信管网cnitpm547524421***: [回复] c
信管网cnitpm507616481***: [回复] 不检查用户权限分配
信管网cnitpm507616481***: [回复] 检查 不包括检查用户权限分配
信管网fengzhi***: [回复] 4.系统运行安全检查与记录
系统运行的安全检查是安全管理的常用工作方法,也是预防事故、发现隐患、指导整改的必要工作手段。系统运行安全检查要形成制度,对促进系统运行管理、实现信息安全起到积极的推动和保障作用。对检查的内容、检查的方法、检查的计划安排、检查的结果应进行及时的记录、分析和评审。系统运行安全检查和记录的范围如下。
①应用系统的访问控制检查。包括物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权”原则。
②应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
③应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时间等。
④应用系统能力检查。包括系统资源消耗情况、系统交易速度和系统吞吐量等。
⑤应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。
⑥应用系统维护检查。维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等;
⑦应用系统的配置检查。检查应用系统的配萱是否合理和适当,各配置组件是否发挥其应有的功能。
⑧恶意代码的检查。是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。
企业要加强对应用系统安全运行管理工作的领导,每年至少组织有关部门对系统运行工作进行一次检查。部门每季度进行一次自查。要加强对所辖范围内应用系统运行工作的监督检查。检查可采取普查、抽查、专项检查的方式定期或不定期地进行。
有关部门检查时要事先拟定检查提纲,检查项目的指标要量化。检查后要进行总结,检查结果要及时通报,对检查中发现的问题,要限期改进。
信管网fengzhi***: [回复] 系统运行安全检查不进行用户权限分配是否遵循易用性原则的检查
信管网fengzhi***: [回复] pmi权限(授权)管理基础设施
访问控制的基础概念
访问控制是为了限制访问主体对访问客体的访问权限,从而使计算机系统在合法范围内使用,访问控制机制决定用户及代表一定用户利益的程序能做什么,及做到什么程度。访问控制是信息安全保障机制的核心内容,是实现数据保密性和完整性机制的主要手段。
访问控制的两个重要过程
1、通过鉴别来检验主体的合法身份
2、通过授权来限制用户对资源的访问级别
访问控制可分为以下两种:
1、强制访问控制(mac):系统独立于用户行为强制执行访问控制,用户不能改变他们的安全级别或对象的安全属性,通常对数据和用户安全等级划分标签,访问控制机制通过比较安全标签来确定接受还是拒绝用户对资源的访问
2、自主访问控制(dac):允许对象的属主来制定针对该对象的保护策略,通常dac通过授权列表来限定主体对客体可以执行什么操作。每个主体拥有一个用户名并属于一个组或具有一个角色,每个客体拥有一个限定主体对其访问权限的访问控制列表。
访问控制安全模型
1、blp访问控制安全模型:基于强制访问控制系统,以敏感度来划分资源的安全级别,将数据和用户划分为公开、受限、秘密、机密、高密五个保密等级,主体不可读安全级别高于它的数据,不可写安全级别低于它的数据(可读)。
2、biba完整性模型:基于强制访问控制系统,数据和用户被划分为公开、受限、秘密、机密、高密五个级别。主体不能读取安全级别低于它的数据(可写),不能写入安全级别高于它的数据(可读)。
blp模型为数据保密性提供保障,biba模型为数据完整性提供保障。
基于角色的访问控制(rbac)
角色由应用系统的管理员定义,角色成员的增减只能由应用系统的管理员来执行,授权规定是强加给用户的,用户只能被动接受,不能自主决定,也不能自主地将访问权限传给他人。
rbac与dac的区别是用户不能自主地将访问权限授给别的用户
rbac与mac的区别是mac基于多级安全需求,而rbac主要关心保护信息的完整性。
信管网challen***: [回复] 检查不包括检查应用系统的用户权限分配是否遵循易用性原则
信管网cnitpm40481785***: [回复] 访问,日志,可用性,能力,维护,配置,恶意代码
信管网luke***: [回复] 遵循最小分配原则
信管网ailsawu0***: [回复] 检查不包括用户权限分配
|