八大要素详解

Healthdirect Australia 满足在 healthdirect 视频通话服务的所有方面达到至少二级成熟度的所有要求。healthdirect 视频通话服务最后一次重新评估是否符合 Essential Eight 要求是在 2023 年 8 月 17 日。如果您想了解有关视频通话Essential Eight 成熟度模型评估的更多详细信息，请联系videocallsupport@healthdirect.org.au 。

虽然没有一种单一的缓解策略可以保证防止网络安全事件，但 ACSC 建议组织实施 E8 缓解策略作为基准。该基准使对手更难破坏系统。此外，与应对大规模网络安全事件相比，主动实施 E8 在时间、金钱和精力方面更具成本效益。根据对手面临的威胁，建议实施顺序以帮助组织为其系统建立强大的网络安全态势。一旦组织将其所需的缓解策略实施到初始水平，他们应该专注于提高实施的成熟度，以便最终完全符合每个缓解策略的意图。ACSC 建议作为基准的 E8 策略如下：

1. 应用程序控制
   应用程序控制仅允许选定的软件应用程序在计算机上运行。它旨在防止未经批准的软件应用程序执行，包括恶意软件
2. 修补应用程序修补软件应用程序中的安全漏洞。这很重要，因为攻击者会利用应用程序中已知的安全漏洞来攻击计算机
3. 禁用不受信任的 Microsoft Office 宏Microsoft Office 应用程序可以使用称为“宏”的软件来自动执行日常任务。宏越来越多地被用于下载恶意软件。宏可让攻击者访问敏感信息，因此应保护或禁用宏。
4. 用户应用程序强化这包括阻止网络浏览器访问 Adobe Flash Player、网络广告和互联网上不受信任的 Java 代码等活动。Flash、Java 和网络广告长期以来一直是传播恶意软件感染计算机的流行方式。
5. 限制管理 (admin) 权限这意味着管理员权限仅用于管理系统、安装合法软件和应用软件补丁。这些权限应仅限于需要的人使用。管理员帐户是“王国的钥匙”，对手使用这些帐户来完全访问信息和系统。
6. 修补操作系统修补操作系统中的安全漏洞。这很重要，因为攻击者会利用操作系统中已知的安全漏洞来攻击计算机。
7. 多因素身份验证是指用户只有在成功提供多个独立证据后才被授予访问权限。采用多重身份验证可以让对手更难访问你的信息
8. 每日备份重要数据这意味着定期备份所有数据并将其离线或在线存储，但以不可重写和不可擦除的方式存储。这样，如果组织遭遇网络安全事件，就可以再次访问数据。

基本八项成熟度模型

为了帮助各组织确定其实施 E8 的有效性，我们开发了一个成熟度模型。该模型为每种缓解策略定义了四个成熟度级别。

• 成熟度级别为零-受限或与缓解策略的意图不一致
• 成熟度一级-部分符合缓解策略的意图
• 成熟度第二级 -基本与缓解策略的意图一致
• 成熟度三级——完全符合缓解策略的意图