ISMS网络访问控制.doc

1、中国3000万经理人首选培训网站ISMS网络访问控制目标：保护网络服务，控制对内部网络和外部网络服务的访问。为了确保访问网络和网络服务的用户不会危害到这些网络服务的安全性，确保以下各项是很必要的：a） 在组织内部网络和其他组织的网络以及公共网络之间的合适的接口程序；b） 对用户和设备的合适的认证机制；c） 控制用户对信息服务的访问；1. 使用网络服务的方针和网络服务的非安全性连接将会影响到整个组织。用户只可以直接访问已经明确授权访问的服务。这种控制对于连接到敏感的或关键性的商业应用软件或连接到高风险区的用户的网络连接是特别重要的，如在组织安全管理和控制之外的公共或外部区域。应制定关于网络和网络

2、服务使用问题的方针：a） 所允许访问的网络和网络服务；b） 决定什么人可以访问那些网络和网络服务的授权流程；c） 保护对网络连接和网络服务的管理控制与流程；此方针要和商务访问控制方针相一致（见9.1）2. 强制路径应控制从用户终端到计算机服务的路径。网络应被设计成允许最大范围的资源共享和路由的灵活性。这种特点也给未经授权的访问商务应用软件和使用信息设备制造了机会。限制在用户终端和允许用户访问的计算机服务之间的路由，如建立强制路径，包含有这样的控制措施的路径可以减小此类风险。强制路径的目的是防止用户在用户终端和其已被授权的服务之间的路径以外选择路径。这需要在路径的不同节点上实施一系列的控制措施。

3、此原则是通过事先确定的选择来限制在网络中每个节点上的路由选择。此类的例子有：a） 分配专线或电话号码；b） 和特定的应用系统或安全网关的自动连接端口；c） 单独用户的有限的菜单和子菜单项；d） 防止无限制的网络漫游；e） 对外部网络用户，强制其使用特定的应用系统和/或安全网关；f） 主动控制所允许通过安全网关（如防火墙）的源地址和目的地址之间的通信；g） 对于在组织中的用户群，通过建立单独的逻辑域来限制网络访问，如虚拟私人网，对强制路径的要求应该基于商务访问控制方针（见9.1）；3. 外部连接的用户认证外部连接给未授权访问商务信息提供了潜在的可能，如拨号方式的访问。因此，远程用户的访问必须经过

4、认证。认证方法有不同的类型，一些方法提供的安全级别要大一些，如基于使用加密技术的方法可提供很强的认证。通过风险评估来决定所需的保护级别是很重要的。这也是能够适当的选择认证方法所需要的。对远程用户的认证可以通过使用，如基于加密技术，硬件令牌或询问/响应协议来达到。专用线路或网络用户地址检验设备也可以用来提供连接源地址的保证。反向拨号流程和控制，如使用回拨调制解调器，可以提供防止对组织信息处理设备的未授权和不需要的访问的保护。这种控制措施可以识别企图在远程地点和组织网络之间建立连接的用户。在使用此控制措施时，组织不得使用含有呼叫转接的网络服务，否则，这些服务必须禁止使用呼叫转接功能，来避免由此带来

5、的缺陷。回拨过程保证在组织一方可以出现中断也是很重要的。否则，远程用户可以保持线路开放，而伪称已经进行了回拨认证。对于这种可能性，回拨流程和控制措施要彻底的进行测试。4. 节点认证自动连接到远程计算机的功能为商务应用的未授权访问提供了途径。因此对远程计算机的连接要进行认证。如果连接所用的是组织安全管理控制之外的网络，认证则是特别的重要。认证的例子和如何实现认证在上述9.4.3中已给出。节点认证可以作为验证连接到安全的、共享的计算机设备的远程用户群的可选方法。5. 远程诊断端口保护应该可靠的控制诊断端口的访问。很多计算机和通信系统都安装有维修工程师所用的拨号远程诊断设备。如果不加以保护，这些诊断

6、端口则提供了未授权访问的途径。因此，应有适当的安全机制来进行保护，如使用键锁和程序来确保只有计算机服务管理人员和要求访问的软硬件支持人员之间的设备才可以访问这些端口。6. 网络的隔离网络正被日益地扩展到组织的传统边界之外，这是因为所建立的商务合作关系需要信息处理或网络设备的互联或共享。这种扩展增加了对现存的使用网络的信息系统的未授权访问的风险，其中有一些网络由于本身的敏感性或重要性，需要对来自其他网络用户的保护。在这种情况下，应考虑在网络内部引入控制措施，来隔离信息服务组、用户和信息系统。控制大型网络的安全的一种方法就是把网络化分成单独的逻辑网域，如组织内部的网络域，和外部网络域，每一个网域有

7、所定义的安全边界来保护。这种边界的实施可通过在相连的两个网络之间安全网关来控制其间访问和信息流。网关要经过配置，以过滤两个区域之间的通信量（见9.4.7和9.4.8）和根据组织的访问控制方针来堵塞未授权访问（见9.1）。这种网关的一个例子就是通常所说的防火墙。网络隔离成区域的标准应以访问控制方针和访问需求为基础（见9.1），还应考虑相关的成本和包含有适当的网络路由或网关技术的性能影响（见9.4.7和9.4.8）7. 网络连接控制对于共享的网络，特别是超越了组织边界的网络的访问控制措施要求包含有限制用户连接容量的控制措施。这种控制措施的实施是通过网关来实现的，网关通过预先定义的路由表或路由规则来

8、过滤通信量的。所实行的限制措施应基于商务应用的访问方针和需求，因此要给予维护和更新。应使用限制措施的应有的例子有：a） 电子邮件b） 单向文件传输c） 双向文件传输d） 交互式的访问e） 和时间与日期相关的网络连接8. 网络路由控制共享的网络，特别是扩展到组织边界之外的网络，需要具有路由控制措施来确保计算机的互连和信息流不会违背商务应用的访问控制方针（见9.1）。对和第三方（非本组织）用户共享的网络，这种控制措施是必须的。路由控制应基于明确的源地址和目的地址检查机制。网络地址翻译对于网络隔离和防止路由从一个组织的网络扩展到另一个组织的网络是一个很有效的机制。此功能可在软件和硬件上实现。实施时应

9、意识到所采用的机制的强度。9. 网络服务的安全问题大范围的公共网络和私人网络的服务是可用的，其中有一些提供了增值服务。网络服务具有独特的、复杂的特点。使用网络服务的组织应确保提供一个对所使用的服务的安全特点的清晰的描述。ISO27001信息安全管理标准理解及内审员培训 培训热线：0755-25936263、25936264 李小姐客服QQ：1484093445、675978375 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述

10、ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部

11、分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、

12、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”更多免费资料下载请进：好好学习社区