胁的信息。 |
鼓励成员与供应链中的政府和商业伙伴共享有关网络安全威胁的信息。信息共享是国土安全部使命的关键部分,目的是创建对恶意网络活动的共享态势感知。C-TPAT成员可能希望加入国家网络安全和通信集成中心 (NCCIC-https://www.us-cert.gov/nccic).NCCIC在公共和私营部门合作伙伴之间共享信息,以建立对漏洞,事件和缓解措施的意识。网络和工业控制系统用户可以免费订阅信息产品,提要和服务。 |
应该 |
|
4.5 |
必须建立一个系统来识别未经授权的IT系统/数据访问或滥用政策和程序,包括对内部系统或外部网站的不当访问以及员工或承包商对业务数据的篡改或更改。所有违规者必须受到适当的纪律处分。 |
|
必须 |
|
4.6 |
必须根据风险或情况的指示,每年或更频繁地审查网络安全政策和程序。审查之后,如有必要, 必须更新政策和程序。 |
网络攻击是一个比每年更早地要求更新策略的情况的例子。利用从攻击中学到的经验教训,将有助于加强会员的网络安全政策。 |
必须 |
|
4.7 |
必须根据职位描述或分配的职责来限制用户访问。必须定期检查授权访问,以确保根据工作要求访问敏感系统。 员工离职后,必须删除计算机和网络访问权限。 |
|
必须 |
|
4.8 |
有权访问信息技术(IT)系统的个人必须使用单独分配的帐户。
必须通过使用强密码,口令短语或其他形式的身份验证来保护对IT系统的访问,使其免受渗透,并且必须保护用户对IT系统的访问。
如果有证据表明存在泄露或合理怀疑存在泄露,则必须尽快更改密码和/或密码短语。 |
为了防止IT系统渗透,必须通过认证过程来保护用户访问。复杂的登录密码或密码短语,生物识别技术和电子身份证是三种不同类型的身份验证过程。首选使用一种以上度量的过程。这些称为两因素身份验证 (2FA)或多因素身份验证(MFA)。MFA是最安全的,因为它要求用户在登录过程中提供两个或更多证据(凭证)以验证该人的身份。
MFA可以协助关闭由于弱密码或凭据被盗而利用的网络入侵。MFA可以要求个人使用您所拥有的东西(例如令牌)或您的一种物理特征来增加密码或密码短语(您知道的信息),从而帮助关闭这些攻击媒介 -生物识别。
如果使用密码,则密码必须很复杂。美国国家标准技术研究院(NIST) 的NIST特别出版物800-63B:“数字身份准则”,其中包括密码准则 (https://pages.nist.gov/800-63-3/sp800-63b.html).建议使用 长而容易记住的密码短语,而不是带有特殊字符的单词。这些较长的密码短语(NIST建议最多允许使用64个字符),因为它们由易于记忆的句子或短语组成,因此很难破解。 |
必须 |
|
4.9 |
允许其用户远程连接到网络的成员必须使用安全技术,例如虚拟专用网(VPN),以允许员工位于办公室外时可以安全地访问公司的Intranet。成员还必须具有旨在防止未经授权的用户远程访问的过 程。 |
VPN不是保护远程访问网络的唯一选择。多因素身份验证(MFA)是另一种方法。多因素身份验证的一个示例是带有动态安全代码的令牌,员工必须键入该令牌才能访问网络。 |
必须 |
|
4.10 |
如果会员允许员工使用个人设备进行公司工作, 则所有此类设备都必须遵守公司的网络安全政策和程序,以包括定期的安全更新和安全访问公司网络的方法。 |
个人设备包括CD,DVD和USB闪存驱动器之类的存储介质。如果允许员工将其个人媒体连接到单个系统,则必须格外小心,因为这些数据存储设备可能感染了可能会通过公司网络传播的恶意软件。 |
必须 |
|
4.11 |
网络安全政策和程序应包括防止使用伪造或不正确许可的技术产品的措施。 |
计算机软件是创建它的实体所拥有的知识产权(IP)。未经制造商或出版商的明确许可,无论以何种方式获得软件,安装软件都是违法的。该许可几乎总是采用发行商的许可形式,该许可与软件的授权副本一起提供。未经许可的软件更有可能由于无法更新而失败。更容易包含恶意软件,使计算机及其信息无用。对于未经许可的软件,不提供任何保证或支持,从而使您的公司自行处理故障。未经许可的软件也会产生法律后果,包括严厉的民事处罚和刑事起诉。 软件盗版会增加使用合法授权软件的用户的成本,并减少可用于研发新软件的资本。
成员可能希望制定一项政策,要求在购买新媒体时保留产品密钥标签和真实性证书。CD,DVD和USB介质包括全息防伪功能,以帮助确保您收到货真价实的产品并防止伪造。 |
应该 |
|
4.12 |
数据应每周或酌情备份一次。所有敏感和机密数据均应以加密格式存储。 |
应该进行数据备份,因为数据丢失可能会不同地影响组织内的个人。如果生产或共享服务器的数据丢失/丢失,也建议每日备份。各个系统可能需要较少的备份频率,具体取决于所涉及的信息类型。
用于存储备份的介质最好应存储在异地设施中。用于备份数据的设备不应与用于生产工作的设备位于同一网络上。将数据备份到云可以作为 “异地”工具。 |
应该 |
|
4.13 |
包含有关导入/导出过程的敏感信息的所有介质, 硬件或其他IT设备,都必须通过常规库存进行会计处理。处置后,必须按照美国国家标准技术研究院 (NIST)媒体消毒指南或其他适当的行业指南对它们进行适当的消毒和/或销毁。 |
某些类型的计算机介质是硬盘驱动器,可移动驱动器,CD-ROM或CD-R光盘,DVD或USB驱动器。
美国国家系统和技术研究所(NIST)已制定了政府的数据媒体销毁标准。成员可能希望查阅NIST标准以对IT设备和介质进行消毒和销毁。
媒体消毒: https://www.nist.gov/publications/nist-special-publication-800-88-revision-1- 指南媒体消毒 |
必须 |