这个章节的重点就是权限。
最小权限原则,全部关掉只开放给有特殊身份的授权人员。
所以稽核的重点就在於该开的要开,该关的要关。
其实这里也对应到 CISSP 的 IAAA 噢!
识别(Identification)、验证(Authentication)、授权(Authorization)、问责(Accountability)
如果想要更详尽可以参考 CISSP 进阶参考线上课程:https://thorteaches.com/cissp-iaaa/
目标:限制对资讯及资讯处理设施之存取。
存取控制政策应依据营运及资讯安全要求事项,建立、文件化及审查之。
应仅提供予使用者存取其已被特定授权使用之网路及网路服务
确保经授权使用者对系统及服务之存取,并防止未经授权之存取,如:最小权限原则。
应实作正式之使用者注册及注销过程,俾能指派存取权限。
应实作正式之使用者存取权限配置程序,以对所有型式之使用者对所有系统及服务,指派或撤销存取权限。
应限制及控制具特殊存取权限之配置及使用。
应以正式之管理过程控制秘密监别资讯的配置。
资产拥有者应定期审查使用者之存取权限。
所有员工及外部使用者对资讯及资讯处理设施之存取权限,一旦其聘用、契约或协议终止时,均应予以移除;或於其聘用、契约或协议变更时均须调整之。
目标:令使用者对保全其监别资讯负责。
於使用秘密监别资讯时,应要求使用者遵循组织之实务规定。
目标:防止系统及应用遭未经授权之存取。
应依存取控制政策,限制对资讯及应用系统功能之存取。
当存取控制政策要求时,应以保全登入程序,控制对系统及应用之存取。
通行码管理系统应为互动式,并应确保严谨通行码。
其实之前稽核学校的时候,提到说台湾学术网路各级与学校资通安全,密码长度为 6 码,但资通安全规定是 8 码,这里有问过前辈,可以提口头改善建议吗?
前辈提到以主管机关的要求为主,稽核不同的组织要以不同组织的政策为主。
应限制及严密控制可能篡越系统及应用控制措施之公用程序的使用。
应限制对程序源码之存取。
国家标准(CNS)网路服务系统:https://www.cnsonline.com.tw/
Infliction 是一场互动式的噩梦,在一个看上去很正常的郊区住宅中,对潜伏其中的黑暗进行一次可怕的探索。徘徊游荡在一个曾经幸福美满的家庭的废墟里,通过阅读信件和日记、听取语音邮件和拼凑线索,来了解这些引导你来到这里的可怕事件。
Steam:https://store.steampowered.com/app/692100/Infliction/
>>: Python Callback Function 回呼函式
花了好几天终於完成了所有的基础设施,接着就可以开始部署服务以及使用了,对於k8s来说要部署服务需要的...
训练过程中可能会有关於图片的错误讯息出现,不过并不是所有图片都有问题,小部分的错误可以忽略。 如果出...
最近我们在思考怎麽在我们的 App 里加入货币系统。 参考了前辈跟《货币未来》这本书,颇受启发 直播...
Youtube 频道:https://www.youtube.com/c/kaochenlong ...
总结: 一切都是文件 在Linux里所有元素的操作(包括硬件)都是以文件表示. 统一的操作介面让程序...