- Văn bản
- Lịch sử
11.1.2 Document the Company’s Secur
11.1.2 Document the Company’s Security Policies
Policies are the foundation for everything that a security team does. Formal
policies must be created in cooperation with people from many other departments. The human resources department needs to be involved in certain
policies, especially in determining acceptable-use policies, monitoring and
privacy policies, and creating and implementing the remedies for any policy
breach. The legal department should be involved in such policies as determining whether to track and prosecute intruders and deciding how and when to
involve law enforcement when break-ins occur. Clearly, all policies need the
support of upper management.
The decisions the security team makes must be backed by policy to ensure
that the direction set by the management team is being followed in this very
sensitive area. These policies must be documented and formally approved by
the appropriate people. The security team will be asked to justify its decisions
in many areas and must be able to make decisions with the confidence it is doing so in the best interests of the company, as determined by the management
of the company, not by the security, engineering, or any other group.
Different places need different sets of policies, and, to some degree, that
set of policies will continually evolve and be added to as new situations arise.
However, the following common policies are a good place to start in building
your repertoire.
• An acceptable use policy (AUP) identifies the legitimate users of the
computer and network resources and what they are permitted to use
those resources for. The AUP may also include some explicit examples
of unacceptable use. The legitimate users of the computer and network
11.1 The Basics 277
resources are required to sign a copy of this policy, acknowledging that
they have read and agreed to it before being given access to those resources. Multiple AUPs may be in place when a company has multiple
security zones.
• The monitoring and privacy policy describes the company’s monitoring
of its computer and network resources, including activity on individual computers, network traffic, email, web browsing, audit trails, and
log monitoring. Because monitoring may be considered an invasion of
privacy, this policy should explicitly state what, if any, expectations
of privacy an individual has while using these resources. Especially in
Europe, local laws may restrict what can and can not be in this policy.
Again, each individual should read and sign a copy of this policy before
getting access to the resources.
• The remote access policy should explain the risks associated with unauthorized people gaining access to the network, describe proper precautions for the individual’s “secret” information—password, personal
identification number (PIN), and so on—and provide a way to report
lost or stolen remote access tokens so that they can be disabled quickly.
This policy should also ask for some personal information—for example, shoe size and favorite color—through which people can be identified
over the telephone. Everyone should complete and sign a copy of this
policy before being granted remote access.
• The network connectivity policy describes how the company sets up network connections to another entity or some shared resources for access
by a third party. Every company will at some point want to establish
a business relationship with another company that requires closer network access and perhaps some shared resources: an extranet. You should
prepare in advance for this eventuality. The policy should be distributed
to all levels of management and stipulate that the security team be involved as early as possible. The policy should list the various forms of
connectivity and shared resources that are supported, which offices can
support third-party connections, and what types of connections they
can support.
• The log-retentionpolicy describes what is logged and for how long. Logs
are useful for tracking security incidents after the event but take up large
amounts of space if retained indefinitely. It is also important to know
whether logs for a certain date still exist if subpoenaed for a criminal
case.
278 Chapter 11 Security Policy
Case Study: Use Better Technology Means Less Policy
The easiest policy to follow is one that has been radically simplified. For example, password policies often include guidelines for creating acceptable passwords and specifying how often they need to be changed on various classes of machines. These details
can be reduced or removed with better technology. Bell Labs’ infrastructure includes a
secure handheld authenticator (HHA) system, which eliminates passwords altogether.
What could be simpler?
❖ Handheld Authenticators An HHA, a device the size of a small calculator or a fat credit card, is used to prove that people are who they
say they are. An HHA generates a one-time password (OTP) to identify
the user. One brand of HHA displays a new 7-digit number every 30
seconds. Clocks are synchronized such that the host knows what digits
should be displayed at a given time for a particular user. The user enters
the digits instead of a password. (The HHA is protected with a PIN.)
Therefore, the computer can know that the user is who she claims to be
or at least is holding the right HHA and knows the PIN for that person.
This is more secure than a password that never, or rarely, changes.
HHAs can be used to log in to hosts, gain secure access---UNIX su
command---and even gain access to web sites. With this infrastructure
in place, password policies, become much simpler. Hosts outside the
firewall no longer require password policies, because they don’t use
plain passwords. Gaining root access securely on UNIX systems, previously difficult because of paranoia over password sniffing, is made more
feasible by virtue of HHAs combined with encryption.1 This is an example of how increased security, done correctly, made the system more
convenient.
Policies are the foundation for everything that a security team does. Formal
policies must be created in cooperation with people from many other departments. The human resources department needs to be involved in certain
policies, especially in determining acceptable-use policies, monitoring and
privacy policies, and creating and implementing the remedies for any policy
breach. The legal department should be involved in such policies as determining whether to track and prosecute intruders and deciding how and when to
involve law enforcement when break-ins occur. Clearly, all policies need the
support of upper management.
The decisions the security team makes must be backed by policy to ensure
that the direction set by the management team is being followed in this very
sensitive area. These policies must be documented and formally approved by
the appropriate people. The security team will be asked to justify its decisions
in many areas and must be able to make decisions with the confidence it is doing so in the best interests of the company, as determined by the management
of the company, not by the security, engineering, or any other group.
Different places need different sets of policies, and, to some degree, that
set of policies will continually evolve and be added to as new situations arise.
However, the following common policies are a good place to start in building
your repertoire.
• An acceptable use policy (AUP) identifies the legitimate users of the
computer and network resources and what they are permitted to use
those resources for. The AUP may also include some explicit examples
of unacceptable use. The legitimate users of the computer and network
11.1 The Basics 277
resources are required to sign a copy of this policy, acknowledging that
they have read and agreed to it before being given access to those resources. Multiple AUPs may be in place when a company has multiple
security zones.
• The monitoring and privacy policy describes the company’s monitoring
of its computer and network resources, including activity on individual computers, network traffic, email, web browsing, audit trails, and
log monitoring. Because monitoring may be considered an invasion of
privacy, this policy should explicitly state what, if any, expectations
of privacy an individual has while using these resources. Especially in
Europe, local laws may restrict what can and can not be in this policy.
Again, each individual should read and sign a copy of this policy before
getting access to the resources.
• The remote access policy should explain the risks associated with unauthorized people gaining access to the network, describe proper precautions for the individual’s “secret” information—password, personal
identification number (PIN), and so on—and provide a way to report
lost or stolen remote access tokens so that they can be disabled quickly.
This policy should also ask for some personal information—for example, shoe size and favorite color—through which people can be identified
over the telephone. Everyone should complete and sign a copy of this
policy before being granted remote access.
• The network connectivity policy describes how the company sets up network connections to another entity or some shared resources for access
by a third party. Every company will at some point want to establish
a business relationship with another company that requires closer network access and perhaps some shared resources: an extranet. You should
prepare in advance for this eventuality. The policy should be distributed
to all levels of management and stipulate that the security team be involved as early as possible. The policy should list the various forms of
connectivity and shared resources that are supported, which offices can
support third-party connections, and what types of connections they
can support.
• The log-retentionpolicy describes what is logged and for how long. Logs
are useful for tracking security incidents after the event but take up large
amounts of space if retained indefinitely. It is also important to know
whether logs for a certain date still exist if subpoenaed for a criminal
case.
278 Chapter 11 Security Policy
Case Study: Use Better Technology Means Less Policy
The easiest policy to follow is one that has been radically simplified. For example, password policies often include guidelines for creating acceptable passwords and specifying how often they need to be changed on various classes of machines. These details
can be reduced or removed with better technology. Bell Labs’ infrastructure includes a
secure handheld authenticator (HHA) system, which eliminates passwords altogether.
What could be simpler?
❖ Handheld Authenticators An HHA, a device the size of a small calculator or a fat credit card, is used to prove that people are who they
say they are. An HHA generates a one-time password (OTP) to identify
the user. One brand of HHA displays a new 7-digit number every 30
seconds. Clocks are synchronized such that the host knows what digits
should be displayed at a given time for a particular user. The user enters
the digits instead of a password. (The HHA is protected with a PIN.)
Therefore, the computer can know that the user is who she claims to be
or at least is holding the right HHA and knows the PIN for that person.
This is more secure than a password that never, or rarely, changes.
HHAs can be used to log in to hosts, gain secure access---UNIX su
command---and even gain access to web sites. With this infrastructure
in place, password policies, become much simpler. Hosts outside the
firewall no longer require password policies, because they don’t use
plain passwords. Gaining root access securely on UNIX systems, previously difficult because of paranoia over password sniffing, is made more
feasible by virtue of HHAs combined with encryption.1 This is an example of how increased security, done correctly, made the system more
convenient.
0/5000
11.1.2 tài liệu chính sách bảo mật của công tyChính sách là nền tảng cho tất cả mọi thứ mà đội bảo vệ nào. Chính thứcchính sách phải được tạo ra trong hợp tác với những người từ nhiều phòng ban khác. Tỉnh nguồn nhân lực cần phải được tham gia vào một sốchính sách, đặc biệt là trong việc xác định các chính sách sử dụng chấp nhận được, giám sát vàchính sách bảo mật, và tạo ra và thực hiện các biện pháp khắc phục cho bất kỳ chính sáchvi phạm. Bộ phận Pháp chế nên được tham gia vào các chính sách như xác định xem có nên theo dõi và truy tố những kẻ xâm nhập và quyết định như thế nào và khi đểliên quan đến việc thực thi pháp luật khi break-in xảy ra. Rõ ràng, tất cả chính sách cần cáchỗ trợ quản lý trên.Quyết định làm cho nhóm bảo mật phải được hậu thuẫn bởi chính sách để đảm bảorằng hướng thiết lập bởi đội ngũ quản lý bị theo dõi ở đây rấtkhu vực nhạy cảm. Các chính sách phải được ghi lại và chính thức được phê duyệt bởinhững người thích hợp. Nhóm bảo mật sẽ được yêu cầu để biện minh cho quyết định của nótrong nhiều lĩnh vực và phải có khả năng để đưa ra quyết định với sự tự tin nó làm như vậy vì lợi ích tốt nhất của công ty, được xác định bởi việc quản lýcủa công ty, không phải do an ninh, kỹ thuật hoặc bất kỳ nhóm nào khác.Những nơi khác nhau cần bộ khác nhau của chính sách, và, đến một mức độ, màtập hợp các chính sách sẽ tiếp tục phát triển và được thêm vào như mới tình huống phát sinh.Tuy nhiên, các chính sách phổ biến sau là một nơi tốt để bắt đầu xây dựngtiết mục của bạn.• Một chính sách sử dụng chấp nhận được (AUP) xác định những người sử dụng hợp pháp của cáctài nguyên máy tính và mạng và những gì họ được phép sử dụngCác nguồn lực cho. AUP cũng có thể bao gồm một số ví dụ rõ ràngsử dụng không được chấp nhận. Những người sử dụng hợp pháp của các máy tính và mạng11.1 phần khái niệm cơ bản 277tài nguyên được yêu cầu ký vào một bản sao của chính sách này, ghi nhận rằnghọ đã đọc và đồng ý để nó trước khi được cấp quyền truy cập để các nguồn lực. AUPs nhiều có thể thực hiện khi một công ty có nhiềuvùng bảo mật.• Chính sách giám sát và bảo mật mô tả của công ty giám sátmáy tính và tài nguyên mạng, bao gồm các hoạt động trên máy tính cá nhân, mạng lưới giao thông, email, duyệt web, những con đường mòn kiểm toán, vàNhật ký giám sát. Bởi vì theo dõi có thể được coi là một cuộc xâm lược củasự riêng tư, chính sách này nên rõ ràng những gì, nếu bất kỳ, kỳ vọngquyền riêng tư cá nhân có trong khi sử dụng các nguồn tài nguyên. Đặc biệt là trongChâu Âu, luật pháp địa phương có thể hạn chế những gì có thể và không thể hiển thị trong chính sách này.Một lần nữa, mỗi cá nhân nên đọc và đăng một bản sao của chính sách này trước khiviệc truy cập vào các nguồn tài nguyên.• Chính sách truy nhập từ xa cần giải thích các rủi ro liên quan với trái phép người đạt được quyền truy cập vào mạng, mô tả biện pháp phòng ngừa thích hợp cho các cá nhân "bí mật" thông tin-mật khẩu, cá nhânsố nhận dạng (PIN), và như vậy- và cung cấp một cách để báo cáobị mất hoặc bị đánh cắp truy nhập từ xa hiệu vì vậy rằng họ có thể bị vô hiệu hóa một cách nhanh chóng.Chính sách này cũng nên yêu cầu một số thông tin cá nhân — ví dụ, Đánh giày kích thước và màu sắc ưa thích-thông qua mà mọi người có thể được xác địnhqua điện thoại. Tất cả mọi người nên hoàn thành và đăng một bản sao của điều nàychính sách trước khi được cấp quyền truy cập từ xa.• Chính sách kết nối mạng mô tả làm thế nào công ty thiết lập kết nối mạng để tổ chức một hoặc một số tài nguyên được chia sẻ cho truy cậpbởi một bên thứ ba. Mỗi công ty sẽ tại một số điểm muốn thiết lậpchia sẻ một mối quan hệ kinh doanh với một công ty khác mà yêu cầu truy cập mạng địa điểm gần nhất và có lẽ một số tài nguyên: một extranet. Bạn nênchuẩn bị trước cho ngâu nhiên này. Chính sách này nên được phân phốiđể tất cả các cấp quản lý và kèm nhóm bảo mật có thể tham gia càng sớm càng tốt. Chính sách nên liệt kê các hình thức khác nhau củakết nối và các nguồn lực được chia sẻ được hỗ trợ, mà văn phòng có thểhỗ trợ kết nối bên thứ ba, và những gì loại kết nối họcó thể hỗ trợ.• Đăng nhập-retentionpolicy mô tả những gì là đăng nhập và trong bao lâu. Nhật kýhữu ích cho việc theo dõi sự cố an ninh sau khi sự kiện này nhưng mất đến lớnsố tiền của không gian nếu giữ lại vô thời hạn. Nó cũng là quan trọng để biếtcho dù các bản ghi cho một ngày nhất định vẫn còn tồn tại nếu subpoenaed cho một tội phạmtrường hợp.278 chương 11 an ninh chính sáchTrường hợp nghiên cứu: Sử dụng công nghệ tốt hơn có nghĩa là ít hơn chính sáchChính sách đơn giản nhất để làm theo là một trong đó đã được triệt để đơn giản hóa. Ví dụ: chính sách mật khẩu thường bao gồm các hướng dẫn cho việc tạo ra chấp nhận được mật khẩu và xác định như thế nào thường họ cần phải được thay đổi trên các lớp học khác nhau của máy. Những chi tiếtcó thể được giảm hoặc loại bỏ với công nghệ tốt hơn. Cơ sở hạ tầng của phòng thí nghiệm Bell bao gồm mộtHệ thống nhận thực cầm tay an toàn (HHA), trong đó loại bỏ mật khẩu hoàn toàn.Những gì có thể đơn giản hơn?❖ cầm tay Authenticators An HHA, một thiết bị kích thước của một máy tính nhỏ hay một thẻ tín dụng chất béo, được sử dụng để chứng minh rằng người dân là những người mà họnói họ là. Một HHA tạo ra một mật khẩu thời gian (OTP) để xác địnhngười sử dụng. Một trong những thương hiệu của HHA Hiển thị một số 7 chữ số mới mỗi 30giây. Đồng hồ được đồng bộ hoá như vậy mà các máy chủ biết những chữ sốsẽ được hiển thị tại một thời điểm nhất định cho một người dùng cụ thể. Người dùng nhậpcác chữ số thay vì một mật khẩu. (HHA được bảo vệ với một PIN.)Do đó, máy tính có thể biết rằng người dùng là người cô tuyên bố làhoặc ít nhất là đang nắm giữ quyền HHA và biết mã PIN cho người đó.Điều này là an toàn hơn một mật khẩu mà không bao giờ, hoặc hiếm khi, thay đổi.HHAs có thể được sử dụng để đăng nhập vào máy chủ, được truy cập an toàn---UNIX sulệnh---và thậm chí được truy cập vào các trang web. Với cơ sở hạ tầng nàytại chỗ, chính sách mật khẩu, trở nên đơn giản hơn nhiều. Tổ chức bên ngoài cáctường lửa không còn yêu cầu chính sách mật khẩu, bởi vì họ không sử dụngđồng bằng mật khẩu. Đạt được quyền root một cách an toàn trên hệ thống UNIX, trước đó khó khăn vì các hoang tưởng trong mật khẩu sniffing, được thực hiện thêmkhả thi bởi Đức hạnh của HHAs kết hợp với encryption.1 đây là một ví dụ về làm thế nào sự an toàn, thực hiện một cách chính xác, làm cho hệ thống nhiều hơn nữathuận tiện.
đang được dịch, vui lòng đợi..
11.1.2 Tài liệu chính sách bảo mật của công ty
Chính sách này là nền tảng cho mọi thứ mà một đội ngũ an ninh nào. Chính
sách phải được tạo ra trong hợp tác với mọi người từ nhiều khoa khác. Các bộ phận nguồn nhân lực cần phải được tham gia vào một số
chính sách, đặc biệt là trong việc xác định các chính sách chấp nhận sử dụng, giám sát và
chính sách bảo mật, và việc tạo ra và thực hiện các biện pháp khắc phục đối với bất kỳ chính sách
vi phạm. Các bộ phận pháp lý nên tham gia vào các chính sách như việc xác định liệu để theo dõi và truy tố những kẻ xâm nhập và quyết định như thế nào và khi nào
liên quan đến việc thực thi pháp luật khi break-ins xảy ra. Rõ ràng, tất cả các chính sách cần
hỗ trợ của quản lý cấp trên.
Các quyết định của đội ngũ an ninh làm phải được hỗ trợ bởi chính sách để đảm bảo
rằng sự chỉ đạo đặt bởi đội ngũ quản lý đang được theo dõi trong rất này
khu vực nhạy cảm. Các chính sách này phải được ghi chép và chính thức phê chuẩn bởi
những người thích hợp. Các nhóm bảo mật sẽ được yêu cầu để biện minh cho quyết định của mình
trong nhiều lĩnh vực và phải có khả năng đưa ra quyết định với sự tự tin nó là làm như vậy vì lợi ích tốt nhất của công ty, được xác định bởi sự quản lý
của công ty, không phải do an ninh, kỹ thuật , hoặc bất kỳ nhóm nào khác.
những nơi khác nhau cần bộ khác nhau của chính sách, và ở mức độ nào, mà
tập hợp các chính sách sẽ liên tục phát triển và được thêm vào như những tình huống mới phát sinh.
Tuy nhiên, các chính sách phổ biến sau đây là một nơi tốt để bắt đầu xây dựng
tiết mục của bạn.
• Một chính sách sử dụng chấp nhận được (AUP) xác định người sử dụng hợp pháp của các
máy tính và các tài nguyên mạng và những gì họ được phép sử dụng
những nguồn lực cho. AUP cũng có thể bao gồm một số ví dụ rõ ràng
của việc sử dụng không thể chấp nhận. Người sử dụng hợp pháp của máy tính và mạng
11.1 Khái niệm cơ bản 277
tài nguyên được yêu cầu ký vào một bản sao của chính sách này, thừa nhận rằng
họ đã đọc và đồng ý với nó trước khi được phép truy cập đến các tài nguyên. Nhiều Aups có thể ở chỗ khi một công ty có nhiều
khu vực an ninh.
• Các chính sách giám sát và bảo mật mô tả giám sát của công ty
máy tính và tài nguyên mạng của nó, bao gồm cả các hoạt động trên máy tính cá nhân, mạng lưới giao thông, email, duyệt web, những con đường mòn kiểm toán, và
log giám sát. Bởi vì giám sát có thể được coi là một cuộc xâm lược của
riêng tư, chính sách này cần nêu một cách rõ ràng những gì, nếu có, kỳ vọng
về sự riêng tư cá nhân có trong khi sử dụng các nguồn lực này. Đặc biệt là ở
châu Âu, luật pháp địa phương có thể hạn chế những gì có thể và không thể ở trong chính sách này.
Một lần nữa, mỗi cá nhân cần phải đọc và ký một bản sao của chính sách này trước khi
nhận được quyền truy cập vào các nguồn tài nguyên.
• Các chính sách truy cập từ xa nên giải thích những rủi ro liên quan trái phép người đạt được quyền truy cập vào mạng, mô tả biện pháp phòng ngừa thích hợp cho các cá nhân "bí mật" thông tin mật khẩu, cá nhân
mã số (PIN), và như vậy trên và cung cấp một cách để báo cáo
thẻ truy cập từ xa bị mất hoặc bị đánh cắp để họ có thể được vô hiệu hóa một cách nhanh chóng .
Chính sách này cũng nên yêu cầu đối với một số cá nhân ví dụ thông tin-cho, cỡ giầy và yêu thích màu sắc qua đó người dân có thể được xác định
qua điện thoại. Mọi người nên điền và ký một bản sao này
chính sách trước khi được cấp quyền truy cập từ xa.
• Các chính sách kết nối mạng mô tả cách các công ty thiết lập các kết nối mạng để thực thể khác hoặc một số tài nguyên được chia sẻ để truy cập
bởi một bên thứ ba. Mỗi công ty sẽ tại một số điểm tôi muốn thiết lập
một mối quan hệ kinh doanh với một công ty khác mà yêu cầu truy cập mạng gần hơn và có lẽ một số tài nguyên chia sẻ: một extranet. Bạn nên
chuẩn bị trước cho tình huống này. Chính sách phải được phân phối
cho tất cả các cấp quản lý và quy định rằng đội an ninh được tham gia càng sớm càng tốt. Chính sách phải liệt kê các hình thức khác nhau của
kết nối và chia sẻ tài nguyên được hỗ trợ, trong đó văn phòng có thể
hỗ trợ các kết nối của bên thứ ba, và những gì loại kết nối mà họ
có thể hỗ trợ.
• Các log-retentionpolicy mô tả những gì được đăng nhập và trong bao lâu. Logs
là hữu ích cho việc theo dõi sự cố an ninh sau sự kiện này nhưng mất lớn
số tiền của không gian, nếu giữ lại vô thời hạn. Nó cũng quan trọng để biết
liệu các bản ghi cho một ngày nào đó vẫn còn tồn tại nếu triệu tập cho một tội phạm
trường hợp.
278 Chương 11 Chính sách An ninh
Trường hợp nghiên cứu: Sử dụng phương tiện công nghệ tốt hơn Ít Chính sách
Chính sách dễ nhất để làm theo là một trong đó đã được đơn giản hóa triệt để. Ví dụ, chính sách mật khẩu thường bao gồm các hướng dẫn cho việc tạo mật khẩu chấp nhận được và xác định mức độ thường xuyên cần phải được thay đổi vào các lớp khác nhau của máy. Những chi tiết
có thể được cắt giảm hoặc bỏ với công nghệ tốt hơn. Cơ sở hạ tầng của Bell Labs đã bao gồm một
hệ thống an toàn xác thực cầm tay (hha), mà loại bỏ mật khẩu hoàn toàn.
Điều gì có thể được đơn giản?
❖ Handheld authenticators An hha, một thiết bị kích thước của một máy tính nhỏ hoặc thẻ tín dụng chất béo, được sử dụng để chứng minh rằng những người là những người mà họ
nói họ đang có. An hha tạo ra một mật khẩu một lần (OTP) để xác định
người sử dụng. Một thương hiệu của hha hiển thị một số gồm 7 chữ số mới mỗi 30
giây. Đồng hồ được đồng bộ như vậy mà chủ nhà biết những gì chữ số
sẽ được hiển thị tại một thời gian nhất định cho một người dùng cụ thể. Người dùng nhập vào
các chữ số thay vì một mật khẩu. (Các hha được bảo vệ với mã PIN).
Do đó, các máy tính có thể biết rằng người dùng là người mà cô ấy tuyên bố là
hoặc ít nhất là giữ đúng hha và biết mã PIN cho người đó.
Đây là an toàn hơn một mật khẩu mà không bao giờ , hoặc hiếm khi thay đổi.
HHAs có thể được sử dụng để đăng nhập vào máy chủ, truy cập an toàn --- UNIX su
lệnh --- và thậm chí được truy cập vào các trang web. Với cơ sở hạ tầng này
tại chỗ, chính sách mật khẩu, trở thành đơn giản hơn nhiều. Hosts bên ngoài
tường lửa không còn cần những chính sách mật khẩu, bởi vì họ không sử dụng
mật khẩu đồng bằng. Tăng quyền truy cập root cách an toàn trên hệ thống UNIX, trước đây rất khó khăn vì hoang tưởng về mật khẩu đánh hơi, là đã tạo thêm
khả thi bởi đức hạnh của HHAs kết hợp với encryption.1 Đây là một ví dụ về cách tăng an ninh, thực hiện một cách chính xác, làm cho hệ thống nhiều hơn
thuận lợi.
Chính sách này là nền tảng cho mọi thứ mà một đội ngũ an ninh nào. Chính
sách phải được tạo ra trong hợp tác với mọi người từ nhiều khoa khác. Các bộ phận nguồn nhân lực cần phải được tham gia vào một số
chính sách, đặc biệt là trong việc xác định các chính sách chấp nhận sử dụng, giám sát và
chính sách bảo mật, và việc tạo ra và thực hiện các biện pháp khắc phục đối với bất kỳ chính sách
vi phạm. Các bộ phận pháp lý nên tham gia vào các chính sách như việc xác định liệu để theo dõi và truy tố những kẻ xâm nhập và quyết định như thế nào và khi nào
liên quan đến việc thực thi pháp luật khi break-ins xảy ra. Rõ ràng, tất cả các chính sách cần
hỗ trợ của quản lý cấp trên.
Các quyết định của đội ngũ an ninh làm phải được hỗ trợ bởi chính sách để đảm bảo
rằng sự chỉ đạo đặt bởi đội ngũ quản lý đang được theo dõi trong rất này
khu vực nhạy cảm. Các chính sách này phải được ghi chép và chính thức phê chuẩn bởi
những người thích hợp. Các nhóm bảo mật sẽ được yêu cầu để biện minh cho quyết định của mình
trong nhiều lĩnh vực và phải có khả năng đưa ra quyết định với sự tự tin nó là làm như vậy vì lợi ích tốt nhất của công ty, được xác định bởi sự quản lý
của công ty, không phải do an ninh, kỹ thuật , hoặc bất kỳ nhóm nào khác.
những nơi khác nhau cần bộ khác nhau của chính sách, và ở mức độ nào, mà
tập hợp các chính sách sẽ liên tục phát triển và được thêm vào như những tình huống mới phát sinh.
Tuy nhiên, các chính sách phổ biến sau đây là một nơi tốt để bắt đầu xây dựng
tiết mục của bạn.
• Một chính sách sử dụng chấp nhận được (AUP) xác định người sử dụng hợp pháp của các
máy tính và các tài nguyên mạng và những gì họ được phép sử dụng
những nguồn lực cho. AUP cũng có thể bao gồm một số ví dụ rõ ràng
của việc sử dụng không thể chấp nhận. Người sử dụng hợp pháp của máy tính và mạng
11.1 Khái niệm cơ bản 277
tài nguyên được yêu cầu ký vào một bản sao của chính sách này, thừa nhận rằng
họ đã đọc và đồng ý với nó trước khi được phép truy cập đến các tài nguyên. Nhiều Aups có thể ở chỗ khi một công ty có nhiều
khu vực an ninh.
• Các chính sách giám sát và bảo mật mô tả giám sát của công ty
máy tính và tài nguyên mạng của nó, bao gồm cả các hoạt động trên máy tính cá nhân, mạng lưới giao thông, email, duyệt web, những con đường mòn kiểm toán, và
log giám sát. Bởi vì giám sát có thể được coi là một cuộc xâm lược của
riêng tư, chính sách này cần nêu một cách rõ ràng những gì, nếu có, kỳ vọng
về sự riêng tư cá nhân có trong khi sử dụng các nguồn lực này. Đặc biệt là ở
châu Âu, luật pháp địa phương có thể hạn chế những gì có thể và không thể ở trong chính sách này.
Một lần nữa, mỗi cá nhân cần phải đọc và ký một bản sao của chính sách này trước khi
nhận được quyền truy cập vào các nguồn tài nguyên.
• Các chính sách truy cập từ xa nên giải thích những rủi ro liên quan trái phép người đạt được quyền truy cập vào mạng, mô tả biện pháp phòng ngừa thích hợp cho các cá nhân "bí mật" thông tin mật khẩu, cá nhân
mã số (PIN), và như vậy trên và cung cấp một cách để báo cáo
thẻ truy cập từ xa bị mất hoặc bị đánh cắp để họ có thể được vô hiệu hóa một cách nhanh chóng .
Chính sách này cũng nên yêu cầu đối với một số cá nhân ví dụ thông tin-cho, cỡ giầy và yêu thích màu sắc qua đó người dân có thể được xác định
qua điện thoại. Mọi người nên điền và ký một bản sao này
chính sách trước khi được cấp quyền truy cập từ xa.
• Các chính sách kết nối mạng mô tả cách các công ty thiết lập các kết nối mạng để thực thể khác hoặc một số tài nguyên được chia sẻ để truy cập
bởi một bên thứ ba. Mỗi công ty sẽ tại một số điểm tôi muốn thiết lập
một mối quan hệ kinh doanh với một công ty khác mà yêu cầu truy cập mạng gần hơn và có lẽ một số tài nguyên chia sẻ: một extranet. Bạn nên
chuẩn bị trước cho tình huống này. Chính sách phải được phân phối
cho tất cả các cấp quản lý và quy định rằng đội an ninh được tham gia càng sớm càng tốt. Chính sách phải liệt kê các hình thức khác nhau của
kết nối và chia sẻ tài nguyên được hỗ trợ, trong đó văn phòng có thể
hỗ trợ các kết nối của bên thứ ba, và những gì loại kết nối mà họ
có thể hỗ trợ.
• Các log-retentionpolicy mô tả những gì được đăng nhập và trong bao lâu. Logs
là hữu ích cho việc theo dõi sự cố an ninh sau sự kiện này nhưng mất lớn
số tiền của không gian, nếu giữ lại vô thời hạn. Nó cũng quan trọng để biết
liệu các bản ghi cho một ngày nào đó vẫn còn tồn tại nếu triệu tập cho một tội phạm
trường hợp.
278 Chương 11 Chính sách An ninh
Trường hợp nghiên cứu: Sử dụng phương tiện công nghệ tốt hơn Ít Chính sách
Chính sách dễ nhất để làm theo là một trong đó đã được đơn giản hóa triệt để. Ví dụ, chính sách mật khẩu thường bao gồm các hướng dẫn cho việc tạo mật khẩu chấp nhận được và xác định mức độ thường xuyên cần phải được thay đổi vào các lớp khác nhau của máy. Những chi tiết
có thể được cắt giảm hoặc bỏ với công nghệ tốt hơn. Cơ sở hạ tầng của Bell Labs đã bao gồm một
hệ thống an toàn xác thực cầm tay (hha), mà loại bỏ mật khẩu hoàn toàn.
Điều gì có thể được đơn giản?
❖ Handheld authenticators An hha, một thiết bị kích thước của một máy tính nhỏ hoặc thẻ tín dụng chất béo, được sử dụng để chứng minh rằng những người là những người mà họ
nói họ đang có. An hha tạo ra một mật khẩu một lần (OTP) để xác định
người sử dụng. Một thương hiệu của hha hiển thị một số gồm 7 chữ số mới mỗi 30
giây. Đồng hồ được đồng bộ như vậy mà chủ nhà biết những gì chữ số
sẽ được hiển thị tại một thời gian nhất định cho một người dùng cụ thể. Người dùng nhập vào
các chữ số thay vì một mật khẩu. (Các hha được bảo vệ với mã PIN).
Do đó, các máy tính có thể biết rằng người dùng là người mà cô ấy tuyên bố là
hoặc ít nhất là giữ đúng hha và biết mã PIN cho người đó.
Đây là an toàn hơn một mật khẩu mà không bao giờ , hoặc hiếm khi thay đổi.
HHAs có thể được sử dụng để đăng nhập vào máy chủ, truy cập an toàn --- UNIX su
lệnh --- và thậm chí được truy cập vào các trang web. Với cơ sở hạ tầng này
tại chỗ, chính sách mật khẩu, trở thành đơn giản hơn nhiều. Hosts bên ngoài
tường lửa không còn cần những chính sách mật khẩu, bởi vì họ không sử dụng
mật khẩu đồng bằng. Tăng quyền truy cập root cách an toàn trên hệ thống UNIX, trước đây rất khó khăn vì hoang tưởng về mật khẩu đánh hơi, là đã tạo thêm
khả thi bởi đức hạnh của HHAs kết hợp với encryption.1 Đây là một ví dụ về cách tăng an ninh, thực hiện một cách chính xác, làm cho hệ thống nhiều hơn
thuận lợi.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- không thể thay đổi được công ty khi bộ p
- and go back to Baghdad
- nhũ bạc
- PROCEDURE ?(1) After 30 minutes withdraw
- sắp xếp thời gian hợp lýđồng hồ có thể t
- If someone came here once to make unforg
- Tôi đói
- 这个世界上,只有一种人会变竖瞳。 “妈的,我们抓住了一个向导!”老斑鸠用颤抖的声
- sắp xếp thời gian hợp lýđồng hồ có thể t
- People see your ad as they are searching
- 78 Chapter 11 Security PolicyCase Study:
- What does the boy decide to buy for his
- - cho vào 1/2 muỗng cà phê bột ngọt, 1 m
- Not so good news
- Nắng sẽ vẫn vàng ở Paris, tiếng đàn Acor
- dù thời gian có trôi qua thì trên cuộc đ
- hai người phụ nữ trung niên cùng mặc bộ
- All invertebrates have an open circulato
- hai người phụ nữ trung niên cùng mặc bộ
- dù thời gian có trôi qua thì trên cuộc đ
- This is because they often represent mar
- 更加不在乎什么玉簪, 玉佩这一些玩物
- This is because they often represent mar
- Jako Corporation has 25 jobs ... for sec
