7、访问控制
7.1用户访问管理
应有正式的用户注册及注销程序,来授权和撤销对所有信息系统及服务的访问。
应限制和控制特殊权限的分配及使用;应通过正式的管理过程控制口令的分配,确保口令安全;管理层应定期使用正式过程对用户的访问权进行复查。
7.2用户职责
建立指导用户选择和使用口令的指南规定,使用户在选择及使用口令时,遵循良好的安全习惯。
用户应确保无人值守的用户设备有适当的保护,防止未授权的访问。
建立清空桌面和屏幕策略,采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略,IDC并定期组织检查效果。
7.3网络访问控制
建立访问控制策略,确保用户应仅能访问已获专门授权使用的服务。
应使用安全地鉴别方法以控制远程用户的访问,例如口令+证书。
对于诊断和配置端口的物理和逻辑访问应加以控制,防止未授权访问。
根据安全要求,应在网络中划分安全域,以隔离信息服务、用户及信息系统;对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制,并建立适当的路由控制措施。
7.4操作系统访问控制
建立一个操作系统安全登录程序,防止未授权访问;所有用户应有唯一的、专供其个人使用的标识符(用户ID),应选择一种适当的鉴别技术证实用户所宣称的身份。
可能超越系统和应用程序控制的管理工具的使用应加以限制并严格控制。
不活动会话应在一个设定的休止期后关闭;使用联机时间的限制,为高风险应用程序提供额外的安全。
7.5应用和信息访问控制
用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制。
敏感系统应考虑系统隔离,使用专用的(或孤立的)计算机环境。
7.6移动计算和远程工作
应有正式策略并且采用适当的安全措施,以防范使用移动计算和通信设施时所造成的风险。
通过网络远程访问IDC,需在通过授权的情况下对用户进行认证并对通信内容进行加密。
8、信息系统获取、开发和维护
8.1安全需求分析和说明
在新的信息系统或增强已有信息系统的业务需求陈述中,应规定对安全控制措施的要求。
8.2信息处理控制
输入应用系统的数据应加以验证,以确保数据是正确且恰当的。
验证检查应整合到应用中,以检查由于处理的错误或故意的行为造成的信息的讹误。
通过控制措施,确保信息在处理过程中的完整性,并对处理结果进行验证。
8.3密码控制
应开发和实施使用密码控制措施来保护信息的策略,并保证密钥的安全使用。
8.4系统文件的安全
应有程序来控制在运行系统上安装软件;试数据应认真地加以选择、保护和控制;应限制访问程序源代码。
8.5开发过程和支持过程中的安全
建立变更控制程序控制变更的实施;当操作系统发生变更后,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
IDC应管理和监视外包软件的开发。
8.6技术脆弱性管理
应及时得到现用信息系统技术脆弱性的信息,评价组织对这些脆弱性的暴露程度,并采取适当的措施来处理相关的风险。