PR.PS 平台安全
根據組織的風險策略來管理
實體和虛擬平台硬體、軟體
設備韌體
作業系統
應用程式
安裝服務
保護其機密、完整和可用性
PR.PS-01
建立並應用設定管理實務
目的
建立、維護和強制執行系統和軟體的標準化設定
標準化設定可以減少漏洞出現並提高安全性
核心
確保所有系統和軟體都符合安全基準
並降低因錯誤配置而產生安全風險的可能性
措施
建立、測試、部署和維護強化的基準
資訊安全策略
最小功能原則
建立安全設定基準
CIS Benchmarks
NIST SP 800-53
檢查所有可能影響網路安全預設設定
監控已安裝軟體是否有偏離核准基準情況
手動流程檢查
自動化工具檢查
變更管理流程與設定管理的整合
調整修改經過審批
基準完整性可追溯性
舉例
公司建立安全基準,要求所有伺服器
都執行防毒軟體和最新的安全修補程式
使用設定管理工具自動執行基準
並識別任何不符合規定的伺服器
PR.PS-02
根據風險維護、替換和移除軟體
目的
核心
措施
在漏洞管理計畫指定的時間範圍內
執行例行和緊急修補
定義漏洞管理計畫
漏洞嚴重性評估方法
修補優先順序與流程
驗證修補結果的方法
定期識別與修補
設定修補時間範圍
24 小時內修補關鍵漏洞
72 小時內修補重要漏洞
更新容器 image,並部署新容器執行個體來替換而不是更新現有的執行個體
定期更新容器 image
最新的安全修補程式
使用受支援的、已維護的版本
替換生命週期結束的軟體和服務版本
解除安裝並移除構成高度風險的
未經授權的軟體和服務
卸載並移除任何不必要的軟體元件
定義並實施軟體和服務生命週期結束
維護支援和淘汰計畫
定義生命週期結束
供應商的選擇
軟體安全評估
合約中的安全條款
結束後如何維護
結束後如何淘汰
舉例
銀行漏洞管理計畫要求 24 小時內修補嚴重漏洞
使用軟體白名單來防止未經授權的軟體安裝在他們的系統上
PR.PS-03
根據風險維護、替換和移除硬體
目的
替換故障或過時的硬體、處置硬體
保護硬體免遭實體威脅
核心
措施
硬體缺乏所需的安全功能或無法支援具有所需安全功能的軟體時,應更換硬體
無法滿足現有需求
組織就應考慮更換
定義並實施硬體生命週期結束
維護支援和淘汰計畫
定義生命週期結束
結束後如何維護
結束後如何淘汰
以安全、負責任可審計方式執行硬體處理
舉例
醫院要求每三年更換一次所有員工的電腦
實施實體安全控制,如監視器與門禁系統
下列哪一項是 PR.PS-01「建立並應用設定管理實務」的主要目的?
(A) 減少系統管理員的工作量。
(B) 提高系統的效能。
(C) 降低因錯誤設定而產生的安全風險。
(D) 簡化軟體的安裝過程。
答案
C
在 PR.PS-02「根據風險維護、替換和移除軟體」中,下列哪一項措施可以有效防止未經授權的軟體安裝?
(A) 定期執行防毒軟體掃描。
(B) 使用軟體白名單。
(C) 僅從供應商網站下載軟體。
(D) 定期備份系統。
答案
B
在 PR.PS-03「根據風險維護、替換和移除硬體」中,下列哪一項是安全地處理硬體的核心概念?
(A) 將硬體捐贈給慈善機構。
(B) 將硬體格式化。
(C) 確保硬體上的資料被清除或銷毀。
(D) 將硬體丟棄在垃圾桶中。
答案
C
PR.PS 涵蓋了哪些平台?
(A) 僅限實體平台。
(B) 僅限虛擬平台。
(C) 實體和虛擬平台。
(D) 以上皆非。
答案
C
PR.PS-03「根據風險維護、替換和移除硬體」中,為什麼需要定義和實施硬體的生命週期結束維護支援和淘汰計畫?
(A) 為了降低員工對新硬體的需求。
(B) 為了減輕與老舊、有漏洞或不受支援的硬體相關的風險。
(C) 為了延長所有硬體的使用壽命。
(D) 為了減少電子垃圾的產生。
答案
B