控制对资产访问
时间:2023年2月21日 星期二
作者:小王
资产分为有形资产和无形资产,包括信息、系统、设备、设施、应用程序和人员,最高优先级需要保护的是人员。
一、控制物理和逻辑访问
1.物理控制
通常物理控制可以触摸到,如边界安全控制(围墙、门锁等)和环境控制(HVA、灭火器等),是优先级高于逻辑控制的。
2.逻辑控制
技术控制主要包括身份验证、授权和许可,即访问控制。
二、CIA与访问控制
• 未授权用户能够查看系统数据破坏了机密性;
• 未授权用户能够修改系统数据或授权用户进行了未授权的修改破坏完整性;
• 用户需要访问系统数据时被限制访问破坏可用性。