ISMS网络访问控制.doc

ISMS网络访问控制.doc^con^
好好学习天天向上
中国3000万经理人首选培训网站
更多免费资料下载请进： 好好学习社区
ISMS网络访问控制
目标：保护网络服务，控制对内部网络和外部网络服务的访问。
为了确保访问网络和网络服务的用户不会危害到这些网络服务的安全性，确保以下各项是 很必要的：
a） 在组织内部网络和其他组织的网络以及公共网络之间的合适的接口程序；
b） 对用户和设备的合适的认证机制；
c） 控制用户对信息服务的访问；
使用网络服务的方针
和网络服务的非安全性连接将会影响到整个组织。用户只可以直接访问已经明确授权访问的服务。 这种控制对于连接到敏感的或关键性的商业应用软件或连接到高风险区的用户的网络连接是特别重要 的，如在组织安全管理和控制之外的公共或外部区域。
应制定关于网络和网络服务使用问题的方针：
a） 所允许访问的网络和网络服务；
b） 决定什么人可以访问那些网络和网络服务的授权流程；
c） 保护对网络连接和网络服务的管理控制与流程； 此方针要和商务访问控制方针相一致（见 ）
强制路径
应控制从用户终端到计算机服务的路径。网络应被设计成允许最大范围的资源共享和路由的灵活性。 这种特点也给未经授权的访问商务应用软件和使用信息设备制造了机会。限制在用户终端和允许用户访 问的计算机服务之间的路由，如建立强制路径，包含有这样的控制措施的路径可以减小此类风险。
强制路径的目的是防止用户在用户终端和其已被授权的服务之间的路径以外选择路径。这需要在路 径的不同节点上实施一系列的控制措施。此原则是通过事先确定的选择来限制在网络中每个节点上的路 由选择。
此类的例子有：
a） 分配专线或电话号码；
b） 和特定的应用系统或安全网关的自动连接端口；
c） 单独用户的有限的菜单和子菜单项；
d） 防止无限制的网络漫游；
e） 对外部网络用户，强制其使用特定的应用系统和 /或安全网关；
f） 主动控制所允许通过安全网关（如防火墙）的源地址和目的地址之间的通信；
g） 对于在组织中的用户群，通过建立单独的逻辑域来限制网络访问，如虚拟私人网，对强制路径的
要求应该基于商务访问控制方针（见 ）；
外部连接的用户认证
外部连接给未授权访问商务信息提供了潜在的可能，如拨号方式的访问。因此，远程用户的访问必 须经过认证。认证方法有不同的类型，一些方法提供的安全级别要大一些，如基于使用加密技术的方法 可提供很强的认证。通过风险评估来决定所需的保护级别是很重要的。这也是能够适当的选择认证方法
所需要的。
^con^
好好学习天天向上
中国3000万经理人首选培训网站
更多免费资料下载请进： 好好学习社区
对远程用户的认证可以通过使用，如基于加密技术，硬件令牌或询问 /响应协议来达到。专用线路或
网络用户地址检验设备也可以用来提供连接源地址的保证。
反向拨号流程和控制，如使用回拨调制解调器，可以提供防止对组织信息处理设备的未授权和不需
要的访问的保护。这种控制措施可以识别企图在远程地点和组织网络之间建立连接的用户。在使用此控 制措施时，组织不得使用