@Luminary
2年前 提问
1个回答

信息安全控制用户对信息的访问包括哪些

007bug
2年前

信息安全控制用户对信息的访问包括以下这些:

  • 访问控制的业务要求:访问控制的业务要求的控制目标是基于业务目标和业务原则来控制对信息的访问。该目标由访问控制策略这一控制措施来实现。以业务和访问的安全要求为依据,制定访问控制策略文件。此项措施的常规控制包括:在访问控制策略中清晰规定每个用户或每组用户的访问控制规则和权限,访问控制包括逻辑和物理措施;规定除了明确允许访问的,其他一切资源禁止访问;定期对访问权限进行评审。

  • 用户访问管理:用户访问管理的控制目标是确保授权用户能够访问信息系统,防止非授权的访问。可以通过通过正式的用户注册及注销程序,授权和撤销对所有信息系统及服务的访问。特殊权限管理控制措施是指限制和控制特殊权限的分配及使用。用户口令管理控制措施是指通过正式的管理过程控制口令的分配。管理者应按照一定过程定期审核用户的访问权等措施加强用户访问管理。

  • 用户职责:用户职责的控制目标是防止未授权用户对信息和信息处理设施的访问、危害或窃取。这一目标的实现需要用户落实用户在选择及使用口令时,要遵循良好的安全习惯,用户在选择及使用口令时,要遵循良好的安全习惯等控制措施。

  • 网络访问控制:网络访问控制目标旨在防止对网络服务的未授权访问,可以通过用户仅能访问授权使用的服务或者实施网络隔离等方式来保障此目标的实现。

  • 操作系统访问控制:操作系统访问控制的目标是防止对操作系统的未授权访问,可以通过操作系统访问应遵循安全登录规程、所有用户应有唯一的专供其个人使用的用户身份标识符并确保是优质的口令等措施保障该目标的实现。

  • 应用和信息访问控制:应用和信息访问控制的目标是防止对应用系统中信息的未授权访问。这一目标的实现由信息访问限制这项控制措施来保障。该控制措施是指依照已确定的访问控制策略,限制用户和支持人员对信息和应用系统功能的访问。按照最小授权原则和须知原则对用户进行授权,控制用户的读、写、删除和执行等权限。

  • 移动计算和远程工作:移动计算和远程工作的控制目标是确保使用移动计算和远程工作设施时的信息安全。移动计算和通信、远程工作这两项控制措施来保障该目标的实现。