國際標(biāo)準(zhǔn) ISO/IEC 17799(三)
9訪問控制
9.1訪問控制的業(yè)務(wù)需要目標(biāo):控制對信息的訪問
根據(jù)業(yè)務(wù)和安全的要求應(yīng)當(dāng)控制對信息的訪問和對業(yè)務(wù)程序的訪問��。這應(yīng)當(dāng)把信息發(fā)布和授權(quán)的策略考慮在內(nèi)�。
9.1.1訪問控制策略9.1.1.1 策略和業(yè)務(wù)的要求應(yīng)當(dāng)定義并記錄下對訪問控制的業(yè)務(wù)要求。在訪問控制策略說明中�,應(yīng)當(dāng)清楚闡明訪問控制規(guī)則和每個個人
用戶和用戶群體的權(quán)限。用戶和服務(wù)提供商應(yīng)當(dāng)提供一份清楚的對訪問控制所要滿足的業(yè)務(wù)要求的說明��。
該策略應(yīng)當(dāng)考慮到以下內(nèi)容:a) 個人業(yè)務(wù)應(yīng)用軟件的安全要求����。b) 對所有與業(yè)務(wù)應(yīng)用程序相關(guān)的信息的鑒別。c) 信息傳播和授權(quán)的策略���,例如 需要知道原理和信息的安全等級和分類�;d) 在訪問控制和不同系統(tǒng)和網(wǎng)絡(luò)間信息分類的策略之間的連貫性����;e) 對數(shù)據(jù)或者服務(wù)的訪問的保護(hù)所涉及的法律和所有合同義務(wù);f) 對一般工種而設(shè)的標(biāo)準(zhǔn)用戶訪問特征�;g) 在分布式的和網(wǎng)絡(luò)化的環(huán)境中訪問權(quán)限的管理。這種環(huán)境能夠分辯所有可用連接的類型���。
9.1.1.2 訪問控制規(guī)定為確定訪問控制規(guī)定����,應(yīng)當(dāng)仔細(xì)考慮以下問題:a) 區(qū)分必須一直堅持的規(guī)定和那些有可選擇性和有條件的規(guī)定;b) 規(guī)定的建立基于如下前提“除非得到明白的許可�,否則一般必須禁止此類行為”,而不是更弱的標(biāo)準(zhǔn)
“除非被明令禁止��,否則所有的行為都是允許的”����;c) 由信息處理設(shè)備自動引起的信息標(biāo)簽(見5.2)的改變和那些用戶判斷引起的信息標(biāo)簽的改變。d) 由于信息系統(tǒng)自動引發(fā)的用戶許可的改變和管理員所做的這種改變����。e) 在執(zhí)行之前,需要管理員或者其他人批準(zhǔn)的規(guī)定和那些不需要這種批準(zhǔn)的規(guī)定�;
9.2 用戶訪問管理目標(biāo):防止對信息系統(tǒng)的未經(jīng)授權(quán)的訪問
應(yīng)當(dāng)由正規(guī)的程序來控制對信息系統(tǒng)和服務(wù)的訪問權(quán)限分配。這些程序應(yīng)當(dāng)覆蓋用戶訪問全過程的所有階段��,從新用戶的最初注冊到不再需要訪問信息系統(tǒng)和服務(wù)的用戶
最終的注銷�。適當(dāng)?shù)那闆r下,應(yīng)當(dāng)特別注意控制特權(quán)訪問權(quán)限的分配�����。 這些特權(quán)允許用戶超越系統(tǒng)控制���。
9.2.1 用戶注冊為了授予對一個多用戶的信息系統(tǒng)和服務(wù)的訪問權(quán)限��,應(yīng)當(dāng)由一個正式的用戶注冊和注銷程序����。應(yīng)當(dāng)通過正式的用戶注冊程序來控制對于多用戶信息服務(wù)的訪問�����。該注冊程序應(yīng)當(dāng)包括:a)
使用唯一的用戶身份�,以便將用戶與他們的行為聯(lián)系上并讓他們對自己的行為負(fù)責(zé)。群體身份(group ID)
只允許在它們適于所要做的工作時才采用��。b) 檢查用戶是否有從系統(tǒng)所有人處得到的使用信息系統(tǒng)和服務(wù)的授權(quán)�����。管理層做出的對于訪問權(quán)限的單
獨(dú)批準(zhǔn)可能也是合適的c) 檢查授予的訪問等級是否于業(yè)務(wù)目標(biāo)相適應(yīng)(見9.1)�,并且是否與組織的安全策略相一致,例如:
它不會損害任務(wù)的分離(見8.1.4)����。d) 給用戶一個關(guān)于他們訪問權(quán)限的書面聲明;e) 要求用戶簽署該聲明以表明他們理解訪問的條件�����。f) 確保訪問提供商在授權(quán)程序完結(jié)之前不提供訪問途徑。g) 保存一份注冊使用該系統(tǒng)的所有人員的正式記錄����。h) 立即取消已經(jīng)改換工作或者離開該組織的用戶的訪問權(quán)限;i) 定期檢查并刪除冗余的用戶ID和帳戶����;j) 確保冗余的用戶賬號不被轉(zhuǎn)給其它用戶。
如果職工和服務(wù)代理人有未經(jīng)授權(quán)的訪問時要受處罰�,應(yīng)當(dāng)注意,在員工合同和服務(wù)合同中要包涵相關(guān)條款
對此做出規(guī)定(見6.1.4和6.3.5)��。
9.2.2 特權(quán)管理應(yīng)當(dāng)嚴(yán)格限制特權(quán)(多用戶信息系統(tǒng)的任何使得客戶超越系統(tǒng)或者應(yīng)用軟件控制的特征或者便利)的分配和
使用���。對系統(tǒng)特權(quán)的不當(dāng)使用經(jīng)常成為導(dǎo)致被攻破的系統(tǒng)產(chǎn)生故障的一個主要因素�。需要防止未經(jīng)授權(quán)訪問
的多用戶系統(tǒng)應(yīng)當(dāng)通過正式的授權(quán)程序來控制對特權(quán)的分配��。 應(yīng)當(dāng)考慮以下的步驟:a) 應(yīng)當(dāng)確定與每個系統(tǒng)產(chǎn)品例如操作系統(tǒng)�����、數(shù)據(jù)庫管理系統(tǒng)和每個應(yīng)用軟件相聯(lián)系的特權(quán)和需要分派的
職工類別;b) 特權(quán)的分配應(yīng)當(dāng)建立在一種需要使用的基礎(chǔ)和就事論事的基礎(chǔ)上����,例如只有在需要時才對它們功能角
色有最低限度的要求。c) 應(yīng)當(dāng)保有一個授權(quán)程序和一份所有分配出的特權(quán)的記錄�。在授權(quán)程序結(jié)束之前不應(yīng)當(dāng)授予特權(quán)�����。d) 系統(tǒng)程序的開發(fā)和使用應(yīng)當(dāng)?shù)玫教嵘?,以避免需要向用戶授予特?quán)。e) 特權(quán)應(yīng)當(dāng)分配給一個不同于常規(guī)業(yè)務(wù)使用的用戶身份�����。
9.2.3 用戶密碼管理密碼是一種訪問信息系統(tǒng)或者訪問時確認(rèn)用戶身份的常用方式��。應(yīng)當(dāng)通過正式的管理程序來控制密碼的分配
�����。這一程序應(yīng)當(dāng):a) 需要用戶簽署一項聲明以保持個人密碼的保密性并確保工作組密碼只在該組成員的內(nèi)部(這應(yīng)當(dāng)包括
在用工合同條款中��,見6.1.4)b) 在用戶需要維護(hù)他們的密碼時����,確保最初為它們提供一個安全的臨時密碼��,而迫使他們立即更改����。當(dāng)
用戶未經(jīng)他們密碼的時候提供的臨時密碼應(yīng)當(dāng)只按照確實的用戶身份提供�����。c) 需要臨時密碼來給用戶一個安全的方式����。應(yīng)當(dāng)避免使用第三方或者使用未受保護(hù) 的明碼電文的電子
郵件信息。用戶應(yīng)當(dāng)確認(rèn)接收到密碼了����。
無論如何,密碼都不能以一種未受保護(hù)的形式存儲在計算機(jī)上���?�?梢允褂闷渌挠脩糇R別和授權(quán)技術(shù)�����,例如
生物測定像指紋鑒定�、簽字確認(rèn)和硬件標(biāo)識例如集成芯片卡。適當(dāng)情況下應(yīng)當(dāng)加以考慮��。
9.2.4 用戶訪問權(quán)限的復(fù)查為了保持對數(shù)據(jù)和信息服務(wù)的存取訪問的有效控制�����,管理層應(yīng)當(dāng)實施一個正式的程序來定期復(fù)查用戶的訪問
權(quán)限����,使得:a) 用戶的訪問權(quán)限得到定期復(fù)查(推薦周期是6個月)并在做任何改動后進(jìn)行復(fù)查(見9.2.1)�。b) 對特殊的特權(quán)訪問權(quán)限(見9.2.2)應(yīng)當(dāng)以更高的頻率來檢查;推薦周期是3個月�����。c) 定期核查特權(quán)分配��,以確保無人得到未經(jīng)授權(quán)的特權(quán)����。
9.3 用戶責(zé)任目標(biāo):防止未經(jīng)授權(quán)的用戶訪問
得到授權(quán)的用戶進(jìn)行合作是有效的安全基礎(chǔ)。為了維持有效的訪問控制��,應(yīng)當(dāng)讓用戶知道他們的責(zé)任,尤其是有關(guān)密碼使用和用戶設(shè)備的安全方面的責(zé)任
9.3.1 密碼使用用戶應(yīng)當(dāng)按照良好的安全操作規(guī)程來選擇和使用密碼����。密碼提供了一種驗證用戶身份的手段,從而建立了對信息處理設(shè)備和服務(wù)的訪問權(quán)限�����。 應(yīng)當(dāng)建議所有的用戶
:a) 保護(hù)密碼的保密性����;b) 避免在紙張上保留密碼記錄,除非可以對其安全存放�����。c) 只要有系統(tǒng)或者密碼可能被侵害的跡象��,就更改密碼���;d) 選擇的優(yōu)質(zhì)密碼至少要有6個字符的長度�,這些字符要:1) 容易記憶��;2) 不是基于那些別人很容易地根據(jù)個人相關(guān)信息就能夠猜出來的東西�。例如:名字�����、電話號碼和生日等
等��。3) 避免使用連續(xù)的相同數(shù)字���,或者全是數(shù)字或全是字母的字符組。d) 定期更換密碼或者根據(jù)一定量的訪問次數(shù)來更改密碼(特權(quán)帳戶的密碼應(yīng)當(dāng)比普通帳戶密碼更改的更
為頻繁)����。避免重復(fù)或者循環(huán)使用舊的密碼。e) 定期更換密碼或者根據(jù)一定量的訪問次數(shù)來更改密碼(特權(quán)帳戶的密碼應(yīng)當(dāng)比普通帳戶密碼更改的更
為頻繁)�。避免重復(fù)或者循環(huán)使用舊的密碼�����。f) 在第一次登錄時更改臨時密碼��;g) 不要把密碼包含在任何自動登錄程序之中�,例如把密碼存在宏代碼或者功能鍵上。h) 不要共用個人用戶密碼�。
如果用戶需要訪問多重服務(wù)或者平臺并且被要求持有多重密碼,那么應(yīng)當(dāng)建議他們對于所有的為存儲的密碼
提供合理保護(hù)等級的服務(wù)都使用單一的優(yōu)質(zhì)密碼(見上述d)) ���。
9.3.2 無人值守用戶設(shè)備用戶應(yīng)當(dāng)確保無人值守設(shè)備得到足夠的保護(hù)��。在用戶區(qū)安裝的設(shè)備���,例如工作站或者文檔服務(wù)器��,可能需要
特殊的保護(hù)以防止在較長的無人值守時間內(nèi)被未經(jīng)授權(quán)地訪問�。為了保護(hù)無人值守的設(shè)備��,應(yīng)當(dāng)讓所有的用
戶和合同伙伴明白安全要求和安全程序���。而要實施這些保護(hù)還得使他們清楚自己的責(zé)任��。 應(yīng)當(dāng)建議用戶:a) 當(dāng)完成對話束時要將活動的對話終止�,除非有適當(dāng)?shù)逆i定機(jī)制的保護(hù),例如一個密碼保護(hù)的屏幕保存
程序����;b) 當(dāng)對話期結(jié)束時要注銷主機(jī)(而不僅僅是關(guān)掉個人計算機(jī)和終端);c) 在不使用PC機(jī)和終端時�����,用密碼鎖或者相類似的控制手段例如密碼訪問�����,以防止對它們的未經(jīng)授權(quán)的
使用�����。
9.4 網(wǎng)絡(luò)訪問控制目標(biāo):保護(hù)網(wǎng)絡(luò)服務(wù)
應(yīng)當(dāng)控制對內(nèi)部和外部網(wǎng)絡(luò)服務(wù)的訪問。這對于確保對網(wǎng)絡(luò)和網(wǎng)絡(luò)訪問有訪問權(quán)限的用戶不損害這些系統(tǒng)的安全是必要的�。為此,要確保:a) 在本組織的網(wǎng)絡(luò)和其它組織的網(wǎng)絡(luò)例如公共網(wǎng)之間有適當(dāng)?shù)慕涌?�;b) 對用戶和設(shè)備的適當(dāng)?shù)氖跈?quán)機(jī)制;對用戶訪問信息服務(wù)的控制�。
9.4.1 網(wǎng)絡(luò)服務(wù)的使用策略與網(wǎng)絡(luò)服務(wù)的不安全的鏈接會影響到整個組織。只應(yīng)當(dāng)向用戶提供對那些特別授權(quán)他們使用的服務(wù)進(jìn)行直接
訪問�。這種控制對于同敏感或者關(guān)鍵業(yè)務(wù)應(yīng)用軟件的聯(lián)網(wǎng)或者同處于高風(fēng)險地區(qū)的用戶的聯(lián)網(wǎng)都是十分重要
的�����。其中高風(fēng)險地區(qū)指公共的場所或者組織的安全管理范圍以外的區(qū)域���。
策略的籌劃應(yīng)當(dāng)考慮到網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的使用����。應(yīng)當(dāng)包括:a) 允許訪問的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù);b) 用來確定誰可以訪問那些網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的授權(quán)程序��;c) 保護(hù)對網(wǎng)絡(luò)連接和網(wǎng)絡(luò)服務(wù)的訪問的管理措施和程序����。這一策略應(yīng)當(dāng)與業(yè)務(wù)訪問控制策略(見9.1)相一致�。
9.4.2 強(qiáng)制路徑從用戶終端到計算機(jī)服務(wù)器的路徑可能需要進(jìn)行控制。 網(wǎng)絡(luò)被設(shè)計成要允許最大程度的資源共享和最大程度
的路徑選擇自由���。而網(wǎng)絡(luò)的這些特征也可能為那些對業(yè)務(wù)應(yīng)用軟件未經(jīng)授權(quán)的訪問或者對信息設(shè)備未經(jīng)授權(quán)
的使用制造了機(jī)會�。限制用戶終端與允許用戶訪問的計算機(jī)服務(wù)器之間路徑的聯(lián)合管理措施�,例如建立一條
強(qiáng)制路徑����,能夠降低這種風(fēng)險��。
強(qiáng)制路徑的目的是為了防止用戶選擇了任何用戶終端與允許用戶訪問的計算機(jī)服務(wù)器之間路徑的其它路徑�����。
一般來說���,這需要在路徑的不同地點(diǎn)實行一定數(shù)量的控制。其原理是通過預(yù)先確定的選擇來限制在網(wǎng)絡(luò)中的
各個點(diǎn)處的路徑選取����。
下面是它的例子:a) 分配專用線路和電話號碼����;b) 自動連接到指定的應(yīng)用軟件系統(tǒng)或者安全門路���;c) 為單個用戶限制菜單和子菜單選項。d) 防止不受限制的網(wǎng)絡(luò)漫游�;e) 對外部的網(wǎng)絡(luò)使用者,強(qiáng)制其使用指定的應(yīng)用軟件系統(tǒng)和/或安全門路���;f) 通過安全門路例如防火墻來積極地控制目的地通信的許可來源�����。g) 為組織內(nèi)部的用戶群建立分離的邏輯域來限制網(wǎng)絡(luò)訪問,例如虛擬私人網(wǎng)絡(luò)(又見9.4.6)����。對強(qiáng)制路徑的要求應(yīng)當(dāng)基于業(yè)務(wù)訪問控制策略(見9.1)
9.4.3 外部連接的用戶認(rèn)證外部連接可能導(dǎo)致對信息系統(tǒng)未經(jīng)授權(quán)的訪問,例如撥號的方法�����。因此,應(yīng)當(dāng)把遠(yuǎn)程用戶的訪問置于比其它
方式更為嚴(yán)密的保護(hù)之下���,例如以使用密碼技術(shù)為基礎(chǔ)的方法能夠提供強(qiáng)大的認(rèn)證。要從風(fēng)險評估中確定所
需保護(hù)等級����,這點(diǎn)十分重要而且選擇恰當(dāng)?shù)恼J(rèn)證方法時也需要。
可以通過多種方式驗證遠(yuǎn)程用戶的身份���,例如加密技術(shù)�����、硬件標(biāo)識或者詢問/應(yīng)答協(xié)議�。也可能用專用線路或
者網(wǎng)絡(luò)用戶地址檢查設(shè)備來確認(rèn)連接的來源。
撥號回送程序和控制措施�����,例如使用回?fù)苷{(diào)制解調(diào)器���,能夠防止對一個組織的信息處理設(shè)備的未經(jīng)授權(quán)的和
有害的連接���。這種控制鑒別那些試圖從遠(yuǎn)處建立到組織的網(wǎng)絡(luò)的連接的用戶。使用這些管理措施時�,組織不
應(yīng)當(dāng)用網(wǎng)絡(luò)服務(wù)包括電話發(fā)送;如果使用了這種網(wǎng)絡(luò)服務(wù)����,就應(yīng)當(dāng)取消這樣的特征�����,以避免與電話發(fā)送相關(guān)
的弱點(diǎn)�����?����;?fù)苓^程包括確認(rèn)在組織一方的連接確實斷開了,這點(diǎn)也很重要�����。否則��,遠(yuǎn)程用戶能夠持續(xù)占線假
裝已經(jīng)做了回?fù)茯炞C����。應(yīng)當(dāng)仔細(xì)的檢測回?fù)艹绦蚝涂刂频倪@種可能性。
9.4.4 節(jié)點(diǎn)鑒別自動連接到遠(yuǎn)程計算機(jī)的設(shè)備能夠提供了一種途徑�,從中可以獲得對業(yè)務(wù)應(yīng)用軟件的未經(jīng)授權(quán)的訪問。因此
應(yīng)當(dāng)認(rèn)證連到遠(yuǎn)程計算機(jī)系統(tǒng)的連接����。如果連接使用的網(wǎng)絡(luò)在組織的安全管理的控制范圍以外,這種做法就
尤其重要了����。 在上述9.4.3中給出了一些例子說明什么是認(rèn)證和如何實現(xiàn)認(rèn)證。
節(jié)點(diǎn)認(rèn)證能夠作為認(rèn)證遠(yuǎn)程用戶群的替代方式���,在那里用戶連接到了一個安全的共享的計算機(jī)設(shè)備(見9.4.3
)����。
9.4.5 遠(yuǎn)程診斷接口的保護(hù)應(yīng)當(dāng)安全地控制對診斷接口的訪問。為了方便維護(hù)工程師的使用���,許多計算機(jī)和通信系統(tǒng)安裝在一個撥號遠(yuǎn)
程診斷設(shè)備之中�。如果未加保護(hù)���,這些診斷接口就為未經(jīng)授權(quán)的訪問提供了途徑����。因此�,應(yīng)當(dāng)用適當(dāng)?shù)陌踩?/p>
機(jī)制對其加以保護(hù),例如一個密碼鎖和一個保護(hù)程序����。通過在計算機(jī)服務(wù)管理員和需要訪問通路的硬件/軟件
支持人員之間所做的安排,該程序確保了診斷接口只能由他們訪問����。
9.4.6 網(wǎng)絡(luò)分離網(wǎng)絡(luò)日益被擴(kuò)展到傳統(tǒng)的組織邊界以外����,例如業(yè)務(wù)伙伴關(guān)系的形成可能需要互聯(lián)或者共享信息處理和網(wǎng)絡(luò)設(shè)
備�����。網(wǎng)絡(luò)的這種擴(kuò)展可能加大使用網(wǎng)絡(luò)的現(xiàn)有信息系統(tǒng)受未經(jīng)授權(quán)的訪問的風(fēng)險�。由于有些網(wǎng)絡(luò)的敏感性或
者關(guān)鍵性�,它們可能需要其它網(wǎng)絡(luò)用戶的保護(hù)。在這種情形下���,應(yīng)當(dāng)考慮在網(wǎng)絡(luò)中引入管理措施來分離不同
的信息服務(wù)����、用戶和信息系統(tǒng)�。大型網(wǎng)絡(luò)安全管理的方法之一就是將其分解為獨(dú)立的邏輯網(wǎng)域,例如組織的內(nèi)部網(wǎng)域和外部網(wǎng)域, 每個域都
由一個確定的安全邊界保護(hù)�。在將被連接起來以控制兩個域之間的訪問和信息流的兩個網(wǎng)絡(luò)之間安裝一個安
全門路,由此可以實現(xiàn)上述的安全邊界����。這一門路經(jīng)過定制可以來過濾這些域之間的通信(見9.4.7和9.4.8
)并能夠按照組織的訪問管理措施(見9.1)堵住未經(jīng)授權(quán)的訪問渠道。這種門路的一個例子就是我們通常所
說的防火墻��。
將網(wǎng)絡(luò)分離成域的標(biāo)準(zhǔn)應(yīng)當(dāng)是基于訪問控制策略和訪問的要求(見9.1)��,而且還要考慮到合成適當(dāng)?shù)木W(wǎng)絡(luò)路
徑或者門路技術(shù)的相對成本和對性能的影響(見9.4.7和9.4.8)。
9.4.7 網(wǎng)絡(luò)連接管理共享網(wǎng)絡(luò)訪問控制策略的要求���,特別是那些跨越組織界線的關(guān)系網(wǎng)絡(luò)����,可能需要把控制措施結(jié)合起來以約束
用戶的連接能力�。這種控制措施可以由一個用預(yù)先擬定的表格或者規(guī)則過濾通信的網(wǎng)絡(luò)門路來實現(xiàn)。所用的
這種約束措施應(yīng)當(dāng)基于訪問控制策略和業(yè)務(wù)應(yīng)用軟件的需要(見9.1)�,因此應(yīng)當(dāng)加以維護(hù)和更新。
需要加以限制的一些具體應(yīng)用是:a) 電子郵件���;b) 單向文件傳送���;c) 雙向文件傳送;d) 交互式訪問�;e) 與每天或者某個日期的時間相關(guān)的網(wǎng)絡(luò)通路。
9.4.8 網(wǎng)絡(luò)路徑選擇控制共享的網(wǎng)絡(luò)�����,尤其是那些跨越組織邊界的網(wǎng)絡(luò)��,可能需要把路徑選擇管理措施結(jié)合起來以確保計算機(jī)連接和
信息流不會破壞業(yè)務(wù)應(yīng)用軟件的訪問控制策略(見9.1)�。這種控制對于同第三方(非組織)用戶共享的網(wǎng)絡(luò)
常常是具有根本性的。
路徑選擇控制應(yīng)當(dāng)基于確定的來源和目標(biāo)地址檢測機(jī)制�。網(wǎng)絡(luò)地址翻譯對于隔離網(wǎng)絡(luò)和防止路徑從一個組織
的網(wǎng)絡(luò)延伸到另一個網(wǎng)絡(luò)中也是一種非常有用的機(jī)制。它們能夠在軟件和硬件中實現(xiàn)��。實施者應(yīng)當(dāng)清楚所配
備的任何機(jī)制的作用強(qiáng)度���。
9.4.9 網(wǎng)絡(luò)訪問安全有廣泛的公共網(wǎng)絡(luò)服務(wù)和私有網(wǎng)絡(luò)服務(wù)可供利用�,其中有的是增值服務(wù)�����。網(wǎng)絡(luò)服務(wù)可能有獨(dú)特的或者復(fù)雜的
安全特征����。使用網(wǎng)絡(luò)服務(wù)的組織應(yīng)當(dāng)確保對所有服務(wù)的安全屬性做一個清晰的描述。
9.5 操作系統(tǒng)訪問管理
目標(biāo):防止未經(jīng)授權(quán)的計算機(jī)訪問���。
操作系統(tǒng)水平的安全設(shè)備應(yīng)當(dāng)用于限制對計算機(jī)資源的訪問����。這些設(shè)備應(yīng)當(dāng)能夠做到以下事情:a) 鑒別和驗證身份�,如果需要的話還能夠鑒別和驗證每個經(jīng)授權(quán)用戶的位置和終端。b) 記錄對系統(tǒng)的成功訪問和失敗訪問����。c) 提供適當(dāng)?shù)氖跈?quán)方式���;如果使用了密碼管理系統(tǒng),應(yīng)當(dāng)能夠確保使用的是優(yōu)質(zhì)密碼(見9.3.1 d))����。d) 在適當(dāng)?shù)牡胤剑拗朴脩舻倪B接次數(shù)����。
如果證明對于業(yè)務(wù)風(fēng)險沒有危害,那么也可以使用其它的訪問控制方法�����,例如詢問-應(yīng)答方法�。
9.5.1 自動終端識別為了鑒別連到特殊地點(diǎn)和便攜設(shè)備的連接應(yīng)當(dāng)考慮自動終端識別技術(shù)。如果一個對話只能從特殊的地點(diǎn)或者
計算機(jī)終端上啟動這點(diǎn)很重要����,那么自動終端識別就是一種可以考慮的方法。終端內(nèi)或者貼到終端上的一個
標(biāo)識可以用來指示是否允許這個特定的計算機(jī)終端啟動或者接收特殊事項��。為保持終端標(biāo)識的安全�����,可能需
要對計算機(jī)終端進(jìn)行物理保護(hù)。也可以用其它的技術(shù)鑒別計算機(jī)終端(見9.4.3)��。
9.5.2 終端登錄程序由一個安全的登錄程序應(yīng)當(dāng)能夠獲得對信息服務(wù)的訪問����。這一登錄到計算機(jī)系統(tǒng)的過程的設(shè)計應(yīng)當(dāng)把對系統(tǒng)
未經(jīng)授權(quán)的訪問的機(jī)會降到最低限度���。因此為了避免給未經(jīng)授權(quán)的用戶以不必要的幫助��,該登錄程序只會透
露出最少的系統(tǒng)信息�。一個好的登錄程序應(yīng)當(dāng)做到:a) 除非登錄程序成功結(jié)束��,否則不顯示系統(tǒng)或者應(yīng)用程序��;b) 顯示一般性的警告��,說明只有經(jīng)過授權(quán)的用戶才能夠訪問��;c) 在登錄程序中不提供可能會幫助未經(jīng)授權(quán)的用戶的信息���;d) 只有完成所有數(shù)據(jù)的輸入以后才開始驗證����。如果產(chǎn)生一個錯誤條件,該系統(tǒng)不應(yīng)當(dāng)指示出哪對哪錯�����。e) 限制所允許失敗登錄次數(shù)(推薦使用3次)�,并且考慮:1) 記錄失敗的嘗試;2) 在重新登錄之前強(qiáng)制等待一段時間或者拒絕任何沒有特殊授權(quán)的進(jìn)一步嘗試���。3) 斷開數(shù)據(jù)連接���。e) 限制所允許的登錄程序的最長和最短時間。如果超過了這個范圍�����,系統(tǒng)應(yīng)當(dāng)終止登錄�����。f) 當(dāng)成功的完成登錄以后���,要顯示以下信息:1) 上一次成功登錄的日期和時間�;2) 自從上次成功登錄以來,歷次失敗登錄嘗試的細(xì)節(jié)�����。
9.5.3 用戶識別和鑒定所有的用戶(包括技術(shù)支持人員�����,例如操作員�、網(wǎng)絡(luò)管理員����、系統(tǒng)程序員和數(shù)據(jù)庫管理員)應(yīng)當(dāng)有唯一的標(biāo)
識(用戶ID)供他們個人并且只供他們個人使用。因此�����,可以追蹤各種活動到負(fù)有責(zé)任的個人身上����。用戶ID
不應(yīng)當(dāng)顯示出用戶的特權(quán)等級(見9.2.2),例如管理人員����、監(jiān)控人員�����。
在例外的情況之下��,如果有明顯的商業(yè)利用����,可能會讓一個用戶群或者特殊的工種共享一個用戶ID�����。管理層
對這種情況的批準(zhǔn)應(yīng)當(dāng)記錄在案����。為保持可計量性,可能還需要其它管理措施���。
有各種授權(quán)程序�����,可以用來證實所聲稱的用戶身份���。密碼(見9.3.1和下文)是一種非常通用的進(jìn)行識別和鑒
定(I&A)的方法���。這一方法基于一個只有用戶才知道的秘密。利用加密技術(shù)和鑒別協(xié)議也可以達(dá)到同樣的目
的����。
像存儲標(biāo)識或者用戶擁有的智能卡這類物品也可以用來進(jìn)行識別和鑒定。利用個人的唯一的特征或者屬性的
生物鑒別技術(shù)也可以用來鑒別一個人的身份�����。將鑒別技術(shù)和管理機(jī)制妥善地結(jié)合到一起能夠得到更為強(qiáng)大的
鑒定能力�。
9.5.4 密碼口令管理系統(tǒng)密碼是驗證用戶訪問計算機(jī)權(quán)限的主要形式之一����。密碼管理系統(tǒng)應(yīng)當(dāng)提供一個有效的、交互的設(shè)備�����。這樣可
以確保優(yōu)質(zhì)密碼(參考9.3.1小節(jié)的密碼使用指導(dǎo))��。
一些應(yīng)用程序需要有獨(dú)立的職權(quán)來分配用戶密碼���。在大多數(shù)情況下���,密碼是由用戶選擇和維護(hù)的��。一個好的密碼管理系統(tǒng)應(yīng)當(dāng):a) 強(qiáng)制使用個人密碼以保持可計量性;b) 適當(dāng)?shù)臅r候�,允許用戶選擇和更改他們自己的密碼并包括一個確認(rèn)程序��,它允許出現(xiàn)輸入錯誤�。c) 強(qiáng)制選擇如9.2.1所述的優(yōu)質(zhì)密碼;d) 用戶維持他們自己的密碼時�,強(qiáng)制實行如9.3.1所述的密碼變更;e) 當(dāng)用戶選擇密碼時����,強(qiáng)制他們在第一次登錄的時候更改臨時密碼(見9.2.3);f) 維持一份以前用戶密碼的記錄,例如在此之前12個月�,并避免再次使用;g) 輸入密碼時不要將其在屏幕上顯示出來�;h) 把密碼未經(jīng)與應(yīng)用軟件系統(tǒng)的數(shù)據(jù)分開存放;i) 以使用單向加密算法的加密形式存儲密碼口令��;j) 軟件安裝完畢后����,改變?nèi)笔〉馁u方密碼��。
9.5.5 系統(tǒng)實用程序的使用大多數(shù)計算機(jī)安裝有一個或者更多系統(tǒng)實用程序��,它們可能有能力超越系統(tǒng)和應(yīng)用程序的控制�����。限制并嚴(yán)格
控制對它們的使用是十分重要的����。應(yīng)當(dāng)考慮以下的控制措施:a) 給系統(tǒng)實用程序使用認(rèn)證程序����;b) 系統(tǒng)實用程序從應(yīng)用軟件分離出來;c) 把使用系統(tǒng)實用程序的人限制在最少的值得信任的授權(quán)用戶之內(nèi)���;d) 為系統(tǒng)實用程序的特殊使用進(jìn)行授權(quán);e) 限制系統(tǒng)實用程序的有效性����,例如在一個經(jīng)授權(quán)的變更的持續(xù)時間之內(nèi);f) 記錄系統(tǒng)實用程序的所有使用���;g) 系統(tǒng)實用程序授權(quán)等級的定義和文件證明�;h) 所有基于軟件的多余實用程序和多余系統(tǒng)軟件的刪除。
9.5.7 終端暫停為了防止未經(jīng)授權(quán)的人訪問���,在一段確定的休止期結(jié)束后�����,應(yīng)當(dāng)關(guān)閉在高風(fēng)險地區(qū)例如在組織的安全管理之
外的公共場所或外部地區(qū)的暫停終端或者是正在為高風(fēng)險系統(tǒng)提供服務(wù)的終端�����。 在一段確定的暫停期后���,這
一終端暫停手段應(yīng)當(dāng)清除終端屏幕內(nèi)容并關(guān)閉應(yīng)用程序和網(wǎng)絡(luò)對話�。該暫停應(yīng)當(dāng)反映出這個地區(qū)和終端用戶
的安全風(fēng)險。
一些PC機(jī)可以得到有限的終端暫停手段���,使其能夠清楚屏幕內(nèi)容并防止未經(jīng)授權(quán)的訪問但是不會關(guān)閉應(yīng)用程
序或者網(wǎng)絡(luò)進(jìn)程��。
9.5.8 連接時間的限制對連接時間的限制應(yīng)當(dāng)為高風(fēng)險應(yīng)用程序提供額外的安全保證���。限制終端可以連接到計算機(jī)訪問的時間縮小
了未經(jīng)授權(quán)訪問的機(jī)會空間。對于敏感的計算機(jī)應(yīng)用程序���,特別是那些有終端安裝在高風(fēng)險地區(qū)例如在組織
的安全管理范圍之外的公共場所或外部地區(qū)的��,應(yīng)當(dāng)考慮這樣的管理措施����。這樣約束措施的例子包括:a) 使用預(yù)先確定的時間段,例如批量的文件發(fā)送��,或者定期的短時交互式對話�;b) 如果沒有超時或者延時業(yè)務(wù),限制連接到正常辦公時間的次數(shù)��。
9.6 應(yīng)用程序訪問控制目標(biāo):防止保存在信息系統(tǒng)內(nèi)信息被未經(jīng)授權(quán)地訪問�����。應(yīng)當(dāng)使用安全設(shè)施限制在應(yīng)用程序系統(tǒng)中的訪問��。
對軟件和信息的邏輯訪問應(yīng)當(dāng)限制在經(jīng)過授權(quán)的用戶之中�。應(yīng)用軟件系統(tǒng)應(yīng)當(dāng):a) 控制用戶對信息和應(yīng)用程序系統(tǒng)功能的訪問,并要與確定的業(yè)務(wù)訪問控制策略相一致�����;b) 為任何一個能夠超越系統(tǒng)或應(yīng)用程序限制的實用程序和操作系統(tǒng)軟件提供保護(hù)��,防止未經(jīng)授權(quán)的訪問
�;c) 不損害有共享信息資源的其它系統(tǒng)的安全;d) 只能夠向所有權(quán)人�����、其它被指派和經(jīng)授權(quán)的個人或者確定的用戶群提供對信息的訪問權(quán)限����。
9.6.1 信息訪問限制按照確定的訪問控制策略,應(yīng)當(dāng)為應(yīng)用軟件系統(tǒng)的用戶包括技術(shù)支持人員提供對信息和應(yīng)用程序系統(tǒng)的訪問
�。這是基于個人業(yè)務(wù)應(yīng)用程序要求的并且與組織的信息訪問策略(見9.1)相吻合。為了支持訪問限制要求����,
應(yīng)當(dāng)運(yùn)用以下管理措施:a) 提供菜單來控制訪問應(yīng)用程序系統(tǒng)功能;b) 通過適當(dāng)編輯用戶文件��,可以限制用戶對于未得到授權(quán)進(jìn)行訪問的信息或者應(yīng)用程序系統(tǒng)功能的了解
���;c) 控制用戶的訪問權(quán)限����,例如讀取�����、改寫、刪除和執(zhí)行等權(quán)限���。d) 確保處理敏感信息的應(yīng)用程序系統(tǒng)的輸出只包括與輸出的使用相關(guān)的信息����,而且只送到得到授權(quán)的終
端和地點(diǎn)��,包括對這種輸出周期性的復(fù)查以確保多余的信息被刪除了����。
9.6.2 敏感系統(tǒng)的隔離敏感系統(tǒng)可能需要專用(隔離的)計算環(huán)境。有些應(yīng)用程序系統(tǒng)對于潛在的損失如此敏感以致于需要對它們
做專門處理��。這種敏感性可能表示應(yīng)用程序系統(tǒng)應(yīng)當(dāng)在專用計算機(jī)上運(yùn)行���,而且只同受信的應(yīng)用程序系統(tǒng)共
享資源���,或者沒有限制?��?梢钥紤]以下幾點(diǎn)�。a) 對一個應(yīng)用程序系統(tǒng)的敏感性應(yīng)當(dāng)做清楚的定義并且有應(yīng)用程序所有權(quán)人把它記錄在案(見4.1.3)��。b) 當(dāng)一個敏感的應(yīng)用程序?qū)⒃诠蚕淼沫h(huán)境下運(yùn)行時�,應(yīng)當(dāng)識別出應(yīng)用程序?qū)⒎窒砥渲匈Y源的該應(yīng)用程序
系統(tǒng),并獲得敏感應(yīng)用程序的所有權(quán)人的準(zhǔn)許����。
9.7檢測系統(tǒng)訪問和使用目標(biāo):探測未經(jīng)授權(quán)的活動。
應(yīng)當(dāng)監(jiān)視系統(tǒng)以發(fā)現(xiàn)偏離訪問控制策略的行為并記錄可監(jiān)測事故以便方式安全事件時提供證據(jù)�����。系統(tǒng)檢測允許對所采用管理措施的有效性進(jìn)行檢測�����,并允許對一個訪問策略模型(見9.1)的確認(rèn)進(jìn)行驗證����。9.7.1 事件記錄應(yīng)當(dāng)編寫用來記錄異常現(xiàn)象和其它有關(guān)安全的事件的審查日志���,并在各方同意的時間段內(nèi)保持該日志��,以協(xié)
助以后的調(diào)查研究和訪問控制監(jiān)測��。 審核日志還應(yīng)當(dāng)包括:a) 用戶ID��;b) 登錄和注銷的日期及時刻����;c) 如果需要,要做終端或者地點(diǎn)的識別�����;d) 對系統(tǒng)成功的訪問和被拒絕的嘗試所做的記錄�;e) 對數(shù)據(jù)和其它資源成功的和被拒絕的訪問所做的記錄。某些審核日志可能需要放入檔案中��,作為記錄保留策略的一部分或者出于收集證據(jù)的需要(另見第12句)
9.7.2 檢測系統(tǒng)使用9.7.2.1 程序和風(fēng)險區(qū)域����。應(yīng)當(dāng)建立程序以檢測信息處理設(shè)備的使用。為了確保用戶只做了得到明確授權(quán)的行為���,這樣的程序是必需的
�����。應(yīng)當(dāng)由風(fēng)險評估確定個人設(shè)備所需的監(jiān)測等級���。應(yīng)當(dāng)考慮的地方有:a) 得到授權(quán)的訪問���,包括細(xì)節(jié)例如:1) 用戶ID�����;2) 關(guān)鍵事件發(fā)生的日期和時間��;3) 事件的類型�����;4) 訪問的文件�;5) 使用的程序/實用程序;c) 所有有特權(quán)的作業(yè)����,例如:1) 監(jiān)督員帳戶的使用;2) 系統(tǒng)啟動和結(jié)束����;3) 輸入/輸出設(shè)備附件/可拆件。d) 未經(jīng)授權(quán)的訪問嘗試,例如:1) 失敗的嘗試����;2) 對訪問策略規(guī)定的違反和對網(wǎng)絡(luò)門路和防火墻的通告。3) 警惕所有權(quán)人侵入檢測系統(tǒng)�����;e) 系統(tǒng)警報或者故障��,例如:1) 控制臺警報或者消息��;2) 系統(tǒng)日志異常�;3) 網(wǎng)絡(luò)管理警報。
9.7.2.2 風(fēng)險因素應(yīng)當(dāng)定期檢查檢測活動的結(jié)果�����。檢查的頻率取決于所涉及的風(fēng)險�。應(yīng)當(dāng)加以考慮的風(fēng)險因素包括:a) 應(yīng)用進(jìn)程的重要程度;b) 所涉及信息的價值���、敏感性和重要程度��;c) 以往的系統(tǒng)過濾和和誤用的經(jīng)驗教訓(xùn)��;d) 系統(tǒng)互聯(lián)的程度(特別是公共網(wǎng)絡(luò))����;
9.7.2.3記錄和檢查事件日志檢查涉及對于系統(tǒng)所面臨威脅的理解和對這些威脅可能的產(chǎn)生方式的認(rèn)識。在9.7.1中給出了為了防止安
全事故可能需要深入調(diào)查的事件的例子���。
系統(tǒng)日志常常包涵大量的信息�����,其中很多信息與安全檢測無關(guān)。出于安全檢測的目的而幫助識別重要事件時
�,應(yīng)當(dāng)考慮把適當(dāng)?shù)男畔㈩愋妥詣訌?fù)制到第二個日志和/或者使用適當(dāng)?shù)南到y(tǒng)實用程序或檢測工具,以便進(jìn)行
文件審查�����。
當(dāng)為檢查日志而分配責(zé)任時����,應(yīng)當(dāng)考慮把執(zhí)行檢查的人員和其活動被監(jiān)測的人員之間的角色分離開。
應(yīng)當(dāng)尤其注意日志記錄設(shè)施的安全����,因為一旦遭到破壞可能給人一種十分安全的假相��。管理措施應(yīng)當(dāng)致力于
防范未經(jīng)授權(quán)的改動和操作問題包括:a) 將記錄設(shè)備置于停止?fàn)顟B(tài)���;b) 所記錄的消息模式的變更;c) 被編輯或者刪除的日志文件�;d) 被用完的日志文件的存儲器,要么不能記錄事件要么覆蓋了自己���。
9.7.3 時鐘同步為了確保審查日志的準(zhǔn)確性�����,正確的設(shè)定計算機(jī)時鐘是十分重要的���。這在調(diào)查研究中可能需要或者可以作為
法律案件中的證據(jù)。不準(zhǔn)確的審查日志可能會妨礙調(diào)查研究的進(jìn)行���,并會削弱它作為證據(jù)的可信度����。在計算
機(jī)或者通信設(shè)備有能力操作一個實時的時鐘的地方���,應(yīng)當(dāng)按照一個共同的標(biāo)準(zhǔn)把它設(shè)定��,例如 通用協(xié)調(diào)時間
(UCT)或者當(dāng)?shù)貥?biāo)準(zhǔn)時間�。由于有的時鐘有偏差,應(yīng)當(dāng)有一個程序可以檢測并改正任何重要的變更�����。
9.8 移動計算和遠(yuǎn)程工作目標(biāo):在使用移動計算和進(jìn)行遠(yuǎn)程工作時確保信息安全�����。所需要的保護(hù)應(yīng)當(dāng)與這些工作的特殊方式引起的風(fēng)險相協(xié)調(diào)���。使用移動計算時應(yīng)當(dāng)考慮到 未經(jīng)保護(hù)的環(huán)境下
工作的風(fēng)險��,并且要考慮到所采用的適當(dāng)措施。在遠(yuǎn)程工作時���,組織應(yīng)當(dāng)為遠(yuǎn)程工作地點(diǎn)提供保護(hù)并且確保
對這種工作方式有適當(dāng)?shù)陌才拧?/p>
9.8.1 移動計算使用移動計算設(shè)備例如筆記本電腦����、掌上電腦��、膝上電腦和移動電話等的時候��,應(yīng)當(dāng)特別注意要確保業(yè)務(wù)信
息不受損害。應(yīng)當(dāng)采取正式策略來考慮使用移動計算設(shè)備的風(fēng)險��,特別是在未加保護(hù)的環(huán)境之中�。例如,該
策略應(yīng)當(dāng)涵蓋物理保護(hù)���、訪問控制�����、加密技術(shù)���、備份文件和防范病毒等等方面的需要。該策略還應(yīng)當(dāng)包括有
關(guān)把設(shè)備連接到網(wǎng)絡(luò)的規(guī)則和建議以及對于在公共場所使用這些設(shè)備的指導(dǎo)�。
在公共場所、會議室和其它在組織的保護(hù)范圍之外的未受保護(hù)的地區(qū)��。在適當(dāng)?shù)奈恢脩?yīng)當(dāng)有保護(hù)措施��,以避
免未經(jīng)授權(quán)的訪問或者泄露由這些設(shè)備存儲和處理的信息�����,例如使用加密技術(shù)(見10.3)�。
當(dāng)這種設(shè)備在公共場所使用的時候應(yīng)當(dāng)小心避免被未經(jīng)授權(quán)的個人從遠(yuǎn)處看見的危險����。這一點(diǎn)很重要�。應(yīng)當(dāng)
有適當(dāng)?shù)姆乐箰阂廛浖某绦虿⑶乙獙ζ洳粩喔拢ㄒ?.3)。為了確保能夠快速而方便地備份信息��,這些設(shè)
備應(yīng)當(dāng)是可用的�。這些備份應(yīng)當(dāng)?shù)玫匠浞值谋Wo(hù)例如防盜和防止信息丟失。
對連接到網(wǎng)絡(luò)的移動設(shè)備移動給以適當(dāng)?shù)谋Wo(hù)�����。只有經(jīng)過成功的識別和鑒定之后才可以使用移動計算設(shè)備通
過公眾網(wǎng)對業(yè)務(wù)信息進(jìn)行訪問�����,并且有適當(dāng)?shù)脑L問控制機(jī)制在(見9.4)�。還應(yīng)當(dāng)對移動計算設(shè)備加以物理上的保護(hù)���,以防在離開時被偷竊�,例如在轎車和其它交通工具上�、在賓館房
間、會議中心和見面地點(diǎn)等����。載有重要信息�、敏感和/或者關(guān)鍵的業(yè)務(wù)信息的設(shè)備不應(yīng)當(dāng)沒人照看�,而且如果
可能的話,應(yīng)當(dāng)把實物鎖起來�、或者使用特殊的鎖來保護(hù)該設(shè)備。關(guān)于對移動設(shè)備進(jìn)行物理保護(hù)的更多的信
息可以在7.2.5找到�����。
應(yīng)當(dāng)訓(xùn)練職工使用移動設(shè)備���,提高他們對這種工作方式所帶來的額外風(fēng)險和應(yīng)當(dāng)實行的管理措施的認(rèn)識��。
9.2.8 遠(yuǎn)程工作遠(yuǎn)程工作用通信技術(shù)使得職工能夠在組織之外的遠(yuǎn)程固定地點(diǎn)工作�����。對遠(yuǎn)程工作的適當(dāng)保護(hù)應(yīng)當(dāng)防止設(shè)備和
信息被盜走���、未經(jīng)授權(quán)就披露信息、對組織內(nèi)部系統(tǒng)的未經(jīng)授權(quán)的訪問或者設(shè)備的誤用����。遠(yuǎn)程工作不但需要
授權(quán)還要由管理層控制�����,而且對這種工作方式應(yīng)當(dāng)有適當(dāng)?shù)陌才?。這一點(diǎn)非常重要����。
組織應(yīng)當(dāng)考慮開發(fā)一種策略、程序和標(biāo)準(zhǔn)來控制遠(yuǎn)程工作活動���。組織應(yīng)當(dāng)只授權(quán)遠(yuǎn)程工作活動���,如果它們能
夠滿足有適當(dāng)?shù)陌踩O(shè)置和管理措施的要求而且符合組織的安全策略的話。應(yīng)當(dāng)考慮以下幾點(diǎn):a) 對遠(yuǎn)程工作地點(diǎn)現(xiàn)有的物理上的保護(hù)���,考慮建筑物理的安全和當(dāng)?shù)丨h(huán)境的安全��。b) 擬定的遠(yuǎn)程工作環(huán)境��;c) 通信安全要求��,考慮到對組織內(nèi)部系統(tǒng)進(jìn)行遠(yuǎn)程訪問的需要、即將通過通信鏈接并接收評估的信息的
敏感性和內(nèi)部系統(tǒng)的敏感性。d) 在該適應(yīng)范圍例如家庭和朋友的其他人對信息或者資源的未經(jīng)授權(quán)的訪問所造成的威脅��。
需要考慮的管理措施和安排應(yīng)當(dāng)包括:a) 為遠(yuǎn)程工作提供適當(dāng)?shù)脑O(shè)備和存儲家具��。b) 對允許做的工作�、工作時間、可以保留的信息的分類和遠(yuǎn)程工作人員被授權(quán)訪問的內(nèi)部系統(tǒng)及其服務(wù)
分別做出的定義���。c) 提供適當(dāng)?shù)耐ㄐ旁O(shè)備包括保護(hù)遠(yuǎn)程訪問的方法�。d) 物理安全�����;e) 對家庭成員和來客訪問設(shè)備和訪問信息的有關(guān)規(guī)定和指導(dǎo)�����;f) 軟件和硬件支持和維護(hù)措施的提供����。g) 備份和業(yè)務(wù)連續(xù)性的過程。h) 審查和安全監(jiān)測�����;i) 遠(yuǎn)程工作活動停止時,權(quán)力的取消����、訪問權(quán)限和設(shè)備的歸還
10系統(tǒng)的開發(fā)與維護(hù)10.1 系統(tǒng)的安全需要目的:確保將安全構(gòu)建成信息系統(tǒng)的一部分。
這包括基礎(chǔ)架構(gòu)�、業(yè)務(wù)應(yīng)用軟件和用戶開發(fā)的軟件。這種支持應(yīng)用軟件或者服務(wù)的商務(wù)處理的設(shè)計和實施可
能對安全十分關(guān)鍵�����。在開發(fā)信息系統(tǒng)之前應(yīng)當(dāng)確定其安全需要并得到對它的贊同���。所有的安全需要包括撤退安排的需要都應(yīng)當(dāng)在一個項目的需求分析階段被確認(rèn)�����, 并且作為一個信息系統(tǒng)的總
體經(jīng)營情況得到對其合理性的證明��、獲得同意并被記錄在案�。
10.1.1安全性要求分析和規(guī)范對新系統(tǒng)業(yè)務(wù)需要所做說明或者對現(xiàn)有系統(tǒng)所給的增強(qiáng)作用應(yīng)當(dāng)規(guī)定管理措施的要求�。這樣的規(guī)范應(yīng)當(dāng)考慮
到將要集成到系統(tǒng)中的自動控制措施并考慮到支持手動控制的需要。為商業(yè)應(yīng)用目的評價軟件包時應(yīng)當(dāng)做類
似的考慮�。如果被認(rèn)為合適的話,管理層可能希望利用獨(dú)立的評價和驗證產(chǎn)品��。
安全需要和管理措施應(yīng)當(dāng)反映所涉及信息資產(chǎn)的價值和可能有安全故障或者缺乏安全導(dǎo)致的潛在業(yè)務(wù)損害��。
分析安全需要和識別管理措施以實現(xiàn)它們的基本框架是風(fēng)險評估和風(fēng)險管理����。
在設(shè)計階段引進(jìn)的管理措施要比那些在實施時或者完成后的控制措施實現(xiàn)和維護(hù)起來更便宜��。
10.2 應(yīng)用軟件系統(tǒng)中的安全目標(biāo):防止在應(yīng)用軟件系統(tǒng)中的用戶數(shù)據(jù)的丟失����、改動或者誤用���。
應(yīng)當(dāng)把適當(dāng)?shù)墓芾泶胧┖筒轵炞粉櫥蛘呋顒尤罩驹O(shè)計到應(yīng)用軟件系統(tǒng)中��,包括用戶編寫的應(yīng)用程序�����。這些措
施應(yīng)當(dāng)包括對輸入數(shù)據(jù)��、內(nèi)部處理和輸出數(shù)據(jù)的檢驗��。
對于那些處理敏感的���、有價值的或者重要的組織資產(chǎn)的系統(tǒng)或者對其有影響的系統(tǒng)�,可能還需要適當(dāng)?shù)墓芾?/p>
措施����。這些管理措施的確立應(yīng)當(dāng)基于安全需要和風(fēng)險評估。
10.2.1 輸入數(shù)據(jù)的驗證應(yīng)當(dāng)驗證輸入到應(yīng)用軟件系統(tǒng)中的數(shù)據(jù)���,確保它是正確的和適當(dāng)?shù)?�。?yīng)當(dāng)檢查業(yè)務(wù)交易的輸入��、固定數(shù)據(jù)(
姓名和地址���、信貸限額、客戶基準(zhǔn)數(shù))的輸入和參數(shù)表(售價����、貨幣兌換率、稅率)的輸入���。應(yīng)當(dāng)考慮以下
的措施:a) 為發(fā)現(xiàn)下述錯誤可以重新輸入或者采用其它輸入檢查方法:1) 超范圍數(shù)值�����;2) 數(shù)據(jù)域中的無效字符����;3) 遺漏的或者不完整的數(shù)據(jù);4) 超出數(shù)據(jù)容量的上下限��;5) 未經(jīng)授權(quán)或者不一致的控制數(shù)據(jù)��;b) 對關(guān)鍵域或者數(shù)據(jù)文件內(nèi)容進(jìn)行周期性檢查����,確認(rèn)其有效性和完整性���;c) 檢查打印的輸入文件中是否有未經(jīng)授權(quán)的對輸入數(shù)據(jù)的變更(對輸入數(shù)據(jù)文件的所有變更都應(yīng)當(dāng)是得
到授權(quán)的)����。d) 響應(yīng)驗證錯誤的程序���;e) 檢測輸入數(shù)據(jù)整體的可信度的程序����;f) 確定所有涉及數(shù)據(jù)輸入程序的人員的責(zé)任��。
10.2.2 內(nèi)部作業(yè)的管理10.2.2.1 風(fēng)險區(qū)域正確輸入的數(shù)據(jù)可能被處理中的錯誤或者刪除行為破壞�。應(yīng)當(dāng)把有效性驗證作為系統(tǒng)的一部分來檢測這種破
壞�。應(yīng)用軟件的設(shè)計應(yīng)當(dāng)確保實施限制措施把危及數(shù)據(jù)完整性的處理故障的風(fēng)險降低到最小���。需要加以注意
的特殊地方包括:a) 改變數(shù)據(jù)的添加和刪除功能在程序中的使用和位置��;b) 防止程序按照錯誤的順序運(yùn)行或者在先前的處理故障之后馬上運(yùn)行的程序���;c) 使用恰當(dāng)?shù)某绦驈墓收现谢謴?fù),以確保對數(shù)據(jù)的正確處理����。
10.2.2.2 檢查和控制所需的管理措施取決于應(yīng)用軟件的性質(zhì)和數(shù)據(jù)破壞對業(yè)務(wù)的沖擊。以下是一些可以采用的檢測措施的例子:a) 對進(jìn)程或者批處理的管理�,用于在事務(wù)更新之后調(diào)節(jié)數(shù)據(jù)文件平衡。b) 平衡控制�,用于對比檢測期初余額和先前的期末余額,即:1)運(yùn)營對運(yùn)營的控制����;2) 文件更新合計;3) 程序?qū)Τ绦虻目刂?。b) 對系統(tǒng)生成數(shù)據(jù)的驗證(見10.2.1);c) 驗證在中心和遠(yuǎn)程計算機(jī)之間下載或上載的數(shù)據(jù)或者軟件的完整性(見10.3.3);d) 記錄和文件的數(shù)位總和���;e) 檢查確保應(yīng)用程序在恰當(dāng)?shù)臅r間運(yùn)行���;f) 檢查確保應(yīng)用程序按照正確的順序運(yùn)行�,在出現(xiàn)故障時程序終止并且在問題解決之前停止運(yùn)行�。
10.2.3 文電鑒別文電鑒別是一種檢查手段,用于檢測對傳送的電子消息的內(nèi)容所做未經(jīng)授權(quán)的更改或者文電消息本身的損害
�。該方法可以用在支持物理消息鑒別設(shè)備或軟件算法的硬件或者軟件中。
對于需要保護(hù)消息內(nèi)容完整性的應(yīng)用程序應(yīng)當(dāng)考慮采用文電鑒別�。例如,電子形式的資金傳送���、規(guī)定、合同
�����、建議等具有很大重要性的消息內(nèi)容�����,或者其它類似的電子數(shù)據(jù)交換����。為了確定是否需要文電鑒別并找到最
佳實施方案應(yīng)當(dāng)進(jìn)行安全風(fēng)險評估。
文電鑒別不是用來防止消息內(nèi)容未經(jīng)授權(quán)就被泄露的��。可以用加密技術(shù)(見10.3.2和10.3.3)作為實現(xiàn)文電
鑒別的方式�����。
10.2.4 輸出數(shù)據(jù)驗證應(yīng)當(dāng)驗證應(yīng)用系統(tǒng)輸出的數(shù)據(jù)以確保對存儲信息的處理是正確的并且與環(huán)境相適應(yīng)����。一般的說,系統(tǒng)的建造
基于這樣的前提����,即已經(jīng)采用的對輸出的適當(dāng)?shù)尿炞C、鑒別和檢測將會一致是正確的�。而實際情況并非如此
。輸出驗證可以包括:a) 可信度的檢查���,用來測試輸出數(shù)據(jù)是否合理�����;b) 協(xié)調(diào)控制計數(shù)�,用于確保所有數(shù)據(jù)的處理�;c) 為讀者或者后續(xù)處理系統(tǒng)提供充足信息以確定信息的準(zhǔn)確性、完整性、精確度和類別���;d) 響應(yīng)輸出驗證測試的程序���;e) 定義所有涉及數(shù)據(jù)輸出過程的人員的責(zé)任。
10.3 密碼管理措施目標(biāo):保護(hù)信息的保密性����、完整性和有效性。對處于危險中而且其它管理措施無法對其進(jìn)行有效保護(hù)的信息�,應(yīng)當(dāng)用密碼系統(tǒng)和密碼技術(shù)對其進(jìn)行保護(hù)。
10.3.1使用密碼控制措施的策略對一個密碼解決方案是否適當(dāng)做出決定可以看作是更廣泛的評估風(fēng)險和選擇管理措施的手段的一個部分����。應(yīng)
當(dāng)用風(fēng)險評估了確定信息所應(yīng)當(dāng)?shù)玫降谋Wo(hù)等級。這種評估隨后可以用于評判一個密碼管理措施是否得當(dāng)�����、
應(yīng)當(dāng)采用何種控制措施以及為了什么目的和業(yè)務(wù)處理����。
組織應(yīng)當(dāng)為保護(hù)其信息制訂一套加密管理措施的使用策略�����。這樣的策略必須能夠?qū)⒗孀畲蠡咽褂妹艽a
技術(shù)的風(fēng)險降到最低,而且還要避免不適當(dāng)或者不正確的使用���。 在開發(fā)該策略的時候應(yīng)當(dāng)考慮到以下幾點(diǎn):a) 在整個組織范圍內(nèi)使用密碼技術(shù)的管理途徑�,包括業(yè)務(wù)信息應(yīng)當(dāng)受其保護(hù)的一般規(guī)則���;b) 密鑰管理的途徑�,包括為防止密鑰丟失���、受損或者被毀而對加密的信息進(jìn)行恢復(fù)�����;c) 角色和任務(wù)��,例如誰應(yīng)當(dāng)負(fù)責(zé):d) 策略的實施����;e) 怎樣確定適當(dāng)?shù)拿艽a保護(hù)等級�����;f) 為在整個組織內(nèi)有效實施所要采用的標(biāo)準(zhǔn)(何種解決方案用于何種商務(wù)處理)。
10.3.2 信息加密信息加密是一種密碼技術(shù)�����,它可以用于保護(hù)信息的保密性�。保護(hù)敏感的和關(guān)鍵的信息時應(yīng)當(dāng)考慮該技術(shù)。
根據(jù)風(fēng)險評估�,確定所需的保護(hù)等級并且考慮到所用加密算法的類型和質(zhì)量以及要用的密碼關(guān)鍵字的長度。
當(dāng)實施組織的加密策略時����,應(yīng)當(dāng)考慮到有的法規(guī)和國家性限制可能涉及在世界的不同地方這些加密技術(shù)的使
用問題,還應(yīng)當(dāng)考慮到加密信息的越界流動��。
另外����,應(yīng)當(dāng)注意那些用于密碼技術(shù)進(jìn)出口的管理措施(見12.1.6)。
應(yīng)當(dāng)征求專家的建議來確定適當(dāng)?shù)谋Wo(hù)等級���、選擇適當(dāng)?shù)膶⒁糜谒璞Wo(hù)的產(chǎn)品和挑選密鑰管理的安全系
統(tǒng)的實施方案(見10.3.5)。另外���,為了尋找一些法律法規(guī)�����,它們可能適用于組織中意的加密技術(shù)的使用��,
可能需要法律建議�。
10.3.3 數(shù)字簽名數(shù)字簽名提供了一種保護(hù)電子文檔的真實性和完整性的方法。例如它們可以用于電子商務(wù)�,那里需要驗證是
誰簽署了一份電子文件并且檢查簽了名的文件是否被改動。
數(shù)字簽名能夠用于以電子化處理的任何文件形式����,例如可以用它們簽署電子支付單據(jù)、基金傳送�����、合同和協(xié)
議���。數(shù)字簽名可以用基于唯一相關(guān)的密鑰對的密碼技術(shù)�,其中的一個密鑰用于生成簽字(私有密鑰)而另外
一個密鑰用于檢測該簽名(公共密鑰)�。
應(yīng)當(dāng)注意保護(hù)私有密鑰的保密性。應(yīng)當(dāng)對該密鑰進(jìn)行保密����,因為任何取得該密鑰的人都能夠簽署文件���,例如
付款單據(jù)����、合同,因此偽造了密鑰主人的簽字�。另外,保護(hù)公共密鑰的完整性也很重要���?�?梢允褂霉裁荑€
證件(見10.3.5)來提供這種保護(hù)。
需要考慮所用簽名算法的類型和質(zhì)量以及將要使用的密碼的長度��。數(shù)字簽名中使用的密碼關(guān)鍵字應(yīng)當(dāng)與加密
算法中使用的不同�����。
使用數(shù)字簽名時����,應(yīng)當(dāng)考慮到相關(guān)立法,它們描述了在什么情況下數(shù)字簽名受法律約束。例如在電子商務(wù)中
知道數(shù)字簽名的立法角度是十分重要的���。在缺乏法律框架的時候��,可能需要具有約束力的合同或者其它協(xié)議
來支持使用數(shù)字簽名。
10.3.4 非拒絕服務(wù)對于一個事件或行為是否發(fā)生有爭議時�,例如對在一份電子合同或者支付手續(xù)上數(shù)字簽名的使用的爭執(zhí)�,為
解決爭議需要用到非拒絕服務(wù)。它們能夠幫助找到證據(jù)���,以便證實一個特殊事件或者行為是否已經(jīng)發(fā)生����,例
如是否拒絕使用電子郵件發(fā)送有數(shù)字簽名的說明�。這些服務(wù)基于加密和數(shù)字簽名技術(shù)(見10.3.2和10.3.3)
的使用��。
10.3.5密鑰管理10.3.5.1 密碼關(guān)鍵性的保護(hù)密碼關(guān)鍵字的管理是對密碼技術(shù)的有效利用的根本�。密碼關(guān)鍵字的任何損壞或者丟失都可能危及信息的保密
性�、真實性和/或者完整性的安全��。應(yīng)當(dāng)有一個管理系統(tǒng)適當(dāng)?shù)刂С纸M織對兩種密碼技術(shù)的使用����,它們是:a) 秘密密鑰技術(shù)��,其中兩個或者更多方共享同一個密鑰并且不但使用這個密鑰的加密形式還使用它的解
密形式。該密鑰必須是秘密的,因為任何得到它的人都能夠用這個密鑰把所有加密的信息解密出來,或者用
它加入未經(jīng)授權(quán)的信息。b) 公共密鑰技術(shù), 其中每個用戶有一個密鑰對:一個公共密鑰(可以展示給任何人)和一個私人密鑰(
必須保密)���。公共密鑰技術(shù)能夠用在加密上(見10.3.2)也能夠用于生成數(shù)字簽名(見10.3.3)���。
所有的密鑰應(yīng)當(dāng)?shù)玫奖Wo(hù),以防被修改或者破壞��。而且秘密和私有密鑰要防止未經(jīng)授權(quán)的泄露����。密碼技術(shù)也
可以用于這個目的��。應(yīng)當(dāng)從物理上保護(hù)那些用于生成密鑰��、存儲密鑰和將其存檔的設(shè)備����。
10.3.5.2 標(biāo)準(zhǔn)��、程序和方法一個密鑰管理系統(tǒng)應(yīng)當(dāng)基于共同的標(biāo)準(zhǔn)����、程序和安全方法的集合,它們用于:a) 為不同的密碼系統(tǒng)和不同的應(yīng)用軟件生成密鑰;b) 生成和獲取公共密鑰證明��;c) 把密鑰分發(fā)給需要的用戶��,包括接到密鑰時應(yīng)當(dāng)怎樣將其激活。d) 存儲密鑰����,包括經(jīng)授權(quán)的用戶怎樣得到密鑰;e) 更改或者更新密鑰�����,包括關(guān)于何時應(yīng)該改變密鑰和怎樣改變的一些規(guī)則;f) 處理受損的密鑰;g) 激活密鑰�,包括應(yīng)當(dāng)怎樣將密鑰撤出或者使其失效�,例如密鑰在何時被損害或者用戶在何時離開了組
織(在此種情況下密鑰也應(yīng)當(dāng)被存檔)���;h) 作為業(yè)務(wù)連續(xù)性管理的一部分���,恢復(fù)丟失的或者毀壞的密鑰。例如加密信息的恢復(fù)。i) 存檔密鑰���,例如用于信息存檔或者備份�����;j) 銷毀密鑰��;k) 密鑰管理相關(guān)活動的記錄和查驗�。
為了減少損害的可能性�,密鑰應(yīng)當(dāng)有確定的激活和休止日期����,從而它們只能在有限的時間段內(nèi)使用����。該時間
段的長度應(yīng)當(dāng)取決于運(yùn)用密碼管理措施的環(huán)境和所發(fā)現(xiàn)的風(fēng)險���。為了處理訪問密碼關(guān)鍵字的法律要求,需要考慮一些程序����。例如�����,可能需要用加密信息的解密形式做法庭上
的證據(jù)。
除了安全管理的秘密和私人密鑰的話題之外,還應(yīng)當(dāng)考慮公共密鑰���。有的人用自己密鑰替代公共密鑰來偽造
數(shù)字簽名�����,可能有這種威脅存在��。這一問題可由使用公共密鑰證明的方法來解決�。這些證明文件應(yīng)當(dāng)以一種
把與公共密鑰/私有密鑰的所有人相關(guān)的信息同公共密鑰唯一地連續(xù)在一起。因此生成這些證明文件的管理過
程要值得信賴���,這一點(diǎn)很重要�����。該過程通常由一個權(quán)威驗證機(jī)構(gòu)來執(zhí)行��,該機(jī)構(gòu)有適當(dāng)?shù)墓芾砗涂刂拼胧┨?/p>
供所需的置信度�����。
服務(wù)等級管理的內(nèi)容或者與外部密碼服務(wù)供應(yīng)商所簽訂合同的內(nèi)容�����,例如與一個權(quán)威驗證機(jī)構(gòu)所簽合同,應(yīng)
當(dāng)包括有關(guān)責(zé)任����、服務(wù)的可靠性和提供服務(wù)的響應(yīng)時間等議題(見4.2.2)���。
10.4 信息文件的安全目標(biāo):確保IT項目和支持行為以安全的方式進(jìn)行���。應(yīng)當(dāng)控制對系統(tǒng)文件的訪問。維護(hù)信息的完整性應(yīng)當(dāng)是應(yīng)用程序系統(tǒng)或者軟件所屬的用戶功能或者開發(fā)群體的責(zé)任�。
10.4.1 操作軟件的控制應(yīng)當(dāng)為在操作系統(tǒng)中使用軟件提供管理措施�����。為了把操作系統(tǒng)潰掉的風(fēng)險降到最低����,應(yīng)當(dāng)考慮一些的管理措
施:a) 操作系統(tǒng)程序庫的更新應(yīng)當(dāng)只由指定的程序庫管理員根據(jù)適當(dāng)?shù)墓芾韺邮跈?quán)來執(zhí)行(見10.4.3);b) 如果可能的話,操作系統(tǒng)應(yīng)當(dāng)只包涵可執(zhí)行代碼;c) 獲得測試成功和用戶被接受的證據(jù)之前�����,以及在相應(yīng)的程序資料庫更新之前�,不能在操作系統(tǒng)中運(yùn)行
可執(zhí)行代碼。d) 應(yīng)當(dāng)維護(hù)對層次系統(tǒng)程序庫的所有更新的審查日志;e) 應(yīng)當(dāng)保留軟件的以前版本做為應(yīng)急之用。
操作系統(tǒng)中使用的由銷售商提供的軟件應(yīng)當(dāng)維護(hù)在一個由該供應(yīng)商支持的水平之上����。任何升級到新版本的決
定都應(yīng)當(dāng)考慮到該版本的安全�,比如新安全功能的引入或者影響該版本的安全問題的數(shù)量和嚴(yán)重性�。當(dāng)軟件
補(bǔ)丁能夠幫助消除或者減少安全缺陷的時候����,就應(yīng)當(dāng)使用他它們�。
對操作系統(tǒng)進(jìn)行的物理或者邏輯訪問應(yīng)當(dāng)只是在需要的時候出于技術(shù)支持的目的而授予供應(yīng)商的,而且還需
要得到管理層批準(zhǔn)��。應(yīng)當(dāng)監(jiān)視供應(yīng)商的活動。
10.4.2系統(tǒng)測試數(shù)據(jù)的保護(hù)應(yīng)當(dāng)保護(hù)并控制測試數(shù)據(jù)���。系統(tǒng)和驗收試驗通常需要大量的盡可能與靠近際運(yùn)行數(shù)據(jù)的測試數(shù)據(jù)�。應(yīng)當(dāng)避免
使用含有個人信息的業(yè)務(wù)數(shù)據(jù)庫����。如果要使用其中信息,在用之前應(yīng)當(dāng)使其失去個性化。當(dāng)把運(yùn)行數(shù)據(jù)用于
測試目的時�����,應(yīng)當(dāng)采取以下措施保護(hù)運(yùn)行數(shù)據(jù)。a) 訪問控制程序��,它可以用于應(yīng)用操作系統(tǒng).也可以用于測試應(yīng)用系統(tǒng)����。b) 每次把運(yùn)行信息復(fù)制到測試應(yīng)用系統(tǒng)都應(yīng)當(dāng)有單獨(dú)的授權(quán)�����。c) 測試完成之后,應(yīng)當(dāng)立即把運(yùn)行信息從測試應(yīng)用系統(tǒng)中刪除�����。d) 應(yīng)當(dāng)記錄運(yùn)行信息的復(fù)制和使用��,以提供一種檢查追蹤�。
10.4.3 對程序資源庫的訪問控制為降低計算機(jī)程序潰掉的可能性,在對程序資源庫的訪問中應(yīng)當(dāng)保持如下所述的嚴(yán)格管理措施����。a) 可能的情況下�,程序資源庫不應(yīng)當(dāng)放在操作系統(tǒng)中����;b) 應(yīng)當(dāng)為每個程序指定一名程序資源庫管理員���;c) IT技術(shù)支持人員不應(yīng)當(dāng)對程序資源庫不加限制地訪問;d) 正在開發(fā)的程序和正在維護(hù)的程序不應(yīng)當(dāng)放在程序資源庫中;e) 程序資源庫的升級和程序資源向程序員的發(fā)布應(yīng)當(dāng)只由指派的程序資源庫管理員根據(jù)授權(quán)從應(yīng)用程序
的IT技術(shù)支持經(jīng)理那里進(jìn)行�;f) 程序列表應(yīng)當(dāng)放在安全的環(huán)境中(見8.6.4)���。g) 應(yīng)當(dāng)保留一份對程序資源庫所有訪問的審查日志����。h) 老版本的程序資料應(yīng)當(dāng)存檔,清楚標(biāo)明它們運(yùn)行的準(zhǔn)確日期和時間����,以及所有支持軟件�����、作業(yè)控制�、
數(shù)據(jù)定義和程序���。i) 程序資源庫的維護(hù)和復(fù)制應(yīng)當(dāng)服從嚴(yán)格的變更管理程序(見10.4.1)���。
10.5 開發(fā)和支持過程中的安全目標(biāo):維持應(yīng)用程序系統(tǒng)軟件和信息的安全�����。
應(yīng)當(dāng)嚴(yán)格控制項目和支持環(huán)境���。應(yīng)用程序系統(tǒng)的負(fù)責(zé)主管也應(yīng)當(dāng)負(fù)責(zé)項目或者支持環(huán)境的安全。它們應(yīng)當(dāng)確保所有建議的系統(tǒng)變更都經(jīng)過復(fù)
查以驗證它們不會損害系統(tǒng)或者運(yùn)行環(huán)境的安全���。
10.5.1 變更控制程序為了降低信息系統(tǒng)潰掉的危險,對變更的實施應(yīng)當(dāng)有嚴(yán)格的管理措施���。正式的變更管理程序應(yīng)當(dāng)?shù)玫郊訌?qiáng)�。
它們應(yīng)當(dāng)確保安全并且控制程序不會受到損害���,確保技術(shù)支持程序員只被授予訪問他們工作所必須接觸的部
分系統(tǒng)內(nèi)容���,并且保證所有變更都得到了的正式同意和批準(zhǔn)�����。改變應(yīng)用程序軟件可能對運(yùn)行環(huán)境產(chǎn)生沖擊。
如果合適的話,應(yīng)用程序和運(yùn)行變更程序應(yīng)當(dāng)集成到一起(見8.1.2)。該過程應(yīng)當(dāng)包括:a) 保持一份同意授權(quán)等級的記錄��;b) 確保變更是由授權(quán)的用戶提交的���;c) 復(fù)查控制和集成程序以確保它們不會被變更所損害����;d) 識別所有計算機(jī)軟件、信息��、數(shù)據(jù)庫物理和需要維修的硬件����;e) 在工作開始之前得到對詳細(xì)建議的贊同��;f) 確保授權(quán)的用戶在任何執(zhí)行之前接受改變��;g) 確保過程的執(zhí)行會把業(yè)務(wù)分裂降低到最小的程度;h) 確保每次變更完成之后更新系統(tǒng)文獻(xiàn)集合并且把舊的文獻(xiàn)存檔或者進(jìn)行處置�����;i) 為所有軟件更新維持一個版本管理�����;j) 保持對所有變更要求的審查追蹤���;k) 確保運(yùn)行文件(見8.1.1)和用戶程序的改變必須得當(dāng)��;l) 確保在正確的時候做出變更而且沒有擾亂相關(guān)的業(yè)務(wù)過程���。許多組織維護(hù)一個環(huán)境,用戶在其中檢測新軟件并且該環(huán)境與開發(fā)和生成環(huán)境相互分離。這就提供了一種控
制管理新軟件的方式并且允許對用于測試的運(yùn)行信息的給以額外保護(hù)。
10.5.2 操作系統(tǒng)變更的技術(shù)復(fù)查需要定期改變操作系統(tǒng)�,例如安裝新提供的軟件版本或者補(bǔ)丁程序。當(dāng)發(fā)生改變時�����,應(yīng)當(dāng)復(fù)查并測試應(yīng)用程
序系統(tǒng)以確保對運(yùn)行或者安全沒有負(fù)作用���。該程序應(yīng)當(dāng)包括:a) 復(fù)查應(yīng)用程序控制措施和完整性程序以確保它們沒有受到操作系統(tǒng)改變的損害����;b) 確保手動支持計劃和預(yù)算會保護(hù)由操作系統(tǒng)變更引起的復(fù)查和系統(tǒng)測試���;c) 確保及時提供操作系統(tǒng)變更的通知��,從而允許在執(zhí)行之前進(jìn)行適當(dāng)?shù)膹?fù)查��;d) 確保對業(yè)務(wù)連續(xù)性計劃做了適當(dāng)改變(見句1)��。
10.5.3 改變軟件包的限制應(yīng)當(dāng)阻止修改軟件包���。只要可能���,而且也可行,應(yīng)當(dāng)不加任何修改地使用賣方供應(yīng)的軟件包���。如果認(rèn)為必須
對軟件包進(jìn)行改動��,應(yīng)當(dāng)考慮以下各點(diǎn):a) 受損的內(nèi)置控制措施和集成程序的風(fēng)險�;b) 是否得到了供應(yīng)商的許可;c) 從供應(yīng)商那里得到所需變更作為標(biāo)準(zhǔn)程序更新的可能性���;d) 如果因為軟件包變更而要組織為軟件未來的維護(hù)承擔(dān)責(zé)任��,有怎樣的影響���。
如果認(rèn)為必須做改動,那么應(yīng)當(dāng)保留原始軟件和對一個清楚定義的副本所做的改動�����。應(yīng)當(dāng)對所有的改動充分
測試并記錄在案����,因此如果將來軟件升級需要,就能重新應(yīng)用它們����。
10.5.4 隱蔽通道和特洛伊代碼(滲透性代碼)隱蔽的通道可能由一些間接的和隱晦的方式披露信息。 改變一個計算系統(tǒng)的安全元素和不安全元素都可以訪
問的參數(shù)��,或者把信息嵌入一個數(shù)據(jù)流中,就可以激活這一隱蔽通道����。滲透性代碼是要以一種未經(jīng)授權(quán)、沒
被注意并且應(yīng)用程序的接收方或者用戶不需要方式和 的方式影響系統(tǒng)�。隱蔽通道和滲透性代碼的出現(xiàn)很少是
偶然的。關(guān)注隱蔽通道或滲透性代碼時�,應(yīng)當(dāng)考慮一些幾點(diǎn):a) 只從有聲譽(yù)的來源購買程序軟件�����;b) 購買程序的源代碼以便進(jìn)行修改;c) 使用評價過的產(chǎn)品;d) 在運(yùn)行之前檢查所有源代碼�����;e) 控制訪問和修改已經(jīng)安裝了的程序代碼�����;f) 在關(guān)鍵系統(tǒng)的工作中用已經(jīng)證明是可以信賴的職工;
