返回
isms深度解析之访问控制7

isms深度解析之访问控制7

ID:30532987

大小:660.02 KB

页数:45页

时间:2018-12-31

isms深度解析之访问控制7_第1页
isms深度解析之访问控制7_第2页
isms深度解析之访问控制7_第3页
isms深度解析之访问控制7_第4页
isms深度解析之访问控制7_第5页
资源描述:

《isms深度解析之访问控制7》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、ContinuousControlsMonitoringISO27002:2007ISO27002:2007深度解析之七深度解析之七访问控制访问控制AccessControlAccessControl提纲¢概述¢针对访问控制的业务需求¢用户访问管理¢用户职责¢网络访问控制¢操作系统访问控制¢应用和信息访问控制¢移动计算和远程工作ContinuousControlsMonitoring概述¢访问控制是确保客体资源机密性和完整性的重要安全控制措施¢访问控制机制涵盖了身份和角色管理、身份鉴别、授权管理、访问控制判定等彼此关联的环节¢在安全分布的不同层次中,都有相应的访问控制机制存

2、在,如机房环境访问控制、网络访问控制、系统级访问控制、应用和服务级别访问控制、资源级别访问控制等¢访问控制机制都是“预防性措施”,绝大多数都将落实到技术实现¢“访问控制”管理类在27002中篇幅最大,内容最多。ContinuousControlsMonitoring控制目标和控制措施¢27002在“访问控制”管理类中,提供了7个控制目标和多达25项控制措施Æ针对访问控制的业务需求(目标1)Æ用户访问管理(目标2)Æ用户职责(目标3)Æ网络访问控制(目标4)Æ操作系统访问控制(目标5)Æ应用和信息访问控制(目标6)Æ移动计算和远程工作(目标7)ContinuousContro

3、lsMonitoring11.111.1针对访问控制的业务需求针对访问控制的业务需求BusinessRequirementforAccessControlBusinessRequirementforAccessControlContinuousControlsMonitoring11.1控制目标及措施--针对访问控制的业务需求ContinuousControlsMonitoring11.1控制目标及措施--针对访问控制的业务需求ContinuousControlsMonitoring解读:针对访问控制的业务需求¢既然访问控制是某一类特定的安全管理主题,那么首先就应当建立针对

4、访问控制的安全策略¢11.1.1就要求建立《访问控制策略》,并形成正式文件,该策略应当是针对特定问题的策略,在安全策略体系中居于第二级别¢其中最核心的内容是不同角色的访问轮廓界定,应当统一考虑逻辑访问控制和物理访问控制¢27002给出了访问控制策略内容的参考指南,针对这些内容指南,要写出一个高质量的访问控制策略难度不小,需要付出一定的努力¢响应设计:ContinuousControlsMonitoringÆ《访问控制策略》,该策略的制订和维护应该归文件控制规程管11.211.2用户访问管理用户访问管理UserAccessManagementUserAccessManagem

5、entContinuousControlsMonitoring11.2控制目标及措施--用户访问管理ContinuousControlsMonitoring11.2控制目标及措施--用户访问管理ContinuousControlsMonitoring解读:用户访问管理¢用户访问的生命周期有多个阶段,从用户注册和授权,到鉴权访问,再到用户和权限注销¢11.2要求对整个访问生命周期各阶段提供控制规程,尤其是针对特殊权限的控制要求¢11.2.1要求建立用户注册和注销规程,并对规程内容给出参考指南,详细内容参见27002的11.2.1¢11.2.1还建议采用基于角色的授权管理模式,

6、以提高管理效率,降低管理工作量¢11.2.1响应设计:《用户注册和注销规程》ContinuousControlsMonitoring解读:用户访问管理¢11.2.2要求重视特权管理,应建立特权管理规程¢维护特权分配和撤销的过程记录¢维护系统、特权、特权用户的映射清单¢响应设计:Æ《特殊权限管理规程》Æ《特殊权限分配、授权、撤销记录表单》Æ《系统、系统特权、特权账户ID映射清单》ContinuousControlsMonitoring解读:用户访问管理¢11.2.3提出了关于用户口令管理的要求¢到目前为止,用户名/口令认证机制仍然是最为普遍采用的身份真实性鉴别措施,随着动态口

7、令机制、证书认证机制的广泛使用,27002的内容也需要与时俱进进行更新和修订¢响应设计:《信息系统口令管理规范》Æ口令的申请、产生、分发等多依靠技术手段自动实现¢11.2.4提出了对于权限核查的管理要求,权限核查应定期(标准建议6个月周期)或在权限变更时进行,尤其对于特殊权限的核查应当更频繁进行(标准建议3个月),响应设计:Æ《权限核查指南》Æ《权限核查记录表单》ContinuousControlsMonitoring11.311.3用户责任用户责任UserResponsibilitiesUserResponsib

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。