iT邦幫忙

2021 iThome 鐵人賽

DAY 23
0
Security

作業抄起來!資通安全管理法什麼的系列 第 23

應用系統的防護基準-帳號管理與存取權限

  • 分享至 

  • xImage
  •  

適用人員: 技術人員(開發人員)。
適用法規: 資通安全責任等級分級辦法 - 附表十資通系統防護基準.PDF

技術面分類提要

  • 網路架構的檢視
  • 端點的安全防護
  • 應用開發的防護基準
    • 開發過程的程序與記錄
    • 傳輸與資料的加密與保護
    • 帳號管理與存取權限
    • 委外注意事項
    • 其他(除舊佈新)

帳號的管理大概是所有事項中最最麻煩的部分,法規規定的部份很多。不只在最初的階段就要設想調全,所有相關的系統應用,幾乎都圍繞著帳號的權限。以下說明要點。

建立帳號的注意事項: 參考應辦事項及稽核表

  • 管理面:

    • 帳號的生命周期,從申請到刪除都要經過流程記錄。尤其在人員離職時要停用或刪除帳號。
    • 不得共用帳號。原則上需要知道系統是被誰修改。如果需要共用的情況則建議主要管理者開放適當的權限給其他使用者編輯。
  • 技術面

    • 密碼的要求。除了密碼複雜度,還包括帳號初次登入時需改變密碼、帳號鎖定機制、密碼不得循環等。
    • 加入情況限制。例如來源 IP、多重驗證、使用時間等。使用時間還包括需要設定閒置的時間,超過時應將帳號登出。
    • 監控: 在帳號異常使用時,需要有回報及應變機制。
    • 權限越小越好。例如權限應為群組或個人分別建立,區別一般使用者與管理者,並依業務性質限制能存取的範圍。

以資料庫舉例,帳號應有以下配合應辦事項的欄位:

欄位名稱 內容 應辦事項 說明
account 帳號名稱
password 密碼 識別與鑑別-加密模組鑑別 密碼欄位應加密並不得使用老舊、安全性低的演算法
LastPassord 上一次的密碼 識別與鑑別-身分驗證管理 注意此欄位也要進行加密,並適當擴充成要求的次數,如不得與前3次相同。
LastLogin 上一次的登入記錄 存取控制-帳號管理 配合閒置帳號的處理
firstLogin/requireChangePassword 第一次登入/需變更密碼 識別與鑑別-身分驗證管理 要求使用者初次登入時更改密碼。或是重設密碼時也可共用此欄位。
FailLoginCount 登入錯誤的次數 識別與鑑別-身分驗證管理 記錄錯誤嘗試的次數,再進行鎖定機制
lock 是否鎖定 識別與鑑別-身分驗證管理 於錯誤嘗試、閒置超過時間、可疑行為時進行鎖定等行為。隨帳號使用情況也可再分為啟用、停用、刪除等。
LastPasswordChange 上一次變更密碼 識別與鑑別-身分驗證管理 配合密碼周期,進行密碼更換

p.s. table 轉 markdown 線上工具


上一篇
應用系統的防護基準-傳輸與資料的加密與保護
下一篇
輕鬆小單元 - 常見問題
系列文
作業抄起來!資通安全管理法什麼的34
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言