快捷搜索:

Asp的安全管理(3)

在 MOF 模型的所有层面中都嵌入了安然治理。每个层面必须遵守设立的安然策略,包括 ASP 内部安然策略以及在 SLA 中与客户约定的安然策略。对付每个层面,安然性必须涉及:

机密性

完备性

可用性

安然性的掩护对 ASP 而言是一笔伟大年夜的开销,然则若没有好的安然性,将会付出更大年夜的价值,由于这样将使客户掉去信心。安然治理的目的是确保营业的继续性以及将破坏 ASP 安然的侵害减至最小。

有关 Microsoft 操作框架历程模型的具体信息,请拜见 http://www.microsoft.com/enterpriseservices/MOF.htm 。

MOF 和 ITIL

MOF 熟识到,英国中央谋略机与电信局 (Central Computer and Telecommunications Agency, CCTA) 的 IT Infrastructure Library (ITIL) 中已很好地记录了 IT 办事治理确当前行业最佳做法。

CCTA 是英国政府的一个行政部门,它针对办事治理和操作中信息技巧的利用,开拓和制订最佳做法建议及指示方针。为实现此目标,CCTA 在举世范围内追踪领先的 IT 公司的项目,以记录和验证 IT 办事治理方面的最佳做法。

MOF 将这些相助行业标准与运行在 Microsoft 平台上的详细指示方针相结合,运用到多种商业规划中。MOF 扩展了 ITIL 操作规程,使其能支持散播式 IT 情况和当前行业偏向,如利用法度榜样托管、移动设备谋略和基于 Web 的事务性和电子商务系统。

ASP 安然治理概述

目标

安然治理的目标是在 ASP 的办理规划上治理必然级其余安然性,包括治理对安然事故的反映。经由过程这样做,安然治理可确保继续性并保护 ASP 及其客户的信息,还可赞助将破坏 ASP 安然的侵害减至最小。

安然治理为什么对 ASP 异常紧张?

供给客户办理规划是 ASP 最紧张的目标。没有它,ASP 就无事可做。对 ASP 来说,安然地与客户共享信息以及创建安然的办理规划是至关紧张的。

通报和接管信息是 ASP 存在的关键。任何要挟信息或信息处置惩罚的工作都将直接危及 ASP。无论是涉及信息的机密性、精确性、合时性,照样涉及办理规划的可用性,那些会形成风险的要挟都必须经由过程安然步伐来预防。这里所谈到的是 ASP 布局方面的问题。这意味着布局上的风险必要有布局上的对策来办理。

安然治理可赞助 ASP 确定和实施针对安然风险的对策。

选择 ASP 的客户越来越盼望确信所选的 ASP 可以确保其办理规划的安然。Gartner Group 的 J.Pecatore(DF-10-0972,2000 年 2 月)已经明确提出了一些客户可能向其 ASP 办理规划供给商扣问的问题。示例如下:

“ASP 是否为防火墙及其它关键的安然身分供给冗余和负载平衡办事?”

“ASP 至少按季度进行(或让有履历的咨询公司来进行)外部渗透测试并且至少每年进行一次内部收集安然性审核吗?”

“ASP 可否出示对客户收集安然的书面要求(以及 ASP 审核步骤),以确保其它的 ASP 客户不会危及 ASP 主干的安然?”

“ASP 能供给巩固 Web 和其它办事器的操作系统的书面策略吗?假如 ASP 在物理办事器上设置设置设备摆设摆设客户利用法度榜样,它是否有书面记录的节制步骤,用来确保客户利用法度榜样之间数据和安然信息的分离?”

“ASP 若何反省添加到它所供给的商业利用法度榜样中的脚本和集成代码的安然性?”

“ASP 是否供给基于利用法度榜样或事务的入侵检测办事?”

“ASP 是否对可以治理员身份造访办事器和利用法度榜样的职员进行背景反省?”

“ASP 是否可以出示书面记录的流程,用于评估 OS 和利用法度榜样供应商安然警报并安装安然修补法度榜样和办事包?”

“ASP 是否可以出示书面记录的进行入侵检测、事故相应和事故进级/查询造访的步骤?”

“ASP 是‘事故相应和安然小组论坛’的成员吗?或它应用的安然办事供给商是该论坛的成员吗?”

“ASP 安然治理的员工是否在信息/收集安然方面有匀称三年以上的履历?”

对以上问题的肯定回答异常紧张。能够这么做的 ASP 将具有竞争上风。

有关本章主题的具体信息,请拜见 http://www.itil.co.uk/ 中 ITIL Library Security Management 部分或 ITIL Security Management 一书 (ISBN 0 11 330014 X)。

有关 Gartner Group 论文的具体信息可在 Critical Security Questions to an ASP(DF-10-0972,J.Pecatore,Gartner Group,2000 年 2 月)中找到。

ASP 履行安然治理的光阴

安然治理应是任何 ASP 永世关注的问题。每当办理规划或情况变更时,ASP 应该花光阴反省一下所采纳的安然步伐。根据客户要求,针对特定客户办理规划的对策可能必要有所改变。应该始终斟酌职员培训和安然步伐的测试。由于在呈现进击时,就没有光阴再来仔细斟酌。

ASP 安然治理的基础观点

安然治理是根据对信息和 ASP 办理规划安然策略中的设定来治理已定义的安然级其余历程。此中包括治理对违反安然行径的反映。可以节制进击而不用担心 ASP 以及 ASP 客户营业的持续性,能够这样来对于恶意方的进击可真是一门艺术。

安然治理在很大年夜程度上依附于安然策略。这些策略可从不合滥觞中孕育发生。设计安然性时要斟酌的策略有:

办事级别协议中定义的外部客户需求

关于安然的外部司法要求

外部供应商安然策略

内部 ASP 安然策略

在 ASP 和客户情况的集成环境下,内部/外部的安然策略

对付每个办理规划,ASP 必须定义安然策略。该策略应是基于上述各个方面的最靠得住的组合。

根据客户的需求,纵然是基础布局的设计也会很不相同。平日应用三种安然设计:

专用。ASP 办理规划和安然步伐完全由 ASP 进行端对真个节制。平日,这意味着 ASP 对所有的基础布局组件具有完全的节制,包括 ASP 和客户之间的专用收集连接。

公用。ASP 办理规划和安然步伐由 ASP 部分节制。平日,这意味着 ASP 在自己的站点内具有节制权,然则不包管对用来供给办理规划的公用收集具有节制权。然而,ASP 可应用像“虚拟专用收集”(VPN) 这样的技巧来进行 ASP 和客户安然之间的连接。

混杂。该办理规划是前面两种的组合。“专用”和“公用”办理规划都应用。在确保安然的办理规划时,同时涉及到 ASP 和客户。

该历程有五个层面必要遵循 MOF 模型进行改进:

筹划。筹划活动包括在客户要求、内部和外部策略以及合法要求的根基上建立 SLA 安然部分的要领。在与客户进行对话的同时,可能有需要确定或调剂内部安然策略。当然要由 ASP 来抉择是否这样做。此层面的结果是孕育发生一个安然筹划,此中包括安然策略和所有方面的设计(基础布局、职员、步骤、情况、根基条约等等)。

实施。实施层面履行所有需要的安然步伐,以遵守 SLA 中已经定义的安然部分。需要时,此阶段还将实施变动过的内部安然策略。

评估。评估是停止安然治理历程所必弗成少的。它涉及所采纳步伐和所确定策略的状态和有效性。

掩护。安然步伐的掩护建立在以下方面的根基上:按期反省的结果、对变更的风险状况的洞察,以及 SLA 或其它前提的变动。

节制。节制活动可组织并指示安然治理历程本身。节制活动定义子进程、功能、角色、责任分配、组织布局和申报布局。它是历程的引擎并确保进行持续的改进。

安然治理历程必须赓续地进行自身改进。新办理规划、新技巧、新职员、新步骤、纰漏都可能导致进击者攻破所安装的安然办理规划。

下图将安然性历程表示为一个根据策略和协议赓续改进的历程。

您可能还会对下面的文章感兴趣: