8.3 訪問控制

8.3.1　目的

按照業務要求限制對信息和信息系統的訪問。

8.3.2　要求

基于業務和信息系統安全要求，建立物理環境、設備、信息系統的訪問控制策略，形成文件并進行評審。

8.3.3　實施指南

信息系統安全責任者需要為特定用戶角色確定適當的訪問控制規則、訪問權及限制，其詳細程度和控制的嚴格程度反映相關的信息安全風險。

訪問控制包括邏輯和物理的。應為用戶和服務提供商提供一份清晰的說明書，其中陳述了訪問控制所要滿足的業務要求。

訪問控制應考慮到下列內容：

— 業務應用的安全要求；

— 信息傳播和授權的策略，例如：“需要知道”的原則和信息安全級別以及信息分級的需要；

— 系統和網絡的訪問權限和信息分級策略之間的一致性；

— 關于限制訪問數據或服務的相關法律和合同業務；

— 在了解各種可用的連接類型的分布式和網絡化環境中，訪問權的管理；

— 訪問控制角色的分離，例如訪問請求、訪問授權、訪問管理；

— 訪問請求的正式授權要求。

制定一個有關網絡和網絡服務使用的策略。該策略包括：

— 允許被訪問的網絡和網絡服務；

— 確定允許哪些人訪問哪些網絡和網絡服務的授權規程；

— 保護訪問網絡連接和網絡服務的管理控制和規程；

— 訪問網絡和網絡服務使用的手段；

— 訪問各種網絡服務的用戶鑒別要求；

— 監視網絡服務的使用。

實現正式的用戶注冊及注銷過程，以便分配訪問權。

管理用戶ID過程包括：

— 使用唯一用戶ID，使得用戶與其行為鏈接起來，并對其行為負責，在對于業務或操作而言，必要時，才允許使用共享ID，并經過批準和形成文件；

— 立即禁用已離開組織的用戶ID，并在禁用一段時間后視情況進行刪除；

— 定期識別并刪除或禁用冗余的用戶ID；

— 確保冗余的用戶ID不會分發給其他用戶。

用于對用戶ID訪問權進行分配或撤銷的配置過程包括：

— 針對信息系統或服務的使用，從系統或服務的責任者那里獲得授權；

— 驗證所授予的訪問程度是否與訪問策略相適宜，是否與職責分離等要求相一致；

— 確保授權過程完成之前，訪問權未被激活；

— 維護一份集中式的訪問權記錄，記載所授予的用戶ID要訪問的信息系統和服務。

對訪問的限制基于各個業務應用要求，并符合已制定的組織訪問控制策略。