|
目标:控制对信息的访问。应该根据业务要求和安全要求对信息访问与业务流程加以控制。
还应该考虑信息传播和授权的策略。
9.1.1.1 策略要求与业务要求
应该明确访问控制的业务要求并记录在案。应该在访问策略陈述中明确规定每个用户或用户组的访问控制规则与权限。应该向用户和服务提供商明确说明访问控制应该达到的业务要求。
该策略应该考虑以下内容:
a) 各个业务应用的安全要求。
b) 确定与业务应用有关的所有信息。
c) 信息传播和授权策略,如了解原则以及信息的安全级别与分类的需要。
d) 不同系统和网络的访问控制与信息分类策略之间的一致性。
e) 关于保护对数据或服务访问的相关法律和合同责任(参见第 12 条款)。
f) 通用工作类别的用户访问标准简档。
g) 在分布式网络环境中对可以识别各种可用连接类型的访问权限的管理。
9.1.1.2 访问控制规则
制定访问控制规则时,应该谨慎考虑以下情况:
a) 区分必须始终实施的规则和有选择、有条件地实施的规则。
b) 在“除明确允许执行情况外一般必须禁止”而非“除明令禁止执行情况外一般允许执行”的前提下制定规则。
c) 由信息处理设施自身导致发生的信息标识更改(参见 5.2)以及因用户自行处理导致发生的信息标识的更改。
d) 因信息系统自身导致发生的用户权限的更改以及由管理员导致发生的用户权限的更改。
e) 实施前需要管理员或其他人予以批准的规则以及不需要此类批准的规则。
目标:防止对信息系统的非法访问。
应该制定正式程序,控制信息系统访问权限与服务访问权限的分配。
这些程序应该涉及用户访问生命周期的各个阶段,从初期的新用户注册到用户因不再要求对信息系统和服务进行访问而最终取消注册。应该根据情况注意访问特权是否需要进行控制。用户若拥有访问特权就会越过系统的控制措施。
应该制定正式的用户注册和取消注册程序,规范对所有多用户信息系统与服务的访问授权。应该通过正式的用户注册程序来控制多用户信息服务的访问权限。该程序应该包括以下内容:
a) 使用唯一用户 ID,以便将用户与其操作联系起来,使用户对其操作其责。组 ID 只有适合所进行的工作,才允许使用。
b) 检查用户是否拥有系统所有者对信息系统或服务授予的权限。也可以适当地分别对管理层授予的访问权限进行批准。
c) 检查所授予的访问权限级别是否适合业务的开展(参见 9.1),是否与组织的安全策略相一致,例如它会不会影响责任划分(参见 8.1.4)。
d) 为用户提供访问权限的书面陈述。
e) 要求用户签署声明,表示他们知晓访问的条件。
f) 确保服务提供商在完全遵守授权程序的情况下才提供访问权限。
g) 维护对注册使用服务的所有用户的正式记录。
h) 用户因工作变更或离开组织时,立即取消其访问权限。
i) 定期检查并取消多余的用户 ID 和帐户。
j) 确保不向其他用户签发使用多余的用户 ID。
应该考虑在雇佣服务合同中增加相应的条款,规定员工或服务代理如果企图进行非法访问,则予以制裁(参见 6.1.4 和 6.3.5)。
应该严格限制权限(用户能借此越过系统或应用程序控制措施的任何多用户信息系统的功能或设施)的分配和使用。系统权限使用不当常常是系统出现故障的主要作用因素,结果导致系统遭到破坏。
对于要求防范非法访问的多用户系统,应该制定正式的授权程序,对权限分配进行控制。应该考虑采取以下步骤:
a) 应该确定与每个系统产品(如操作系统、数据库管理系统和各个应用程序)相关的权限,还应该确定需要为其分配这些权限的员工类别。
b) 应该按照是否需要使用的原则并依据具体情况为个人分配权限,即根据需要确定最低岗位要求。
c) 应该对分配 [1] [2] [3] [4] [5] [6] [7] 下一页
|
