freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息系統(tǒng)網(wǎng)絡(luò)安全設(shè)計方案培訓資料(編輯修改稿)

2025-06-10 22:02 本頁面
 

【文章內(nèi)容簡介】 也可以當作是另一方法去認證一組連接到安全、共享的計算機設(shè)備的遠程用戶。()應安全地控制診斷端口的訪問。很多計算機及通訊系統(tǒng)已安裝撥號遠程診斷設(shè)備為維護工程師使用。如果不好好保護,這些診斷端口就變成非法訪問的途徑,所以,應有合適的安全機制保護這些端口,例如,有一個密鑰鎖及程序,保證只能使用通過計算機服務管理員與需要訪問的軟硬件技術(shù)支持人員商量后所同意的訪問方法訪問。網(wǎng)絡(luò)不斷擴大,已超出傳統(tǒng)的機構(gòu)式范圍,業(yè)務伙伴的相繼形成,同時也要求大家互聯(lián)或共享信息處理及聯(lián)網(wǎng)設(shè)施。這樣的擴大,也增加了非法訪問現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)的風險,而這些系統(tǒng)因有敏感信息或是非常重要的不能讓別的網(wǎng)絡(luò)用戶訪問的信息,在這樣的情況下,應考慮在網(wǎng)絡(luò)設(shè)置控制,把不同的信息服務組、用戶及信息系統(tǒng)隔離。一種控制大網(wǎng)絡(luò)安全的方法是把網(wǎng)絡(luò)分成幾個邏輯網(wǎng)域,例如,機構(gòu)的內(nèi)部網(wǎng)域及外部網(wǎng)域,每個網(wǎng)域都有特別指定的安全邊界,實現(xiàn)這樣的安全邊界是在兩個要聯(lián)網(wǎng)的網(wǎng)絡(luò)之間安裝一個安全的網(wǎng)關(guān),來控制兩個網(wǎng)域之間的訪問及信息流量。網(wǎng)關(guān)的設(shè)置應該是過濾這些網(wǎng)域之間的流量( ),以及按機構(gòu)的訪問控制策略()阻截非法訪問,一個這樣的網(wǎng)關(guān)例子是防火墻。把網(wǎng)絡(luò)分隔成網(wǎng)域的標準,應該是按照訪問控制策略及訪問機制(),還要考慮成本及因設(shè)置網(wǎng)絡(luò)路由或網(wǎng)關(guān)技術(shù)( )后所引致的性能沖擊。共享網(wǎng)絡(luò)的訪問控制策略的要求,特別是超出機構(gòu)范圍的網(wǎng)絡(luò),可能需要有另外的控制來禁止用戶的連接能力。這樣的控制可以使用事先定義的表或規(guī)定過濾流量的網(wǎng)關(guān)實現(xiàn)。制定禁止規(guī)定應按訪問策略及業(yè)務需求(),并時常更新。應制定禁止規(guī)定的例子是:216。 電子郵件;216。 單向的文件傳輸;216。 雙向的文件傳輸;216。 交互訪問;216。 有時間日期的網(wǎng)絡(luò)訪問。共享網(wǎng)絡(luò),特別是超出機構(gòu)范圍的網(wǎng)絡(luò),需要設(shè)置路由控制,以保證計算機連接及信息流不會破壞業(yè)務系統(tǒng)的訪問控制策略()。那些與第三方(非機構(gòu))用戶共享的網(wǎng)絡(luò)更需要有這些控制。路由控制應該是按正確檢查源及目的地址的機制制定。網(wǎng)絡(luò)地址翻譯是一個很有用的機制來隔離網(wǎng)絡(luò),以及阻止路由從一個機構(gòu)網(wǎng)絡(luò)傳播到另一個機構(gòu)的網(wǎng)絡(luò)。機制可以用軟件或硬件實現(xiàn),但實現(xiàn)者要注意機制的安全程度。 網(wǎng)絡(luò)服務的安全現(xiàn)在有很多不同類別的公私網(wǎng)絡(luò)服務供使用,有些服務是增殖服務,而網(wǎng)絡(luò)服務應有獨特或者復雜的安全特征。使用網(wǎng)絡(luò)服務的機構(gòu)應清楚知道所用服務的安全屬性。目的:防止不合法的計算機訪問。操作系統(tǒng)級別的安全設(shè)施應被用來限制計算機資源的訪問。這些設(shè)施應有以下功能:216。 標識及檢查身份,如有需要,應把每個合法用戶的終端或地點都納入檢查之列;216。 記錄成功及失敗的系統(tǒng)訪問;216。 提供合適認證方法:如果使用口令管理系統(tǒng),應保證是在用良好的口令( (4));216。 如有需要,限制用戶的連接時間。其它訪問控制方法,例如challengeresponse, 如果可以減低業(yè)務風險,也可以考慮使用。在認證連接到指定地點及便攜式設(shè)備時,可以考慮使用自動認證終端。自動認證終端是一種用于只能從某個地點或計算機終端啟動會話的技術(shù)。一個在終端中,或附在終端的標識符可以顯示這終端是否可以啟動或接收交易。如有需要,考慮用物理方法保護終端,以維持終端標識符的安全。認證用戶的方法有很多()。正常情況是應該可以通過安全的登錄過程進入信息服務,登錄進入計算機系統(tǒng)的程序應把非法訪問的機會減到最低,為了避免提供非法用戶不必要的幫助,登錄程序應只公開最少量的系統(tǒng)信息。一個良好的登錄程序應:216。 不顯示系統(tǒng)或應用系統(tǒng)的標識符,直到登錄成功完成;216。 顯示一個通知,警告只有合用用戶才可進入系統(tǒng);216。 在登錄過程中不提供幫助信息,以免被不合法用戶利用;216。 只有完成輸入數(shù)據(jù)后才核查登錄信息。 如有出錯,系統(tǒng)應指出哪部分的數(shù)據(jù)是正確,哪部分不正確;216。 限制登錄失敗的次數(shù)(建議是三次),以及考慮:216。 記錄不成功的登錄;216。 強迫在繼續(xù)嘗試登錄前有時間間隔,或者在沒有特定授權(quán)之下拒絕任何登錄嘗試;216。 限制登錄程序的最長及最短時間。限定時間一過,系統(tǒng)應停止登錄程序;216。 完成成功登錄后顯示以下信息:216。 前一次成功登錄的日期及時間;216。 自上次成功登錄后任何不成功登錄嘗試的詳情。所有用戶(包括技術(shù)支持員工,例如操作員、網(wǎng)管、系統(tǒng)程序員及數(shù)據(jù)庫管理員)應有各自的標識符(用戶ID),只為自己使用,以確認誰在操作,及予以追究責任。用戶ID應沒有任何跡象顯示用戶的權(quán)限(),例如經(jīng)理、主管等。在特殊情況下,如有清晰的業(yè)務利益,可以考慮為一組用戶或某個作業(yè)共享用戶ID,但一定要有管理層的書面批準才行。如有需要,可以增加管理措施來貫徹責任。有很多種認證程序可以被用來充實某個用戶所稱述的身份??诹睿ǎ┦翘峁俗R及認證的最常見方法,認證原則是基于只有用戶知道的秘密。但認證也可以使用密碼及認證協(xié)議來完成。用戶擁有的對象,例如內(nèi)存令牌或智能卡,也是標識及認證的方法之一。認證某人的身份也可使用生物特征認證,一種利用用戶某個獨特特征或?qū)傩缘恼J證技術(shù)。強大的認證可以通過安全組合多個認證技術(shù)或機制來實現(xiàn)??诹钍且环N基本方法檢查用戶訪問某個計算機服務的權(quán)限,所以,口令管理系統(tǒng)應提供一個有效交互的措施,確保是在使用健全的口令()。一些應用系統(tǒng)要求用戶口令由某個獨立機構(gòu)制定,但大部分情況是由用戶選擇及保存自己的口令。一個良好的口令管理系統(tǒng)應是:216。 強制使用個人口令來維護責任;216。 在適當情況下,容許用戶選擇及更改自己的口令,并提供確認程序確認輸入正確;216。 強令執(zhí)行要選擇健全的口令,;216。 如果是用戶維護自己的口令,要強迫口令的變化,;216。 如果是用戶選擇口令,強迫他們第一次登錄后要更改臨時的口令();216。 記錄用戶用過的口令,例如12個月前用的口令,以防止重復使用;216。 進入系統(tǒng)后不要在屏幕上顯示口令;216。 把口令文件與應用系統(tǒng)數(shù)據(jù)分開儲存;216。 使用單向加密算法把口令加密儲存;216。 安裝軟件后把供應商的缺省口令改掉。很多計算機的安裝都有一個以上的系統(tǒng)工具程序,來越過系統(tǒng)及應用程序的控制,所以,有必要限制及嚴格控制這些工具的使用。以下的控制可以被考慮:216。 使用認證程序認證系統(tǒng)工具;216。 把系統(tǒng)工具與應用軟件分開;216。 把系統(tǒng)工具的使用限制到只有最少數(shù)的可信任合法用戶使用;216。 授權(quán)在特別情況下使用系統(tǒng)工具;216。 限制系統(tǒng)工具的使用期限,例如只在合法更改的期間內(nèi)使用;216。 記錄所有使用系統(tǒng)工具的活動;216。 定義及記錄所有系統(tǒng)工具的授權(quán)級別;216。 取消所有不必要的工具軟件及系統(tǒng)軟件;是否應為保障安全用戶提供警鐘,應在評估風險后決定,同時,要定義負責什么責任及反應警鐘的程序。在高風險地方(例如公用地方,或超出機構(gòu)安全管理范圍之外的地方)的交互終端,或為高風險系統(tǒng)服務的交互終端,應在一段沒有活動的時間后關(guān)閉,以免被非法用戶訪問。這種超時措施應在一段休止時間后清除終端屏幕的內(nèi)容及關(guān)閉應用系統(tǒng)及網(wǎng)絡(luò)會話。超時的延遲應能反映這地方的安全風險以及誰是終端的使用者。可以在某些PC上實行部分的終端超時措施,即清除屏幕內(nèi)容防止非法訪問,但不關(guān)閉應用系統(tǒng)或網(wǎng)絡(luò)會話。限制連接時間在某種程度上加強高風險應用程序的安全。限制那段時間準許終端連接到計算機服務的做法,會減少非法訪問的時限。這樣的限制應考慮在敏感的計算機應用系統(tǒng)上實行,特別是安裝在高風險地方(例如公用地方,或超出機構(gòu)安全管理范圍之外的地方)的終端。這樣的限制方法例子可以是:216。 使用已定的時間段,例如傳輸批文件的時間,或短時間的定期交互會話;216。 如果沒有加班或延長工作的要求,限定連接時間在正常的工作時間之內(nèi)。目的:防止非法訪問放在信息系統(tǒng)中的信息。 應有安全設(shè)備來禁止訪問應用系統(tǒng)并只容許合法用戶邏輯訪問軟件及信息。 應用系統(tǒng)應該是:216。 按已定的業(yè)務訪問控制策略,控制用戶進入信息系統(tǒng)及訪問應用系統(tǒng)功能;216。 防止可以越過系統(tǒng)或應用系統(tǒng)控制的工具及操作系統(tǒng)非法訪問;216。 不破壞其它共享信息資源的系統(tǒng)的安全;216。 只讓擁有者、其它合法用戶或指定的用戶組訪問信息;應用系統(tǒng)的用戶,包括技術(shù)支持人員,應按訪問控制策略、個別業(yè)務的應用要求及機構(gòu)的信息訪問策略訪問信息及應用系統(tǒng)功能。 要符合訪問限制的要求,應考慮以下的控制:216。 提供菜單來控制對應用系統(tǒng)功能的訪問;216。 適當編輯用戶說明書,把用戶不該知道的信息或應用系統(tǒng)的功能去掉;216。 控制用戶的訪問權(quán)限,例如閱讀、寫入、刪除及執(zhí)行;216。 保證處理敏感信息的應用系統(tǒng)的輸出只有與輸出使用有關(guān)的信息,并只發(fā)送給合法的終端及地點,同時,也要定期檢查這些輸出確實沒有多余的信息。敏感系統(tǒng)需要有專用(隔離)的計算機環(huán)境。一些應用系統(tǒng)的信息非常敏感,需要特別的處理以防止損失。應用系統(tǒng)的敏感程度暗示需要在專用的計算機上運行,只能與可信任的應用系統(tǒng)共享資源。要考慮的問題有:216。 應明確標明應用系統(tǒng)的敏感程度,并由這系統(tǒng)的擁有者記錄保存;216。 當一個敏感應用系統(tǒng)要在共享環(huán)境下運行,應標明有哪些應用系統(tǒng)與它共享資源,并得到敏感應用系統(tǒng)擁有者的同意。目的: 檢測非法活動。系統(tǒng)應被監(jiān)控來檢測違反訪問控制策略的活動,以及記錄可檢測的事件,以便在發(fā)生安全事件時提供證據(jù)。系統(tǒng)監(jiān)控能夠檢查所通過的管理是否有效,是否與訪問控制模型()一致。應有一個記錄異常事件及其它安全事件的審計日志,并在一段已定的時間內(nèi)保存?zhèn)溆?。審計日志應包括以下?16。 用戶ID;216。 登錄與推出登錄的日期時間;216。 終端或地點(如可能)的身份;216。 成功及拒絕的系統(tǒng)訪問的日志;216。 成功及拒絕的數(shù)據(jù)及其它資源的訪問。u 某些審計日志因為保存策略的需要或者因為要收集證據(jù)而需要歸檔。應建立監(jiān)控信息處理設(shè)備使用情況的程序,以保證用戶只進行明確授權(quán)了的活動。 所需的監(jiān)控級別應在評估風險后確定。要考慮的區(qū)域有:216。 合法訪問,包括詳細情況,如:n 用戶ID;n 重要事件發(fā)生的日期時間;n 事件的種類;n 所訪問的文件;n 所使用的進程/工具。216。 所有特權(quán)操作,例如:n 管理賬號的使用;n 系統(tǒng)的啟動及停止;n I/O 設(shè)備的附加裝置/分離裝置。216。 非法訪問的嘗試,例如:n 失敗的嘗試;n 網(wǎng)關(guān)及防火墻的違反訪問策略的訪問及通知;n 入侵檢測系統(tǒng)的預警。216。 系統(tǒng)預警或失敗,例如:n 控制臺預警或消息;n 系統(tǒng)日志的異常;n 網(wǎng)絡(luò)管理的警報。應定期審查監(jiān)控活動的結(jié)果,審查的頻率應依賴于涉及的風險。風險因素有:216。 應用進程的重要性;216。 所處理的信息的價值、敏感程度及重要性;216。 過去系統(tǒng)滲透及誤用的經(jīng)驗;216。 系統(tǒng)聯(lián)網(wǎng)的范圍(特別是公用網(wǎng))。日志檢查包括了解系統(tǒng)所面臨的威脅,以及這些威脅在什么情況下會出現(xiàn)。 是如果有安全事件發(fā)生時應注意哪一類事件的例子。系統(tǒng)日志的內(nèi)容一般是非常多,有很多是與安全監(jiān)控無關(guān)。要找出重要的事件, 應考慮自動把合適的消息種類拷貝到第二個日志,以及/或使用合適的系統(tǒng)工具或?qū)徲嫻ぞ邫z查文件。當指定日志檢查的責任時,應該把進行檢查的人員和活動被監(jiān)控的人員的角色分開。 特別要注意日志設(shè)備的安全,因為如果被篡改,日志等于是提供不真實的安全,所以,要注意不要被非法更改及操作出錯,如:216。 日志設(shè)備的停用;216。 所記錄的對消息種類的更改;216。 被編輯或刪除的日志文件;216。 日志文件儲存介質(zhì)的用盡,或者不能繼續(xù)記錄日志或者覆蓋自己。計算機時鐘的正確設(shè)置是非常重要的,以保證審計日志的準確性,留待日后調(diào)查或當作法庭證據(jù),不準確的審計日志會妨礙這樣的調(diào)查工作,以及有損證據(jù)的可信性。如果是計算機或通訊設(shè)備能夠?qū)崟r操作時鐘,應把時鐘時間設(shè)成已認可的標準,例如統(tǒng)一協(xié)同時間(Universal Coordinated Time)或當?shù)貥藴蕰r間。因為有些時鐘會隨時間變快或變慢,所以,應有一個程序檢查時鐘的時間,如發(fā)現(xiàn)不對,可以予以改正。目的:保證信息安全在移動環(huán)境及遠程工作的設(shè)備上實現(xiàn)。應考慮在這些情況有哪些風險后才決定要指定那些策略。移動環(huán)境是個沒有保護的環(huán)境,應仔細考慮會有什么風險,以及應有哪方面的安全措施。 至于遠程工作模式,機構(gòu)應保護遠程工作的地點,并保證有合適的措施,保護在這樣的環(huán)境工作的安全。當使用移動計算機設(shè)備,例如筆記本、掌上寶、移動電話等,應小心業(yè)務信息不被破壞。應頒布正式的策略,對付移動操作的風險,舉例,策略應包括物理保護的要求、訪問控制和密碼控制技術(shù)、備份、防病毒等等,以及連接移動設(shè)備到網(wǎng)絡(luò)的規(guī)定及建議,如何在公共場所使用這些設(shè)備的指引。應小心在公共場所、會議室及其它沒有保護的不在機構(gòu)辦公地點的地方使用移動設(shè)備,應保護不被非法訪問或泄露被該設(shè)備儲存或處理的信息,方法之一是使用密碼技術(shù)。重要的是,要注意在公共場所使用移動設(shè)備時,小心不要被不認識的人在后面偷看。同時,也要有防止惡意軟件程序,并要時常保持最新版本()。應有隨時可用的設(shè)備,以便快速、輕松地備份信息。這些備份應有很好的保護,不被盜取或丟失。應保護移動設(shè)備到網(wǎng)絡(luò)的連接。使用移動設(shè)備在公用網(wǎng)上遠程訪問業(yè)務信息時,只有在成功標識及認證并經(jīng)過訪問控制機制()后才準許連接。移動計算機的設(shè)備應保護不被盜取,特別是放在汽車或其它交通工具、飯店房間、會議中心等情況下。不要把有重要敏感 及/或 重要業(yè)務信息的移動設(shè)備擱在一旁,如可能的話,最好放在加鎖的地方,或是使用特別的鎖把設(shè)備鎖住。更多關(guān)于如何物理保護移動設(shè)備的方法應提供培訓給使用移動設(shè)備的員工,提高他們的認識,明白這樣的工作方式所帶來的風險,以及有什么管理辦法可以使移動工作更安全。遠程工作是指使用通訊技術(shù)使員工在一個不在機構(gòu)的固定地方遠程工作,為了安全,所以要保護遠程工作的地點,例如保護設(shè)備及信息不要被盜取,不要非法公開信息,不要非法遠程訪問機構(gòu)的內(nèi)部系統(tǒng)或濫用設(shè)備。要注意由管理層授權(quán)及管理遠程工作,保證實施了保護
點擊復制文檔內(nèi)容
公司管理相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1