 |
|
|
 首页 |
名片设计 CorelDRAW Illustrator AuotoCAD Painter 其他软件 Photoshop Fireworks Flash |
|
有关本章中论及的所有主题的具体信息,请参见 ITIL Library 的“Security Management”部分: http://www.itil.co.uk/ 或 ITIL Security Management 一书 (ISBN 0 11 330014 X)。 与其它 MOF 层面的关系 安全治理功能与涉及安全问题的其它 MOF 层面关系密切。这些问题包括数据的机密性、完整性和可用性,以及硬件和软件组件、文档和步骤的安全性。主要的联系描述如下。 MOF 优化阶段 可用性治理。安全问题会导致不可用。因此安全性和可用性治理有着同样的目标并且彼此互相补充。 容量治理。容量治理过程中的所有活动实际上都和安全治理有关。资源性能的变化可能是违背安全的迹象。新资源的添加必须始终遵守安全治理所设定的策略。容量治理中必须计划由于附加的或不同的容量需要而造成的额外安全开支。 应急规划。严峻的安全破坏可能是应急状况的起因。应急规划过程与安全治理有着密切的关系,它应当确保在这些情况下可以安全地恢复解决方案。应急规划必须考虑到安全事件可能导致应急情况的发生。 MOF 更改阶段 配置治理。配置项目 (CI) 的分类必须包含安全信息。对于每个 CI,进行分类必须考虑到 CI 所要求的机密性、完整性和可用性的级别。 更改治理。控制和治理所有与 CI 有关的更改。必须定义安全标准,并且使安全标准可供更改治理过程使用,以确保任何新情况都能遵守设定的安全策略。 版本治理。控制软件版本治理和软件分发。对于软件的测试和接受阶段,安全含义必须清晰。 MOF 操作阶段 监视/测量。监视对安全的破坏是避免这些破坏造成损失的要害。应该特殊注重必须监视什么样的事件。 系统、网络和安全治理。确保以安全的方法执行治理活动可防止出现安全漏洞。应当特殊注重安全治理本身,因为它正是攻击者所要寻找的信息。 MOF 支持阶段 帮助台和故障转移及恢复(事件治理)。安全事件的主要联系点。安全事件需按照 SLA 安全要求来定义,因此它们可在事件治理过程中识别出来。 问题治理。必须识别、诊断和解决与安全相关的问题。 MOF 基本概念 服务级别治理。安全治理支持服务级别治理,以确保在安全方面满意客户需要(按照 SLA)。 分析 ASP 安全风险 安全治理目的是保证信息的安全。更详细地说,就是必须保护信息的价值。价值通过以下方面确定: 机密性。保护敏感信息不被非授权地公开或侦听。 完整性。保护信息和软件的正确性和完整性。 可用性。确保信息和 ASP 解决方案在需要的时候可用。 保护信息的价值要花钱,不保护也要花钱。若要确定保护的级别,则需要明确安全措施。因此,有效的安全治理取决于正确的风险分析,这样可了解风险的影响以及避免风险所需的成本。风险在生活中是必然存在的,但只能答应存在可治理的风险。安全治理与某些活动相关,通过这些活动将风险保持在可治理的水平。 顶部代表资产 ― 假如 ASP 的资产很轻易受到攻击并且安全破坏的威胁很大并且影响严峻,则安全的风险就很高。这样,治理 ASP 风险的对策就可以采用保护资产的方式。 至少,应当进行下列风险评估活动: 确定安全风险,如对于支持 ASP 传递过程的特定 IT 服务组件(资产)的安全风险。典型的风险包括: 破坏客户或用户的隐私(如信用卡信息、个人配置文件、购物活动、帐户数据) 破坏匿名(关于匿名信息源的信息,如密码) 破坏可验证性(例如不能验证正在使用的数据是否安全) 客户或内部数据的损失或数据完整性的损失 病毒(例如 Melissa 和 I Love You 病毒) 物理破坏(例如设备的偷盗以及设施的故意损坏) 将安全威胁以及易受攻击性级别分类 ― 评估每个确定出的威胁。根据所涉及的资产,可在机密性、完整性和可用性的基础上得出安全分类,此分类与确定的威胁有关。分类系统必须始终按照客户组织的需要来详细制定。这些分类的示例如下: 机密性 要害 ― 假如被非授权方访问,将严峻损害 ASP 企业的利益(例如策略信息)。 重要 ― 数据只能由直接涉及者访问(帐户信息、医疗记录) 必要 ― 数据只能由特定组查看 非必要 ― 信息可以发布 完整性 要害 ― 客户和 ASP 商务流程要求无错误的信息(例如 ATM 和其它的银行解决方案) 重要 ― 可以答应很少数量的可检测到的错误 必要 ― ASP 和客户商务流程答应一些错误 非必要 ― 不需要额外的完整性保护 可用性 要害 ― 仅除了使命要害的操作(例如应急情况)以外 重要 ― 在运营时间内几乎不停机(高可用性) 必要 ― 可以接受偶尔的停机 非必要 ― 无需保证(免费的 Internet 访问) 评估安全风险的级别,这样就能了解整体风险的大小。此项任务可以通过收集定量数据来进行测定,也可以通过主观评估来进行定性测定,例如,低、中、高。 在风险的测量中可以借助许多工具和方式。其中一种就是“CCTA 风险分析和治理方式”(CRAMM)。CRAMM 是一个结构化的、一致的方式,用于确定和评估信息系统和网络的风险。它包括技术方面和非技术方面的方案(例如,IT 安全的物理方面),并提供分阶段和严格的方式以执行准确安排的审核。CRAMM 可以使用一些软件工具。 有关具体信息,请参见: http://www.crammusergroup.org.uk/ 。 在风险分析之后,可以确定适当的对策或风险降低措施来治理安全风险,即,使风险降低到可接受的最低级别或减轻风险的危害。 有关本章论及的所有主题的具体信息,请参见 http://www.itil.co.uk/ ITIL Library “Availability and Security Management”部分、ITIL Availability Management 一书 (ISBN 0 11 330551 6) 以及 ITIL Security Management 一书 (ISBN 0 11 330014 X)。 ASP 的安全对策 对 ASP 来说,安全对策可以降低或消除与提供客户解决方案相关的安全风险。下面是 ASP 的一些好的起点: 有一个明确的可积极投入使用和受到监视的安全策略 有一个安全组织,具有明确的责任和任务、指导方针、报告程序和措施,且这些能够符合 ASP 及其客户的要求 有物理上的安全措施,比如具有单独的计算机房 有技术上的安全措施,可提供 ASP 的计算机系统和网络的安全 有程序化的安全措施,描述 ASP 员工在特定情况下应当如何去做 在“最佳做法”一章中,更多地讨论了技术方面的对策。 返回类别: 教程 上一教程: 负载平衡环境下的ASP会话治理(2) 下一教程: 关于Access所有记录中均未找到搜索要害字的错误 您可以阅读与"Asp的安全治理(4)"相关的教程: · 与“黑客”的一段遭遇简朴谈ASP的安全性 · ASP系列讲座(二十)维护 ASP 应用程序的安全 · ASP+ACCESS的安全隐患及对策 · Asp的安全治理(8) · 关于如何保障Winnt +asp +sql web站点的安全经验(1) |
  |
| 快精灵印艺坊 版权所有 |
首页 会员中心在线印刷在线编辑付款方式索取样品设计指南连锁门店
|
||
