Asp的安全管理(5)

來源:互聯網
上載者:User
安全 ASP 的安全性原則
ASP 為什麼需要安全性原則?

在 ASP 的安全管理過程中,必須有一個通道來及時地傳遞任何一個給定點的現有狀態。安全性原則充當了這一角色。它們是對 ASP 一貫使用的當前安全要求和指導方針以及步驟的書面表示。一致的策略將使 ASP 內部清楚在安全方面必須做什麼。如果 ASP 要看到在安全狀態上的迅速改進,則建立安全性原則是評估之後的邏輯步驟,並且應當啟動而作為安全規劃的一個輔助因素。

當安全管理的規劃展開時,環境中的特定因素將會改變。出現變化時,策略將被檢查並修改,以確保它們傳遞的是保護 ASP 環境的當前規劃。在六到十二個月之間必須至少對安全性原則檢查一次,當然每當由於各種原因需要對策略變更時也要如此。因此,安全性原則是一項持續進行的工作。

開發 ASP 安全性原則的步驟

下列步驟是定義安全性原則中的基本步驟。

瞭解安全性原則由什麼組成。

安全性原則定義 ASP 如何管理、保護和分配敏感的資訊和資源
在串連到 Internet 之前,任何 ASP 都應當開發出一個策略,其中要明確地指定將使用的解決方案以及如何使用這些解決方案
該策略應當明確、簡潔並易於理解,同時有更改策略的內建機制(靈活性)
預設策略:除非明確允許,否則不使用它
理解安全性原則必須要遵守什麼要求。

在“服務等級協定”中定義的外部客戶要求
涉及安全性的外部法律要求
外部供應商安全性原則
內部 ASP 安全性原則
在 ASP 和客戶環境的整合情況下,內部/外部的安全性原則
理解應如何考慮安全性原則;確定要保護什麼。

電腦資源
關鍵系統
敏感系統
客戶和公司資料
關鍵資料
敏感性資料
公用資料
確定安全性原則指導方針。

開發一個雙層級的策略

進階別策略
從客戶的角度編寫

保持簡單

避免技術術語並包含對它的解釋

低層級策略
為實施者而編寫

有關如何執行的詳細技術說明

包括篩選規則等

安全性原則必須以 ASP 客戶的實際條件為基礎;它應當明確、一致、簡潔和易於理解。
提供定期檢查和檢驗
ASP 服務的管理
客戶關係管理
客戶關係管理的內容是發展及培養客戶和 ASP 之間良好的職業工作關係。客戶關係管理人員必須介入 MOF 的所有其它層面。例如,客戶關係管理人員在 SLA 協商期間促進 ASP 與客戶之間的互動,並參與解決客戶對所提供服務的不滿。如果客戶關係管理人員提供給客戶的解決方案確實安全,那麼這對客戶關係管理人員而言就是一個賣點。

與客戶的溝通是 CRM 進行安全管理的的主要方面。

服務管理
在安全管理過程中採取的所有操作都取決於“服務等級協定”中協商一致的服務等級。“服務等級管理”確保指定並實現有關提供給客戶的服務方面的協議。目的是建立最優的 IT 服務,使得客戶對 IT 服務的期望和要求都能得到滿足,並且能為 ASP 和客戶雙方調整相關的成本。

因此 SLA 還必須包括一段內容,規定有關要採取的安全措施的協議(參見附錄中有關安全部分的架構)。從安全的角度來看,對於“服務等級管理”,需要檢查某些活動。

對客戶的安全要求和期望的認定。
對客戶的這些安全要求和期望的可行性驗證。
對建議和 IT 服務所需安全層級記錄的協商。
確定、起草和建立 IT 服務的安全標準。
監視這些安全標準。
報告所提供服務在安全方面的有效性和狀態。
獲得安全方面的反饋和評估。
有關 CRM 和“服務管理”之間關係方面的詳細資料,請參見 ITIL Library: http://www.itil.co.uk/

更改管理
管理更改是維護系統正常運行和完整性的重要方面。更改控制過程提供了批准更改並對請求的更改進行全面考慮的機會。這種分析可實現安全風險的評估。

已定義的更改和目的

對於所要進行的工作或要實現的更改,應當完成其成文的定義。這應包括更改的目的、更改將產生的結果以及預計對其它系統產生的影響。安全過程將通過該定義來確定安全的效果。

風險評估

對於將要進行的更改,需要完成有關的風險評估。此安全風險評估的範圍可以從無風險到高風險。作為風險評估的一部分,安全風險也需要進行評估,並需確定其對 ASP 業務的影響。

批准過程

安全性系統管理員負責批准更改的安全考慮事項。沒有他的批准,更改將被拒絕(除非定義了可以滿足應急條件的附加安全對策)。

驗證更改的步驟

需要用有關步驟的資訊來驗證進行的更改是否具有所需的安全性。實施更改後,應當執行該步驟,並根據預先定義的結果採取措施。

安全事件管理
“安全事件管理”是常規“事件管理”的一個特殊部分。最重要的是 ASP 有一個安全事件的主要聯絡位置。這意味著必須要有一個位置,所有的安全事件都在該位置註冊,而且所有的 ASP 僱員和客戶(在必要情況下)都必須知道此位置,這樣他們可在該位置處理安全事件。必須要有一個針對安全事件的步驟,使人明白當宣稱出現安全事件出現時究竟發生了什麼情況。

事件控制員必須有一個任務報告指令碼,其中描述安全事件問題。依照此任務報告指令碼,事件控制員將得出結論:這是安全事件、不是安全事件或者他不能斷定該事件。在肯定或不能斷定安全事件的情況下,必須執行安全事件進程和步驟。涉及安全事件時,不要冒險。對安全事件進程和步驟的說明需要安全管理和事件管理的共同努力。

發現事件後需要採取的步驟為:

註冊;需要對基本的事件細節進行註冊,並根據需要向專家組發出警報。
分類和初始支援;有必要獲得來自最新的“組態管理資料庫”(CMDB) 的資訊,以確定正在發生的是何種類型的安全事件。還將執行對上次事件資訊的檢查。
調查和診斷;如果較早的檢查沒有提供所需的資訊,則開始對更新後的安全事件細節和配置細節進行更嚴格的調查,以確定這是什麼類型的安全事件。開始診斷,並且必須制定出明確的解決方案。
解決和恢複;此時必須要有一個解決方案。當解決安全事件需要進行任何更改時,“更改過程”必須對變更要求作出緊急響應。
事件結束;此時初始事件已經得到解決。有關該事件的資訊已經正確地記錄下來,以備在該安全事件可能再次出現時使用。
此“安全事件管理過程”中涉及的人員(突發事件管理員、安全性系統管理員、事件控制員、技術服務人員)必須都明白出現安全事件時需要如何去做。他們還必須意識到可用於解決安全事件的時限。在 ASP 和客戶規定的 SLA 中有這些時限(服務等級)的說明。

應急規劃
“應急規劃”過程負責制定災難恢複計劃。但是從安全的角度來看,ASP 希望確保出現災難時採取準確的行動。因此,需要定義一些內容,如應急規劃的安全方面、ASP 或客戶組織中有可能被災難摧毀的部分、組織中不允許被災難摧毀的部分(因為這將意味著該組織不再存在)。SLA 對此有何規定?

該過程中關鍵是對應急過程中所涉及的所有員工進行培訓。危機當中,幾乎沒有時間作出決定,因此大家必須如熟悉日常工作一樣熟悉應急過程。

有關 ASP 應急規劃的白皮書更深入地介紹了如何管理應急過程。



相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.