《PAPA-资讯存取问题.doc》由会员分享,可在线阅读,更多相关《PAPA-资讯存取问题.doc(5页珍藏版)》请在金锄头文库上搜索。
1、PAPA資訊存取問題資工一甲 陳莉雯 U92B150一、 資訊系統存取控制規定1、應訂定資訊系統存取控制規定,界定存取控制之需求,並以書面、電子或其他方式記錄之。2、應將業務系統之存取控制需求,明確告知系統服務提供者,以利其執行及維持有效 的存取控制機制。3、業務應用系統擁有者,應訂定系統存取控制政策,並明定使用單位及使用人員的系統存取權利。4、資訊系統存取控制規定之研擬,應考量事項如下:(1)個別業務應用系統之安全需求。(2)資訊傳佈及資料應用之名義及授權規定。(3)相關法規或契約對資料保護及資料存取之規定。二、使用者之存取管理(一)使用者註冊管理1、對於多人使用的資訊系統,應建立正式的使用
2、者註冊管理程序。2、使用者註冊管理程序,應考量的事項如下:(1)查核使用者是否已經取得使用該資訊系統之正式授權。(2)查核使用者被授權的程度是否與業務目的相稱,是否符合資訊安全政策及規定(例如:有無違反權責分散原則。)(3)應以書面、電子或其他方式,告知使用者之系統存取權利。(4)要求使用者簽訂約定,使其確實瞭解系統存取的各項條件及要求。(5)在系統使用者尚未完成正式授權程序前,資訊服務提供者不得對其提供系統存取服務。(6)應建立及維持系統使用者之註冊資料紀錄,以備日後查考。(7)使用者調整職務及離(休)職時,應儘速註銷其系統存取權利。(8)應定期檢查及取銷閒置不用的識別碼及帳號。(9)閒置不
3、用的識別碼不應重新配賦給其他的使用者。(二)系統存取特別權限之管理1、應嚴格管制系統存取特別權限。2、應特別保護的系統,如有必要賦予使用者系統存取特別權限,應依下列的授權程序管理:(1)應確認系統存取特別權限之事項,例如作業系統、資料庫管理系統、以及須賦予系統存取特別權限的人員名單。(2)執行業務之需求,視個案逐項考量賦予使用者系統存取特別權限;系統存取特別權限之配賦,應以執行業務及職務所必要者為限。(3)建立申請系統存取特別權限之授權程序,並只能在完成正式授權程序後,才能配賦給使用者;另外,應將系統存取特別權限之授權資料建檔,以明責任及備日後查考。(三)使用者通行碼之管理1、應建立使用者通行
4、碼之管理制度。2、建立通行碼管理制度,應考量下列事項:(1)應儘量以簽訂書面約定之方式,要求使用者善盡保護個人通行碼之責 任;如屬於群組軟體之使用者,應確保工作群組的通行碼,僅限群組成員使用。(2)為維持通行碼的機密性,應以配賦臨時性通行碼,並強迫使用者立即更改通行碼的方式處理;使用者忘記通行碼時,可提供臨時性的通行碼,以利系統辨認使用者。(3)應以安全的方法將臨時的通行碼交付使用者,避免經由第三者,或是以未受保護的電子郵遞等電子方式交付給使用者,並應建立確認使用者是否收到臨時的通行碼的機制。(4)系統如經評估須建立更高等級的安全機制,可利用電子簽章等安全等 級更高的存取控制技術。(四)系統存
5、取權限之檢討評估1、為有效控管資料及系統存取,應定期檢討及評估使用者之存取權限。2、系統存取權限之評估,應考量事項如下:(1)系統存取權限評估,以每六個月評估一次為原則。(2)系統存取特別權限之評估,以每三個月評估一次為原則。(3)定期檢討系統存取特別權限之核發情形,防止有人未經正式的授權程序取得特別權限。三、網路存取之安全控制(一)網路服務之限制1、個別使用者或是從特定端末機存取電腦及網路服務之安全規定,應依業務存取控制 規定辦理。2、使用者應在授權範圍內存取網路系統服務事項。(二)強制性的通道1、從使用者端末機連接電腦系統之線路,應適當加以控制(例如:建立強制性的通道),以減少未經授權存取
6、系統或電腦設施之風險。2、應建立強制性的通道,防止未被授權的使用者從不同的管道進入電腦系統。3、建立強制性的通道應考量的安全措施如下:(1)指定專線及電話號碼。(2)自動將通訊埠連上特定的應用系統及安全通道。(3)限制使用者只能選擇特定的路線。(4)防止無限制的網路漫遊。(三)使用者身分鑑別1、開放機關以外的使用者從公眾網路,或從機關網路以外的網路與本機關連線作業, 應建立遠端使用者身分鑑別機制,以降低未經授權存取系統的風險。2、可考量使用詰問及回應(challenge/response)或資料加密等安全技術,鑑別 網路使用者之身分。(四)網路節點之身分鑑別1、應建立遠端電腦系統(尤其是開放使
7、用者從公眾網路進入系統)與本機關連線作業 之身分鑑別安全機制。2、建立遠端電腦系統連線作業之身分鑑別機制,應評估業務的可能風險及對業務的衝 擊及影響,設定適當的安全水準。3、可使用詰問及回應或線上加密(非對稱型)等技術,執行網路節點身分鑑別,同 時也可使用專屬私用網路使用者位址之檢查設施,鑑別連線作業的來源。(五)遠端診斷連線作業埠之控制:機關對供維修廠商以遠端登入方式進入電腦網路系統進行維 修的通信作業埠,應採取特別的安全控管機制。(六)網路之分隔:1、網路系統規模過於龐大者,可考量將不同使用者及電腦系統分開成不同的領域,以降低可能的安全風險。2、不同領域的網路系統,每一領域應以特定的安全設
8、施加以保護;例如,可設置防火 牆及網路閘門,隔開不同的網路系統,以安全的閘道控制不同領域的網路系統。3、應依據訂定的系統存取控制政策及需求決定,將規模龐大的網路分成數個不同領域 的網路系統,並考量成本因素及使用網路路由器及閘門技術對作業效率之影響。(七)網路連線作業之控制1、為確保系統安全,跨機關的網路系統可限制使用者之連線作業能力。例如,以網路 閘門技術依事前訂定之系統存取規定,過濾網路之傳輸作業。2、限制網路連線作業能力之安全控制措施如下:(1)只允許使用電子郵遞系統。(2)只允許單向的檔案傳輸。(3)允許雙向的檔案傳輸。(4)使用互動式的系統存取。(5)限制只能在特定的時間或日期進行系統
9、存取。(八)網路路由控制1、分享式的網路系統(尤其是跨機關的網路系統),應建立網路路由的控制,以確保 電腦連線作業及資訊流動,不會影響應用系統的存取政策。2、網路路由的控制,應建立實際來源及終點位址之檢查機制;網路路由的控制可以硬 體或軟體方式執行,並應事先評估瞭解不同方式的安全控制能力。(九)網路服務之安全控制1、使用公用或私有網路,應評估使用該項網路服務之可能風險。2、使用公用或私有網路,應評估網路服務提供者之安全措施是否足夠、是否提供明確 的安全措施說明,並應考量使用該項網路對維持資料傳輸機密性、完整性及可用性等各種安全影響。 電腦病毒防制對電腦病毒下一個定義,可以說病毒是一小段可執行的
10、程式碼,它可以附接到其他程式(稱為宿主)裏,並伺機擴散到其他程式,然後在符合某個特定條件(如每月的二十六日)時,執行會造成使用者困擾或損失的動作。所以病毒必須具備數項性質:1.能夠被啟動,當使用者執行宿主程式時,病毒也一併被執行;2.能複製,以擴大感染幅度;3.選擇時機誏病情發作,這雖然不是繁衍病毒的必要條件,但通常是病毒寫作者用以製造恐慌或損失,做為自我表現的手段,因而設計病情就成了重頭戲。這三項性質的共同特徵是:病毒一定要能夠執行。只要能夠符合上述條件,採用的形式便幾乎沒有限制,無論是執行檔、開機磁區,乃至批次檔都可以成為病毒的藏匿場所。面臨病毒的威脅,最佳策略就是勤加備份資料檔案,尊重智
11、慧財產權,不隨意抓取來路不明的檔案,不輕易安裝免費軟体的Binary檔案等等,另外則是安裝專業廠商的產品,以備不時之需。在網路安全上的作法上,主要可分為四部份:即辨識與認證、存取控制、稽核和通訊安全。辨識與認證係針對使用者身份加以確認,認證使用者是否為合法身份,若為合法身份者即允許進入,再依據各種不同的使用者身份,設定其存取權限,限制使用者的存取層次和範圍,保護機密資料和系統。稽核則對使用者的進入,進行監督、偵察和記錄其行徑,查出非法入侵者並及時反制,再制定更周密的網路安全措施。通訊安全側重於建立專屬網路並提供資料加解密功能,以防止傳輸資料被中途攔截、複製、篡改及偽造,造成對單位及個人的損失。 心得網路的發明,對於現今的高科技資訊,無疑是大功一件,而上網擷取資料固然方便,但由於有不肖人土,偏愛網路上的漏洞,刻意製造病毒,偷取線上個人的身份資料,導致身份資料外洩,使得網路也變得不安全了,真的是很氣那些沒水準的人
