- Văn bản
- Lịch sử
11.1.2 Document the Company’s Secur
11.1.2 Document the Company’s Security Policies
Policies are the foundation for everything that a security team does. Formal
policies must be created in cooperation with people from many other departments. The human resources department needs to be involved in certain
policies, especially in determining acceptable-use policies, monitoring and
privacy policies, and creating and implementing the remedies for any policy
breach. The legal department should be involved in such policies as determining whether to track and prosecute intruders and deciding how and when to
involve law enforcement when break-ins occur. Clearly, all policies need the
support of upper management.
The decisions the security team makes must be backed by policy to ensure
that the direction set by the management team is being followed in this very
sensitive area. These policies must be documented and formally approved by
the appropriate people. The security team will be asked to justify its decisions
in many areas and must be able to make decisions with the confidence it is doing so in the best interests of the company, as determined by the management
of the company, not by the security, engineering, or any other group.
Different places need different sets of policies, and, to some degree, that
set of policies will continually evolve and be added to as new situations arise.
However, the following common policies are a good place to start in building
your repertoire.
• An acceptable use policy (AUP) identifies the legitimate users of the
computer and network resources and what they are permitted to use
those resources for. The AUP may also include some explicit examples
of unacceptable use. The legitimate users of the computer and network
11.1 The Basics 277
resources are required to sign a copy of this policy, acknowledging that
they have read and agreed to it before being given access to those resources. Multiple AUPs may be in place when a company has multiple
security zones.
• The monitoring and privacy policy describes the company’s monitoring
of its computer and network resources, including activity on individual computers, network traffic, email, web browsing, audit trails, and
log monitoring. Because monitoring may be considered an invasion of
privacy, this policy should explicitly state what, if any, expectations
of privacy an individual has while using these resources. Especially in
Europe, local laws may restrict what can and can not be in this policy.
Again, each individual should read and sign a copy of this policy before
getting access to the resources.
• The remote access policy should explain the risks associated with unauthorized people gaining access to the network, describe proper precautions for the individual’s “secret” information—password, personal
identification number (PIN), and so on—and provide a way to report
lost or stolen remote access tokens so that they can be disabled quickly.
This policy should also ask for some personal information—for example, shoe size and favorite color—through which people can be identified
over the telephone. Everyone should complete and sign a copy of this
policy before being granted remote access.
• The network connectivity policy describes how the company sets up network connections to another entity or some shared resources for access
by a third party. Every company will at some point want to establish
a business relationship with another company that requires closer network access and perhaps some shared resources: an extranet. You should
prepare in advance for this eventuality. The policy should be distributed
to all levels of management and stipulate that the security team be involved as early as possible. The policy should list the various forms of
connectivity and shared resources that are supported, which offices can
support third-party connections, and what types of connections they
can support.
• The log-retentionpolicy describes what is logged and for how long. Logs
are useful for tracking security incidents after the event but take up large
amounts of space if retained indefinitely. It is also important to know
whether logs for a certain date still exist if subpoenaed for a criminal
case.
278 Chapter 11 Security Policy
Case Study: Use Better Technology Means Less Policy
The easiest policy to follow is one that has been radically simplified. For example, password policies often include guidelines for creating acceptable passwords and specifying how often they need to be changed on various classes of machines. These details
can be reduced or removed with better technology. Bell Labs’ infrastructure includes a
secure handheld authenticator (HHA) system, which eliminates passwords altogether.
What could be simpler?
❖ Handheld Authenticators An HHA, a device the size of a small calculator or a fat credit card, is used to prove that people are who they
say they are. An HHA generates a one-time password (OTP) to identify
the user. One brand of HHA displays a new 7-digit number every 30
seconds. Clocks are synchronized such that the host knows what digits
should be displayed at a given time for a particular user. The user enters
the digits instead of a password. (The HHA is protected with a PIN.)
Therefore, the computer can know that the user is who she claims to be
or at least is holding the right HHA and knows the PIN for that person.
This is more secure than a password that never, or rarely, changes.
HHAs can be used to log in to hosts, gain secure access---UNIX su
command---and even gain access to web sites. With this infrastructure
in place, password policies, become much simpler. Hosts outside the
firewall no longer require password policies, because they don’t use
plain passwords. Gaining root access securely on UNIX systems, previously difficult because of paranoia over password sniffing, is made more
feasible by virtue of HHAs combined with encryption.1 This is an example of how increased security, done correctly, made the system more
convenient.
Policies are the foundation for everything that a security team does. Formal
policies must be created in cooperation with people from many other departments. The human resources department needs to be involved in certain
policies, especially in determining acceptable-use policies, monitoring and
privacy policies, and creating and implementing the remedies for any policy
breach. The legal department should be involved in such policies as determining whether to track and prosecute intruders and deciding how and when to
involve law enforcement when break-ins occur. Clearly, all policies need the
support of upper management.
The decisions the security team makes must be backed by policy to ensure
that the direction set by the management team is being followed in this very
sensitive area. These policies must be documented and formally approved by
the appropriate people. The security team will be asked to justify its decisions
in many areas and must be able to make decisions with the confidence it is doing so in the best interests of the company, as determined by the management
of the company, not by the security, engineering, or any other group.
Different places need different sets of policies, and, to some degree, that
set of policies will continually evolve and be added to as new situations arise.
However, the following common policies are a good place to start in building
your repertoire.
• An acceptable use policy (AUP) identifies the legitimate users of the
computer and network resources and what they are permitted to use
those resources for. The AUP may also include some explicit examples
of unacceptable use. The legitimate users of the computer and network
11.1 The Basics 277
resources are required to sign a copy of this policy, acknowledging that
they have read and agreed to it before being given access to those resources. Multiple AUPs may be in place when a company has multiple
security zones.
• The monitoring and privacy policy describes the company’s monitoring
of its computer and network resources, including activity on individual computers, network traffic, email, web browsing, audit trails, and
log monitoring. Because monitoring may be considered an invasion of
privacy, this policy should explicitly state what, if any, expectations
of privacy an individual has while using these resources. Especially in
Europe, local laws may restrict what can and can not be in this policy.
Again, each individual should read and sign a copy of this policy before
getting access to the resources.
• The remote access policy should explain the risks associated with unauthorized people gaining access to the network, describe proper precautions for the individual’s “secret” information—password, personal
identification number (PIN), and so on—and provide a way to report
lost or stolen remote access tokens so that they can be disabled quickly.
This policy should also ask for some personal information—for example, shoe size and favorite color—through which people can be identified
over the telephone. Everyone should complete and sign a copy of this
policy before being granted remote access.
• The network connectivity policy describes how the company sets up network connections to another entity or some shared resources for access
by a third party. Every company will at some point want to establish
a business relationship with another company that requires closer network access and perhaps some shared resources: an extranet. You should
prepare in advance for this eventuality. The policy should be distributed
to all levels of management and stipulate that the security team be involved as early as possible. The policy should list the various forms of
connectivity and shared resources that are supported, which offices can
support third-party connections, and what types of connections they
can support.
• The log-retentionpolicy describes what is logged and for how long. Logs
are useful for tracking security incidents after the event but take up large
amounts of space if retained indefinitely. It is also important to know
whether logs for a certain date still exist if subpoenaed for a criminal
case.
278 Chapter 11 Security Policy
Case Study: Use Better Technology Means Less Policy
The easiest policy to follow is one that has been radically simplified. For example, password policies often include guidelines for creating acceptable passwords and specifying how often they need to be changed on various classes of machines. These details
can be reduced or removed with better technology. Bell Labs’ infrastructure includes a
secure handheld authenticator (HHA) system, which eliminates passwords altogether.
What could be simpler?
❖ Handheld Authenticators An HHA, a device the size of a small calculator or a fat credit card, is used to prove that people are who they
say they are. An HHA generates a one-time password (OTP) to identify
the user. One brand of HHA displays a new 7-digit number every 30
seconds. Clocks are synchronized such that the host knows what digits
should be displayed at a given time for a particular user. The user enters
the digits instead of a password. (The HHA is protected with a PIN.)
Therefore, the computer can know that the user is who she claims to be
or at least is holding the right HHA and knows the PIN for that person.
This is more secure than a password that never, or rarely, changes.
HHAs can be used to log in to hosts, gain secure access---UNIX su
command---and even gain access to web sites. With this infrastructure
in place, password policies, become much simpler. Hosts outside the
firewall no longer require password policies, because they don’t use
plain passwords. Gaining root access securely on UNIX systems, previously difficult because of paranoia over password sniffing, is made more
feasible by virtue of HHAs combined with encryption.1 This is an example of how increased security, done correctly, made the system more
convenient.
0/5000
11.1.2 Document the Company’s Security PoliciesPolicies are the foundation for everything that a security team does. Formalpolicies must be created in cooperation with people from many other departments. The human resources department needs to be involved in certainpolicies, especially in determining acceptable-use policies, monitoring andprivacy policies, and creating and implementing the remedies for any policybreach. The legal department should be involved in such policies as determining whether to track and prosecute intruders and deciding how and when toinvolve law enforcement when break-ins occur. Clearly, all policies need thesupport of upper management.The decisions the security team makes must be backed by policy to ensurethat the direction set by the management team is being followed in this verysensitive area. These policies must be documented and formally approved bythe appropriate people. The security team will be asked to justify its decisionsin many areas and must be able to make decisions with the confidence it is doing so in the best interests of the company, as determined by the managementof the company, not by the security, engineering, or any other group.Different places need different sets of policies, and, to some degree, thatset of policies will continually evolve and be added to as new situations arise.However, the following common policies are a good place to start in buildingyour repertoire.
• An acceptable use policy (AUP) identifies the legitimate users of the
computer and network resources and what they are permitted to use
those resources for. The AUP may also include some explicit examples
of unacceptable use. The legitimate users of the computer and network
11.1 The Basics 277
resources are required to sign a copy of this policy, acknowledging that
they have read and agreed to it before being given access to those resources. Multiple AUPs may be in place when a company has multiple
security zones.
• The monitoring and privacy policy describes the company’s monitoring
of its computer and network resources, including activity on individual computers, network traffic, email, web browsing, audit trails, and
log monitoring. Because monitoring may be considered an invasion of
privacy, this policy should explicitly state what, if any, expectations
of privacy an individual has while using these resources. Especially in
Europe, local laws may restrict what can and can not be in this policy.
Again, each individual should read and sign a copy of this policy before
getting access to the resources.
• The remote access policy should explain the risks associated with unauthorized people gaining access to the network, describe proper precautions for the individual’s “secret” information—password, personal
identification number (PIN), and so on—and provide a way to report
lost or stolen remote access tokens so that they can be disabled quickly.
This policy should also ask for some personal information—for example, shoe size and favorite color—through which people can be identified
over the telephone. Everyone should complete and sign a copy of this
policy before being granted remote access.
• The network connectivity policy describes how the company sets up network connections to another entity or some shared resources for access
by a third party. Every company will at some point want to establish
a business relationship with another company that requires closer network access and perhaps some shared resources: an extranet. You should
prepare in advance for this eventuality. The policy should be distributed
to all levels of management and stipulate that the security team be involved as early as possible. The policy should list the various forms of
connectivity and shared resources that are supported, which offices can
support third-party connections, and what types of connections they
can support.
• The log-retentionpolicy describes what is logged and for how long. Logs
are useful for tracking security incidents after the event but take up large
amounts of space if retained indefinitely. It is also important to know
whether logs for a certain date still exist if subpoenaed for a criminal
case.
278 Chapter 11 Security Policy
Case Study: Use Better Technology Means Less Policy
The easiest policy to follow is one that has been radically simplified. For example, password policies often include guidelines for creating acceptable passwords and specifying how often they need to be changed on various classes of machines. These details
can be reduced or removed with better technology. Bell Labs’ infrastructure includes a
secure handheld authenticator (HHA) system, which eliminates passwords altogether.
What could be simpler?
❖ Handheld Authenticators An HHA, a device the size of a small calculator or a fat credit card, is used to prove that people are who they
say they are. An HHA generates a one-time password (OTP) to identify
the user. One brand of HHA displays a new 7-digit number every 30
seconds. Clocks are synchronized such that the host knows what digits
should be displayed at a given time for a particular user. The user enters
the digits instead of a password. (The HHA is protected with a PIN.)
Therefore, the computer can know that the user is who she claims to be
or at least is holding the right HHA and knows the PIN for that person.
This is more secure than a password that never, or rarely, changes.
HHAs can be used to log in to hosts, gain secure access---UNIX su
command---and even gain access to web sites. With this infrastructure
in place, password policies, become much simpler. Hosts outside the
firewall no longer require password policies, because they don’t use
plain passwords. Gaining root access securely on UNIX systems, previously difficult because of paranoia over password sniffing, is made more
feasible by virtue of HHAs combined with encryption.1 This is an example of how increased security, done correctly, made the system more
convenient.
• An acceptable use policy (AUP) identifies the legitimate users of the
computer and network resources and what they are permitted to use
those resources for. The AUP may also include some explicit examples
of unacceptable use. The legitimate users of the computer and network
11.1 The Basics 277
resources are required to sign a copy of this policy, acknowledging that
they have read and agreed to it before being given access to those resources. Multiple AUPs may be in place when a company has multiple
security zones.
• The monitoring and privacy policy describes the company’s monitoring
of its computer and network resources, including activity on individual computers, network traffic, email, web browsing, audit trails, and
log monitoring. Because monitoring may be considered an invasion of
privacy, this policy should explicitly state what, if any, expectations
of privacy an individual has while using these resources. Especially in
Europe, local laws may restrict what can and can not be in this policy.
Again, each individual should read and sign a copy of this policy before
getting access to the resources.
• The remote access policy should explain the risks associated with unauthorized people gaining access to the network, describe proper precautions for the individual’s “secret” information—password, personal
identification number (PIN), and so on—and provide a way to report
lost or stolen remote access tokens so that they can be disabled quickly.
This policy should also ask for some personal information—for example, shoe size and favorite color—through which people can be identified
over the telephone. Everyone should complete and sign a copy of this
policy before being granted remote access.
• The network connectivity policy describes how the company sets up network connections to another entity or some shared resources for access
by a third party. Every company will at some point want to establish
a business relationship with another company that requires closer network access and perhaps some shared resources: an extranet. You should
prepare in advance for this eventuality. The policy should be distributed
to all levels of management and stipulate that the security team be involved as early as possible. The policy should list the various forms of
connectivity and shared resources that are supported, which offices can
support third-party connections, and what types of connections they
can support.
• The log-retentionpolicy describes what is logged and for how long. Logs
are useful for tracking security incidents after the event but take up large
amounts of space if retained indefinitely. It is also important to know
whether logs for a certain date still exist if subpoenaed for a criminal
case.
278 Chapter 11 Security Policy
Case Study: Use Better Technology Means Less Policy
The easiest policy to follow is one that has been radically simplified. For example, password policies often include guidelines for creating acceptable passwords and specifying how often they need to be changed on various classes of machines. These details
can be reduced or removed with better technology. Bell Labs’ infrastructure includes a
secure handheld authenticator (HHA) system, which eliminates passwords altogether.
What could be simpler?
❖ Handheld Authenticators An HHA, a device the size of a small calculator or a fat credit card, is used to prove that people are who they
say they are. An HHA generates a one-time password (OTP) to identify
the user. One brand of HHA displays a new 7-digit number every 30
seconds. Clocks are synchronized such that the host knows what digits
should be displayed at a given time for a particular user. The user enters
the digits instead of a password. (The HHA is protected with a PIN.)
Therefore, the computer can know that the user is who she claims to be
or at least is holding the right HHA and knows the PIN for that person.
This is more secure than a password that never, or rarely, changes.
HHAs can be used to log in to hosts, gain secure access---UNIX su
command---and even gain access to web sites. With this infrastructure
in place, password policies, become much simpler. Hosts outside the
firewall no longer require password policies, because they don’t use
plain passwords. Gaining root access securely on UNIX systems, previously difficult because of paranoia over password sniffing, is made more
feasible by virtue of HHAs combined with encryption.1 This is an example of how increased security, done correctly, made the system more
convenient.
đang được dịch, vui lòng đợi..
11.1.2 Tài liệu chính sách bảo mật của công ty
Chính sách này là nền tảng cho mọi thứ mà một đội ngũ an ninh nào. Chính
sách phải được tạo ra trong hợp tác với mọi người từ nhiều khoa khác. Các bộ phận nguồn nhân lực cần phải được tham gia vào một số
chính sách, đặc biệt là trong việc xác định các chính sách chấp nhận sử dụng, giám sát và
chính sách bảo mật, và việc tạo ra và thực hiện các biện pháp khắc phục đối với bất kỳ chính sách
vi phạm. Các bộ phận pháp lý nên tham gia vào các chính sách như việc xác định liệu để theo dõi và truy tố những kẻ xâm nhập và quyết định như thế nào và khi nào
liên quan đến việc thực thi pháp luật khi break-ins xảy ra. Rõ ràng, tất cả các chính sách cần
hỗ trợ của quản lý cấp trên.
Các quyết định của đội ngũ an ninh làm phải được hỗ trợ bởi chính sách để đảm bảo
rằng sự chỉ đạo đặt bởi đội ngũ quản lý đang được theo dõi trong rất này
khu vực nhạy cảm. Các chính sách này phải được ghi chép và chính thức phê chuẩn bởi
những người thích hợp. Các nhóm bảo mật sẽ được yêu cầu để biện minh cho quyết định của mình
trong nhiều lĩnh vực và phải có khả năng đưa ra quyết định với sự tự tin nó là làm như vậy vì lợi ích tốt nhất của công ty, được xác định bởi sự quản lý
của công ty, không phải do an ninh, kỹ thuật , hoặc bất kỳ nhóm nào khác.
những nơi khác nhau cần bộ khác nhau của chính sách, và ở mức độ nào, mà
tập hợp các chính sách sẽ liên tục phát triển và được thêm vào như những tình huống mới phát sinh.
Tuy nhiên, các chính sách phổ biến sau đây là một nơi tốt để bắt đầu xây dựng
tiết mục của bạn.
• Một chính sách sử dụng chấp nhận được (AUP) xác định người sử dụng hợp pháp của các
máy tính và các tài nguyên mạng và những gì họ được phép sử dụng
những nguồn lực cho. AUP cũng có thể bao gồm một số ví dụ rõ ràng
của việc sử dụng không thể chấp nhận. Người sử dụng hợp pháp của máy tính và mạng
11.1 Khái niệm cơ bản 277
tài nguyên được yêu cầu ký vào một bản sao của chính sách này, thừa nhận rằng
họ đã đọc và đồng ý với nó trước khi được phép truy cập đến các tài nguyên. Nhiều Aups có thể ở chỗ khi một công ty có nhiều
khu vực an ninh.
• Các chính sách giám sát và bảo mật mô tả giám sát của công ty
máy tính và tài nguyên mạng của nó, bao gồm cả các hoạt động trên máy tính cá nhân, mạng lưới giao thông, email, duyệt web, những con đường mòn kiểm toán, và
log giám sát. Bởi vì giám sát có thể được coi là một cuộc xâm lược của
riêng tư, chính sách này cần nêu một cách rõ ràng những gì, nếu có, kỳ vọng
về sự riêng tư cá nhân có trong khi sử dụng các nguồn lực này. Đặc biệt là ở
châu Âu, luật pháp địa phương có thể hạn chế những gì có thể và không thể ở trong chính sách này.
Một lần nữa, mỗi cá nhân cần phải đọc và ký một bản sao của chính sách này trước khi
nhận được quyền truy cập vào các nguồn tài nguyên.
• Các chính sách truy cập từ xa nên giải thích những rủi ro liên quan trái phép người đạt được quyền truy cập vào mạng, mô tả biện pháp phòng ngừa thích hợp cho các cá nhân "bí mật" thông tin mật khẩu, cá nhân
mã số (PIN), và như vậy trên và cung cấp một cách để báo cáo
thẻ truy cập từ xa bị mất hoặc bị đánh cắp để họ có thể được vô hiệu hóa một cách nhanh chóng .
Chính sách này cũng nên yêu cầu đối với một số cá nhân ví dụ thông tin-cho, cỡ giầy và yêu thích màu sắc qua đó người dân có thể được xác định
qua điện thoại. Mọi người nên điền và ký một bản sao này
chính sách trước khi được cấp quyền truy cập từ xa.
• Các chính sách kết nối mạng mô tả cách các công ty thiết lập các kết nối mạng để thực thể khác hoặc một số tài nguyên được chia sẻ để truy cập
bởi một bên thứ ba. Mỗi công ty sẽ tại một số điểm tôi muốn thiết lập
một mối quan hệ kinh doanh với một công ty khác mà yêu cầu truy cập mạng gần hơn và có lẽ một số tài nguyên chia sẻ: một extranet. Bạn nên
chuẩn bị trước cho tình huống này. Chính sách phải được phân phối
cho tất cả các cấp quản lý và quy định rằng đội an ninh được tham gia càng sớm càng tốt. Chính sách phải liệt kê các hình thức khác nhau của
kết nối và chia sẻ tài nguyên được hỗ trợ, trong đó văn phòng có thể
hỗ trợ các kết nối của bên thứ ba, và những gì loại kết nối mà họ
có thể hỗ trợ.
• Các log-retentionpolicy mô tả những gì được đăng nhập và trong bao lâu. Logs
là hữu ích cho việc theo dõi sự cố an ninh sau sự kiện này nhưng mất lớn
số tiền của không gian, nếu giữ lại vô thời hạn. Nó cũng quan trọng để biết
liệu các bản ghi cho một ngày nào đó vẫn còn tồn tại nếu triệu tập cho một tội phạm
trường hợp.
278 Chương 11 Chính sách An ninh
Trường hợp nghiên cứu: Sử dụng phương tiện công nghệ tốt hơn Ít Chính sách
Chính sách dễ nhất để làm theo là một trong đó đã được đơn giản hóa triệt để. Ví dụ, chính sách mật khẩu thường bao gồm các hướng dẫn cho việc tạo mật khẩu chấp nhận được và xác định mức độ thường xuyên cần phải được thay đổi vào các lớp khác nhau của máy. Những chi tiết
có thể được cắt giảm hoặc bỏ với công nghệ tốt hơn. Cơ sở hạ tầng của Bell Labs đã bao gồm một
hệ thống an toàn xác thực cầm tay (hha), mà loại bỏ mật khẩu hoàn toàn.
Điều gì có thể được đơn giản?
❖ Handheld authenticators An hha, một thiết bị kích thước của một máy tính nhỏ hoặc thẻ tín dụng chất béo, được sử dụng để chứng minh rằng những người là những người mà họ
nói họ đang có. An hha tạo ra một mật khẩu một lần (OTP) để xác định
người sử dụng. Một thương hiệu của hha hiển thị một số gồm 7 chữ số mới mỗi 30
giây. Đồng hồ được đồng bộ như vậy mà chủ nhà biết những gì chữ số
sẽ được hiển thị tại một thời gian nhất định cho một người dùng cụ thể. Người dùng nhập vào
các chữ số thay vì một mật khẩu. (Các hha được bảo vệ với mã PIN).
Do đó, các máy tính có thể biết rằng người dùng là người mà cô ấy tuyên bố là
hoặc ít nhất là giữ đúng hha và biết mã PIN cho người đó.
Đây là an toàn hơn một mật khẩu mà không bao giờ , hoặc hiếm khi thay đổi.
HHAs có thể được sử dụng để đăng nhập vào máy chủ, truy cập an toàn --- UNIX su
lệnh --- và thậm chí được truy cập vào các trang web. Với cơ sở hạ tầng này
tại chỗ, chính sách mật khẩu, trở thành đơn giản hơn nhiều. Hosts bên ngoài
tường lửa không còn cần những chính sách mật khẩu, bởi vì họ không sử dụng
mật khẩu đồng bằng. Tăng quyền truy cập root cách an toàn trên hệ thống UNIX, trước đây rất khó khăn vì hoang tưởng về mật khẩu đánh hơi, là đã tạo thêm
khả thi bởi đức hạnh của HHAs kết hợp với encryption.1 Đây là một ví dụ về cách tăng an ninh, thực hiện một cách chính xác, làm cho hệ thống nhiều hơn
thuận lợi.
Chính sách này là nền tảng cho mọi thứ mà một đội ngũ an ninh nào. Chính
sách phải được tạo ra trong hợp tác với mọi người từ nhiều khoa khác. Các bộ phận nguồn nhân lực cần phải được tham gia vào một số
chính sách, đặc biệt là trong việc xác định các chính sách chấp nhận sử dụng, giám sát và
chính sách bảo mật, và việc tạo ra và thực hiện các biện pháp khắc phục đối với bất kỳ chính sách
vi phạm. Các bộ phận pháp lý nên tham gia vào các chính sách như việc xác định liệu để theo dõi và truy tố những kẻ xâm nhập và quyết định như thế nào và khi nào
liên quan đến việc thực thi pháp luật khi break-ins xảy ra. Rõ ràng, tất cả các chính sách cần
hỗ trợ của quản lý cấp trên.
Các quyết định của đội ngũ an ninh làm phải được hỗ trợ bởi chính sách để đảm bảo
rằng sự chỉ đạo đặt bởi đội ngũ quản lý đang được theo dõi trong rất này
khu vực nhạy cảm. Các chính sách này phải được ghi chép và chính thức phê chuẩn bởi
những người thích hợp. Các nhóm bảo mật sẽ được yêu cầu để biện minh cho quyết định của mình
trong nhiều lĩnh vực và phải có khả năng đưa ra quyết định với sự tự tin nó là làm như vậy vì lợi ích tốt nhất của công ty, được xác định bởi sự quản lý
của công ty, không phải do an ninh, kỹ thuật , hoặc bất kỳ nhóm nào khác.
những nơi khác nhau cần bộ khác nhau của chính sách, và ở mức độ nào, mà
tập hợp các chính sách sẽ liên tục phát triển và được thêm vào như những tình huống mới phát sinh.
Tuy nhiên, các chính sách phổ biến sau đây là một nơi tốt để bắt đầu xây dựng
tiết mục của bạn.
• Một chính sách sử dụng chấp nhận được (AUP) xác định người sử dụng hợp pháp của các
máy tính và các tài nguyên mạng và những gì họ được phép sử dụng
những nguồn lực cho. AUP cũng có thể bao gồm một số ví dụ rõ ràng
của việc sử dụng không thể chấp nhận. Người sử dụng hợp pháp của máy tính và mạng
11.1 Khái niệm cơ bản 277
tài nguyên được yêu cầu ký vào một bản sao của chính sách này, thừa nhận rằng
họ đã đọc và đồng ý với nó trước khi được phép truy cập đến các tài nguyên. Nhiều Aups có thể ở chỗ khi một công ty có nhiều
khu vực an ninh.
• Các chính sách giám sát và bảo mật mô tả giám sát của công ty
máy tính và tài nguyên mạng của nó, bao gồm cả các hoạt động trên máy tính cá nhân, mạng lưới giao thông, email, duyệt web, những con đường mòn kiểm toán, và
log giám sát. Bởi vì giám sát có thể được coi là một cuộc xâm lược của
riêng tư, chính sách này cần nêu một cách rõ ràng những gì, nếu có, kỳ vọng
về sự riêng tư cá nhân có trong khi sử dụng các nguồn lực này. Đặc biệt là ở
châu Âu, luật pháp địa phương có thể hạn chế những gì có thể và không thể ở trong chính sách này.
Một lần nữa, mỗi cá nhân cần phải đọc và ký một bản sao của chính sách này trước khi
nhận được quyền truy cập vào các nguồn tài nguyên.
• Các chính sách truy cập từ xa nên giải thích những rủi ro liên quan trái phép người đạt được quyền truy cập vào mạng, mô tả biện pháp phòng ngừa thích hợp cho các cá nhân "bí mật" thông tin mật khẩu, cá nhân
mã số (PIN), và như vậy trên và cung cấp một cách để báo cáo
thẻ truy cập từ xa bị mất hoặc bị đánh cắp để họ có thể được vô hiệu hóa một cách nhanh chóng .
Chính sách này cũng nên yêu cầu đối với một số cá nhân ví dụ thông tin-cho, cỡ giầy và yêu thích màu sắc qua đó người dân có thể được xác định
qua điện thoại. Mọi người nên điền và ký một bản sao này
chính sách trước khi được cấp quyền truy cập từ xa.
• Các chính sách kết nối mạng mô tả cách các công ty thiết lập các kết nối mạng để thực thể khác hoặc một số tài nguyên được chia sẻ để truy cập
bởi một bên thứ ba. Mỗi công ty sẽ tại một số điểm tôi muốn thiết lập
một mối quan hệ kinh doanh với một công ty khác mà yêu cầu truy cập mạng gần hơn và có lẽ một số tài nguyên chia sẻ: một extranet. Bạn nên
chuẩn bị trước cho tình huống này. Chính sách phải được phân phối
cho tất cả các cấp quản lý và quy định rằng đội an ninh được tham gia càng sớm càng tốt. Chính sách phải liệt kê các hình thức khác nhau của
kết nối và chia sẻ tài nguyên được hỗ trợ, trong đó văn phòng có thể
hỗ trợ các kết nối của bên thứ ba, và những gì loại kết nối mà họ
có thể hỗ trợ.
• Các log-retentionpolicy mô tả những gì được đăng nhập và trong bao lâu. Logs
là hữu ích cho việc theo dõi sự cố an ninh sau sự kiện này nhưng mất lớn
số tiền của không gian, nếu giữ lại vô thời hạn. Nó cũng quan trọng để biết
liệu các bản ghi cho một ngày nào đó vẫn còn tồn tại nếu triệu tập cho một tội phạm
trường hợp.
278 Chương 11 Chính sách An ninh
Trường hợp nghiên cứu: Sử dụng phương tiện công nghệ tốt hơn Ít Chính sách
Chính sách dễ nhất để làm theo là một trong đó đã được đơn giản hóa triệt để. Ví dụ, chính sách mật khẩu thường bao gồm các hướng dẫn cho việc tạo mật khẩu chấp nhận được và xác định mức độ thường xuyên cần phải được thay đổi vào các lớp khác nhau của máy. Những chi tiết
có thể được cắt giảm hoặc bỏ với công nghệ tốt hơn. Cơ sở hạ tầng của Bell Labs đã bao gồm một
hệ thống an toàn xác thực cầm tay (hha), mà loại bỏ mật khẩu hoàn toàn.
Điều gì có thể được đơn giản?
❖ Handheld authenticators An hha, một thiết bị kích thước của một máy tính nhỏ hoặc thẻ tín dụng chất béo, được sử dụng để chứng minh rằng những người là những người mà họ
nói họ đang có. An hha tạo ra một mật khẩu một lần (OTP) để xác định
người sử dụng. Một thương hiệu của hha hiển thị một số gồm 7 chữ số mới mỗi 30
giây. Đồng hồ được đồng bộ như vậy mà chủ nhà biết những gì chữ số
sẽ được hiển thị tại một thời gian nhất định cho một người dùng cụ thể. Người dùng nhập vào
các chữ số thay vì một mật khẩu. (Các hha được bảo vệ với mã PIN).
Do đó, các máy tính có thể biết rằng người dùng là người mà cô ấy tuyên bố là
hoặc ít nhất là giữ đúng hha và biết mã PIN cho người đó.
Đây là an toàn hơn một mật khẩu mà không bao giờ , hoặc hiếm khi thay đổi.
HHAs có thể được sử dụng để đăng nhập vào máy chủ, truy cập an toàn --- UNIX su
lệnh --- và thậm chí được truy cập vào các trang web. Với cơ sở hạ tầng này
tại chỗ, chính sách mật khẩu, trở thành đơn giản hơn nhiều. Hosts bên ngoài
tường lửa không còn cần những chính sách mật khẩu, bởi vì họ không sử dụng
mật khẩu đồng bằng. Tăng quyền truy cập root cách an toàn trên hệ thống UNIX, trước đây rất khó khăn vì hoang tưởng về mật khẩu đánh hơi, là đã tạo thêm
khả thi bởi đức hạnh của HHAs kết hợp với encryption.1 Đây là một ví dụ về cách tăng an ninh, thực hiện một cách chính xác, làm cho hệ thống nhiều hơn
thuận lợi.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- không thể thay đổi được công ty khi bộ p
- Ngày Quốc khánh
- and go back to Baghdad
- ghi nhớ câu
- nhũ bạc
- Through its real estate subsidiary, Arvi
- PROCEDURE ?(1) After 30 minutes withdraw
- Á Đông
- sắp xếp thời gian hợp lýđồng hồ có thể t
- If someone came here once to make unforg
- 这个世界上,只有一种人会变竖瞳。 “妈的,我们抓住了一个向导!”老斑鸠用颤抖的声
- People see your ad as they are searching
- What does the boy decide to buy for his
- Not so good news
- Nắng sẽ vẫn vàng ở Paris, tiếng đàn Acor
- dù thời gian có trôi qua thì trên cuộc đ
- hai người phụ nữ trung niên cùng mặc bộ
- All invertebrates have an open circulato
- hai người phụ nữ trung niên cùng mặc bộ
- dù thời gian có trôi qua thì trên cuộc đ
- This is because they often represent mar
- 更加不在乎什么玉簪, 玉佩这一些玩物
- This is because they often represent mar
- Jako Corporation has 25 jobs ... for sec
