欢迎来到天天文库
浏览记录
ID:30532987
大小:660.02 KB
页数:45页
时间:2018-12-31
《isms深度解析之访问控制7》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、ContinuousControlsMonitoringISO27002:2007ISO27002:2007深度解析之七深度解析之七访问控制访问控制AccessControlAccessControl提纲¢概述¢针对访问控制的业务需求¢用户访问管理¢用户职责¢网络访问控制¢操作系统访问控制¢应用和信息访问控制¢移动计算和远程工作ContinuousControlsMonitoring概述¢访问控制是确保客体资源机密性和完整性的重要安全控制措施¢访问控制机制涵盖了身份和角色管理、身份鉴别、授权管理、访问控制判定等彼此关联的环节¢在安全分布的不同层次中,都有相应的访问控制机制存
2、在,如机房环境访问控制、网络访问控制、系统级访问控制、应用和服务级别访问控制、资源级别访问控制等¢访问控制机制都是“预防性措施”,绝大多数都将落实到技术实现¢“访问控制”管理类在27002中篇幅最大,内容最多。ContinuousControlsMonitoring控制目标和控制措施¢27002在“访问控制”管理类中,提供了7个控制目标和多达25项控制措施Æ针对访问控制的业务需求(目标1)Æ用户访问管理(目标2)Æ用户职责(目标3)Æ网络访问控制(目标4)Æ操作系统访问控制(目标5)Æ应用和信息访问控制(目标6)Æ移动计算和远程工作(目标7)ContinuousContro
3、lsMonitoring11.111.1针对访问控制的业务需求针对访问控制的业务需求BusinessRequirementforAccessControlBusinessRequirementforAccessControlContinuousControlsMonitoring11.1控制目标及措施--针对访问控制的业务需求ContinuousControlsMonitoring11.1控制目标及措施--针对访问控制的业务需求ContinuousControlsMonitoring解读:针对访问控制的业务需求¢既然访问控制是某一类特定的安全管理主题,那么首先就应当建立针对
4、访问控制的安全策略¢11.1.1就要求建立《访问控制策略》,并形成正式文件,该策略应当是针对特定问题的策略,在安全策略体系中居于第二级别¢其中最核心的内容是不同角色的访问轮廓界定,应当统一考虑逻辑访问控制和物理访问控制¢27002给出了访问控制策略内容的参考指南,针对这些内容指南,要写出一个高质量的访问控制策略难度不小,需要付出一定的努力¢响应设计:ContinuousControlsMonitoringÆ《访问控制策略》,该策略的制订和维护应该归文件控制规程管11.211.2用户访问管理用户访问管理UserAccessManagementUserAccessManagem
5、entContinuousControlsMonitoring11.2控制目标及措施--用户访问管理ContinuousControlsMonitoring11.2控制目标及措施--用户访问管理ContinuousControlsMonitoring解读:用户访问管理¢用户访问的生命周期有多个阶段,从用户注册和授权,到鉴权访问,再到用户和权限注销¢11.2要求对整个访问生命周期各阶段提供控制规程,尤其是针对特殊权限的控制要求¢11.2.1要求建立用户注册和注销规程,并对规程内容给出参考指南,详细内容参见27002的11.2.1¢11.2.1还建议采用基于角色的授权管理模式,
6、以提高管理效率,降低管理工作量¢11.2.1响应设计:《用户注册和注销规程》ContinuousControlsMonitoring解读:用户访问管理¢11.2.2要求重视特权管理,应建立特权管理规程¢维护特权分配和撤销的过程记录¢维护系统、特权、特权用户的映射清单¢响应设计:Æ《特殊权限管理规程》Æ《特殊权限分配、授权、撤销记录表单》Æ《系统、系统特权、特权账户ID映射清单》ContinuousControlsMonitoring解读:用户访问管理¢11.2.3提出了关于用户口令管理的要求¢到目前为止,用户名/口令认证机制仍然是最为普遍采用的身份真实性鉴别措施,随着动态口
7、令机制、证书认证机制的广泛使用,27002的内容也需要与时俱进进行更新和修订¢响应设计:《信息系统口令管理规范》Æ口令的申请、产生、分发等多依靠技术手段自动实现¢11.2.4提出了对于权限核查的管理要求,权限核查应定期(标准建议6个月周期)或在权限变更时进行,尤其对于特殊权限的核查应当更频繁进行(标准建议3个月),响应设计:Æ《权限核查指南》Æ《权限核查记录表单》ContinuousControlsMonitoring11.311.3用户责任用户责任UserResponsibilitiesUserResponsib
此文档下载收益归作者所有