信息系统访问控制策略部署

浅析信息系统访问控制策略部署

摘要：武器装备企业多数已具备了自己的内部局域信息网络，伴随着信息系统安全事件的不断发生，信息系统访问控制已逐渐被众多企业所认识、并在一定程度上得到了应用，如何综合运用安全产品做好各层次的访问控制随即成为大家更加关注的问题。本文介绍了信息系统访问控制结构划分，结合网络安全产品阐述vlan间访问控制、安全域间访问控制、关键服务器访问控制和应用系统内部访问控制的实现及策略部署。

关键词：信息系统访问控制策略部署

【中图分类号】c931.6

一、武器装备行业信息系统访问控制必要性及结构划分

武器装备作为特殊行业，内部网络系统中通常存储大量敏感数据，加之企业结构复杂，信息资源分布广泛，服务器、数据存储系统、应用系统、用户终端都存有限制知悉范围的信息，若不加以控制，一旦被不法分子利用，甚至非法盗取，损失无法估计。因此，信息资源的访问必须受到严格限制，控制信息流向，知悉范围控制到最小工作群。

访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问，是维护网络系统安全、保护网络资源的重要手段。安全策略分为入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点安全控制等，各种安全策略必须

浅谈强制访问控制(MAC)

浅谈强制访问控制（MAC）【摘要】访问控制：安全保障机制的核心内容，是实现数据保密性和完整性的主要手段。访问控制是为了限制访问主体（或成为发起者，是一个主动的实体：如用户、进程、服务等），对访问客体（需要保护的资源的）访问权限。从而使计算机系统在合法范围内合用访问控制机制决定用户及代表一定用户利益的程序能干什么、及做到什么程度。访问控制分类：1）传统访问控制：自主访问控制DAC，强制访问控制MAC；2）新型访问控制：基于角色的访问控制RBAC，基于任务的访问控制TBAC……。本文主要谈论传统访问控制中的强制访问控制MAC。【关键词】访问控制、强制访问控制、Bell-Lapadula安全模型引言随着我国经济的持续发展和国际地位的不断提高，我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患比较严重，计算机病毒传播和网络非法入侵十分猖獗，网络违法犯罪持续大幅上升，给用户造成严重损失。访问控制是信息安全保障机制的核心内容，它是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体（或称为发起者，是一个主动的实体；如用户、进程、服务等），对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用；访问控制机制决定用户及代表一定用户利益的程序能做什么，及做到什么程度。访问控制，作为提供信息安全保障的主要手段，及最为突出的安全机制, 被广泛地应用于防火墙、文件访问、VPN及物理安全等多个方面。其中，强制访问控制就在次方面有很重要的作用。访问控制从实现的基本理念来分有以下两种： 1)强制访问控制（Mandatory access control） 2)自主访问控制（Discretionary access control）本文主要谈论强制访问控制控制，包括其定义、原理及其分类。一、强制访问控制

系统访问控制程序

信息科技部系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施

目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误！未定义书签。 6 记录 (6)

1 目的为规范阜新银行信息科技部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 2 范围本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求：（a）不显示系统或应用标识符，直到登录过程已成功完成为止；（b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息；（c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一部分是正确的或不正确的；（d）限制所允许的不成功登陆尝试的次数（推荐3次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试；

ISO27001系统访问控制程序

ISO27001系统访问控制程序 1 目的为规范IT信息科技部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 2 范围本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求：（a）不显示系统或应用标识符，直到登录过程已成功完成为止；（b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息；（c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应指出数据的哪一部分是正确的或不正确的；

（d）限制所允许的不成功登陆尝试的次数（推荐3次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试； 3）断开数据链路链接； 4）如果达到登录的最大尝试次数，向系统控制台（或向中心机房管理员）发送警报消息； 5）结合口令的最小长度和被保护系统的价值（风险评估的结果或内部存储信息的价值）设置口令重试的次数；（e）限制登录程序所允许的最大和最小次数。如果超时，则系统应终止登录；（f）在成功登陆完成时，显示下列信息： 1）前一次成功登陆的日期和时间； 2）上次成功登陆之后的任何不成功登陆尝试的细节；（g）不显示输入的口令或考虑通过符号隐蔽口令字符；（h）不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后，任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后，对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态，防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要，需登录信息科技部核心系统或外围系统时，必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。

浅谈访问控制策略

浅谈访问控制策略身份鉴别与访问控制是信息安全领域的两个十分重要的概念。然而，对这两个概念的含义往往有不同的理解。希望通过本文所引发的讨论能对统一这两个概念的理解有所帮助。在GB17859中．身份鉴别指的是用户身份的鉴别，包括用户标识和用户鉴别。在这里．用户标识解决注册用户在一个信息系统中的惟一性问题．用户鉴别则解决用户在登录一个信息系统时的真实性问题。一般情况下．当用户注册到一个系统时，系统应给出其惟一性的标识．并确定对其进行鉴别使用的信息(该信息应是保密的、并且是难以仿造的．一方面以一定方式提供给用户．另一方面由系统保存)。当用户登录到该系统时，用户应提供鉴别信息，系统则根据注册时所保留的鉴别信息对用户所提供的鉴别信息的真实性进行鉴别。其实．从更广义的范围来讲．信息系统中的身份鉴别应包括用户身份鉴别和设备身份鉴别．用户身份鉴别又分为注册用户的身份鉴别和网上数据交换用户的身份鉴别。上述GB17859中的身份鉴别主要指的是注册用户的身份鉴别。网上数据交换时用户的身份鉴别是指非注册用户间进行数据交换时的身份鉴别。也就是通常所说的在相互不知道对方身份的情况下，又要确认对方身份的真实、可信．从而确认数据交换的可信赖性。这就需要通过所谓的可信第三方(如由CA 系统提供的认证机制)实现数据交换双方身份的真实性认证。关于设备的身份鉴别．其实与注册用户的身份鉴别没有多大区别．只是鉴别的对象是接入系统的设备而已。对接入系统的设备进行身份鉴别．同样要先对其进行注册，并在注册时确定鉴别信息(鉴别信息既与设备相关联．又由系统保留)。当需要将设备接入系统时．被接入设备需提供鉴别信息，经系统确认其身份的真实性后方可接入。访问控制在GB17859中同样有其特定的含义．并对自主访问控制和强制访问控制的策略做了具体的说明。其实．访问控制在更广的范围有着更广泛的含义。在许多情况下．人们往往把身份鉴别也称作是一种访问控制。如果我们把是否允许登录系统看作是是否允许对系统进行访问．把身份鉴别称为访问控制也未尝不可。问题是需要对其具体含义做清晰的描述。这也是我们为什么把身份鉴别与访问控制这两个概念一起进行讨论的原因

信息化系统运行维护内容

信息化系统运行维护内容信息技术运行维护（简称：IT 运维）是信息系统全生命周期中的重要阶段，对系统主要提供维护和技术支持以及其它相关的支持和服务。运维阶段包括对系统和服务的咨询评估、例行操作、响应支持和优化改善以及性能监视、事件和问题识别和分类，并报告系统和服务的运行情况。一、运维服务类型主要包括以下三种类型： 1、基础服务确保计算机信息系统安全稳定运营，必须提供的基础性的保障和维护工作。 2、性能优化服务计算机信息系统在运营过程中，各项应用（硬件基础平台、系统平台、存储平台、应用系统平台、安全平台等）、各项业务的性能、效能的优化、整合、评估等服务。 3、增值服务保证计算机信息系统运营的高效能、高效益，最大限度的保护并延长已有投资，在原有基础上实施进一步的应用拓展业务。二、运维主要服务工作方式主要包括响应服务、主动服务两类。 1、响应式服务

响应式服务是指，用户向服务提供者提出服务请求，由服务提供者对用户的请求做出响应，解决用户在使用、管理过程中遇到的问题，或者解决系统相关故障。响应式服务采用首问负责制。第一首问为本单位信息中心。信息中心负责接受用户服务请求，并进行服务问题的初步判断。如果问题能够解决则直接给客户反馈，否则提交到首问服务外包商。对于明确的问题，信息中心将问题直接提交到相应的服务外包商。首问外包服务商在信息中心的支持下，负责对问题进行排查，力争将问题精确定位到某具体环节。问题定位后将其转发给相应的服务外包商。如果问题范围较大，涉及到多个服务外包商时，由信息中心进行协调，在首问外包服务商统一指导下进行联合作业，直至问题解决完毕。问题处理完成后，由责任服务外包商、首问服务外包商填写相应服务表单，并由首问外包服务商提交给信息中心，信息中心再向最终用户反馈。服务外包商首先通过电话/电子邮件/远程接入等手段进行远程解决，如果能够解决问题，则由工程师负责填写服务单，季度汇总后提交信息中心签字备案。远程方式解决无效时，服务外包商工程师进行现场工作。根据故障状况，工程师现场能解决问题的，及时解决用户的问题；如不能，则由信息中心协调其他相关服务外包商进行

基于安全策略的信息系统一体化管理的

基于安全策略的信息系统一体化管理的摘要：随着企业信息化建设的多年发展和不断推进，电网企业已建设推广了众多信息系统，并已深入到企业日常业务和管理的各个角落。各类信息系统的高效访问集成是提高公司员工工作效率的有效途径，信息系统安全稳定的运行是整个企业正常运转的重要保障，自动化、不间断的监控报警系统是及时发现隐患、保证系统正常工作的有效手段。因此，建设一个集信息系统监控、预警、全生命周期管理等功能于一体的管理工具在信息系统的日常运营中是非常重要的。关键词：安全策略；信息系统；现象描述 1、现象描述随着公司信息化建设的不断推进，公司已上线了各类国网公司、省公司统推系统，且各类系统版本较为复杂，造成在管理过程中存在诸多的问题。（1）依靠手工Excel方式对这些数量众多的信息系统进行监管，监管力度不够，对信息系统上下线管理缺乏有效管控工具，一些不应继续使用的遗留系统仍在运行并局部使用。（2）信息系统能否正常使用只能依靠管理员人工查看或用户报修，缺乏有效手段及时发现系统故障，对各子系统运行状况无实时监控，发生故障后无法及时察觉，恢复速度慢导致故障排除周期较长，信息运维用户满意度降低。（3）公司所有的信息子系统缺乏统一入口，不少信息系统还没有与统一门户集成，各个子系统使用各自的访问控制手段，杂乱难记，用户日常使用时只能靠输入链接地址进行访问，系统访问不方便，带来安全隐患。 2、处理过程设计信息系统一体化管理工具，实现信息系统资源统筹管理，消除信息孤岛，促进各信息系统间互通互联，实现数据集中、文档集中、资源整合；实现信息系统实时监控及风险预警缩短系统故障响应周期，提供信息运维服务水平，提高用户满意度；实现信息系统全生命周期管理，确保系统安全稳定可靠运行。 1）、通过“信息系统访问控制管理”研究，基于安全访问控制策略，合理设置各类用户的权限，构建公司各类信息系统的统一入口，建立信息系统快速搜索功能，方便用户准确快速链接到需要使用的信息系统，无需刻意记忆，提高工作效率。 ● 面向方面的应用程序访问控制利用运行时织入（runtime weaving）手段，可以将访问控制逻辑实现为AOP 方面模块后，在部署平台上织入到应用系统中，而不用修改应用系统的源代码。安全方面代码织入之后，即可拦截过滤用户对系统的访问，实现按规则的访问控制。 AOP工具在多种语言上都有实现。其中在Java上有运行良好的AspectJ库，此库可结合Spring框架及Spring Security子框架，实现高品质的安全控制特性。在.NET环境，有通过MSIL动态注入来实现AOP的PostSharp库。这样，公司多数应用都可以在同一种技术框架下实现访问控制了。 ● 基于Apache的访问控制方案 Apache服务器集成了访问控制能力，通过编辑.htaccess文件，可以设定特定来源的用户对特定资源的访问允许和禁止规则，Apache将会执行该文件中设定的规则，对某些请求进行拦截。此外，读取.htaccess文件并作出拦截或放行决定的，并不是Apache核心代码，而是Apache中的几个模块（以mod_auth为核心）提

ISO27001信息网络访问控制程序

ISO27001信息网络访问控制程序 1 目的为加强内部企业网、Internet网络及网络服务的管理，对内部和外部网络的访问均加以控制，防止未授权的访问给网络和网络服务带来的损害，特制定此程序。 2 范围本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序，网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期（每年）对机关办公楼各部（中心）人员的网络配置情况进行一次全面的普查和登记，填写《市行机关办公楼、内外网络接入申请单》备档，严格控制外网入网的人员数量，决不允许一机器登录双网（采用双网卡或双网线）的现象出现，登陆外网的计算机必须装有病毒查杀软件，确保现有的网络资源和网络安全。

5.1.2 IT各部（包括信息科技部）后续需要增加使用内外网结点数量，开展IT 业务，要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”，经所在部门总经理签字后递交给信息科技部，由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网，应当具备下列条件之一。（1）IT开展的营业活动必须要通过网上查询交易的。（2）助理以上的机关领导干部工作需要上网的。（3）因工作需要，经部门总经理批准的本部门员工（不能超过员工总数的1/3）。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务：（1）制作或者故意传播计算机病毒以及其他破坏性程序；（2）非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序；（3）相关法律、行政法规所禁止的其他行为；（4）有损IT形象的行为； 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息；（1）外泄IT内部商业机密；（2）反对宪法所确定的基本原则的；（3）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（4）损害国家荣誉和利益的；（5）煽动民族仇恨、民族歧视，破坏民族团结的；（6）破坏国家宗教政策，宣扬邪教和愚昧迷信的；（7）散布谣言，扰乱社会秩序，破坏社会稳定的；（8）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（9）侮辱或者诽谤他人，侵害他人合法权益的；（10）法律、行政法规禁止的其他内容。

第4章计算机系统安全与访问控制

计算机系统安全与访问控制　第八讲教学目的：通过本节的学习，学生掌握计算机安全主要目标、可信任系统的定义理解安全级别，了解系统的访问控制。教学重点：安全级别、C2级的操作系统。教学难点：安全级别、Windows NT安全性标识符（SID）。教学方式：理论讲授教学内容：（教学内容部分见后，参见课件）。一、计算机安全 1、主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件和计算机输出材料和数据。计算机部件中经常发生的一些电子和机械故障有：（1）磁盘故障；（2）I／O控制器故障；（3）电源故障；（4）存储器故障；（5）介质、设备和其它备份故障；（6）芯片和主板故障等。 2、计算机系统的安全需求 3、计算机系统安全技术 4、计算机系统安全技术标准二、安全级别 1、可信任系统的定义一个由完整的硬件及软件所组成的系统,在不违反访问权限的情况下,它能同时服务于不限定个数的用户,并处理从一般机密到最高机密等不同范围的信息。 2、安全级别的划分 NCSC领导着计算机和网络安全的研究工作,研制计算机安全技术标准,它在1983年提出了 "可信计算机系统评测标准"(TCSEC-Trusted Computer System Evaluation Crite ria),规定了安全计算机的基本准则。1987年又发布了"可用网络说明"(TNI-Trusted Ne twork In terpr

etation),规定了一个安全网络的基本准则,根据不同的安全强度要求,将网络分为四级安全模型。在TCSEC准则中将计算机系统的安全分为了四大类,依次为D、B、C和A,A 是最高的一类, 每一类都代表一个保护敏感信息的评判准则,并且一类比一类严格。在C和B中又分若干个子类,我们称为级,下面分别进行介绍。 ·D类：最小的保护。这是最低的一类,不再分级,这类是那些通过评测但达不到较高级别安全要求的系统。早期商用系统属于这一类。 ·C类：无条件的保护。C类提供的无条件的保护也就是"需要则知道" (need-to-know n)的保护,又分两个子类。 ·C1：无条件的安全保护。这是C类中较低的一个子类,提供的安全策略是无条件的访问控制,具有识别与授权的责任。早期的UNIX系统属于这一类。 ·C2：有控制的存取保护。这是C类中较高的一个子类,除了提供C1中的策略与责任外,还有访问保护和审计跟踪功能。 ·B类：属强制保护，要求系统在其生成的数据结构中带有标记,并要求提供对数据流的监视,B类又分三个子类。 ·B1：标记安全保护，是B类中的最低子类,除满足C类要求外,要求提供数据标记。 ·B2：结构安全保护，是B类中的中间子类,除满足B1要求外,要实行强制性的控制。 ·B3：安全域保护，是B类中的最高子类,提供可信设备的管理和恢复,即使计算机崩溃,也不会泄露系统信息。 ·A类：经过验证的保护,是安全系统等级的最高类,这类系统可建立在具有结构、规范和信息流密闭的形式模型基础之上。

访问控制方式总结

访问控制方式总结授权是根据实体所对应的特定身份或其他特征而赋予实体权限的过程，通常是以访问控制的形式实现的。访问控制是为了限制访问主体（或称为发起者，是一个主动的实体，如用户、进程、服务等）对访问客体（需要保护的资源）的访问权限，从而使计算机系统在合法范围内使用；访问控制机制决定用户及代表一定用户利益的程序能做什么以及做到什么程度。访问控制依据特定的安全策略和执行机制以及架构模型保证对客体的所有访问都是被认可的，以保证资源的安全性和有效性。访问控制是计算机发展史上最重要的安全需求之一。美国国防部发布的可信计算机系统评测标准（Trusted Computer System Evaluation Criteria，TCSEC，即橘皮书），已成为目前公认的计算机系统安全级别的划分标准。访问控制在该标准中占有极其重要的地位。安全系统的设计，需要满足以下的要求：计算机系统必须设置一种定义清晰明确的安全授权策略；对每个客体设置一个访问标签，以标示其安全级别；主体访问客体前，必须经过严格的身份认证；审计信息必须独立保存，以使与安全相关的动作能够追踪到责任人。从上面可以看出来，访问控制常常与授权、身份鉴别和认证、审计相关联。设计访问控制系统时，首先要考虑三个基本元素：访问控制策略、访问控制模型以及访问控制机制。其中，访问控制策略是定义如何管理访问控制，在什么情况下谁可以访问什么资源。访问控制策略是动态变化的。访问控制策略是通过访问机制来执行，访问控制机制有很多种，各有优劣。一般访问控制机制需要用户和资源的安全属性。用户安全属性包括用户名，组名以及用户所属的角色等，或者其他能反映用户信任级别的标志。资源属性包括标志、类型和访问控制列表等。为了判别用户是否有对资源的访问，访问控制机制对比用户和资源的安全属性。访问控制模型是从综合的角度提供实施选择和计算环境，提供一个概念性的框架结构。目前人们提出的访问控制方式包括：自主性访问控制、强访问控制、基于角色的访问控制等

ISO27001：2013信息系统访问与监控管理程序

XXXXXXXXX有限责任公司信息系统访问与使用监控管理程序 [XXXX-B-16] V1.0

变更履历

1 目的为了加强信息系统的监控，对组织内信息系统安全监控和日志审核工作进行管理，特制定本程序。 2 范围本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。 3 职责 3.1 技术部为网络安全的归口管理部门。 3.2 网络安全管理员负责对信息系统安全监控和日志的审核管理。 4 相关文件《信息安全管理手册》《信息安全事件管理程序》 5 程序 5.1 日志技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。系统管理员不允许删除或关闭其自身活动的日志。日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。应防止对日志记录设施的未经授权的更改和出现操作问题，包括： a)对记录的信息类型的更改； b)日志文件被编辑或删除； c)超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事件覆盖。 5.2 日志审核

技术部IT专职人员每周审核一次系统日志，并做好《日志审核记录》。对审核中发现的问题，应及时报告行政部进行处理。对审核发现的事件，按《信息安全事件管理程序》进行。 5.3 巡视巡检巡视人员负责每天监控巡视，技术部安全管理员每周进行一次监控巡视。新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。监控巡视人员按信息资源管理系统的要求进行系统监控和巡视，并填写运维记录报告。监控巡视期间发现问题，应及时处理，并在运维记录中填写异常情况。监控巡视人员应进行机房环境、信息网络、应用系统的巡视，每天记录机房温度、防病毒情况、应用系统运行情况等。巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。 5.4 职责分离为防止非授权的更改或误用信息或服务的机会，按要求进行职责分配。另见《用户访问管理程序》、《IT工程师职位说明书》 5.5审计记录（日志）及其保护 5.5.1 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志，并保存半年，以支持将来的调查和访问控制监视活动。 5.5.2 系统管理员和系统操作员的活动应记入日志，系统管理员不允许删除或关闭其自身活动的日志。 5.5.3 日志记录设施以及日志信息应该被保护，防止被篡改和未经授权的访问。 5.5.4 应防止对日志记录设施的未经授权的更改和出现操作问题，包括： a) 对记录的信息类型的更改； b) 日志文件被编辑或删除； c) 超过日志文件媒介的存储容量，导致事件记录故障或者将以往记录的事件覆盖。 5.6时钟同步 5.6.1公司网络和系统采用网络时间协议保持所有服务器与主时钟同步。 5.6.2 个人计算机应采用网络时间协议保持与主时钟同步。 6 记录《日志审核记录》《网络与信息安全检查表》

应用软件系统安全性设计

应用软件系统安全性设计 Company number：【WTUT-WT88Y-W8BBGB-BWYTT-19998】

应用软件系统安全性设计(1) 2006-12-19 10:13 陈雄华 ?摘要：应用系统安全是由多个层面组成的，应用程序系统级安全、功能级安全、数据域安全是业务相关的，需要具体问题具体处理。如何将权限分配给用户，不同的应用系统拥有不同的授权模型，授权模型和组织机构模型有很大的关联性，需要充分考虑应用系统的组织机构特点来决定选择何种授权模型。?标签： ? 引言应用程序安全涵盖面很广，它类似于OSI网络分层模型也存在不同的安全层面。上层的安全只有在下层的安全得到保障后才有意义，具有一定的传递性。所以当一个应用系统宣称自己是安全的系统之前，必须在不同层都拥有足够的安全性。图1：安全多层模型位于安全堆栈最底层的就是传输层和系统认证的安全，考虑不周，将会引入经典的中间人攻击安全问题。再往上，就是借由防火墙，VPN或IP安全等手段保证可信系统或IP进行连接，阻止DoS攻击和过滤某些不受欢迎的IP和数据包。在企业环境下，我们甚至会用DMZ将面向公网的服务器和后端的数据库、支持服务系统隔离。此外，操作系统也扮演着重要的角色，负责进程安全，文件系统安全等安全问题，操作系统一般还会拥有自己的防火墙，也可以在此进行相应的安全配置，此外，还可以部署专业的入侵检测系统用于监测和阻止各种五花八门的攻击，实时地阻止TCP/IP数据包。再往上的安全就是JVM的安全，可以通过各种安全设置限制仅开放足够使用的执行权限。最后，应用程序自身还必须提供特定问题域的安全解决方案。本文就以漫谈的方式聊聊应用系统本身的安全问题。 1、应用系统安全涉及哪些内容 1)系统级安全如访问IP段的限制，登录时间段的限制，连接数的限制，特定时间段内登录次数的限制等，象是应用系统第一道防护大门。 2)程序资源访问控制安全

信息系统访问控制权限管控模型研究

信息系统访问控制权限管控模型研究发表时间：2016-08-23T14:09:44.377Z 来源：《电力设备》2016年第11期作者：苏辉任增朋孟祥山 [导读] 江苏核电有限公司（以下简称：江苏核电）自成立以来，长期重视信息化建设和信息安全保障工作。苏辉任增朋孟祥山（江苏核电有限公司江苏连云港 222042）摘要：江苏核电有限公司在信息安全管理体系建设过程中，推出了江苏核电独具特色的信息系统访问控制权限管理模型。文章详细介绍了该模型的产生背景、设计原则和总体情况，并对组成模型的3个不同体系维度分别加以论述。文章重点介绍了在信息系统访问控制权限管理模型的指导下，江苏核电具体开展的信息系统权限管理模式和开展的工作，并对实施效果进行了总结。关键词：信息安全；权限管理；管控模型产生背景江苏核电有限公司（以下简称：江苏核电）自成立以来，长期重视信息化建设和信息安全保障工作，信息化程度越来越高，业务对信息系统的依赖程度越来越大，同时访问系统的用户账号和权限管理也变得越来越复杂。江苏核电需要在授予用户信息系统访问权限的同时，准确、及时的管控用户权限。但是公司在线的信息系统及设备权限管理的多样性，信息系统用户覆盖多个直属部门、合作伙伴的现实情况，共同导致系统访问控制管理工作复杂度激增。这不仅提高了系统访问控制管理的成本，同时带来了相应的安全问题，主要体现在如下两个方面：系统缺少统一的、全寿期的权限管控规范，存在权限管控的短板，从而在实质上降低了信息系统的安全性。系统上线后权限管控的接口不清晰，权限控制不准确，不及时。业务用户对于权限了解的信息不对称。为了规范系统访问控制管理工作。需要构建一个统一的信息系统访问控制权限管控模型，才能系统深入的解决上述两个方面的现实问题。因此，江苏核电开展了专题研究，并推出了江苏核电的信息系统权限管控模型。设计原则江苏核电信息系统权限管理的模型涉及系统和承载信息的安全，因此在设计权限管控模型的时候应坚持如下几个基本原则，以保证模型的先进性和实用性。标准性原则尽可能遵循现有的与信息安全相关的国际标准、国内标准、行业标准，充分参考行业内的最佳实践。标准性原则从根本上保证了信息系统权限管控模型的的全面性、合规性和开放性。整体性原则从宏观的、整体的角度出发，系统地设计江苏核电信息系统权限管理模型，覆盖系统的整个生命周期和管理维度的各个方面。从整体上管控信息系统的权限，保证系统的安全和信息的安全。实用性原则建立信息系统权限管理模型，必须针对江苏核电信息系统的特点，避免简单照抄照搬其它的信息安全权限管控方案。同时，信息系统权限管理模型中的所有内容，都被用来指导江苏核电信息系统权限管理的实际工作，因此必须坚持可操作性和实用性原则，避免空洞和歧义现象。先进性原则信息系统权限管理模型中涉及的思路和机制，应该具有一定的先进性和前瞻性，既能够满足当前系统的安全要求，又能够满足未来3到5年时间内，江苏核电的信息系统建设和权限管理的需要，为系统和信息的安全提供保障。 2、权限管控模型介绍江苏核电信息系统权限管理模型包括信息系统生命周期、访问控制要素、业务需求三个维度，下面将从这三个维度来阐释权限管理的思路和措施。图1 信息系统权限管控模型信息系统生命周期信息系统生命周期维度是把信息系统的全生命周期分为初始阶段、需求阶段、设计阶段、开发阶段、测试阶段、上线阶段、运维阶段、废弃阶段。针对这八个阶段制定具体的访问控制管理的管控流程、规则。初始阶段：依据信息系统的可用性要求、业务重要性对其进行定级。需求阶段：结合业务需求，梳理、汇总访问控制管理的需求。设计阶段：依据需求说明书对访问控制管理进行设计，确保系统满足功能和安全需求。重点要关注访问控制管理流程梳理、角色权限

AIX访问控制安全策略

一、AIX服务器 1<身份鉴别> 1.1配置密码策略参考配置操作：当前系统管理员密码为弱密码，建议其更换强密码，编辑/etc/security/user 设置以下参考数值设定： #vi/etc/security/user minalpha=1口令必须包含1个字母 minother=2口令必须包含2个非字母字符 minlen=8口令不得少于8个字符 maxage=4口令可使用周期（4周） maxexpired=1达到使用周期后1周内必须更改口令pwdwarntime=7在达到使用周期前7天提示修改口令histsize=5不能使用上5次用过的口令 1.2启用登录失败处理功能参考配置操作：编辑/etc/security/user文件，并修改以下内容： loginretries=3口令重试3次后锁定解锁方法：以user用户为例，执行命令： #lsuser user检查unsuccessful_login_count参数（登录失败次数） #chuser unsuccessful_login_count=0user重置user用户登录失败次数 1.3远程访问加密措施参考配置操作： 1）在官网下载Openssl和OPenSSH软件。

2）上传文件将openssh_5.2p1_aix61.tar.Z用ftp传到/tmp/openssh目录下将openssl.0.9.8.1103.tar.Z用ftp传到/tmp/openssl目录下3）解压文件 #cd/tmp/openssh/ #uncompress openssh_5.2p1_aix61.tar.Z #tar-xvf openssh_5.2p1_aix61.tar #cd/tmp/openssl/ #uncompress openssl.0.9.8.1103.tar.Z #tar-xvf openssl.0.9.8.1103.tar 4）安装openssl 进入openssl目录 #cd/tmp/openssl 开始安装 #smitty install 顺序选择Install and Update Software->Install Software INPUT device/directory for software[/tmp/openssl]输入openssl目录. 选中SOFTWARE to install[_all_latest]行，按F4，选择openssl.license，回车选中ACCEPT new license agreements?行，按Teb键，选择[yes] 回车，执行安装 Command:OK表示安装完成。 5）安装openssh 进入openssh目录 #cd/tmp/openssh 删除目录下openssh_5.2p1_aix61.tar包 #rm-rf openssh_5.2p1_aix61.tar 开始安装 #smitty install

IT信息系统监控管理程序

IT信息系统监控管理程序 1 目的为对IT信息科技部实施有效的系统监控管理，防止未经授权的信息处理活动。 2 范围本程序适用于IT信息科技部对所有信息系统的管理，不包括个人电脑。 3 相关文件 4 职责 4.1 网络管理员负责对核心系统的监控与管理。 4.2 运行监控机房值班人员负责监控系统的日常管理。 5 程序 5.1 监控策略 5.1.1 所有服务、防火墙、IDS和其他网络边界访问控制系统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。 5.1.2 应记录用户活动、异常和信息安全事态的审计日志，记录应永久保存并每半年备份一次，确保记录可调查和访问的控制监视，任何人不得以任何理由删除保存期内的日志。 5.1.3 审核日志必须由网络管理员定期检查，特权使用、非授权访问的试图、系更多免费资料下载请进：https://www.360docs.net/doc/fd18944405.html,好好学习社区

统故障和异常等内容应该得到评审，以查找违背信息安全的征兆和事实。 5.1.4 防火墙系统、IDS系统、漏洞扫描必须处于开启状态，在不经总经理授权，任何人不得将其中任何设备停止、更换或更新，由网络管理员定期评审，对所有可疑的非法访问行为和企图需及时向管理者代表汇报并采取相应的措施。 5.2 日志的配置最低要求 5.2.1 操作系统、应用系统、数据库、网络设备的日志应形成日志保存和检查要求，明确其保存周期。 5.2.2 所有日志应在运行系统或设备内至少保存一年的有效记录，备份的日志信息应保存至少三年。 5.2.3 所有日志应该根据重要信息备份的原则进行定期备份。 5.3 管理过程 5.3.1 网络管理员根据系统的安全要求确认日志内容、保存周期、检查周期，其最低要求不得低于5.2的要求。如果因为日志系统本身原因不能满足5.2的最低要求，需要降低标准的，必须得到管理者代表的批准和备案。 5.3.2 网络管理员配置日志系统，并定期检查日志内容，评审安全情况。评审的内容包括：授权访问、特权操作、非授权的访问试图、系统故障与异常等情况，评审结束应形成《日志评审记录》。 6 记录《日志评审记录》更多免费资料下载请进：https://www.360docs.net/doc/fd18944405.html,好好学习社区

访问控制策略V1.0

北京华胜天成科技股份有限公司管理体系文件Array 2009年03月01日发布2009年03月01日生效

目录 1 目的 (1) 2 适用范围 (1) 3 术语表 (1) 4 访问控制方针 (1) 4.1 通用方针 (1) 4.2 网络访问控制 (2) 4.2.1 网络区域划分 (2) 4.2.2 网络区域隔离 (2) 4.3 身份授予与鉴别 (2) 4.3.1 账户管理 (2) 4.4 外部信息交换控制 (3) 4.4.1 公开信息披露 (3) 4.4.2 外部信息交换 (3) 5 相关过程、模板、指导、检查表 (3)

1目的访问控制方针旨在基于华胜天成的业务需求，为信息资产的访问控制制定方针原则。各信息安全控制措施的选择和实施，以及信息安全管理规定的编写，应依据本方针进行。 2适用范围本方针适用于华胜天成信息安全管理体系范围内的各类型访问控制，包括但不限于：信息资产访问控制；权限及密码管理；网络访问控制；物理安全访问控制；应用系统访问控制等。 3术语表 4访问控制方针访问控制应依据以下两个原则进行：最小授权原则当没有明确授予访问权限时，应为禁止访问。应仅对用户授予他们开展业务活动所必需的访问权限。需要时获取访问权限应仅当使用者必须要访问信息时授予。 4.1 通用方针信息安全的访问控制，应基于分级的原则。在不同级别之间，应设置访问控制措施；访问控制角色应进行分离，包括如下角色： ?访问请求 ?访问授权 ?访问管理 ?访问控制审计；访问控制应包括如下管理过程： ?访问控制措施的部署； ?访问控制权限的申请、审批及授予

计算机安全访问控制

一、访问控制矩阵（Access Contro1 Matrix）

主体用户a R、W、Own R、W、Own 用户b R、W、Own 用户c R R、W 用户d R R、W 图4.9访问控制矩阵二、访问控制表（Access Control Lists，ACLs）图4.10 访问控制表访问控制表ACLs是以文件为中心建立访问权限表，如所示。表中登记了该文件的访问用户名及访问权隶属关系。利用访问控制表，能够很容易的判断出对于特定客体的授权访问，哪些主体可以访问并有哪些访问权限。同样很容易撤消特定客体的授权访问，只要把该客体的访问控制表置为空。出于访问控制表的简单、实用，虽然在查询特定卞体能够访问的客体时，需要遍历查询所有客体的访问控制表，它仍然是一种成熟且有效的访问控制实现方法，许多通用的操作系统使用访问控制表来提供访问控制服务。例如Unix和VMS系统利用访问控制表的简略方式，允许以少量工作组的形式实现访问控制表，而不允许单个的个体出现，这样可以便访问控制表很小而能够用几位就可以和文件存储在一起。另一种复杂的访问控制表应用是利用一些访问控制包，通过它制定复杂的访问规则限制何时和如何进行访问，而且这些规则根据用户名和其他用户属性的定义进行单个用户的匹配应用。三、能力关系表（Capabilities Lists）能力关系表与ACL相反，是以用户为中心建立访问权限表，表中规定了该用户可访问的文件名及访问权限，如图4.11。利用能力关系表可以很方便查询一个主体的所有授权访问。相反，检索具有授权访问特定客体的所有主体，则需要遍历所有主体的能力关系表。

图4.11能力关系表访问控制机制是用来实施对资源访问加以限制的策略的机制，这种策略把对资源的访问只限于那些被授权用户。应该建立起申请，建立，发出和关闭用户授权的严格的制度，以及管理和监督用户操作责任的机制。为了获取系统的安全授权应该遵守访问控制的三个基本原则： 1、最小特权原则最小特权原则是系统安全中最基本的原则之一。所谓最小特权（Least Privilege），指的是"在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权"。最小特权原则，则是指"应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。最小特权原则使得用户所拥有的权力不能超过他执行工作时所需的权限。最小特权原则一方面给予主体"必不可少"的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体"必不可少"的特权，这就限制了每个主体所能进行的操作。 2、多人负责原则即授权分散化，对于关键的任务必须在功能上进行划分，由多人来共同承担，保证没有任何个人具有完成任务的全部授权或信息。如将责任作分解使得没有一个人具有重要密钥的完全拷贝。 3、职责分离原则职责分离是保障安全的一个基本原则。职责分离是指将不同的责任分派给不同的人员以期达到互相牵制，消除一个人执行两项不相容的工作的风险。例如收款员、出纳员、审计员应由不同的人担任。计算机环境下也要有职责分离，为避免安全上的漏洞，有些许可不能同时被同一用户获得。

信息系统访问管理程序

ISMS信息系统访问管理程序（ISO27001-2013） 1、目的为规范信息部对各系统的访问控制，预防对系统的未授权的访问特制定此文件。 2、范围本程序适用于IT核心系统及外围系统的维护、登录与管理。 3、相关文件《口令管理规定》 4、职责 4.1机房管理员负责中心机房的维护、运行及管理。 4.2信息部其他人员配合机房管理员的工作。 5、程序 5.1各系统安全登录程序 5.1.1由机房管理员对登录程序应进行检查确保登录程序满足如下要求：（a）不显示系统或应用标识符，直到登录过程已成功完成为止；（b）在登录过程中，不提供对未授权用户有帮助作用的帮助消息；（c）仅在所有输入数据完成时才验证登录信息。如果出现差错情况，系统不应

指出数据的哪一部分是正确的或不正确的；（d）限制所允许的不成功登陆尝试的次数（推荐3次）并考虑： 1）使用策略或其他手段记录不成功的尝试； 2）在允许进一步登录尝试之前，强加一次延迟，或在没有特定授权情况下拒绝任何进一步的尝试； 3）断开数据链路链接； 4）如果达到登录的最大尝试次数，向系统控制台（或向机房管理员）发送警报消息； 5）结合口令的最小长度和被保护系统的价值（风险评估的结果或内部存储信息的价值）设置口令重试的次数；（e）限制登录程序所允许的最大和最小次数。如果超时，则系统应终止登录；（f）在成功登陆完成时，显示下列信息： 1）前一次成功登陆的日期和时间； 2）上次成功登陆之后的任何不成功登陆尝试的细节；（g）不显示输入的口令或考虑通过符号隐蔽口令字符；（h）不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2登录程序满足上述要求后，任何核心系统或外围系统的登录操作应被相

XX单位信息访问控制系统解决方案

XXX单位信息访问控制系统解决方案

目录遵循与参考的标准和规范 (3) 1.1终端与内网安全管理系统信息访问控制系统主要功能 (4) 部分典型用户 (5)

遵循与参考的标准和规范 1）国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》 2）国家保密标准BMZ1-2000，《涉及国家秘密的计算机信息系统保密技术要求》 3）国家保密标准《计算机信息系统保密管理暂行规定》（国保发{1998}1号） 4）国家标准GB17859-1999，《计算机信息系统安全保护等级划分准则》 5）国家标准GB/T18336.2-2001，《信息技术安全技术信息技术安全性评估准则第2部分: 安全功能要求》 6）ISO27001/ISO17799:2005/BS7799,《信息安全管理技术规范》。

1.1 终端与内网安全管理系统信息访问控制系统主要功能外设与接口管理主要对终端上的各种外设和接口进行管理。终端与内网安全管理系统可以禁用系统的外设和接口，防止用户非法使用。在外部存储设备的禁用方面，可以在禁止使用通用移动存储设备的同时，对经过认证的移动存储设备允许使用。存储设备禁用可以禁止如下存储设备的使用：软驱（Floppy）、光驱（CD/DVD/HD-DVD/BlueRay）、磁带机、Flash存储设备（U盘及MP3播放器）、移动硬盘（USB或1394）等。外设和接口禁用可以禁止如下外设计口的使用：串口和并口（COM/LPT）、SCSI接口、蓝牙设备、红外线设备、调制解调器、USB接口、火线接口（1394）、PCMCIA插槽等。设置移动存储设备只读可以设置将所有移动存储设备置于只读状态，不允许用户修改或者写入。移动存储设备认证管理员可以通过极地银河终端与内网安全管理系统对指定的移动存储设备进行认证，并将认证信息存储在系统中，同时下发到指定客户端上，经过认证的移动存储设备可以在指定的客户端上全权使用。