Asp的安全管理（10）

安全 小結
保護客戶和 ASP 的資料不受到惡意攻擊（有意的或無意的）的損害是“安全管理”的全部內容。對安全管理是什麼以及 ASP 及其客戶可以採取的方法有一個清晰的瞭解非常關鍵，其中包括什麼是安全性原則以及需要達到什麼樣的安全層級。需要確定 SLA 本身以及它提供的安全層級，並需要採取相應的安全措施。安全措施包括人員、過程和技術。過程涉及到溝通、升級以及圍繞安全管理的過程和步驟。人員需要進行培訓，並能夠理解和執行所有的安全措施以及與之伴隨的不斷變化的技術。

要對所有的方面進行綜合考慮以確保安全層級達到 ASP 的客戶要求。

其它資訊
首字母縮寫詞
AD：

Active Directory


ASP：

應用程式服務提供方


CCTA：

英國中央電腦與電信局 (UK)


CI：

設定項目


CMDB：

組態管理資料庫


CRAMM：

CCTA 風險分析和管理方法


CRM：

客戶關係管理


EFS：

加密檔案系統


ESf：

企業服務架構


ITIL：

IT Infrastructure Library


LDAP：

輕量型目錄存取通訊協定


MOF：

Microsoft 操作架構


MRF：

Microsoft 準備工作架構


MSF：

Microsoft 解決方案架構


NTFS：

NT 檔案系統


NTLM：

NT LAN 管理


PKI：

公開金鑰基本結構


SLA：

服務等級協定


SSL：

加密通訊端協議層


UPN：

使用者主要名稱


VPN：

虛擬私人網路


書目
下列書籍為本白皮書的參考書目或推薦讀物，有助於進一步理解此處包含的概念：

Security Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330014 X。

Contingency Planning，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330524 9。

Capacity Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330544 3。

Service Level Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330521 4。

Availability Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330551 6。

安全管理參考資料
這部分集中了本文主體部分的所有參考資料，並按照主題的字母順序列出。

Active Directory
http://www.microsoft.com/windows2000/guide/server/features/activedirectory.asp

ASP Industry Consortium
http://www.aspindustry.org/

Best practices（最佳做法）
http://www.aspindustry.org/members/BestPractices/DeliveryModel.cfm
http://www.microsoft.com/ISN/downloads/Best Practices Documentation for ASPs.zip

CCTA Risk Analysis and Management Method（CCTA 風險分析和管理方法）
http://www.crammusergroup.org.uk

Forum for Incident Response and Security Teams （事件響應和安全小組論壇，FIRST）
http://www.first.org/about/first-description.html

Gartner Group, J.Pescatore, "Critical Security Questions to as an ASP", DF-10-0972, February 2000
http://www.gartner.com/

International Information Systems Security Certification Consortium
http://www.sans.org/snap.htm

IT Infrastructure Library.
http://www.itil.co.uk/

Microsoft Operations Framework（Microsoft 操作架構）
http://www.microsoft.com/enterpriseservices/MOF.htm

Microsoft Telecommunications Consulting Practice, Steve Riley, "Network Security Best Practices", 7 August 2000
Http://www.microsoft.com/technet/

Microsoft Terminal Services Scaling（Microsoft 終端服務縮放）
http://www.microsoft.com/windows2000/library/technologies/terminal/tscaling.asp
http://www.microsoft.com/WINDOWS2000/library/resources/reskit/tools/hotfixes/tscpt-o.asp

Microsoft Windows 2000 Performance Tuning（Microsoft Windows 2000 效能調節）
http://www.microsoft.com/WINDOWS2000/guide/platform/performance/reports/perftune.asp

Microsoft .NET
http://www.microsoft.com/net/

Microsoft Windows Management Instrumentation（Microsoft Windows 管理規範）
http://www.microsoft.com/ISN/downloads/Operations for ASPs.zip

Microsoft Enterprise Services frameworks (ESf) publications（Microsoft 企業服務架構出版物）
http://www.microsoft.com/enterpriseservices/

撰稿人
Unisys Corporation：Jeroen Bom、Joe Helm、Hilda Willems、Tom Wu

Microsoft Corporation：Kathryn Rupchock、Kent Sarff

附錄 A：SLA 中的安全部分
在 SLA 的安全部分需要討論以下主題：
資訊安全的一般策略
允許的存取方法和使用者標識 (ID) 與密碼的管理和使用
ASP 保留被授權人列表的義務
關於審核和日誌記錄的協議
記錄 ASP 與安全相關的管理活動的義務
解決方案有效時間和日期（必要時可把回退的裝置考慮在內）
客戶、廠商和 ASP 的義務（按照 ASP、客戶和廠商的責任）
保護 ASP 及客戶資產（包括資訊）的步驟
對法律事務的責任
監督客戶和廠商活動的權利（以及取消該權利的權利）
安裝和維護裝置及軟體的責任
檢查合約責任的權利
對資訊複製和公開的限制
用來確保在 SLA 終止時資訊或貨物被破壞或歸還的辦法
所需的任何物理安全措施
ASP 方面資訊安全的管理過程
確保安全措施忠實有效步驟
在安全性原則、方法和步驟方面對使用者（內部和外部）的培訓
用來確保不擴散電腦病毒和其它攻擊的措施
對使用者存取權限的授權步驟