存取控制是透過使用者的存取過程必須被管理,那麼,有沒有更加有效的管理方式呢?
當然有,再利害的駭客,你給他的輸入界面只能輸入0~9、enter和backspace的鍵盤(Physically constrained user interfaces)
他還能有辦法在鍵盤上輸入數字以外的攻擊手法嗎???
識別管理是為了讓系統驗證並授權使用者使用系統,但存取資料呢?!存取資料是否也有存取控制,說到這個就睡了一大半了,因為…它確實很無趣,不就只是放權限嘛!那有這麼難,其實,整個放權限的過程中依照放權限的規則不同,有不同的存取控制…
識別管理一直是被認定為確保一致性的前置步驟,但在現在的社會中也如同上一個章節中所討論到的有著相當多的挑戰
如何正確的識別出使用者是『對的』使用者,一直以來就是被受注目的,Jason之前在做一個專案時
客戶即有要求,要做識別管理,當時來找Jason的場商也有現在最夯的靜脈認證(掌靜脈、指靜脈…等等) …
存取控制主要是達成Integrity(一致性),在上一篇中討論的存取控制類型及種類,是讓管理者思考在各個面象可有納入管理中
那麼,存取了系統代表可以存取資料嗎?這個答案很肯定的是錯的,有權限連入系統,不代表你可以看、修改、刪除資料
那麼要進入系統我們如何來進行存取控制呢?這個部份就以Identification…
資訊安全的存取控制可以說是決定了整個資訊安全的完整度及強度!當未經授權的人取存了極敏感的資料,是否會產生更大的安全衝擊?
而資安存取控制中,共分為三大類型及七大控制種類,每一類型中均可以七大控制種類來進行存取控制。資安的目標是做到事事有人管
而如何管、怎麼管…等,有相當多的建議做法(ISO-27002),但每一項算是何種控制種類,可能就比較難以分清楚。
唉~~!基於業務需求,必須短期內取得CIW Security Analyst,自從pass Security+後(覺的它其實不難)
被要求要去拿CIW就覺的其實不太必要,但是有鑑於對岸(傳說中的祖國)這張認證還小有一點點的名氣
只好再多準備一張紙,參考書的部份我是看Sybex所出版的CIW: Security Professional Study Guide…
做完了風險的識別、資產的評估,那選擇何種保護措施才是對的呢?其實沒有對錯,重點在於Owner的想法
舉個很簡單的例子,有一個資訊資產可能產生的風險是會對它造成極大的損傷,但是導入一個風險控制措施 …
Risk Management(風險管理)是資訊安全最重要的環結之一,每種Access Control(存取控制)者必須依照風險管理、BIA(商業衝擊分析)…等
來決定資訊資產需要何種保護、需要何種機密性保護,因此在風險管理可以說是左右著資訊資產的各項存取措施。…
經過了選人、用人,找到一個對的人做適當的工作,但是在人力使用的過程中又和安全有何相關呢?
如果今天企業是用了一個不對的人,而且是有意的要損壞企業的人,那麼對於安全這個架構而言
就是最大的打擊了,當然用人也有安全的控制方法,一般來說對於人員的應用有分為職務面、權責面…
從IT的建置到Policy一路到了SPGB,更底層的,必須談到有關企業內對於資安的Roles and Responsibilities;R&R(角色及職責)
畢竟,資訊安全不可能靠一個人就可以達成,必須由Group(群組)或是Team(小組)來策進、推動
那麼在資安的角度來看,該會有那一些人來執行、那些人來推動安全文化,教育員工具有安全的概念 …
安全規劃也必須照步就班一步一步來
資安計劃又分成三個等級:Tactical level planning(戰術性規劃),Operational Planning(作業性規劃), Strategic Planning(戰略性規劃) …
談到了資安治理那麼IT的安全需求呢(IT Security Requirements)?對於一個完整的資安解決方案又該如何做起?
這個又是一種考量的基礎,在尋找一個IT安全結構下應該由...
資訊安全是近來幾年相當受到觀注的領域,Jason自投入業界至今也在三年前轉往這個領域
當然在這個領域中也有不少的挑戰,而Jason近來也在正在準備這方面的挑戰 …