IT安全策略,程序和标准
我们公司有客户要验厂,其中有一条是“IT安全策略程序和标准”这个标准程序到哪里找,请各位提供一下参加资料,谢谢。如果有满意答案,我会另加分的。我要的是程序执行标准,有的话...
我们公司有客户要验厂,其中有一条是“IT安全策略 程序和标准”这个标准程序到哪里找,请各位提供一下参加资料,谢谢。
如果有满意答案,我会另加分的。
我要的是程序执行标准,有的话发我邮箱
应该属于公司内IT受控文件方面的东西
liangshouyong@126.com 展开
如果有满意答案,我会另加分的。
我要的是程序执行标准,有的话发我邮箱
应该属于公司内IT受控文件方面的东西
liangshouyong@126.com 展开
展开全部
1.IT安全策略
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9.事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10.证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的操作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9.事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10.证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的操作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
深圳云诺科技
2024-11-11 广告
敏捷项目管理平台是源自于企鹅厂的敏捷研发协作平台,提供贯穿敏捷研发生命周期的一站式服务。覆盖从产品概念形成、产品规划、需求分析、项目规划和跟踪、质量测试到构建发布、用户反馈跟踪的产品研发全生命周期,提供了灵活的可定制化应用和强大的集成能力,...
点击进入详情页
本回答由深圳云诺科技提供
展开全部
1.IT安全策略
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9.事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10.证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的操作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9.事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10.证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的操作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
1.IT安全策略
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9.事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10.证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的操作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9.事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10.证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的操作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
不知道具体您要哪个标准,IT安全标准应该就是信息安全类的标准,易启标准网有很多,找了一些供参考,可到易启标准网免费下载:
GA/T 712-2007 信息安全技术 应用软件系统安全等级保护通用测试指南 3548KB
GBT 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则.pdf 1067KB
GBZ 20985-2007信息技术 安全技术 信息安全事件管理指南.pdf 2208KB
GBT 20988-2007 信息安全技术 信息系统灾难恢复规范.pdf 1956KB
GB/T 20984-2007 信息安全技术 信息安全风险评估规范.pdf 1254KB
GB/T 17964-2008 信息安全技术 分组密码算法的工作模式 975KB
GB/T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求 3014KB
YD/T 1800-2008 信息安全运行管理系统总体架构 540KB
YD/T 1799-2008 网络与信息安全应急处理服务资质评估方法(缺第3页) 1116KB
GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南.pdf 755KB
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 1642KB
GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则 4747KB
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 3813KB
GBT 20520-2006信息安全技术 公钥基础设施 时间戳规范 (单行本完整清晰扫描版).pdf 2516KB
GB-T 20010-2005 信息安全技术 包过滤防火墙评估准则.pdf 1487KB
YD/T 1536.1-2006 电信设备的电磁信息安全性要求和测量方法 第1部分:电磁辐射信息泄漏 287KB
SJ 20924-2005 保密通信与信息安全设备结构设计要求 372KB
GA 560-2005 互联网上网服务营业场所 信息安全管理系统营业场所端与营业场所 经营管理系统接口技术要求 271KB
GA 559-2005 互联网上网服务营业场所信息安全管理系统营业场所端功能要求 340KB
GA 558.8-2005 互联网上网服务营业场所信息安全管理系统数据交换格式 第8部分:营业场所运行状态基 104KB
GA 558.7-2005 联网上网服务营业场所信息安全管理系统数据交换格式 第7部分:上网卡信息基本数据交换格式 111KB
GA 558.6-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 6部分:消息基本数据交换格式 103KB
GA 558.5-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 5部分:营业场所营业状态 基本数据交换格式 101KB
GA 558.4-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第4部分:营业场所处罚结果信息 基本数据交换格式 102KB
GA 558.3-2005 互联网上网服务营业场所信息安全管理系统数据交换格式 第3部分:营业场所信息 基本数据交换格式 117KB
GA 558.2-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 2部分:终端下线数据 基本数据交换格式 101KB
GA 558.1-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 1部分:终端上线数据 基本数据交换格式 124KB
GA 557.9-2005 互联网上网服务营业场所信息安全管理代码 第9部分:规则动作代码 70KB
GA 557.8-2005 互联网上网服务营业场所信息安全管理代码 第8部分:系统操作日志操作行为代码 77KB
GA 557.7-2005 互联网上网服务营业场所信息安全管理代码 第7部分:管理端代码 82KB
GA 557.6-2005 互联网上网服务营业场所信息安全管理代码 第6部分:营业场所接入方式代码 74KB
GA 557.5-2005 互联网上网服务营业场所信息安全管理代码 第5部分:服务类型代码 179KB
GA 557.4-2005 互联网上网服务营业场所信息安全管理代码 第4部分:营业场所处罚结果代码 81KB
GA 557.3-2005 互联网上网服务营业场所信息安全管理代码 第3部分:审计级别代码 71KB
GA 557.2-2005 互联网上网服务营业场所信息安全管理代码 第2部分:营业场所营业状态代码 81KB
GA 557.12-2005 互联网上网服务营业场所信息安全管理代码 第12部分:审计规则代码 86KB
GA 557.1-2005 互联网上网服务营业场所信息安全管理代码 第1部分:营业场所代码 85KB
GA 557.11-2005 互联网上网服务营业场所信息安全管理代码 第11部分:营业场所运行状态代码 73KB
GA 557.10-2005 互联网上网服务营业场所信息安全管理代码 第10部分:接入服务商代码 78KB
YD/T 1536.1-2006 电信设备的电磁信息安全性要求和测量方法 第1部分:电磁辐射信息泄漏 277KB
SJ 20924-2005 保密通信与信息安全设备结构设计要求 359KB
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 2801KB
GB/T 21050-2007 信息安全技术 网络交换机安全技术要求(评估保证级3) 3574KB
YD/T 1700-2007 移动终端信息安全测试方法 866KB
YD/T 1699-2007 移动终端信息安全技术要求 900KB
YD/T 1621-2007 网络与信息安全服务资质评估准则 665KB
YD/T 1621-2007 网络与信息安全服务资质评估准则 645KB
YD/T 1700-2007 移动终端信息安全测试方法 841KB
YD/T 1699-2007 移动终端信息安全技术要求 875KB
GA/T 686-2007 信息安全技术 虚拟专用网安全技术要求 1737KB
GA/T 685-2007 信息安全技术 交换机安全评估准则 (单行本完整清晰扫描版) 3976KB
GA/T 681-2007 信息安全技术 网关安全技术要求 1627KB
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 2732KB
GB/T 21050-2007 信息安全技术 网络交换机安全技术要求(评估保证级3) 3487KB
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 985KB
GA/T 681-2007 信息安全技术 网关安全技术要求 1589KB
GA/T 686-2007 信息安全技术 虚拟专用网安全技术要求 1697KB
GBZ 20986-2007 信息安全技术 信息安全事件分类分级指南.pdf 947KB
GB/T 21028-2007信息安全技术 服务器安全技术要求 1296KB
GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式 单行本完整清晰扫描版 4897KB
GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价方法 单行本完整清晰扫描版 4879KB
GB/T 20271-2006信息安全技术 信息系统通用安全技术要求- 4412KB
GB/T 20270-2006信息安全技术 网络基础安全技术要求- 2431KB
GB/T 20269-2006信息安全技术 信息系统安全管理要求- 4472KB
GB/T 20009-2005信息安全技术 数据库管理系统安全评估准则- 1572KB
GB/T 18018-2007信息安全技术 路由器安全技术要求 单行本完整清晰扫描版 1485KB
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 单行本完整清晰扫描版 4823KB
GB/T 20272-2006 信息安全技术 网络基础安全技术要求 单行本完整清晰扫描版 1281KB
GB/T 20011-2005 信息安全技术 路由器安全评估准则 544KB
GB/T 20008-2005 信息安全技术 操作系统安全评估准则 1374KB
GB/T 19716-2005 信息技术 信息安全管理实用规则 2624KB
GB/T 20276-2006 信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级) 8846KB
SJ 20628-97 通用型军用计算机信息安全技术要求 1256KB
GB/T 20282-2006 信息安全技术+信息系统安全工程管理要求 1547KB
易启标准网有这些全文电子版免费下载的.
下载方法,先在百度搜索到易启标准网,打开网站后免费注册成为会员,登陆后搜索您要的标准或者书籍,然后下载.如有问题可参考这个网站的帮助文件的.
GA/T 712-2007 信息安全技术 应用软件系统安全等级保护通用测试指南 3548KB
GBT 21054-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护评估准则.pdf 1067KB
GBZ 20985-2007信息技术 安全技术 信息安全事件管理指南.pdf 2208KB
GBT 20988-2007 信息安全技术 信息系统灾难恢复规范.pdf 1956KB
GB/T 20984-2007 信息安全技术 信息安全风险评估规范.pdf 1254KB
GB/T 17964-2008 信息安全技术 分组密码算法的工作模式 975KB
GB/T 21053-2007 信息安全技术 公钥基础设施 PKI系统安全等级保护技术要求 3014KB
YD/T 1800-2008 信息安全运行管理系统总体架构 540KB
YD/T 1799-2008 网络与信息安全应急处理服务资质评估方法(缺第3页) 1116KB
GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南.pdf 755KB
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 1642KB
GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则 4747KB
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 3813KB
GBT 20520-2006信息安全技术 公钥基础设施 时间戳规范 (单行本完整清晰扫描版).pdf 2516KB
GB-T 20010-2005 信息安全技术 包过滤防火墙评估准则.pdf 1487KB
YD/T 1536.1-2006 电信设备的电磁信息安全性要求和测量方法 第1部分:电磁辐射信息泄漏 287KB
SJ 20924-2005 保密通信与信息安全设备结构设计要求 372KB
GA 560-2005 互联网上网服务营业场所 信息安全管理系统营业场所端与营业场所 经营管理系统接口技术要求 271KB
GA 559-2005 互联网上网服务营业场所信息安全管理系统营业场所端功能要求 340KB
GA 558.8-2005 互联网上网服务营业场所信息安全管理系统数据交换格式 第8部分:营业场所运行状态基 104KB
GA 558.7-2005 联网上网服务营业场所信息安全管理系统数据交换格式 第7部分:上网卡信息基本数据交换格式 111KB
GA 558.6-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 6部分:消息基本数据交换格式 103KB
GA 558.5-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 5部分:营业场所营业状态 基本数据交换格式 101KB
GA 558.4-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第4部分:营业场所处罚结果信息 基本数据交换格式 102KB
GA 558.3-2005 互联网上网服务营业场所信息安全管理系统数据交换格式 第3部分:营业场所信息 基本数据交换格式 117KB
GA 558.2-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 2部分:终端下线数据 基本数据交换格式 101KB
GA 558.1-2005 互联网上网服务营业场所 信息安全管理系统数据交换格式 第 1部分:终端上线数据 基本数据交换格式 124KB
GA 557.9-2005 互联网上网服务营业场所信息安全管理代码 第9部分:规则动作代码 70KB
GA 557.8-2005 互联网上网服务营业场所信息安全管理代码 第8部分:系统操作日志操作行为代码 77KB
GA 557.7-2005 互联网上网服务营业场所信息安全管理代码 第7部分:管理端代码 82KB
GA 557.6-2005 互联网上网服务营业场所信息安全管理代码 第6部分:营业场所接入方式代码 74KB
GA 557.5-2005 互联网上网服务营业场所信息安全管理代码 第5部分:服务类型代码 179KB
GA 557.4-2005 互联网上网服务营业场所信息安全管理代码 第4部分:营业场所处罚结果代码 81KB
GA 557.3-2005 互联网上网服务营业场所信息安全管理代码 第3部分:审计级别代码 71KB
GA 557.2-2005 互联网上网服务营业场所信息安全管理代码 第2部分:营业场所营业状态代码 81KB
GA 557.12-2005 互联网上网服务营业场所信息安全管理代码 第12部分:审计规则代码 86KB
GA 557.1-2005 互联网上网服务营业场所信息安全管理代码 第1部分:营业场所代码 85KB
GA 557.11-2005 互联网上网服务营业场所信息安全管理代码 第11部分:营业场所运行状态代码 73KB
GA 557.10-2005 互联网上网服务营业场所信息安全管理代码 第10部分:接入服务商代码 78KB
YD/T 1536.1-2006 电信设备的电磁信息安全性要求和测量方法 第1部分:电磁辐射信息泄漏 277KB
SJ 20924-2005 保密通信与信息安全设备结构设计要求 359KB
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 2801KB
GB/T 21050-2007 信息安全技术 网络交换机安全技术要求(评估保证级3) 3574KB
YD/T 1700-2007 移动终端信息安全测试方法 866KB
YD/T 1699-2007 移动终端信息安全技术要求 900KB
YD/T 1621-2007 网络与信息安全服务资质评估准则 665KB
YD/T 1621-2007 网络与信息安全服务资质评估准则 645KB
YD/T 1700-2007 移动终端信息安全测试方法 841KB
YD/T 1699-2007 移动终端信息安全技术要求 875KB
GA/T 686-2007 信息安全技术 虚拟专用网安全技术要求 1737KB
GA/T 685-2007 信息安全技术 交换机安全评估准则 (单行本完整清晰扫描版) 3976KB
GA/T 681-2007 信息安全技术 网关安全技术要求 1627KB
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 2732KB
GB/T 21050-2007 信息安全技术 网络交换机安全技术要求(评估保证级3) 3487KB
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 985KB
GA/T 681-2007 信息安全技术 网关安全技术要求 1589KB
GA/T 686-2007 信息安全技术 虚拟专用网安全技术要求 1697KB
GBZ 20986-2007 信息安全技术 信息安全事件分类分级指南.pdf 947KB
GB/T 21028-2007信息安全技术 服务器安全技术要求 1296KB
GB/T 20518-2006 信息安全技术 公钥基础设施 数字证书格式 单行本完整清晰扫描版 4897KB
GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价方法 单行本完整清晰扫描版 4879KB
GB/T 20271-2006信息安全技术 信息系统通用安全技术要求- 4412KB
GB/T 20270-2006信息安全技术 网络基础安全技术要求- 2431KB
GB/T 20269-2006信息安全技术 信息系统安全管理要求- 4472KB
GB/T 20009-2005信息安全技术 数据库管理系统安全评估准则- 1572KB
GB/T 18018-2007信息安全技术 路由器安全技术要求 单行本完整清晰扫描版 1485KB
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求 单行本完整清晰扫描版 4823KB
GB/T 20272-2006 信息安全技术 网络基础安全技术要求 单行本完整清晰扫描版 1281KB
GB/T 20011-2005 信息安全技术 路由器安全评估准则 544KB
GB/T 20008-2005 信息安全技术 操作系统安全评估准则 1374KB
GB/T 19716-2005 信息技术 信息安全管理实用规则 2624KB
GB/T 20276-2006 信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级) 8846KB
SJ 20628-97 通用型军用计算机信息安全技术要求 1256KB
GB/T 20282-2006 信息安全技术+信息系统安全工程管理要求 1547KB
易启标准网有这些全文电子版免费下载的.
下载方法,先在百度搜索到易启标准网,打开网站后免费注册成为会员,登陆后搜索您要的标准或者书籍,然后下载.如有问题可参考这个网站的帮助文件的.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
1.IT安全策略
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9.事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10.证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的操作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
管理人员应该审视那些能够管理特权账户(如域管理员账户、应用程序管理员账户、数据库管理员)的IT安全策略,要保障安全策略的存在,还要清楚存取访问是如何被处理、验证、证明的,要确保对这些策略定期进行审查。否则,基本上就不存在管理特权访问的基础了。在没有相关报告的情况下,管理特权账户的策略是不完整的。特权账户的口令审核报告经常要涉及到如下的问题:口令何时更新、更新失败有哪些,以及在一个共享账户下,个别用户如何执行任务等等。
制定的策略应具有这样的目标:能够终止明显的不可防御的用户活动。要确保所有的雇员、订约人和其它用户清楚其责任,从而与IT的安全策略、方法以及与其角色相适应的相关指导等。
2.“超级用户”账户和访问
了解公司与用户访问有关的暴露程度是很重要的。应该决定拥有访问特权的账户和用户的人员,并获得对网络、应用程序、数据和管理功能的访问有较高权力的所有账户列表。包括通常被忽视的所有计算机账户。由此,要确保用户访问能够被检查,并确保其拥有恰当的许可。一个好方法是定期地审查用户访问,并决定数据和系统的“所有者”已经得到明确授权。
3.账户和口令配置标准
要保证所有的管理员账户能够根据策略更新。在特定设备上,不应存在默认的口令设置。对那些拥有足够的默认账户和口令资源的用户来说,其信息是很丰富的。有一些安全账户,其账户名就是口令,这简直是自寻烦恼。设置口令的期限也是很重要的,禁用某些明显的临时账户也是很聪明的作法。
4.对口令的受控访问
对权力有所提升的账户和管理员的口令存取要加以管理。其道理可能很明显,不过对口令的共享访问并非总能得到控制。离线的记录或开放性的访问,如包含口令的电子邮件,就不应当存在。即使一个加密的口令文件也是不足取的。在最糟的情形中,口令文件的口令并没有得到控制。
5.服务账户( “机器” 账户)
服务器也可以被提升权限,并用于各种罪恶的目的。这些账户典型情况下并不分配给人类用户,并且也不包括在传统的认证或口令管理过程中。这些账户可被轻易地隐藏。管理员应该保障服务账户只拥有必要的访问权。这些账户应该定期检查,因为它们经常拥有超级用户的能力。这种用户的数量是很多的,而且还有许多不用的账户也需要注意。
6.高风险用户和角色
有一些公司积级地监视某些角色,这些角色对企业会造成极高的风险,企业的监视会发现其潜在的“不可接受”的行为。许多企业拥有一些风险极高的关键角色。例如,一位采购经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下,其访问是被授权的,不过却存在着滥用的情况。岗位、职责的轮换以及设定任命时间是对付高风险的一个重要方案。注意:IT安全专家通常都属于高风险角色的范围。
7.安全知晓项目
任何雇员或用户都可能造成一种威胁。贯彻执行一个可以处理上述所有要点的安全知晓项目,并能保证其强制实施势在必行。现在有许多方案能够确保所有的用户已经阅读并同意有关规则和政策。其中一种工具是在用户登录时要求其在一个警告消息上签名,要求用户确认其同意并选择窗口中的“接收”或“同意”复选框。
8.背景筛选
背景筛选就是要认真地问雇员一些措词严格的问题,以揭示其特定行为和态度的危险信号,例如:
·违规的或异常的工作经历:离开工作的可疑理由、长期未被雇用的原因
·欺诈:在某些事实上(例如教育、以前的雇佣关系)的虚伪陈述
·人格/态度问题:与同事或管理人员的糟糕关系
·挫败、威信问题、猜疑、无力接受改变等
9.事件记录
安全事件记录提供了实时使用和活动的透明度。精确而完整的用户及其活动的记录对于事件分析和制定额外的安全措施是至关重要的。获取访问的方法、访问范围和过去的活动是很重要的。为保证有充足的记录,应考虑改善对较高风险领域和服务的记录利用。
10.证据
管理人员应熟悉所使用的不同存储设备,如果有任何可疑迹象,还应具备 “指纹”知识的足够知识水平。这可以是cookie数据、隐藏的操作系统数据等。从公司系统中获取关键文件并将其放置到闪速存储器上是很简单的事情,这些闪速设备可被伪装为数码相机、个人数字助理(PDA)或移动电话等。还有一些调查人员从移动电话中收集和分析信息,因为这种设备可包含语音邮件、正文消息、地址文件、电话号码和许多遗漏电话、已接电话等。如果有任何可疑的非法活动,就应保留相关证据,直至最终决定其结果。
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(4)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
