PAPA资讯存取问题由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“papa”。
PAPA-資訊存取問題
資工一甲陳莉雯U92B150
一、資訊系統存取控制規定
1、應訂定資訊系統存取控制規定,界定存取控制之需求,並以書面、電子或其他方式記錄之。
2、應將業務系統之存取控制需求,明確告知系統服務提供者,以利其執行及維持有效 的存取控制機制。
3、業務應用系統擁有者,應訂定系統存取控制政策,並明定使用單位及使用人員的系統存取權利。
4、資訊系統存取控制規定之研擬,應考量事項如下:
(1)個別業務應用系統之安全需求。
(2)資訊傳佈及資料應用之名義及授權規定。
(3)相關法規或契約對資料保護及資料存取之規定。
二、使用者之存取管理
(一)使用者註冊管理
1、對於多人使用的資訊系統,應建立正式的使用者註冊管理程序。
2、使用者註冊管理程序,應考量的事項如下:
(1)查核使用者是否已經取得使用該資訊系統之正式授權。
(2)查核使用者被授權的程度是否與業務目的相稱,是否符合資訊安全
政策及規定(例如:有無違反權責分散原則。)
(3)應以書面、電子或其他方式,告知使用者之系統存取權利。
(4)要求使用者簽訂約定,使其確實瞭解系統存取的各項條件及要求。
(5)在系統使用者尚未完成正式授權程序前,資訊服務提供者不得對其提供
系統存取服務。
(6)應建立及維持系統使用者之註冊資料紀錄,以備日後查考。
(7)使用者調整職務及離(休)職時,應儘速註銷其系統存取權利。
(8)應定期檢查及取銷閒置不用的識別碼及帳號。
(9)閒置不用的識別碼不應重新配賦給其他的使用者。
(二)系統存取特別權限之管理
1、應嚴格管制系統存取特別權限。
2、應特別保護的系統,如有必要賦予使用者系統存取特別權限,應依下列的授權程序管理:
(1)應確認系統存取特別權限之事項,例如作業系統、資料庫管理系統、以及須賦予系統存取特別權限的人員名單。
(2)執行業務之需求,視個案逐項考量賦予使用者系統存取特別權限;系
統存取特別權限之配賦,應以執行業務及職務所必要者為限。
(3)建立申請系統存取特別權限之授權程序,並只能在完成正式授權程序
後,才能配賦給使用者;另外,應將系統存取特別權限之授權資料建
檔,以明責任及備日後查考。
(三)使用者通行碼之管理
1、應建立使用者通行碼之管理制度。
2、建立通行碼管理制度,應考量下列事項:
(1)應儘量以簽訂書面約定之方式,要求使用者善盡保護個人通行碼之責
任;如屬於群組軟體之使用者,應確保工作群組的通行碼,僅限群組
成員使用。
(2)為維持通行碼的機密性,應以配賦臨時性通行碼,並強迫使用者立即
更改通行碼的方式處理;使用者忘記通行碼時,可提供臨時性的通行
碼,以利系統辨認使用者。
(3)應以安全的方法將臨時的通行碼交付使用者,避免經由第三者,或是
以未受保護的電子郵遞等電子方式交付給使用者,並應建立確認使用
者是否收到臨時的通行碼的機制。
(4)系統如經評估須建立更高等級的安全機制,可利用電子簽章等安全等
級更高的存取控制技術。
(四)系統存取權限之檢討評估
1、為有效控管資料及系統存取,應定期檢討及評估使用者之存取權限。
2、系統存取權限之評估,應考量事項如下:
(1)系統存取權限評估,以每六個月評估一次為原則。
(2)系統存取特別權限之評估,以每三個月評估一次為原則。
(3)定期檢討系統存取特別權限之核發情形,防止有人未經正式的授權程
序取得特別權限。
三、網路存取之安全控制
(一)網路服務之限制
1、個別使用者或是從特定端末機存取電腦及網路服務之安全規定,應依業務
存取控制 規定辦理。
2、使用者應在授權範圍內存取網路系統服務事項。
(二)強制性的通道
1、從使用者端末機連接電腦系統之線路,應適當加以控制(例如:建立強制
性的通道),以減少未經授權存取系統或電腦設施之風險。
2、應建立強制性的通道,防止未被授權的使用者從不同的管道進入電腦系統。
3、建立強制性的通道應考量的安全措施如下:
(1)指定專線及電話號碼。
(2)自動將通訊埠連上特定的應用系統及安全通道。
(3)限制使用者只能選擇特定的路線。
(4)防止無限制的網路漫遊。
(三)使用者身分鑑別
1、開放機關以外的使用者從公眾網路,或從機關網路以外的網路與本機關連
線作業,應建立遠端使用者身分鑑別機制,以降低未經授權存取系統的風險。
2、可考量使用「詰問及回應」(challenge/response)或資料加密等安全技術,鑑別 網路使用者之身分。
(四)網路節點之身分鑑別
1、應建立遠端電腦系統(尤其是開放使用者從公眾網路進入系統)與本機關
連線作業 之身分鑑別安全機制。
2、建立遠端電腦系統連線作業之身分鑑別機制,應評估業務的可能風險及對業
務的衝 擊及影響,設定適當的安全水準。
3、可使用「詰問及回應」或線上加密(非對稱型)等技術,執行網路節點身分鑑
別,同 時也可使用專屬私用網路使用者位址之檢查設施,鑑別連線作業的來源。
(五)遠端診斷連線作業埠之控制:機關對供維修廠商以遠端登入方式進入電腦
網路系統進行維 修的通信作業埠,應採取特別的安全控管機制。
(六)網路之分隔:
1、網路系統規模過於龐大者,可考量將不同使用者及電腦系統分開成不同的領域,以降低可能的安全風險。
2、不同領域的網路系統,每一領域應以特定的安全設施加以保護;例如,可設置防火 牆及網路閘門,隔開不同的網路系統,以安全的閘道控制不同領域的網路系統。
3、應依據訂定的系統存取控制政策及需求決定,將規模龐大的網路分成數
個不同領域 的網路系統,並考量成本因素及使用網路路由器及閘門技術對作業效率之影響。
(七)網路連線作業之控制
1、為確保系統安全,跨機關的網路系統可限制使用者之連線作業能力。例
如,以網路 閘門技術依事前訂定之系統存取規定,過濾網路之傳輸作業。
2、限制網路連線作業能力之安全控制措施如下:
(1)只允許使用電子郵遞系統。
(2)只允許單向的檔案傳輸。
(3)允許雙向的檔案傳輸。
(4)使用互動式的系統存取。
(5)限制只能在特定的時間或日期進行系統存取。
(八)網路路由控制
1、分享式的網路系統(尤其是跨機關的網路系統),應建立網路路由的控
制,以確保 電腦連線作業及資訊流動,不會影響應用系統的存取政策。
2、網路路由的控制,應建立實際來源及終點位址之檢查機制;網路路由的控制可以硬 體或軟體方式執行,並應事先評估瞭解不同方式的安全控制能力。
(九)網路服務之安全控制
1、使用公用或私有網路,應評估使用該項網路服務之可能風險。
2、使用公用或私有網路,應評估網路服務提供者之安全措施是否足夠、是
否提供明確 的安全措施說明,並應考量使用該項網路對維持資料傳輸機密性、完整性及可用性等各種安全影響。
※ 電腦病毒防制
對電腦病毒下一個定義,可以說病毒是一小段可執行的程式碼,它可以附接到其他程式(稱為「宿主」)裏,並伺機擴散到其他程式,然後在符合某個特定條件(如每月的二十六日)時,執行會造成使用者困擾或損失的動作。所以病毒必須具備數項性質:1.能夠被啟動,當使用者執行宿主程式時,病毒也一併被執行;2.能複製,以擴大感染幅度;3.選擇時機誏「病情發作」,這雖然不是繁衍病毒的必要條件,但通常是病毒寫作者用以製造恐慌或損失,做為自我表現的手段,因而設計病情就成了重頭戲。這三項性質的共同特徵是:病毒一定要能夠執行。只要能夠符合上述條件,採用的形式便幾乎沒有限制,無論是執行檔、開機磁區,乃至批次檔都可以成為病毒的藏匿場所。
面臨病毒的威脅,最佳策略就是勤加備份資料檔案,尊重智慧財產權,不隨意抓取來路不明的檔案,不輕易安裝免費軟体的Binary檔案等等,另外則是安裝專業廠商的產品,以備不時之需。
在網路安全上的作法上,主要可分為四部份:即辨識與認證、存取控制、稽核和通訊安全。辨識與認證係針對使用者身份加以確認,認證使用者是否為合法身份,若為合法身份者即允許進入,再依據各種不同的使用者身份,設定其存取權限,限制使用者的存取層次和範圍,保護機密資料和系統。稽核則對使用者的進入,進行監督、偵察和記錄其行徑,查出非法入侵者並及時反制,再制定更周密的網路安全措施。通訊安全側重於建立專屬網路並提供資料加解密功能,以防止傳輸資料被中途攔截、複製、篡改及偽造,造成對單位及個人的損失。※ 心得
網路的發明,對於現今的高科技資訊,無疑是大功一件,而上網擷取資料固然方便,但由於有不肖人土,偏愛網路上的漏洞,刻意製造病毒,偷取線上個人的身份資料,導致身份資料外洩,使得網路也變得不安全了,真的是很氣那些沒水準的人………
