isae3402如何做--dmla訪問控制

控一 控制原建立控制原則，以便于所有人員都遵循的控制管理標(biāo)1.中行建立了信息系統(tǒng)控制用戶ID“唯一性”原則：使用唯一的ID對用戶進(jìn)行標(biāo)請與職責(zé)分離，操作與檢詳見《數(shù)據(jù)中心信息系統(tǒng)如需使用通用（GenericID）執(zhí)行用ID；的ID，檢查賦予用戶唯一的ID對檢查通用ID的使是否得到中行按照控制管理原則，對用戶ID進(jìn)行管理，即賦予每個用戶唯一的ID，個人長期使用通用ID；（此點(diǎn)未進(jìn)行使用到通用ID。對通用ID的請與職責(zé)分離，與用戶創(chuàng)系統(tǒng)的，導(dǎo)致員工舞請與職責(zé)申請與由不同完成，離，與用戶由不同完成，詳見《信息二 海外機(jī)構(gòu)權(quán)海外機(jī)構(gòu)權(quán)用戶只能其所擁有的數(shù)據(jù)，禁止 據(jù)可能導(dǎo) 加數(shù)據(jù)的風(fēng)險1.各海外機(jī)構(gòu)應(yīng)用系統(tǒng)用戶只能本因無法在生產(chǎn)環(huán)境中進(jìn)代碼與其可數(shù)據(jù)所屬確認(rèn)用戶僅可其所屬機(jī)三 用戶賬號管的申請和，以保證權(quán)限賦予的由管理層，須經(jīng)過管理的安全管理團(tuán)隊主管的，詳操作3.檢查系統(tǒng)中該賬賬號原限ID需要對所有用戶ID，權(quán)限進(jìn)行定期 1.是否定期對用戶權(quán)限號的權(quán)限是否符合控制ID整理出用戶ID及權(quán)限并IDID產(chǎn)系統(tǒng)生產(chǎn)系統(tǒng)用戶權(quán)限若檢查發(fā)現(xiàn)冗余ID或冗余權(quán)用戶活動檢.是否定期對用戶操作進(jìn)行檢查，確保2.由指定定期2.每周對系統(tǒng)ID的操作情況進(jìn)行發(fā)現(xiàn)的操作或異常事件及四 網(wǎng)絡(luò)控網(wǎng)絡(luò)無法保證信息不會來自外部網(wǎng)絡(luò)的。網(wǎng)絡(luò)進(jìn)行了；網(wǎng)絡(luò)進(jìn)行了。部網(wǎng)絡(luò)的的理，則檢查若通過實(shí)離，則檢查外部網(wǎng)絡(luò)間部署DMZ實(shí)現(xiàn)邏輯，詳見數(shù)據(jù)中心網(wǎng)絡(luò)拓檢查配置信息，確認(rèn)生網(wǎng)絡(luò)流如果不建立正式的網(wǎng)絡(luò)流程 造成嚴(yán)重。是否已建立網(wǎng)絡(luò)戶流程，設(shè)備接檢查網(wǎng)絡(luò)申理的。用戶對網(wǎng)絡(luò)的需求，需得《數(shù)據(jù)中心網(wǎng)絡(luò)需求申請隊主管，詳見《數(shù)據(jù)中心團(tuán)隊主管，詳見《數(shù)據(jù)中（外部）網(wǎng)絡(luò)設(shè)備的控制技 行控制管理。建立了控制絡(luò)設(shè)備的控絡(luò)設(shè)備控制設(shè)備的控制數(shù)據(jù)中心要求對采用RADIUS技術(shù)的網(wǎng)絡(luò)設(shè)備使用ACS用戶管理平臺進(jìn)行認(rèn)證，對未采用RADIUS技術(shù)的網(wǎng)絡(luò)設(shè)備使用net、SSH及HTTP 據(jù)中 RADIUS技術(shù)的網(wǎng)絡(luò)設(shè)備，現(xiàn)RADIUS技術(shù)的網(wǎng)絡(luò)設(shè)備，現(xiàn)碼進(jìn)行認(rèn)證。辦公應(yīng)建立有效的辦全措施，對員辦公信息或其它的風(fēng)險，降低來自外部的風(fēng)險。辦公終端的對絡(luò)連接被2.現(xiàn)場檢查辦公環(huán)以及是否從3.員工電子郵箱的開通，需經(jīng)過總行的。五 ID管理ID未對ID的使用進(jìn)行嚴(yán)格的管理和控制，一旦ID在系統(tǒng)中進(jìn)行是否已建立ID的已建立ID的申請、，其權(quán)ID，要進(jìn)行的檢查ID的獲得管理流程，需在申請表中注明ID的使用原因、預(yù)期操作時間，詳見《ID申請單》；管的及總控中心ID管理員。IDID使用完畢后應(yīng)及時進(jìn)行回收，例如修改ID 是否已建立ID的已建立ID的ID 檢查ID的回權(quán)ID已被重開放平臺系統(tǒng)用戶在完成業(yè)務(wù)操作后，總控中心ID管理ID進(jìn)行操作。用戶在完成業(yè)務(wù)操作后需歸還ID，總控中心ID管理員負(fù)責(zé)對ID的進(jìn)行重置，重置完成后ID管理員在《ID申請單》六 控制技術(shù)及用戶口令要主機(jī)系統(tǒng)控制技1.1.1.數(shù)據(jù)中心使用RACF。運(yùn)行了控制機(jī)系統(tǒng)的控統(tǒng)持續(xù)運(yùn)行RACF安全管理組RACF安全管理組件實(shí)現(xiàn)要輸入用戶名和進(jìn)行認(rèn)證。根據(jù)EYMercury進(jìn)行認(rèn)統(tǒng)控制規(guī)范》；用戶歷史保留個數(shù)8 4令進(jìn)試）3.和，認(rèn)證后方可開放平臺系統(tǒng)控制技1.是否已部署開放平臺系統(tǒng)控制技術(shù)是否實(shí)施了統(tǒng)的控制管理方式，詳見《數(shù)據(jù)中心控制技術(shù)細(xì)開放平臺系統(tǒng)有以下兩種（SAS,ServerAutomationSystem）對所有AIX類系統(tǒng)與部分Linux系統(tǒng)進(jìn)行認(rèn)證管理。用戶在SAS平臺上的用戶ID與其AIX或Linux的系統(tǒng)帳號SAS，實(shí)現(xiàn)對AIXLinux系統(tǒng)的。用戶使用OTP(OneTime合登入SAS系統(tǒng)； 對于未納入SAS進(jìn)行管理的部分Linux系統(tǒng)，用戶使用靜態(tài)通過SSH 3.上述兩 進(jìn)行認(rèn)證。根據(jù)EYMercury名和進(jìn)行身息系統(tǒng)控制規(guī)范》；用戶ID3次；8次口令重復(fù)；4（需要運(yùn)行對開放平臺系統(tǒng)口令進(jìn)試）3.登錄開發(fā)平臺系統(tǒng)需要輸入用戶名和，認(rèn)證后方WIN平臺系統(tǒng)控制技選擇適當(dāng)?shù)腤IN平臺系統(tǒng)的控制技術(shù)，能夠有效防范對WIN平臺1.是否已部署WIN平臺系統(tǒng)控制技術(shù)。察WIN平臺系統(tǒng)是否實(shí)施了用戶通過靜態(tài)口令登錄系統(tǒng)，詳見《數(shù)據(jù)中心控觀察WIN平臺系統(tǒng)域控服務(wù)器的用戶配置策略，確認(rèn)WIN平策略對用戶權(quán)限進(jìn)行控是否已對WIN平臺系WIN平臺系統(tǒng)用戶口登錄WIN平臺系統(tǒng)是進(jìn)行認(rèn)證。已建立WIN平臺根據(jù)EYMercury登錄WIN平臺系名和進(jìn)行身已建立WIN平臺系統(tǒng)用戶口令息系統(tǒng)控制規(guī)范》；用戶ID建立后第一次登3次；8次口令重復(fù)；4 在更改后的40周內(nèi)（需要運(yùn)行對WIN平臺系統(tǒng)口令進(jìn)試）3.登錄WIN平臺系統(tǒng)需要輸入用戶名和，認(rèn)證后方可七 網(wǎng)絡(luò)設(shè)備配置管《數(shù)據(jù)中心技術(shù)標(biāo)墻、檢測等設(shè)備已分別按、測試、上線前和上數(shù)據(jù)中心對網(wǎng)絡(luò)設(shè)備配置行檢查，并記錄于《配3.檢查網(wǎng)絡(luò)設(shè)備配八 網(wǎng)絡(luò)管CPU利用率、帶寬可用率、網(wǎng)早發(fā)現(xiàn)系統(tǒng)并對其進(jìn)行彌補(bǔ)，盡量減少由于所的安全是否按照掃描對掃描機(jī)制，執(zhí)行掃描，并對掃描結(jié)果進(jìn)3.是否對掃描所發(fā)并制定方案。檢查掃描記錄，掃描工檢查掃描報告》、并對進(jìn)行分析、制定了計劃及后續(xù)工作持續(xù)3.掃描機(jī)制目前處于試運(yùn)行作，掃描的工作現(xiàn)狀有待應(yīng)對網(wǎng)絡(luò)行為進(jìn)行分析，優(yōu)化所監(jiān)測到的網(wǎng)絡(luò)部署了IDS、IPS、等網(wǎng)已部署IDS、IPS、等數(shù)據(jù)中心對網(wǎng)絡(luò)進(jìn)行監(jiān)測，對事件進(jìn)行統(tǒng)計九 防管防管措施，會造成系統(tǒng)被的可能性中行已制定防管理流程，詳見《中國銀行防安全策終端庫與服務(wù)器與服務(wù)器庫版本一致；每周對防發(fā)現(xiàn)的問題銀行防工作小組每周計算機(jī)動態(tài)及事件通報》。數(shù)據(jù)管一 數(shù)據(jù)分分為業(yè)務(wù)數(shù)據(jù)、、數(shù)中行建立了“性原則”、“最小原則”和“可二 靜態(tài)數(shù)據(jù)保護(hù)（Datain數(shù)據(jù)防數(shù)據(jù)不僅會帶來經(jīng)濟(jì)上的損數(shù)據(jù)拷貝：使用移動設(shè)備可能造成對數(shù)據(jù)的拷度，使用移動設(shè)備拷貝個人終端USB端用USB端口，待確認(rèn)攜帶移動設(shè)備進(jìn)入個人終端未禁用USB數(shù)據(jù)申請流程以及管理要求，防止盜取批量數(shù)據(jù)，導(dǎo)致數(shù)據(jù)數(shù)據(jù)的申請流的申請流主管及團(tuán)隊主管的3.是否規(guī)定數(shù)據(jù)調(diào)用的2.建立正式的獲取3.使用移動存生產(chǎn)環(huán)境中服務(wù)器是否使用移動設(shè)備拷貝數(shù)據(jù)，待準(zhǔn)生產(chǎn)環(huán)境中服務(wù)器是否使用移動設(shè)備拷貝數(shù)據(jù)，有效地限制數(shù)據(jù)在機(jī)構(gòu)的流轉(zhuǎn)范圍，保證文檔安全，防止行為導(dǎo)致的資料損毀或。中行對文件名，密級標(biāo)據(jù)提取過程中發(fā)生數(shù)據(jù)或1.是否已建立生產(chǎn)數(shù)據(jù)1.建立了數(shù)據(jù)管理1.數(shù)據(jù)提取申請需得到申請團(tuán)隊數(shù)據(jù)owner需獲得數(shù)據(jù)所有者的。若使用此類數(shù)據(jù)，會部分地 3.申請由責(zé)任團(tuán)隊主管和數(shù)據(jù)中心分管總監(jiān)通過后，由責(zé)數(shù)據(jù)提取按照申請表中的述工作完成后，數(shù)據(jù)提取是否已被脫敏，所以只能三 數(shù)據(jù)加傳輸加 關(guān)文檔，規(guī)定的是否對進(jìn)行要 算法對采用CD傳輸對批量傳輸?shù)男腥碳用?。采用HTTPS安全協(xié)議對實(shí)時傳輸?shù)倪M(jìn)行加密。行保護(hù)，即使用HTTPS安全檢查CD傳輸 息，確認(rèn) （TransportLayerSecurity）件為RSA和AES(128位)以及CD傳輸日志中記錄了方案》中的系統(tǒng)概述及覽器部署SSL，使用HTTPS通過現(xiàn)場觀察，發(fā)現(xiàn)覽器地址欄顯示TS，即確認(rèn)使用了SL。文，中國銀行對海外客戶HTTPS安全協(xié)議；戶字段，確認(rèn)該數(shù)據(jù)為密截、篡改，導(dǎo)致數(shù)據(jù)。檢查系統(tǒng)傳輸日志中的字SSL。傳輸“關(guān)中國銀行使用HTTPS安全協(xié)議對在網(wǎng)絡(luò)和互聯(lián)網(wǎng)中傳關(guān)鍵數(shù)據(jù)加密其安全，鍵級數(shù)據(jù)的風(fēng)險。密時所使用的加行加密。加密時所使的狀態(tài)，是中行要求使用RSA20483DES128位或AES128密，詳見《中國銀行安全系統(tǒng)數(shù)據(jù)庫表中的字段均以密文形式進(jìn)行。四 數(shù)據(jù)海外的所有者為各海外機(jī)對海外進(jìn)行（按國家維度進(jìn)行分區(qū)）。離。檔，對數(shù)據(jù)要求實(shí)現(xiàn)了機(jī)構(gòu)號對海外機(jī)構(gòu)進(jìn)行數(shù)據(jù)庫表分區(qū)，詳型項目（亞太批次）們了解到數(shù)據(jù)庫實(shí)體由多構(gòu)成，每按國家維1”中，阿聯(lián)酋占一，占二通過表分區(qū)實(shí)現(xiàn)數(shù)據(jù)存進(jìn)行現(xiàn)場測試。五 數(shù)據(jù)銷行恢復(fù)，保證不會被他人盜針對不同介理損毀，確中行不定期收集待銷毀的銷毀介質(zhì)入庫登記表》；中行將待銷毀介質(zhì)移交至3.驗(yàn)證并確保被物4.