XDA智能手机网 - 第一智能手机评述媒体
科技您的位置:首页 >科技 >

ACSC加强了对澳大利亚政府系统的访问控制

发布时间:2019-02-28 17:09:10 来源:

澳大利亚政府机构在澳大利亚网络安全中心(ACSC)出版的新的Essential Eight Maturity模型中为用户认证设置了更严格,更灵活的控制。

ACSC发言人“ACSC在我们的成熟度模型中不再强调一些易受攻击的认证因素,例如使用SMS。”

“最近一个关于SMS易受攻击性质的例子突显了Reddit账户在2018年中期的妥协,其中SMS令牌被捕获作为攻击的一部分。”

成熟度模型衡量一个组织是否符合澳大利亚信号局(ASD)基本八项减轻网络攻击的策略。这个新版本使该模型与澳大利亚政府的信息安全手册(ISM)的新版本保持一致,该手册也是在2018年12月重大更新后刚刚发布的。

成熟度三级意味着组织对Essential Eight的实施完全符合ISM要求。较低的成熟度“为组织提供了达到合规状态的垫脚石”。

以前,多因素身份验证需要使用密码短语加上另一个因素。在成熟度一级和二级,允许的因素包括SMS消息,电子邮件,语音呼叫或软件证书,但在第三级它们被禁止,唯一可接受的选项是U2F安全密钥,物理一次性密码(OTP)令牌,生物识别或智能卡。

现在,前四个只允许在第一级,最不成熟的实施水平得到认可。

“我们也正在从'密码加上额外的身份验证因素'方法转向任何两种合适的,不同的身份验证因素。例如,生物识别技术加上U2F安全密钥,”ACSC说。

“这支持更广泛的行业方向,超越密码的使用,并查看其他更有效的保护措施,如生物识别和U2F安全密钥。”

进一步变化包括:

现在,应用程序白名单在成熟度级别2和级别3都是强制性的。

根据Essential Eight的当前版本,现在必须阻止有风险的Web内容(如Flash内容,Java应用程序,Microsoft Office宏和对象链接和嵌入(OLE)包以及Web广告)在成熟度级别为3级。

为防止特权用户阅读电子邮件和浏览网页而必须采取的强制性技术安全控制措施现在也必须阻止他们通过在线服务获取文件。

必须有一个“自动机制”来“确认并记录已部署的操作系统和固件补丁或更新已成功安装,成功应用并保留在原位”。

虽然ACSC没有规定政府机构达到特定成熟度的时间表,但总检察长办公室确实规定遵守前4强,作为其保护性安全政策框架(PSPF)的一部分。

虽然成熟度等级3表示符合Essential Eight,但该模型的先前版本包括第四级,用于“高风险环境”。那已被删除。

“如果ACSC认为组织要求的成熟度高于成熟度3级,ACSC将提供量身定制的建议以满足组织的特定需求,”ACSC表示。

“ACSC建议所有组织将基本要素八作为基准,并根据其业务最关注的风险暴露和网络安全威胁,采取37策略之外的其他缓解策略。”

热点推荐
随机文章