你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
SWIFT CSP-CSCF v2022 监管合规性内置计划的详细信息
下文详细说明了 Azure Policy 监管合规性内置计划定义如何与 SWIFT CSP-CSCF v2022 中的合规性领域和控制措施相对应。 有关此合规性标准的详细信息,请参阅 SWIFT CSP-CSCF v2022。 如需了解所有权,请查看策略类型和云中责任分担。
以下映射对应的是 SWIFT CSP-CSCF v2022 控制措施。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,找到并选择 SWIFT CSP-CSCF v2022 监管合规性内置计划定义。
重要
下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录。
1.限制 Internet 访问并保护关键系统免受常规 IT 环境的影响
确保保护用户的本地 SWIFT 基础结构免受常规 IT 环境和外部环境的潜在受损元素的侵害。
ID:SWIFT CSCF v2022 1.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点,请访问 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists、Disabled | 2.0.1 |
| Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
| 建立内部连接之前检查隐私和安全合规性 | CMA_0053 - 建立内部连接之前检查隐私和安全合规性 | 手动、已禁用 | 1.1.0 |
| 确保外部提供商保持满足客户的需求 | CMA_C1592 - 确保外部提供商保持满足客户的需求 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| Key Vault 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 | Audit、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
限制和控制管理员级别操作系统帐户的分配和使用。
ID:SWIFT CSCF v2022 1.2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 定义并强制执行共享帐户和组帐户的条件 | CMA_0117 - 定义并强制执行共享帐户和组帐户的条件 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 制定并建立系统安全计划 | CMA_0151 - 制定并建立系统安全计划 | 手动、已禁用 | 1.1.0 |
| 制定信息安全策略和过程 | CMA_0158 - 制定信息安全策略和过程 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 制定隐私计划 | CMA_0257 - 制定隐私计划 | 手动、已禁用 | 1.1.0 |
| 制定连接设备制造的安全要求 | CMA_0279 - 制定连接设备制造的安全要求 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 实现信息系统的安全工程原则 | CMA_0325 - 实现信息系统的安全工程原则 | 手动、已禁用 | 1.1.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 监视特权角色分配 | CMA_0378 - 监视特权角色分配 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
| 使用特权标识管理 | CMA_0533 - 使用特权标识管理 | 手动、已禁用 | 1.1.0 |
按与物理系统相同的级别保护托管 SWIFT 相关组件的虚拟平台和虚拟机 (VM)。
ID:SWIFT CSCF v2022 1.3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
控制/保护来自安全区域内操作员电脑和系统的 Internet 访问。
ID:SWIFT CSCF v2022 1.4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
确保保护客户的连接基础结构免受外部环境和常规 IT 环境的潜在受损元素的侵害。
ID:SWIFT CSCF v2022 1.5A 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists、Disabled | 3.0.0-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 应限制在与虚拟机关联的网络安全组上使用所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点,请访问 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists、Disabled | 3.0.1 |
| Azure 密钥保管库应启用防火墙 | 启用密钥保管库防火墙,以便默认情况下,任何公共 IP 都无法访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 了解详细信息:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit、Deny、Disabled | 3.2.1 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 对外部系统连接应用限制 | CMA_C1155 - 对外部系统连接应用限制 | 手动、已禁用 | 1.1.0 |
| 建立防火墙和路由器配置标准 | CMA_0272 - 建立防火墙和路由器配置标准 | 手动、已禁用 | 1.1.0 |
| 为持卡人数据环境建立网络分段 | CMA_0273 - 为持卡人数据环境建立网络分段 | 手动、已禁用 | 1.1.0 |
| 标识和管理下游信息交换 | CMA_0298 - 标识和管理下游信息交换 | 手动、已禁用 | 1.1.0 |
| 为每项外部服务实现托管接口 | CMA_C1626 - 为每项外部服务实现托管接口 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc | AuditIfNotExists、Disabled | 3.0.0 |
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists、Disabled | 3.0.0 |
| Key Vault 应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的 Key Vault。 | Audit、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | Audit、Deny、Disabled | 1.1.1 |
| 存储帐户应使用虚拟网络服务终结点 | 此策略审核任何未配置为使用虚拟网络服务终结点的存储帐户。 | Audit、Disabled | 1.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists、Disabled | 3.0.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
2.减少攻击面和漏洞
确保本地 SWIFT 相关组件之间应用程序数据流的保密性、完整性和真实性。
ID:SWIFT CSCF v2022 2.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists、Disabled | 3.2.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 为非合规设备配置操作 | CMA_0062 - 为非合规设备配置操作 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 定义加密使用 | CMA_0120 - 定义加密使用 | 手动、已禁用 | 1.1.0 |
| 定义加密密钥管理的组织要求 | CMA_0123 - 定义加密密钥管理的组织要求 | 手动、已禁用 | 1.1.0 |
| 确定断言要求 | CMA_0136 - 确定断言要求 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 使用边界保护隔离信息系统 | CMA_C1639 - 使用边界保护隔离信息系统 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 强制执行随机唯一会话标识符 | CMA_0247 - 强制执行随机唯一会话标识符 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 建立配置控制委员会 | CMA_0254 - 建立配置控制委员会 | 手动、已禁用 | 1.1.0 |
| 建立数据泄漏管理过程 | CMA_0255 - 建立数据泄漏管理过程 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 使用安全策略筛选器的信息流控制 | CMA_C1029 - 使用安全策略筛选器的信息流控制 | 手动、已禁用 | 1.1.0 |
| 隔离 SecurID 系统、安全事件管理系统 | CMA_C1636 - 隔离 SecurID 系统、安全事件管理系统 | 手动、已禁用 | 1.1.0 |
| 颁发公钥证书 | CMA_0347 - 颁发公钥证书 | 手动、已禁用 | 1.1.0 |
| 保持信息的可用性 | CMA_C1644 - 保持信息的可用性 | 手动、已禁用 | 1.1.0 |
| 管理对称加密密钥 | CMA_0367 - 管理对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配非对称加密密钥 | CMA_C1646 - 生成、控制和分配非对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 生成、控制和分配对称加密密钥 | CMA_C1645 - 生成、控制和分配对称加密密钥 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 限制对私钥的访问 | CMA_0445 - 限制对私钥的访问权限 | 手动、已禁用 | 1.1.0 |
| 将接口固定到外部系统 | CMA_0491 - 保护到外部系统的接口 | 手动、已禁用 | 1.1.0 |
| 应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
通过确保供应商支持、应用必需的软件更新、根据评估的风险及时应用安全更新,最大程度地减少操作员电脑和本地 SWIFT 基础结构中已知技术漏洞的出现。
ID:SWIFT CSCF v2022 2.2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 审核正在等待重新启动的 Windows VM | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果计算机由于以下任一原因正在等待重启,则计算机不合规:基于组件的服务、Windows 更新、挂起的文件重命名、挂起的计算机重命名、配置管理器等待重启。 每次检测都有唯一的注册表路径。 | auditIfNotExists | 2.0.0 |
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 向人员传播安全警报 | CMA_C1705 - 向人员传播安全警报 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 使用自动机制进行安全警报 | CMA_C1707 - 使用自动机制进行安全警报 | 手动、已禁用 | 1.1.0 |
通过执行系统强化来减少 SWIFT 相关组件的网络攻击面。
ID:SWIFT CSCF v2022 2.3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 审核未将密码文件权限设为 0644 的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机未将密码文件权限设为 0644,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核包含将在指定天数内过期的证书的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 | auditIfNotExists | 2.0.0 |
| 审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 自动执行建议的已记录更改 | CMA_C1191 - 自动执行建议的已记录更改 | 手动、已禁用 | 1.1.0 |
| 执行安全影响分析 | CMA_0057 - 执行安全影响分析 | 手动、已禁用 | 1.1.0 |
| 为非合规设备配置操作 | CMA_0062 - 为非合规设备配置操作 | 手动、已禁用 | 1.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 制定和维护漏洞管理标准 | CMA_0152 - 制定和维护漏洞管理标准 | 手动、已禁用 | 1.1.0 |
| 开发并维护基线配置 | CMA_0153 - 设计并维护基线配置 | 手动、已禁用 | 1.1.0 |
| 强制执行安全配置设置 | CMA_0249 - 强制执行安全配置设置 | 手动、已禁用 | 1.1.0 |
| 建立配置控制委员会 | CMA_0254 - 建立配置控制委员会 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 建立并记录配置管理计划 | CMA_0264 - 建立并记录配置管理计划 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 实现自动配置管理工具 | CMA_0311 - 实现自动配置管理工具 | 手动、已禁用 | 1.1.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 执行隐私影响评估 | CMA_0387 - 执行隐私影响评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
| 保留基线配置的以前版本 | CMA_C1181 - 保留基线配置的以前版本 | 手动、已禁用 | 1.1.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 有关专用链接的详细信息,请访问:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 审核、已禁用、拒绝 | 1.1.0 |
确保本地或远程 SWIFT 基础结构组件与其连接到的后台第一跃点之间的数据流的保密性、完整性和相互真实性。
ID:SWIFT CSCF v2022 2.4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 通知用户系统登录或访问 | CMA_0382 - 在系统登录或访问时通知用户 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
后台数据流安全性
ID:SWIFT CSCF v2022 2.4A 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists、Disabled | 3.2.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
作为运营过程的一部分,保护在安全区域外部传输或存储的 SWIFT 相关数据的机密性。
ID:SWIFT CSCF v2022 2.5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 建立备份策略和过程 | CMA_0268 - 制定备份策略和过程 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护所有介质 | CMA_0314 - 实施控制措施来保护所有介质 | 手动、已禁用 | 1.1.0 |
| 管理资产的运输 | CMA_0370 - 管理资产的运输 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
外部传输数据保护
ID:SWIFT CSCF v2022 2.5A 所有权:客户
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | Audit、Deny、Disabled | 1.1.0 |
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应为存储帐户启用异地冗余存储 | 使用异地冗余创建高可用性应用程序 | Audit、Disabled | 1.0.0 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | Audit、Deny、Disabled | 2.0.0 |
保护连接到本地或远程(由服务提供商运营)SWIFT 基础结构或服务提供商 SWIFT 相关应用程序的交互式操作员会话的机密性和完整性
ID:SWIFT CSCF v2022 2.6 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 授权远程访问 | CMA_0024 - 授权远程访问 | 手动、已禁用 | 1.1.0 |
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 记录并实施无线访问准则 | CMA_0190 - 记录并实施无线访问准则 | 手动、已禁用 | 1.1.0 |
| 记录移动性培训 | CMA_0191 - 记录移动性培训 | 手动、已禁用 | 1.1.0 |
| 记录远程访问准则 | CMA_0196 - 记录远程访问准则 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
| 实施控制措施来保护备用工作站点 | CMA_0315 - 实施控制措施来保护备用工作站点 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 保护无线访问 | CMA_0411 - 保护无线访问 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 重新验证或终止用户会话 | CMA_0421 - 重新验证或终止用户会话 | 手动、已禁用 | 1.1.0 |
| 应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists、Disabled | 4.1.1 |
| Windows 计算机应符合“安全选项 - 交互式登录”的要求 | Windows 计算机应在“安全选项 - 交互式登录”类别中具有指定的组策略设置,以便显示上一个用户名并要求按 Ctrl-Alt-Del。此策略要求来宾配置先决条件已部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 | AuditIfNotExists、Disabled | 3.0.0 |
通过实施常规漏洞扫描过程来识别本地 SWIFT 环境中的已知漏洞,并对结果采取行动。
ID:SWIFT CSCF v2022 2.7 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
| 为执行漏洞扫描活动实现特权访问 | CMA_C1555 - 为执行漏洞扫描活动实现特权访问 | 手动、已禁用 | 1.1.0 |
| 将缺陷修正合并到配置管理中 | CMA_C1671 - 将缺陷修正合并到配置管理中 | 手动、已禁用 | 1.1.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 观察并报告安全漏洞 | CMA_0384 - 观察并报告安全漏洞 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行威胁建模 | CMA_0392 - 执行威胁建模 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 应修复计算机上安全配置中的漏洞 | 建议通过 Azure 安全中心监视不满足配置的基线的服务器 | AuditIfNotExists、Disabled | 3.1.0 |
确保采用一致且有效的方法进行客户消息监视。
ID:SWIFT CSCF v2022 2.8.5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 评估第三方关系中的风险 | CMA_0014 - 评估第三方关系中的风险 | 手动、已禁用 | 1.1.0 |
| 定义和记录政府监督 | CMA_C1587 - 定义和记录政府监督 | 手动、已禁用 | 1.1.0 |
| 定义提供货物和服务的要求 | CMA_0126 - 定义供应货物和服务的要求 | 手动、已禁用 | 1.1.0 |
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 制定供应链风险管理策略 | CMA_0275 - 制定供应链风险管理策略 | 手动、已禁用 | 1.1.0 |
| 要求外部服务提供商符合安全要求 | CMA_C1586 - 要求外部服务提供商符合安全要求 | 手动、已禁用 | 1.1.0 |
| 查看云服务提供商对策略和协议的符合性 | CMA_0469 - 查看云服务提供商对策略和协议的符合性 | 手动、已禁用 | 1.1.0 |
| 进行独立安全评审 | CMA_0515 - 进行独立安全评审 | 手动、已禁用 | 1.1.0 |
确保对本地 SWIFT 基础结构进行保护,使其免受因关键活动外包而暴露的风险。
ID:SWIFT CSCF v2022 2.8A 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 确定供应商合同义务 | CMA_0140 - 确定供应商合同义务 | 手动、已禁用 | 1.1.0 |
| 记录收购合同验收条件 | CMA_0187 - 记录收购合同验收条件 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的个人数据保护 | CMA_0194 - 记录收购合同中的个人数据保护 | 手动、已禁用 | 1.1.0 |
| 收购合同中安全信息的文档保护 | CMA_0195 - 记录收购合同中安全信息的保护 | 手动、已禁用 | 1.1.0 |
| 记录在合同中使用共享数据的要求 | CMA_0197 - 记录在合同中使用共享数据的要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全保证要求 | CMA_0199 - 记录收购合同中的安全保证要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全记录要求 | CMA_0200 - 收购合同中的文档安全记录要求 | 手动、已禁用 | 1.1.0 |
| 收购合同中的文档安全功能要求 | CMA_0201 - 记录收购合同中的安全功能要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 记录第三方合同中的持卡人数据保护 | CMA_0207 - 记录第三方合同中的持卡人数据保护 | 手动、已禁用 | 1.1.0 |
确保出站事务活动处于正常业务的预期边界内。
ID:SWIFT CSCF v2022 2.9 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权、监视和控制 voip | CMA_0025 - 授权、监视、控制 VoIP | 手动、已禁用 | 1.1.0 |
| 控制信息流 | CMA_0079 - 控制信息流 | 手动、已禁用 | 1.1.0 |
| 采用加密信息的流控制机制 | CMA_0211 - 采用加密信息的流控制机制 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
将事务活动限制为已验证和已批准的业务对应方。
ID:SWIFT CSCF v2022 2.11A 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权访问安全性函数和信息 | CMA_0022 - 授权访问安全性函数和信息 | 手动、已禁用 | 1.1.0 |
| 授权和管理访问权限 | CMA_0023 - 授权和管理访问权限 | 手动、已禁用 | 1.1.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 强制执行逻辑访问 | CMA_0245 - 强制执行逻辑访问 | 手动、已禁用 | 1.1.0 |
| 强制实施强制和自主访问控制策略 | CMA_0246 - 强制实施强制和自主访问控制策略 | 手动、已禁用 | 1.1.0 |
| 根据需要重新分配或移除用户权限 | CMA_C1040 - 根据需要重新分配或移除用户权限 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 查看有权访问敏感数据的用户组和应用程序 | CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 | 手动、已禁用 | 1.1.0 |
| 查看用户权限 | CMA_C1039 - 查看用户权限 | 手动、已禁用 | 1.1.0 |
3.采用物理方式保护环境
阻止对敏感设备、工作区环境、托管站点和存储进行未经授权的物理访问。
ID:SWIFT CSCF v2022 3.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核未使用托管磁盘的 VM | 此策略审核未使用托管磁盘的 VM | 审核 | 1.0.0 |
| 控制物理访问 | CMA_0081 - 控制物理访问 | 手动、已禁用 | 1.1.0 |
| 定义物理密钥管理流程 | CMA_0115 - 定义物理密钥管理流程 | 手动、已禁用 | 1.1.0 |
| 建立和维护资产清单 | CMA_0266 - 建立和维护资产清单 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 安装警报系统 | CMA_0338 - 安装警报系统 | 手动、已禁用 | 1.1.0 |
| 管理安全监控摄像头系统 | CMA_0354 - 管理安全监控摄像头系统 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
4.防止凭据泄露
通过实现和强制实施有效的密码策略,确保密码可以充分抵御常见密码攻击。
ID:SWIFT CSCF v2022 4.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 审核允许通过没有密码的帐户进行远程连接的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机允许通过没有密码的帐户进行远程连接,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核具有不使用密码的帐户的 Linux 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Linux 计算机具有不使用密码的帐户,则计算机不合规 | AuditIfNotExists、Disabled | 3.1.0 |
| 审核允许在指定数量的唯一密码后重新使用密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机允许在指定数量的唯一密码后重新使用密码,则这些计算机是不合规的。 唯一密码的默认值为 24 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最长密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最长密码期限设置为指定天数,则这些计算机是不合规的。 最长密码期限的默认值为 70 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未将最短密码期限设置为指定天数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未将最短密码期限设置为指定天数,则这些计算机是不合规的。 最短密码期限的默认值为 1 天 | AuditIfNotExists、Disabled | 2.1.0 |
| 审核未启用密码复杂性设置的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未启用密码复杂性设置,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 审核未将最短密码长度限制为特定字符数的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机没有将最短密码长度限制为特定字符数,则这些计算机是不合规的。 最短密码长度的默认值为 14 个字符 | AuditIfNotExists、Disabled | 2.1.0 |
| 部署 Linux 来宾配置扩展以在 Linux VM 上启用来宾配置分配 | 此策略将 Linux 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Linux 虚拟机。 Linux 来宾配置扩展是所有 Linux 来宾配置分配的先决条件,在使用任何 Linux 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 3.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| 管理验证器生存期并重新使用 | CMA_0355 - 管理验证器生存期并重新使用 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
通过实施多重身份验证,防止因单一身份验证因素泄露而导致与 SWIFT 相关的系统或应用程序可访问。
ID:SWIFT CSCF v2022 4.2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 对 Azure 资源拥有所有者权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有读取权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 对 Azure 资源拥有写入权限的帐户应启用 MFA | 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 采用生物识别身份验证机制 | CMA_0005 - 采用生物识别身份验证机制 | 手动、已禁用 | 1.1.0 |
| 标识并验证网络设备 | CMA_0296 - 标识并验证网络设备 | 手动、已禁用 | 1.1.0 |
5.管理标识和分离权限
对操作员帐户强制执行需要知道的访问权限、最小特权和职责分离的安全原则。
ID:SWIFT CSCF v2022 5.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只多只为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists、Disabled | 3.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 分配客户经理 | CMA_0015 - 分配客户经理 | 手动、已禁用 | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 审核包含将在指定天数内过期的证书的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果指定存储中的证书的到期日期超出了参数给定的天数范围,则计算机不合规。 该策略还提供仅检查特定证书或排除特定证书的选项,以及是否报告过期证书的选项。 | auditIfNotExists | 2.0.0 |
| 自动执行帐户管理 | CMA_0026 - 自动执行帐户管理 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 定义访问授权以支持职责划分 | CMA_0116 - 定义访问授权以支持职责划分 | 手动、已禁用 | 1.1.0 |
| 定义信息系统帐户类型 | CMA_0121 - 定义信息系统帐户类型 | 手动、已禁用 | 1.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 设计访问控制模型 | CMA_0129 - 设计访问控制模型 | 手动、已禁用 | 1.1.0 |
| 终止时禁用验证器 | CMA_0169 - 终止时禁用验证器 | 手动、已禁用 | 1.1.0 |
| 记录访问特权 | CMA_0186 - 记录访问特权 | 手动、已禁用 | 1.1.0 |
| 记录职责划分 | CMA_0204 - 记录职责划分 | 手动、已禁用 | 1.1.0 |
| 采用最小特权访问 | CMA_0212 - 采用最小特权访问 | 手动、已禁用 | 1.1.0 |
| 为角色成员资格设定条件 | CMA_0269 - 为角色成员资格设定条件 | 手动、已禁用 | 1.1.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists、Disabled | 1.0.0 |
| 管理系统和管理员帐户 | CMA_0368 - 管理系统和管理员帐户 | 手动、已禁用 | 1.1.0 |
| 监视整个组织的访问权限 | CMA_0376 - 监视整个组织的访问权限 | 手动、已禁用 | 1.1.0 |
| 监视帐户活动 | CMA_0377 - 监视帐户活动 | 手动、已禁用 | 1.1.0 |
| 当不需要帐户时通知 | CMA_0383 - 当不需要帐户时通知 | 手动、已禁用 | 1.1.0 |
| 保护审核信息 | CMA_0401 - 保护审核信息 | 手动、已禁用 | 1.1.0 |
| 根据需要重新分配或移除用户权限 | CMA_C1040 - 根据需要重新分配或移除用户权限 | 手动、已禁用 | 1.1.0 |
| 需要批准才能创建帐户 | CMA_0431 - 需要批准才能创建帐户 | 手动、已禁用 | 1.1.0 |
| 限制对特权帐户的访问 | CMA_0446 - 限制对特权帐户的访问权限 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 审查用户帐户 | CMA_0480 - 审查用户帐户 | 手动、已禁用 | 1.1.0 |
| 查看用户权限 | CMA_C1039 - 查看用户权限 | 手动、已禁用 | 1.1.0 |
| 根据需要撤销特权角色 | CMA_0483 - 根据需要撤销特权角色 | 手动、已禁用 | 1.1.0 |
| 个人的独立职责 | CMA_0492 - 个人的独立职责 | 手动、已禁用 | 1.1.0 |
| 应为订阅分配了多个所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists、Disabled | 3.0.0 |
确保正确管理、跟踪和使用已连接和断开连接的硬件身份验证或个人令牌(使用令牌时)。
ID:SWIFT CSCF v2022 5.2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 分配验证器 | CMA_0184 - 分配验证器 | 手动、已禁用 | 1.1.0 |
| 建立验证器类型和进程 | CMA_0267 - 建立验证器类型和流程 | 手动、已禁用 | 1.1.0 |
| 建立初始验证器分配过程 | CMA_0276 - 建立初始验证器分配过程 | 手动、已禁用 | 1.1.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists、Disabled | 3.0.0 |
| 在分发验证器之前验证标识 | CMA_0538 - 在分发验证器之前验证标识 | 手动、已禁用 | 1.1.0 |
在允许和可行的范围内,通过执行定期的员工筛选来确保运营本地 SWIFT 环境的员工的可信度。
ID:SWIFT CSCF v2022 5.3A 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 清除有权访问机密信息的人员 | CMA_0054 - 清除有权访问机密信息的人员 | 手动、已禁用 | 1.1.0 |
| 确保及时签署或重新签署访问协议 | CMA_C1528 - 确保及时签署或重新签署访问协议 | 手动、已禁用 | 1.1.0 |
| 实施人员筛查 | CMA_0322 - 实施人员筛查 | 手动、已禁用 | 1.1.0 |
| 保护特殊信息 | CMA_0409 - 保护特殊信息 | 手动、已禁用 | 1.1.0 |
| 按定义的频率重新筛选个人 | CMA_C1512 - 按定义的频率重新筛选个人 | 手动、已禁用 | 1.1.0 |
以物理和逻辑方式保护已记录密码的存储库。
ID:SWIFT CSCF v2022 5.4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核未存储使用可逆加密的密码的 Windows 计算机 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 https://aka.ms/gcpol 。 如果 Windows 计算机未存储使用可逆加密的密码,则计算机不合规 | AuditIfNotExists、Disabled | 2.0.0 |
| 记录收购合同中的安全强度要求 | CMA_0203 - 记录收购合同中的安全强度要求 | 手动、已禁用 | 1.1.0 |
| 制定密码策略 | CMA_0256 - 制定密码策略 | 手动、已禁用 | 1.1.0 |
| 实现记住的机密验证过程的参数 | CMA_0321 - 实现记住的机密验证工具的参数 | 手动、已禁用 | 1.1.0 |
| Key Vault 应启用删除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 | Audit、Deny、Disabled | 2.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
6.检测系统或事务记录的异常活动
确保本地 SWIFT 基础结构免受恶意软件的侵害,并对结果采取行动。
ID:SWIFT CSCF v2022 6.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 阻止从 USB 运行不受信任和未签名的进程 | CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 | 手动、已禁用 | 1.1.0 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 关联漏洞扫描信息 | CMA_C1558 - 关联漏洞扫描信息 | 手动、已禁用 | 1.1.1 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 为执行漏洞扫描活动实现特权访问 | CMA_C1555 - 为执行漏洞扫描活动实现特权访问 | 手动、已禁用 | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| Microsoft Antimalware for Azure 应配置为自动更新保护签名 | 此策略会审核所有未配置自动更新 Microsoft Antimalware 保护签名的 Windows 虚拟机。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Windows Server 上部署 Microsoft IaaSAntimalware 扩展 | 此策略会审核所有未部署 Microsoft IaaSAntimalware 扩展的 Windows Server VM。 | AuditIfNotExists、Disabled | 1.1.0 |
| 观察并报告安全漏洞 | CMA_0384 - 观察并报告安全漏洞 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 执行威胁建模 | CMA_0392 - 执行威胁建模 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看攻击保护事件 | CMA_0472 - 查看攻击保护事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周查看恶意软件检测报告 | CMA_0475 - 每周查看恶意软件检测报告 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
| 更新防病毒定义 | CMA_0517 - 更新防病毒定义 | 手动、已禁用 | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
确保 SWIFT 相关组件的软件完整性,并对结果采取行动。
ID:SWIFT CSCF v2022 6.2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 配置工作站以检查数字证书 | CMA_0073 - 配置工作站以检查数字证书 | 手动、已禁用 | 1.1.0 |
| 检测到冲突时采用自动关闭/重启操作 | CMA_C1715 - 检测到冲突时采用自动关闭/重启操作 | 手动、已禁用 | 1.1.0 |
| 使用加密保护传输中的数据 | CMA_0403 - 使用加密保护传输中的数据 | 手动、已禁用 | 1.1.0 |
| 使用加密保护密码 | CMA_0408 - 使用加密保护密码 | 手动、已禁用 | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
确保 SWIFT 消息接口或客户连接器数据库记录的完整性,并对结果采取行动。
ID:SWIFT CSCF v2022 6.3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
| 查看并配置系统诊断数据 | CMA_0544 - 查看并配置系统诊断数据 | 手动、已禁用 | 1.1.0 |
记录安全事件并检测本地 SWIFT 环境中的异常操作和运营。
ID:SWIFT CSCF v2022 6.4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:应为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中,并且未安装扩展,则会将虚拟机报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1-preview |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 活动日志至少应保留一年 | 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 | AuditIfNotExists、Disabled | 1.0.0 |
| 添加系统分配的托管标识,在没有标识的虚拟机上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持,但没有任何托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 添加系统分配的托管标识,以在具有用户分配的标识的 VM 上启用来宾配置分配 | 此策略将系统分配的托管标识添加到托管在 Azure 中的虚拟机,这些虚拟机受来宾配置支持、至少有一个用户分配的标识,但没有系统分配的托管标识。 系统分配的托管标识是所有来宾配置分配的先决条件,在使用任何来宾配置策略定义之前必须被添加到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | modify | 4.1.0 |
| 所有流日志资源都应处于启用状态 | 审核流日志资源以验证是否启用了流日志状态。 启用流日志后,可记录有关 IP 流量流动的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.0.1 |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 审核特权函数 | CMA_0019 - 审核特权函数 | 手动、已禁用 | 1.1.0 |
| 审核用户帐户状态 | CMA_0020 - 审核用户帐户状态 | 手动、已禁用 | 1.1.0 |
| 审核未配置灾难恢复的虚拟机 | 审核未配置灾难恢复的虚拟机。 若要详细了解灾难恢复,请访问 https://aka.ms/asr-doc。 | auditIfNotExists | 1.0.0 |
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 | 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 | AuditIfNotExists、Disabled | 1.0.0 |
| 应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 | 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域受支持时,默认情况下会启用此选项,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 | 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 借助 Azure Monitor 中客户管理的密钥,可更好地控制对数据的访问,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 应将 Application Insights 的 Azure Monitor 日志链接到 Log Analytics 工作区 | 将 Application Insights 组件链接到 Log Analytics 工作区以进行日志加密。 为了满足法规合规性并更好地控制对 Azure Monitor 的数据访问,通常需要使用客户管理的密钥。 将组件链接到使用客户管理的密钥启用的 Log Analytics 工作区,可确保 Application Insights 日志满足此合规性要求,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| Azure Monitor 应从所有区域收集活动日志 | 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 | AuditIfNotExists、Disabled | 2.0.0 |
| 关联审核记录 | CMA_0087 - 关联审核记录 | 手动、已禁用 | 1.1.0 |
| 部署 Windows 来宾配置扩展以在 Windows VM 上启用来宾配置分配 | 此策略将 Windows 来宾配置扩展部署到托管在 Azure 中受来宾配置支持的 Windows 虚拟机。 Windows 来宾配置扩展是所有 Windows 来宾配置分配的先决条件,在使用任何 Windows 来宾配置策略定义之前必须将其部署到计算机。 有关来宾配置的详细信息,请访问 https://aka.ms/gcpol。 | deployIfNotExists | 1.2.0 |
| 确定可审核的事件 | CMA_0137 - 确定可审核的事件 | 手动、已禁用 | 1.1.0 |
| 建立审核评审与报告要求 | CMA_0277 - 建立审核评审与报告的要求 | 手动、已禁用 | 1.1.0 |
| 应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | Audit、Disabled | 1.1.0 |
| 集成审核评审、分析和报告 | CMA_0339 - 集成审核评审、分析和报告 | 手动、已禁用 | 1.1.0 |
| 将云应用安全与 SIEM 集成 | CMA_0340 - 将云应用安全与 SIEM 集成 | 手动、已禁用 | 1.1.0 |
| 应在虚拟机规模集中为列出的虚拟机映像启用 Log Analytics 扩展 | 如果虚拟机映像不在定义的列表中且未安装扩展,则将虚拟机规模集报告为不合规。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 网络观察程序流日志应启用流量分析 | 流量分析可分析流日志,帮助洞察 Azure 云中的流量流。 它可用于直观显示 Azure 订阅中的网络活动,并确定热点、识别安全威胁、了解流量流模式、查明网络错误配置等。 | Audit、Disabled | 1.0.1 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 为审核事件失败提供实时警报 | CMA_C1114 - 为审核事件失败提供实时警报 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.1.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists、Disabled | 5.0.0 |
| 查看帐户预配日志 | CMA_0460 - 查看帐户预配日志 | 手动、已禁用 | 1.1.0 |
| 每周检查管理员分配任务 | CMA_0461 - 每周检查管理员分配 | 手动、已禁用 | 1.1.0 |
| 查看审核数据 | CMA_0466 - 查看审核数据 | 手动、已禁用 | 1.1.0 |
| 查看云标识报告概述 | CMA_0468 - 查看云标识报告概述 | 手动、已禁用 | 1.1.0 |
| 查看受控文件夹访问事件 | CMA_0471 - 查看受控文件夹访问权限事件 | 手动、已禁用 | 1.1.0 |
| 查看攻击保护事件 | CMA_0472 - 查看攻击保护事件 | 手动、已禁用 | 1.1.0 |
| 查看文件和文件夹活动 | CMA_0473 - 查看文件和文件夹活动 | 手动、已禁用 | 1.1.0 |
| 每周评审角色组更改 | CMA_0476 - 每周评审角色组更改 | 手动、已禁用 | 1.1.0 |
| 应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 | 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述内容的更多详细信息,请参阅 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries。 | audit、Audit、deny、Deny、disabled、Disabled | 1.1.0 |
| 必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 | 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在虚拟机规模集上安装 Log Analytics 扩展 | 此策略审核是否有任何 Windows/Linux 虚拟机规模集未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1 |
| 虚拟机应已安装 Log Analytics 扩展 | 此策略审核是否有任何 Windows/Linux 虚拟机未安装 Log Analytics 扩展。 | AuditIfNotExists、Disabled | 1.0.1 |
检测并遏制本地或远程 SWIFT 环境中的异常网络活动。
ID:SWIFT CSCF v2022 6.5A 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,如网络映射上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists、Disabled | 1.0.2-preview |
| 向人员发出信息溢写警报 | CMA_0007 - 向人员发出信息溢写警报 | 手动、已禁用 | 1.1.0 |
| 授权、监视和控制 voip | CMA_0025 - 授权、监视、控制 VoIP | 手动、已禁用 | 1.1.0 |
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists、Disabled | 1.0.3 |
| 检测尚未授权或批准的网络服务 | CMA_C1700 - 检测尚未授权或批准的网络服务 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists、Disabled | 3.0.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
| 为组织中的新云应用程序和热门云应用程序设置自动通知 | CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 | 手动、已禁用 | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | 手动、已禁用 | 1.1.0 |
7.规划事件响应和信息共享
确保采用一致且有效的网络事件管理方法。
ID:SWIFT CSCF v2022 7.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解决信息安全问题 | CMA_C1742 - 解决信息安全问题 | 手动、已禁用 | 1.1.0 |
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists、Disabled | 1.2.0 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists、Disabled | 2.1.0 |
| 确定事件和所采取的行动的类别 | CMA_C1365 - 确定事件和所采取的行动的类别 | 手动、已禁用 | 1.1.0 |
| 将模拟事件合并到事件响应培训中 | CMA_C1356 - 将模拟事件合并到事件响应培训中 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists、Disabled | 1.0.1 |
通过定期开展意识提高活动,确保所有员工了解并履行其安全责任,并维持具有特权权限的员工的安全知识。
ID:SWIFT CSCF v2022 7.2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全和隐私培训活动 | CMA_0198 - 记录安全和隐私培训活动 | 手动、已禁用 | 1.1.0 |
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供定期安全意识培训 | CMA_C1091 - 提供定期安全意识培训 | 手动、已禁用 | 1.1.0 |
| 提供隐私培训 | CMA_0415 - 提供隐私培训 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的实用练习 | CMA_C1096 - 提供基于角色的实用练习 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 提供针对可疑活动的基于角色的培训 | CMA_C1097 - 提供针对可疑活动的基于角色的培训 | 手动、已禁用 | 1.1.0 |
| 提供关于内部威胁的安全意识培训 | CMA_0417 - 提供关于内部威胁的安全意识培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
| 为新用户提供安全培训 | CMA_0419 - 为新用户提供安全培训 | 手动、已禁用 | 1.1.0 |
| 提供更新的安全意识培训 | CMA_C1090 - 提供更新的安全意识培训 | 手动、已禁用 | 1.1.0 |
通过执行渗透测试来验证操作安全配置并识别安全漏洞。
ID:SWIFT CSCF v2022 7.3A 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 聘请独立团队进行渗透测试 | CMA_C1171 - 聘请独立团队进行渗透测试 | 手动、已禁用 | 1.1.0 |
| 要求开发人员构建安全体系结构 | CMA_C1612 - 要求开发人员构建安全体系结构 | 手动、已禁用 | 1.1.0 |
根据可能的网络攻击方案评估组织的风险和准备情况。
ID:SWIFT CSCF v2022 7.4A 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行风险评估 | CMA_C1543 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并分配其结果 | CMA_C1544 - 执行风险评估并分配其结果 | 手动、已禁用 | 1.1.0 |
| 执行风险评估并记录其结果 | CMA_C1542 - 执行风险评估并记录其结果 | 手动、已禁用 | 1.1.0 |
| 建立风险管理策略 | CMA_0258 - 建立风险管理策略 | 手动、已禁用 | 1.1.0 |
| 实施风险管理策略 | CMA_C1744 - 实施风险管理策略 | 手动、已禁用 | 1.1.0 |
| 执行风险评估 | CMA_0388 - 执行风险评估 | 手动、已禁用 | 1.1.0 |
| 查看和更新风险评估策略及过程 | CMA_C1537 - 查看和更新风险评估策略及过程 | 手动、已禁用 | 1.1.0 |
8.设置和监视性能
通过正式设置和监视要实现的目标来确保可用性
ID:SWIFT CSCF v2022 8.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 获取有关监视系统活动的法律意见 | CMA_C1688 - 获取有关监视系统活动的法律意见 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 规划恢复基本业务功能 | CMA_C1253 - 规划恢复基本业务功能 | 手动、已禁用 | 1.1.0 |
| 根据需要提供监视信息 | CMA_C1689 - 根据需要提供监视信息 | 手动、已禁用 | 1.1.0 |
| 恢复所有任务和业务功能 | CMA_C1254 - 恢复所有任务和业务功能 | 手动、已禁用 | 1.1.0 |
确保客户服务的可用性、容量和质量
ID:SWIFT CSCF v2022 8.4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行产能规划 | CMA_C1252 - 执行产能规划 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 为已标识异常创建替代操作 | CMA_C1711 - 为已标识异常创建替代操作 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 通知相关人员任何失败的安全验证测试 | CMA_C1710 - 通知相关人员任何失败的安全验证测试 | 手动、已禁用 | 1.1.0 |
| 按定义的频率执行安全性函数验证 | CMA_C1709 - 按定义的频率执行安全性函数验证 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
确保 SWIFTNet 版本和 FIN 标准的早期可用性,以便在上线之前由客户进行适当的测试。
ID:SWIFT CSCF v2022 8.5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 解决编码漏洞 | CMA_0003 - 解决编码漏洞 | 手动、已禁用 | 1.1.0 |
| 制定和记录应用程序安全要求 | CMA_0148 - 制定和记录应用程序安全要求 | 手动、已禁用 | 1.1.0 |
| 记录收购合同中的信息系统环境 | CMA_0205 - 记录收购合同中的信息系统环境 | 手动、已禁用 | 1.1.0 |
| 建立安全软件开发计划 | CMA_0259 - 制定安全软件开发计划 | 手动、已禁用 | 1.1.0 |
| 执行漏洞扫描 | CMA_0393 - 执行漏洞扫描 | 手动、已禁用 | 1.1.0 |
| 修正信息系统缺陷 | CMA_0427 - 修正信息系统缺陷 | 手动、已禁用 | 1.1.0 |
| 要求开发人员记录已批准的更改和潜在影响 | CMA_C1597 - 要求开发人员记录已批准的更改和潜在影响 | 手动、已禁用 | 1.1.0 |
| 要求开发人员仅实现已批准的更改 | CMA_C1596 - 要求开发人员仅实现已批准的更改 | 手动、已禁用 | 1.1.0 |
| 要求开发人员管理更改完整性 | CMA_C1595 - 要求开发人员管理更改完整性 | 手动、已禁用 | 1.1.0 |
| 要求开发人员生成安全评估计划执行的证据 | CMA_C1602 - 要求开发人员生成安全评估计划执行的证据 | 手动、已禁用 | 1.1.0 |
| 验证软件、固件和信息完整性 | CMA_0542 - 验证软件、固件和信息完整性 | 手动、已禁用 | 1.1.0 |
9.通过复原能力确保可用性
发生本地混乱或故障时,提供商必须确保该服务仍可供客户使用。
ID:SWIFT CSCF v2022 9.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行事件响应测试 | CMA_0060 - 执行事件响应测试 | 手动、已禁用 | 1.1.0 |
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划策略和过程 | CMA_0156 - 制定应变计划策略和过程 | 手动、已禁用 | 1.1.0 |
| 分配策略和过程 | CMA_0185 - 分配策略和过程 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 提供应变培训 | CMA_0412 - 提供应变训练 | 手动、已禁用 | 1.1.0 |
| 运行模拟攻击 | CMA_0486 - 运行模拟攻击 | 手动、已禁用 | 1.1.0 |
发生站点灾难时,提供商必须确保该服务仍可供客户使用。
ID:SWIFT CSCF v2022 9.2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 执行信息系统文档的备份 | CMA_C1289 - 执行信息系统文档备份 | 手动、已禁用 | 1.1.0 |
| 创建单独的备用和主存储站点 | CMA_C1269 - 创建单独的备用和主存储站点 | 手动、已禁用 | 1.1.0 |
| 确保备用存储站点保护功能与主站点等效 | CMA_C1268 - 确保备用存储站点保护功能与主站点等效 | 手动、已禁用 | 1.1.0 |
| 建立可促进恢复运营的备用存储站点 | CMA_C1270 - 建立可促进恢复运营的备用存储站点 | 手动、已禁用 | 1.1.0 |
| 建立备用存储站点以存储和检索备份信息 | CMA_C1267 - 建立备用存储站点以存储和检索备份信息 | 手动、已禁用 | 1.1.0 |
| 建立备用处理站点 | CMA_0262 - 建立备用处理站点 | 手动、已禁用 | 1.1.0 |
| 确立对 Internet 服务提供商的要求 | CMA_0278 - 确立对 Internet 服务提供商的要求 | 手动、已禁用 | 1.1.0 |
| 确定并缓解备用存储站点的潜在问题 | CMA_C1271 - 识别和缓解备用存储站点的潜在问题 | 手动、已禁用 | 1.1.0 |
| 准备备用处理站点以用作运营站点 | CMA_C1278 - 准备备用处理站点以用作运营站点 | 手动、已禁用 | 1.1.0 |
| 在任何中断后恢复和重建资源 | CMA_C1295 - 在任何中断后恢复和重建资源 | 手动、已禁用 | 1.1.1 |
| 将资源还原到运行状态 | CMA_C1297 - 将资源还原到运行状态 | 手动、已禁用 | 1.1.1 |
| 单独存储备份信息 | CMA_C1293 - 单独存储备份信息 | 手动、已禁用 | 1.1.0 |
| 将备份信息传输到备用存储站点 | CMA_C1294 - 将备份信息传输到备用存储站点 | 手动、已禁用 | 1.1.0 |
服务部门必须确保在发生混乱、危险或事件时,服务仍然可供其客户使用。
ID:SWIFT CSCF v2022 9.3 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定并记录业务连续性和灾难恢复计划 | CMA_0146 - 制定并记录业务连续性和灾难恢复计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 采用自动紧急照明 | CMA_0209 - 采用自动紧急照明 | 手动、已禁用 | 1.1.0 |
| 实现渗透测试方法 | CMA_0306 - 实现渗透测试方法 | 手动、已禁用 | 1.1.0 |
| 实现办公室、工作区和安全区域的物理安全 | CMA_0323 - 实现办公室、工作区和安全区域的物理安全 | 手动、已禁用 | 1.1.0 |
| 查看和更新物理与环境策略和过程 | CMA_C1446 - 查看和更新物理与环境策略和过程 | 手动、已禁用 | 1.1.0 |
| 运行模拟攻击 | CMA_0486 - 运行模拟攻击 | 手动、已禁用 | 1.1.0 |
通过使用建议的 SWIFT 连接包和响应的线路带宽来确保提供商的服务可用性和质量
ID:SWIFT CSCF v2022 9.4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授权、监视和控制 voip | CMA_0025 - 授权、监视、控制 VoIP | 手动、已禁用 | 1.1.0 |
| 执行产能规划 | CMA_C1252 - 执行产能规划 | 手动、已禁用 | 1.1.0 |
| 实现系统边界保护 | CMA_0328 - 实现系统边界保护 | 手动、已禁用 | 1.1.0 |
| 管理网关 | CMA_0363 - 管理网关 | 手动、已禁用 | 1.1.0 |
| 通过托管网络访问点路由流量 | CMA_0484 - 通过托管网络访问点路由流量 | 手动、已禁用 | 1.1.0 |
10.做好应对重大灾难的准备
通过向签字受影响方(服务部门和客户)传达记录的计划来确保业务连续性。
ID:SWIFT CSCF v2022 10.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 使用相关计划协调应变计划 | CMA_0086 - 使用相关计划协调应变计划 | 手动、已禁用 | 1.1.0 |
| 制定应变计划 | CMA_C1244 - 制定应变计划 | 手动、已禁用 | 1.1.0 |
| 规划基本业务功能的持续性 | CMA_C1255 - 规划基本业务功能的持续性 | 手动、已禁用 | 1.1.0 |
| 规划恢复基本业务功能 | CMA_C1253 - 规划恢复基本业务功能 | 手动、已禁用 | 1.1.0 |
| 恢复所有任务和业务功能 | CMA_C1254 - 恢复所有任务和业务功能 | 手动、已禁用 | 1.1.0 |
11.在发生重大灾难时进行监视
确保采用一致且有效的方法进行事件监视和呈报。
ID:SWIFT CSCF v2022 11.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 获取有关监视系统活动的法律意见 | CMA_C1688 - 获取有关监视系统活动的法律意见 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 根据需要提供监视信息 | CMA_C1689 - 根据需要提供监视信息 | 手动、已禁用 | 1.1.0 |
| 打开终结点安全解决方案的传感器 | CMA_0514 - 打开终结点安全解决方案的传感器 | 手动、已禁用 | 1.1.0 |
确保采用一致且有效的方法管理事件(问题管理)。
ID:SWIFT CSCF v2022 11.2 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 访问信息安全事件 | CMA_0013 - 访问信息安全事件 | 手动、已禁用 | 1.1.0 |
| 执行事件响应测试 | CMA_0060 - 执行事件响应测试 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 制定安全防护措施 | CMA_0161 - 制定安全防护措施 | 手动、已禁用 | 1.1.0 |
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 建立信息安全计划 | CMA_0263 - 制定信息安全计划 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 确定事件和所采取的行动的类别 | CMA_C1365 - 确定事件和所采取的行动的类别 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 将模拟事件合并到事件响应培训中 | CMA_C1356 - 将模拟事件合并到事件响应培训中 | 手动、已禁用 | 1.1.0 |
| 维护数据泄露记录 | CMA_0351 - 维护数据泄露记录 | 手动、已禁用 | 1.1.0 |
| 维护事件响应计划 | CMA_0352 - 维护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 保护事件响应计划 | CMA_0405 - 保护事件响应计划 | 手动、已禁用 | 1.1.0 |
| 提供信息溢写培训 | CMA_0413 - 提供信息溢写培训 | 手动、已禁用 | 1.1.0 |
| 查看并更新事件响应策略和过程 | CMA_C1352 - 查看并更新事件响应策略和过程 | 手动、已禁用 | 1.1.0 |
| 运行模拟攻击 | CMA_0486 - 运行模拟攻击 | 手动、已禁用 | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
确保在客户受到影响时充分呈报操作故障。
ID:SWIFT CSCF v2022 11.4 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 将记录已实现的更改的流程自动化 | CMA_C1195 - 将记录已实现的更改的流程自动化 | 手动、已禁用 | 1.1.0 |
| 自动执行流程以突出未审阅的更改建议 | CMA_C1193 - 自动执行流程以突出未审阅的更改建议 | 手动、已禁用 | 1.1.0 |
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 建立并记录更改控制流程 | CMA_0265 - 建立并记录更改控制流程 | 手动、已禁用 | 1.1.0 |
| 为开发人员建立配置管理要求 | CMA_0270 - 为开发人员设定配置管理要求 | 手动、已禁用 | 1.1.0 |
| 在事件响应功能和外部提供程序之间建立关系 | CMA_C1376 - 在事件响应功能和外部提供程序之间建立关系 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 对配置更改控制执行审核 | CMA_0390 - 对配置变更控制执行审核 | 手动、已禁用 | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
当客户在工作时间遇到问题时为他们提供有效支持。
ID:SWIFT CSCF v2022 11.5 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 制定事件响应计划 | CMA_0145 - 制定事件响应计划 | 手动、已禁用 | 1.1.0 |
| 记录安全操作 | CMA_0202 - 记录安全操作 | 手动、已禁用 | 1.1.0 |
| 启用网络保护 | CMA_0238 - 启用网络保护 | 手动、已禁用 | 1.1.0 |
| 根除被污染的信息 | CMA_0253 - 根除被污染的信息 | 手动、已禁用 | 1.1.0 |
| 在事件响应功能和外部提供程序之间建立关系 | CMA_C1376 - 在事件响应功能和外部提供程序之间建立关系 | 手动、已禁用 | 1.1.0 |
| 执行操作以响应信息溢写 | CMA_0281 - 执行操作以响应信息溢写 | 手动、已禁用 | 1.1.0 |
| 标识事件响应人员 | CMA_0301 - 确定事件响应人员 | 手动、已禁用 | 1.1.0 |
| 实现事件处理 | CMA_0318 - 实现事件处理 | 手动、已禁用 | 1.1.0 |
| 对威胁执行趋势分析 | CMA_0389 - 对威胁执行趋势分析 | 手动、已禁用 | 1.1.0 |
| 查看并调查受限制的用户 | CMA_0545 - 查看并调查受限制的用户 | 手动、已禁用 | 1.1.0 |
12.确保知识可用
通过 SWIFT 认证的员工确保提供给客户的服务的质量。
ID:SWIFT CSCF v2022 12.1 所有权:共享
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定期提供基于角色的安全训练 | CMA_C1095 - 定期提供基于角色的安全训练 | 手动、已禁用 | 1.1.0 |
| 提供基于角色的安全培训 | CMA_C1094 - 提供基于角色的安全培训 | 手动、已禁用 | 1.1.0 |
| 在提供访问权限之前提供安全培训 | CMA_0418 - 在提供访问权限之前提供安全培训 | 手动、已禁用 | 1.1.0 |
后续步骤
有关 Azure Policy 的其他文章:
- 法规符合性概述。
- 请参阅计划定义结构。
- 在 Azure Policy 示例中查看其他示例。
- 查看了解策略效果。
- 了解如何修正不符合的资源。