9访问控制
9.1访问控制的业务需要
目标:控制对信息的访问
根据业务和安全的要求应当控制对信息的访问和对业务程序的访问。
这应当把信息发布和授权的策略考虑在内。
9.1.1访问控制策略
9.1.1.1 策略和业务的要求
应当定义并记录下对访问控制的业务要求。在访问控制策略说明中,应当清楚阐明访问控制规则和每个个人用户和用户群体的权限。用户和服务提供商应当提供一份清楚的对访问控制所要满足的业务要求的说明。
该策略应当考虑到以下内容:
a)个人业务应用软件的安全要求。
b)对所有与业务应用程序相关的信息的鉴别。
c)信息传播和授权的策略,例如 需要知道原理和信息的安全等级和分类;
d)在访问控制和不同系统和网络间信息分类的策略之间的连贯性;
e)对数据或者服务的访问的保护所涉及的法律和所有合同义务;
f)对一般工种而设的标准用户访问特征;
g)在分布式的和网络化的环境中访问权限的管理。这种环境能够分辩所有可用连接的类型。
9.1.1.2 访问控制规定
为确定访问控制规定,应当仔细考虑以下问题:
a)区分必须一直坚持的规定和那些有可选择性和有条件的规定;
b)规定的建立基于如下前提“除非得到明白的许可,否则一般必须禁止此类行为”,而不是更弱的标准“除非被明令禁止,否则所有的行为都是允许的”;
c)由信息处理设备自动引起的信息标签(见5.2)的改变和那些用户判断引起的信息标签的改变。
d)由于信息系统自动引发的用户许可的改变和管理员所做的这种改变。
e)在执行之前,需要管理员或者其他人批准的规定和那些不需要这种批准的规定;
9.2 用户访问管理
目标:防止对信息系统的未经授权的访问
应当由正规的程序来控制对信息系统和服务的访问权限分配。
这些程序应当覆盖用户访问全过程的所有阶段,从新用户的最初注册到不再需要访问信息系统和服务的用户最终的注销。适当的情况下,应当特别注意控制特权访问权限的分配。 这些特权允许用户超越系统控制。
9.2.1 用户注册
为了授予对一个多用户的信息系统和服务的访问权限,应当由一个正式的用户注册和注销程序。
应当通过正式的用户注册程序来控制对于多用户信息服务的访问。该注册程序应当包括:
a)使用唯一的用户身份,以便将用户与他们的行为联系上并让他们对自己的行为负责。群体身份(group ID)只允许在它们适于所要做的工作时才采用。
b)检查用户是否有从系统所有人处得到的使用信息系统和服务的授权。管理层做出的对于访问权限的单独批准可能也是合适的
c)检查授予的访问等级是否于业务目标相适应(见9.1),并且是否与组织的安全策略相一致,例如:它不会损害任务的分离(见8.1.4)。
d)给用户一个关于他们访问权限的书面声明;
e)要求用户签署该声明以表明他们理解访问的条件。
f)确保访问提供商在授权程序完结之前不提供访问途径。
g)保存一份注册使用该系统的所有人员的正式记录。
h)立即取消已经改换工作或者离开该组织的用户的访问权限;
i)定期检查并删除冗余的用户ID和帐户;
j)确保冗余的用户帐号不被转给其它用户。
如果职工和服务代理人有未经授权的访问时要受处罚,应当注意,在员工合同和服务合同中要包涵相关条款对此做出规定(见6.1.4和6.3.5)。
9.2.2 特权管理
应当严格限制特权(多用户信息系统的任何使得客户超越系统或者应用软件控制的特征或者便利)的分配和使用。对系统特权的不当使用经常成为导致被攻破的系统产生故障的一个主要因素。需要防止未经授权访问的多用户系统应当通过正式的授权程序来控制对特权的分配。 应当考虑以下的步骤:
a)应当确定与每个系统产品例如操作系统、数据库管理系统和每个应用软件相联系的特权和需要分派的职工类别;
b)特权的分配应当建立在一种需要使用的基础和就事论事的基础上,例如只有在需要时才对它们功能角色有最低限度的要求。
c)应当保有一个授权程序和一份所有分配出的特权的记录。在授权程序结束之前不应当授予特权。
d)系统程序的开发和使用应当得到提升,以避免需要向用户授予特权。
e)特权应当分配给一个不同于常规业务使用的用户身份。
9.2.3 用户密码管理
密码是一种访问信息系统或者访问时确认用户身份的常用方式。应当通过正式的管理程序来控制密码的分配。这一程序应当:
a)需要用户签署一项声明以保持个人密码的保密性并确保工作组密码只在该组成员的内部(这应当包括在用工合同条款中,见6.1.4)
b)在用户需要维护他们的密码时,确保最初为它们提供一个安全的临时密码,而迫使他们立即更改。当用户未经他们密码的时候提供的临时密码应当只按照确实的用户身份提供。
c)需要临时密码来给用户一个安全的方式。应当避免使用第三方或者使用未受保护 的明码电文的电子邮件信息。用户应当确认接收到密码了。
无论如何,密码都不能以一种未受保护的形式存储在计算机上。可以使用其它的用户识别和授权技术,例如生物测定像指纹鉴定、签字确认和硬件标识例如集成芯片卡。适当情况下应当加以考虑。
9.2.4 用户访问权限的复查
为了保持对数据和信息服务的存取访问的有效控制,管理层应当实施一个正式的程序来定期复查用户的访问权限,使得:
a)用户的访问权限得到定期复查(推荐周期是6个月)并在做任何改动后进行复查(见9.2.1)。
b)对特殊的特权访问权限(见9.2.2)应当以更高的频率来检查;推荐周期是3个月。
c)定期核查特权分配,以确保无人得到未经授权的特权。
9.3 用户责任
目标:防止未经授权的用户访问
得到授权的用户进行合作是有效的安全基础。
为了维持有效的访问控制,应当让用户知道他们的责任,尤其是有关密码使用和用户设备的安全方面的责任。
9.3.1 密码使用
用户应当按照良好的安全操作规程来选择和使用密码。
密码提供了一种验证用户身份的手段,从而建立了对信息处理设备和服务的访问权限。 应当建议所有的用户:
a)保护密码的保密性;
b)避免在纸张上保留密码记录,除非可以对其安全存放。
c)只要有系统或者密码可能被侵害的迹象,就更改密码;
d)选择的优质密码至少要有6个字符的长度,这些字符要:
1)容易记忆;
2)不是基于那些别人很容易地根据个人相关信息就能够猜出来的东西。例如:名字、电话号码和生日等等。
3)避免使用连续的相同数字,或者全是数字或全是字母的字符组。
d)定期更换密码或者根据一定量的访问次数来更改密码(特权帐户的密码应当比普通帐户密码更改的更为频繁)。避免重复或者循环使用旧的密码。
e)定期更换密码或者根据一定量的访问次数来更改密码(特权帐户的密码应当比普通帐户密码更改的更为频繁)。避免重复或者循环使用旧的密码。
f)在第一次登录时更改临时密码;
g)不要把密码包含在任何自动登录程序之中,例如把密码存在宏代码或者功能键上。
h)不要共用个人用户密码。
如果用户需要访问多重服务或者平台并且被要求持有多重密码,那么应当建议他们对于所有的为存储的密码提供合理保护等级的服务都使用单一的优质密码(见上述d)) 。
9.3.2 无人值守用户设备
用户应当确保无人值守设备得到足够的保护。在用户区安装的设备,例如工作站或者文档服务器,可能需要特殊的保护以防止在较长的无人值守时间内被未经授权地访问。为了保护无人值守的设备,应当让所有的用户和合同伙伴明白安全要求和安全程序。而要实施这些保护还得使他们清楚自己的责任。 应当建议用户:
a)当完成对话束时要将活动的对话终止,除非有适当的锁定机制的保护,例如一个密码保护的屏幕保存程序;
b)当对话期结束时要注销主机(而不仅仅是关掉个人计算机和终端);
c)在不使用PC机和终端时,用密码锁或者相类似的控制手段例如密码访问,以防止对它们的未经授权的使用。
9.4 网络访问控制
目标:保护网络服务
应当控制对内部和外部网络服务的访问。
这对于确保对网络和网络访问有访问权限的用户不损害这些系统的安全是必要的。为此,要确保:
a)在本组织的网络和其它组织的网络例如公共网之间有适当的接口;
b)对用户和设备的适当的授权机制;
对用户访问信息服务的控制。
9.4.1 网络服务的使用策略
与网络服务的不安全的链接会影响到整个组织。只应当向用户提供对那些特别授权他们使用的服务进行直接访问。这种控制对于同敏感或者关键业务应用软件的联网或者同处于高风险地区的用户的联网都是十分重要的。其中高风险地区指公共的场所或者组织的安全管理范围以外的区域。
策略的筹划应当考虑到网络和网络服务的使用。应当包括:
a)允许访问的网络和网络服务;
b)用来确定谁可以访问那些网络和网络服务的授权程序;
c)保护对网络连接和网络服务的访问的管理措施和程序。
这一策略应当与业务访问控制策略(见9.1)相一致。
9.4.2 强制路径
从用户终端到计算机服务器的路径可能需要进行控制。 网络被设计成要允许最大程度的资源共享和最大程度的路径选择自由。而网络的这些特征也可能为那些对业务应用软件未经授权的访问或者对信息设备未经授权的使用制造了机会。限制用户终端与允许用户访问的计算机服务器之间路径的联合管理措施,例如建立一条强制路径,能够降低这种风险。
强制路径的目的是为了防止用户选择了任何用户终端与允许用户访问的计算机服务器之间路径的其它路径。
一般来说,这需要在路径的不同地点实行一定数量的控制。其原理是通过预先确定的选择来限制在网络中的各个点处的路径选取。
下面是它的例子:
a)分配专用线路和电话号码;
b)自动连接到指定的应用软件系统或者安全门路;
c)为单个用户限制菜单和子菜单选项。
d)防止不受限制的网络漫游;
e)对外部的网络使用者,强制其使用指定的应用软件系统和/或安全门路;
f)通过安全门路例如防火墙来积极地控制目的地通信的许可来源。
g)为组织内部的用户群建立分离的逻辑域来限制网络访问,例如虚拟私人网络(又见9.4.6)。
对强制路径的要求应当基于业务访问控制策略(见9.1)
9.4.3 外部连接的用户认证
外部连接可能导致对信息系统未经授权的访问,例如拨号的方法。因此,应当把远程用户的访问置于比其它方式更为严密的保护之下,例如以使用密码技术为基础的方法能够提供强大的认证。要从风险评估中确定所需保护等级,这点十分重要而且选择恰当的认证方法时也需要。
可以通过多种方式验证远程用户的身份,例如加密技术、硬件标识或者询问/应答协议。也可能用专用线路或者网络用户地址检查设备来确认连接的来源。
拨号回送程序和控制措施,例如使用回拨调制解调器,能够防止对一个组织的信息处理设备的未经授权的和有害的连接。这种控制鉴别那些试图从远处建立到组织的网络的连接的用户。使用这些管理措施时,组织不应当用网络服务包括电话发送;如果使用了这种网络服务,就应当取消这样的特征,以避免与电话发送相关的弱点。回拨过程包括确认在组织一方的连接确实断开了,这点也很重要。否则,远程用户能够持续占线假装已经做了回拨验证。应当仔细的检测回拨程序和控制的这种可能性。
9.4.4 节点鉴别
自动连接到远程计算机的设备能够提供了一种途径,从中可以获得对业务应用软件的未经授权的访问。因此应当认证连到远程计算机系统的连接。如果连接使用的网络在组织的安全管理的控制范围以外,这种做法就尤其重要了。 在上述9.4.3中给出了一些例子说明什么是认证和如何实现认证。
节点认证能够作为认证远程用户群的替代方式,在那里用户连接到了一个安全的共享的计算机设备(见9.4.3)。
9.4.5 远程诊断接口的保护
应当安全地控制对诊断接口的访问。为了方便维护工程师的使用,许多计算机和通信系统安装在一个拨号远程诊断设备之中。如果未加保护,这些诊断接口就为未经授权的访问提供了途径。因此,应当用适当的安全机制对其加以保护,例如一个密码锁和一个保护程序。通过在计算机服务管理员和需要访问通路的硬件/软件支持人员之间所做的安排,该程序确保了诊断接口只能由他们访问。
9.4.6 网络分离
网络日益被扩展到传统的组织边界以外,例如业务伙伴关系的形成可能需要互联或者共享信息处理和网络设备。网络的这种扩展可能加大使用网络的现有信息系统受未经授权的访问的风险。由于有些网络的敏感性或者关键性,它们可能需要其它网络用户的保护。在这种情形下,应当考虑在网络中引入管理措施来分离不同的信息服务、用户和信息系统。
大型网络安全管理的方法之一就是将其分解为独立的逻辑网域,例如组织的内部网域和外部网域, 每个域都由一个确定的安全边界保护。在将被连接起来以控制两个域之间的访问和信息流的两个网络之间安装一个安全门路,由此可以实现上述的安全边界。这一门路经过定制可以来过滤这些域之间的通信(见9.4.7和9.4.8)并能够按照组织的访问管理措施(见9.1)堵住未经授权的访问渠道。这种门路的一个例子就是我们通常所说的防火墙。
将网络分离成域的标准应当是基于访问控制策略和访问的要求(见9.1),而且还要考虑到合成适当的网络路径或者门路技术的相对成本和对性能的影响(见9.4.7和9.4.8)。
9.4.7 网络连接管理
共享网络访问控制策略的要求,特别是那些跨越组织界线的关系网络,可能需要把控制措施结合起来以约束用户的连接能力。这种控制措施可以由一个用预先拟定的表格或者规则过滤通信的网络门路来实现。所用的这种约束措施应当基于访问控制策略和业务应用软件的需要(见9.1),因此应当加以维护和更新。
需要加以限制的一些具体应用是:
a)电子邮件;
b)单向文件传送;
c)双向文件传送;
d)交互式访问;
e)与每天或者某个日期的时间相关的网络通路。
9.4.8 网络路径选择控制
共享的网络,尤其是那些跨越组织边界的网络,可能需要把路径选择管理措施结合起来以确保计算机连接和信息流不会破坏业务应用软件的访问控制策略(见9.1)。这种控制对于同第三方(非组织)用户共享的网络常常是具有根本性的。
路径选择控制应当基于确定的来源和目标地址检测机制。网络地址翻译对于隔离网络和防止路径从一个组织的网络延伸到另一个网络中也是一种非常有用的机制。它们能够在软件和硬件中实现。实施者应当清楚所配备的任何机制的作用强度。
9.4.9 网络访问安全
有广泛的公共网络服务和私有网络服务可供利用,其中有的是增值服务。网络服务可能有独特的或者复杂的安全特征。使用网络服务的组织应当确保对所有服务的安全属性做一个清晰的描述。
9.5 操作系统访问管理
目标:防止未经授权的计算机访问。
操作系统水平的安全设备应当用于限制对计算机资源的访问。这些设备应当能够做到以下事情:
a)鉴别和验证身份,如果需要的话还能够鉴别和验证每个经授权用户的位置和终端。
b)记录对系统的成功访问和失败访问。
c)提供适当的授权方式;如果使用了密码管理系统,应当能够确保使用的是优质密码(见9.3.1 d))。
d)在适当的地方,限制用户的连接次数。
如果证明对于业务风险没有危害,那么也可以使用其它的访问控制方法,例如询问-应答方法。
9.5.1 自动终端识别
为了鉴别连到特殊地点和便携设备的连接应当考虑自动终端识别技术。如果一个对话只能从特殊的地点或者计算机终端上启动这点很重要,那么自动终端识别就是一种可以考虑的方法。终端内或者贴到终端上的一个标识可以用来指示是否允许这个特定的计算机终端启动或者接收特殊事项。为保持终端标识的安全,可能需要对计算机终端进行物理保护。也可以用其它的技术鉴别计算机终端(见9.4.3)。
9.5.2 终端登录程序
由一个安全的登录程序应当能够获得对信息服务的访问。这一登录到计算机系统的过程的设计应当把对系统未经授权的访问的机会降到最低限度。因此为了避免给未经授权的用户以不必要的帮助,该登录程序只会透露出最少的系统信息。一个好的登录程序应当做到:
a)除非登录程序成功结束,否则不显示系统或者应用程序;
b)显示一般性的警告,说明只有经过授权的用户才能够访问;
c)在登录程序中不提供可能会帮助未经授权的用户的信息;
d)只有完成所有数据的输入以后才开始验证。如果产生一个错误条件,该系统不应当指示出哪对哪错。
e)限制所允许失败登录次数(推荐使用3次),并且考虑:
1)记录失败的尝试;
2)在重新登录之前强制等待一段时间或者拒绝任何没有特殊授权的进一步尝试。
3)断开数据连接。
e)限制所允许的登录程序的最长和最短时间。如果超过了这个范围,系统应当终止登录。
f)当成功的完成登录以后,要显示以下信息:
1)上一次成功登录的日期和时间;
2)自从上次成功登录以来,历次失败登录尝试的细节。
9.5.3 用户识别和鉴定
所有的用户(包括技术支持人员,例如操作员、网络管理员、系统程序员和数据库管理员)应当有唯一的标识(用户ID)供他们个人并且只供他们个人使用。因此,可以追踪各种活动到负有责任的个人身上。用户ID不应当显示出用户的特权等级(见9.2.2),例如管理人员、监控人员。
在例外的情况之下,如果有明显的商业利用,可能会让一个用户群或者特殊的工种共享一个用户ID。管理层对这种情况的批准应当记录在案。为保持可计量性,可能还需要其它管理措施。
有各种授权程序,可以用来证实所声称的用户身份。密码(见9.3.1和下文)是一种非常通用的进行识别和鉴定(I&A)的方法。这一方法基于一个只有用户才知道的秘密。利用加密技术和鉴别协议也可以达到同样的目的。
像存储标识或者用户拥有的智能卡这类物品也可以用来进行识别和鉴定。利用个人的唯一的特征或者属性的生物鉴别技术也可以用来鉴别一个人的身份。将鉴别技术和管理机制妥善地结合到一起能够得到更为强大的鉴定能力。
9.5.4 密码口令管理系统
密码是验证用户访问计算机权限的主要形式之一。密码管理系统应当提供一个有效的、交互的设备。这样可以确保优质密码(参考9.3.1小节的密码使用指导)。
一些应用程序需要有独立的职权来分配用户密码。在大多数情况下,密码是由用户选择和维护的。
一个好的密码管理系统应当:
a)强制使用个人密码以保持可计量性;
b)适当的时候,允许用户选择和更改他们自己的密码并包括一个确认程序,它允许出现输入错误。
c)强制选择如9.2.1所述的优质密码;
d)用户维持他们自己的密码时,强制实行如9.3.1所述的密码变更;
e)当用户选择密码时,强制他们在第一次登录的时候更改临时密码(见9.2.3);
f)维持一份以前用户密码的记录,例如在此之前12个月,并避免再次使用;
g)输入密码时不要将其在屏幕上显示出来;
h)把密码未经与应用软件系统的数据分开存放;
i)以使用单向加密算法的加密形式存储密码口令;
j)软件安装完毕后,改变缺省的卖方密码。
9.5.5 系统实用程序的使用
大多数计算机安装有一个或者更多系统实用程序,它们可能有能力超越系统和应用程序的控制。限制并严格控制对它们的使用是十分重要的。应当考虑以下的控制措施:
a)给系统实用程序使用认证程序;
b)系统实用程序从应用软件分离出来;
c)把使用系统实用程序的人限制在最少的值得信任的授权用户之内;
d)为系统实用程序的特殊使用进行授权;
e)限制系统实用程序的有效性,例如在一个经授权的变更的持续时间之内;
f)记录系统实用程序的所有使用;
g)系统实用程序授权等级的定义和文件证明;
h)所有基于软件的多余实用程序和多余系统软件的删除。
9.5.7 终端暂停
为了防止未经授权的人访问,在一段确定的休止期结束后,应当关闭在高风险地区例如在组织的安全管理之外的公共场所或外部地区的暂停终端或者是正在为高风险系统提供服务的终端。 在一段确定的暂停期后,这一终端暂停手段应当清除终端屏幕内容并关闭应用程序和网络对话。该暂停应当反映出这个地区和终端用户的安全风险。
一些PC机可以得到有限的终端暂停手段,使其能够清楚屏幕内容并防止未经授权的访问但是不会关闭应用程序或者网络进程。
9.5.8 连接时间的限制
对连接时间的限制应当为高风险应用程序提供额外的安全保证。限制终端可以连接到计算机访问的时间缩小了未经授权访问的机会空间。对于敏感的计算机应用程序,特别是那些有终端安装在高风险地区例如在组织的安全管理范围之外的公共场所或外部地区的,应当考虑这样的管理措施。这样约束措施的例子包括:
a)使用预先确定的时间段,例如批量的文件发送,或者定期的短时交互式对话;
b)如果没有超时或者延时业务,限制连接到正常办公时间的次数。
9.6 应用程序访问控制
目标:防止保存在信息系统内信息被未经授权地访问。应当使用安全设施限制在应用程序系统中的访问。
对软件和信息的逻辑访问应当限制在经过授权的用户之中。应用软件系统应当:
a)控制用户对信息和应用程序系统功能的访问,并要与确定的业务访问控制策略相一致;
b)为任何一个能够超越系统或应用程序限制的实用程序和操作系统软件提供保护,防止未经授权的访问;
c)不损害有共享信息资源的其它系统的安全;
d)只能够向所有权人、其它被指派和经授权的个人或者确定的用户群提供对信息的访问权限。
9.6.1 信息访问限制
按照确定的访问控制策略,应当为应用软件系统的用户包括技术支持人员提供对信息和应用程序系统的访问。这是基于个人业务应用程序要求的并且与组织的信息访问策略(见9.1)相吻合。为了支持访问限制要求,应当运用以下管理措施:
a)提供菜单来控制访问应用程序系统功能;
b)通过适当编辑用户文件,可以限制用户对于未得到授权进行访问的信息或者应用程序系统功能的了解;
c)控制用户的访问权限,例如读取、改写、删除和执行等权限。
d)确保处理敏感信息的应用程序系统的输出只包括与输出的使用相关的信息,而且只送到得到授权的终端和地点,包括对这种输出周期性的复查以确保多余的信息被删除了。
9.6.2 敏感系统的隔离
敏感系统可能需要专用(隔离的)计算环境。有些应用程序系统对于潜在的损失如此敏感以致于需要对它们做专门处理。这种敏感性可能表示应用程序系统应当在专用计算机上运行,而且只同受信的应用程序系统共享资源,或者没有限制。可以考虑以下几点。
a)对一个应用程序系统的敏感性应当做清楚的定义并且有应用程序所有权人把它记录在案(见4.1.3)。
b)当一个敏感的应用程序将在共享的环境下运行时,应当识别出应用程序将分享其中资源的该应用程序系统,并获得敏感应用程序的所有权人的准许。
9.7检测系统访问和使用
目标:探测未经授权的活动。
应当监视系统以发现偏离访问控制策略的行为并记录可监测事故以便方式安全事件时提供证据。
系统检测允许对所采用管理措施的有效性进行检测,并允许对一个访问策略模型(见9.1)的确认进行验证。
9.7.1 事件记录
应当编写用来记录异常现象和其它有关安全的事件的审查日志,并在各方同意的时间段内保持该日志,以协助以后的调查研究和访问控制监测。 审核日志还应当包括:
a)用户ID;
b)登录和注销的日期及时刻;
c)如果需要,要做终端或者地点的识别;
d)对系统成功的访问和被拒绝的尝试所做的记录;
e)对数据和其它资源成功的和被拒绝的访问所做的记录。
某些审核日志可能需要放入档案中,作为记录保留策略的一部分或者出于收集证据的需要(另见第12句)
9.7.2 检测系统使用
9.7.2.1 程序和风险区域。
应当建立程序以检测信息处理设备的使用。为了确保用户只做了得到明确授权的行为,这样的程序是必需的。应当由风险评估确定个人设备所需的监测等级。应当考虑的地方有:
a)得到授权的访问,包括细节例如:
1)用户ID;
2)关键事件发生的日期和时间;
3)事件的类型;
4)访问的文件;
5)使用的程序/实用程序;
c)所有有特权的作业,例如:
1)监督员帐户的使用;
2)系统启动和结束;
3)输入/输出设备附件/可拆件。
d)未经授权的访问尝试,例如:
1)失败的尝试;
2)对访问策略规定的违反和对网络门路和防火墙的通告。
3)警惕所有权人侵入检测系统;
e)系统警报或者故障,例如:
1)控制台警报或者消息;
2)系统日志异常;
3)网络管理警报。
9.7.2.2 风险因素
应当定期检查检测活动的结果。检查的频率取决于所涉及的风险。应当加以考虑的风险因素包括:
a)应用进程的重要程度;
b)所涉及信息的价值、敏感性和重要程度;
c)以往的系统过滤和和误用的经验教训;
d)系统互联的程度(特别是公共网络);
9.7.2.3记录和检查事件
日志检查涉及对于系统所面临威胁的理解和对这些威胁可能的产生方式的认识。在9.7.1中给出了为了防止安全事故可能需要深入调查的事件的例子。
系统日志常常包涵大量的信息,其中很多信息与安全检测无关。出于安全检测的目的而帮助识别重要事件时,应当考虑把适当的信息类型自动复制到第二个日志和/或者使用适当的系统实用程序或检测工具,以便进行文件审查。
当为检查日志而分配责任时,应当考虑把执行检查的人员和其活动被监测的人员之间的角色分离开。
应当尤其注意日志记录设施的安全,因为一旦遭到破坏可能给人一种十分安全的假相。管理措施应当致力于防范未经授权的改动和操作问题包括:
a)将记录设备置于停止状态;
b)所记录的消息模式的变更;
c)被编辑或者删除的日志文件;
d)被用完的日志文件的存储器,要么不能记录事件要么覆盖了自己。
9.7.3 时钟同步
为了确保审查日志的准确性,正确的设定计算机时钟是十分重要的。这在调查研究中可能需要或者可以作为法律案件中的证据。不准确的审查日志可能会妨碍调查研究的进行,并会削弱它作为证据的可信度。在计算机或者通信设备有能力操作一个实时的时钟的地方,应当按照一个共同的标准把它设定,例如 通用协调时间(UCT)或者当地标准时间。由于有的时钟有偏差,应当有一个程序可以检测并改正任何重要的变更。
9.8 移动计算和远程工作
目标:在使用移动计算和进行远程工作时确保信息安全。
所需要的保护应当与这些工作的特殊方式引起的风险相协调。使用移动计算时应当考虑到 未经保护的环境下工作的风险,并且要考虑到所采用的适当措施。在远程工作时,组织应当为远程工作地点提供保护并且确保对这种工作方式有适当的安排。
9.8.1 移动计算
使用移动计算设备例如笔记本电脑、掌上电脑、膝上电脑和移动电话等的时候,应当特别注意要确保业务信息不受损害。应当采取正式策略来考虑使用移动计算设备的风险,特别是在未加保护的环境之中。例如,该策略应当涵盖物理保护、访问控制、加密技术、备份文件和防范病毒等等方面的需要。该策略还应当包括有关把设备连接到网络的规则和建议以及对于在公共场所使用这些设备的指导。
在公共场所、会议室和其它在组织的保护范围之外的未受保护的地区。在适当的位置应当有保护措施,以避免未经授权的访问或者泄露由这些设备存储和处理的信息,例如使用加密技术(见10.3)。
当这种设备在公共场所使用的时候应当小心避免被未经授权的个人从远处看见的危险。这一点很重要。应当有适当的防止恶意软件的程序并且要对其不断更新(见8.3)。为了确保能够快速而方便地备份信息,这些设备应当是可用的。这些备份应当得到充分的保护例如防盗和防止信息丢失。
对连接到网络的移动设备移动给以适当的保护。只有经过成功的识别和鉴定之后才可以使用移动计算设备通过公众网对业务信息进行访问,并且有适当的访问控制机制在(见9.4)。
还应当对移动计算设备加以物理上的保护,以防在离开时被偷窃,例如在轿车和其它交通工具上、在宾馆房间、会议中心和见面地点等。载有重要信息、敏感和/或者关键的业务信息的设备不应当没人照看,而且如果可能的话,应当把实物锁起来、或者使用特殊的锁来保护该设备。关于对移动设备进行物理保护的更多的信息可以在7.2.5找到。
应当训练职工使用移动设备,提高他们对这种工作方式所带来的额外风险和应当实行的管理措施的认识。
9.2.8 远程工作
远程工作用通信技术使得职工能够在组织之外的远程固定地点工作。对远程工作的适当保护应当防止设备和信息被盗走、未经授权就披露信息、对组织内部系统的未经授权的访问或者设备的误用。远程工作不但需要授权还要由管理层控制,而且对这种工作方式应当有适当的安排。这一点非常重要。
组织应当考虑开发一种策略、程序和标准来控制远程工作活动。组织应当只授权远程工作活动,如果它们能够满足有适当的安全设置和管理措施的要求而且符合组织的安全策略的话。应当考虑以下几点:
a)对远程工作地点现有的物理上的保护,考虑建筑物理的安全和当地环境的安全。
b)拟定的远程工作环境;
c)通信安全要求,考虑到对组织内部系统进行远程访问的需要、即将通过通信链接并接收评估的信息的敏感性和内部系统的敏感性。
d)在该适应范围例如家庭和朋友的其他人对信息或者资源的未经授权的访问所造成的威胁。
需要考虑的管理措施和安排应当包括:
a)为远程工作提供适当的设备和存储家具。
b)对允许做的工作、工作时间、可以保留的信息的分类和远程工作人员被授权访问的内部系统及其服务分别做出的定义。
c)提供适当的通信设备包括保护远程访问的方法。
d)物理安全;
e)对家庭成员和来客访问设备和访问信息的有关规定和指导;
f)软件和硬件支持和维护措施的提供。
g)备份和业务连续性的过程。
h)审查和安全监测;
i)远程工作活动停止时,权力的取消、访问权限和设备的归还
