适用人员: 技术人员(开发人员)。
适用法规: 资通安全责任等级分级办法 - 附表十资通系统防护基准.PDF
技术面分类提要
帐号管理与存取权限
帐号的管理大概是所有事项中最最麻烦的部分,法规规定的部份很多。不只在最初的阶段就要设想调全,所有相关的系统应用,几乎都围绕着帐号的权限。以下说明要点。
建立帐号的注意事项: 参考应办事项及稽核表
管理面:
技术面
以资料库举例,帐号应有以下配合应办事项的栏位:
栏位名称 | 内容 | 应办事项 | 说明 |
---|---|---|---|
account | 帐号名称 | ||
password | 密码 | 识别与监别-加密模组监别 | 密码栏位应加密并不得使用老旧、安全性低的演算法 |
LastPassord | 上一次的密码 | 识别与监别-身分验证管理 | 注意此栏位也要进行加密,并适当扩充成要求的次数,如不得与前3次相同。 |
LastLogin | 上一次的登入记录 | 存取控制-帐号管理 | 配合闲置帐号的处理 |
firstLogin/requireChangePassword | 第一次登入/需变更密码 | 识别与监别-身分验证管理 | 要求使用者初次登入时更改密码。或是重设密码时也可共用此栏位。 |
FailLoginCount | 登入错误的次数 | 识别与监别-身分验证管理 | 记录错误尝试的次数,再进行锁定机制 |
lock | 是否锁定 | 识别与监别-身分验证管理 | 於错误尝试、闲置超过时间、可疑行为时进行锁定等行为。随帐号使用情况也可再分为启用、停用、删除等。 |
LastPasswordChange | 上一次变更密码 | 识别与监别-身分验证管理 | 配合密码周期,进行密码更换 |
>>: Youtube Analytics API 教学 - 期待多元性别出现 'gender' 维度
前言 什麽是Git,刚开始认识它的时候,以为他跟GitHub 有着什麽关系或是某个简称,结果两着是各...
回顾一下我们这个月到底做了些什麽 从IDE到最後上架 元件、属性使用 MVP 架构以及布局的介绍 ...
前三天讲了一些有关字串的语法,今天来讲讲数字的语法吧 先来看看code吧~ var num = -6...
全磁碟加密(FDE)可以是保护静态数据的软件或硬件解决方案。基於硬件的全磁碟加密通常称为自加密驱动...
公会成员平均在线成员人数有90位,但实际在discord频道活跃人数不到20位 为了让非活跃在线人数...