ISO17799十一个领域之七:访问控制
访问控制是对主体(Subject)访问客体(Object)的权限或能力的一种限制。
所谓主体是指可以访问对象的活动实体,例如需要访问数据资源的管理员,或修改数据的某个程序的某一进程等;所谓客体是指含有信息并接收访问的实体,如文件、程序、系统、信息处理设施等。
在信息安全学中,访问控制一般分为逻辑访问控制与实体访问控制(又称物理访问控制),逻辑访问控制是指:对主体通过计算机终端及网络来使用信息处理系统并访问数据资源的行为进行控制;实体访问控制是指:在存放有信息处理设施的重要区域,对进出人员进行限制。
在这里,ISO17799所说的访问控制主要是指逻辑访问控制,在网络广泛互联的今天,采用技术与管理手段建立逻辑访问控制己是保障信息安全的重要手段。关于实体访问控制在第五部分“实体与环境安全”中的“安全区域”中己有描述。
ISO17799对访问控制以下几个方面进行描述:访问控制的业务需要、用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用系统访问控制、检测系统的访问与使用、移动计算与远程工作。
1、控制目标-访问控制的业务需要
目标:控制对信息的访问
根据业务和信息安全的要求,组织应当控制对信息和业务应用系统的访问。应当把信息发布和授权的策略考虑在内。
组织的业务运作需要信息的支持,一方面组织要充分利用信息资源,另一方面要对信息的使用进行一定的限制,以达到保护信息资产的目的。对信息的保护程度要取决于业务的要求及信息安全的要求,组织应当建立明确访问策略,为信息的访问控制提供指导。
l
控制措施-建立并实施访问控制策略
==> 应当清楚地定义组织业务对访问控制的要求并使之正式成文。
应当定义并记录下对访问控制的业务要求。在访问控制策略说明中,应当清楚阐明访问控制规则及个人用户和群体用户的权限。用户和服务提供商都应当提供一份对访问控制所要满足的业务要求的详细说明。访问策略的结构如表所示:
访问控制策略
| 所要控制的信息(数据、系统、网络)
| 访问控制规划
| 用户或用户组访问权限
| 其他访问安全要求
|
[ 本帖最后由 linkboy 于 2008-1-26 13:01 编辑 ] |