Description
多数IT和物联网系统也在推动实施零信任保护。AMAT 0190-12218的核心要求是:
持续验证: 每一个访问请求,无论其来源(网络内或网络外),都必须明确进行验证和授权。
最小权限访问: 用户和设备仅拥有完成其所需任务所需的最少权限。
假定已经被攻击: 用户 acting 作为已经发生的情况,重点是控制任何成功的入侵的影响。
零信任是一种安全理念的 fundamental转变,需要改变心态,并承诺进行持续验证和最小权限访问。虽然在所有情况下零信任并不是一个具体的法律要求,但它正在成为联邦网络安全的de facto标准。其原则可能会对未来法规和最佳实践产生影响。
AMAT 0190-12218详细说明了与七个基础要求(FR)相关的技术控制系统要求(SR):
身份验证和认证确保只有授权用户和设备才能访问系统。
控制定义了授权用户和设备在系统内可以执行的操作。
系统完整性确保系统和组件不会被损坏。
数据保密性保护敏感信息不被未经授权公开。
受限的数据流控制在系统内以及不同系统之间的信息流动。
及时响应事件确保系统能够响应安全事件。
资源可用性保证系统及其资源在需要时对授权用户可用。
Reviews
There are no reviews yet.