|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
asp可以轻松地实现对页面内容的动态控制,根据不同的浏览者,显示不同的页面内容。而浏览者一点觉察不出来,就像为他专门制作的页面一样。使用各种各样的组件,asp可以完成无比强大的功能。平安 <img src=/uploadpic/2007-2/20072522292777.GIF>型
在 MOF 模子的一切层面中都嵌入了平安办理。每一个层面必需恪守设立的平安战略,包含 ASP 外部平安战略和在 SLA 中与客户商定的平安战略。关于每一个层面,平安性必需触及:
秘密性
完全性
可用性
平安性的保护对 ASP 而言是一笔伟大的开支,然而若没有好的平安性,将会支付更大的价值,由于如许将使客户得到信念。平安办理的目标是确保营业的一连性和将损坏 ASP 平安的伤害减至最小。
有关 Microsoft 操作框架进程模子的具体信息,请拜见 http://www.microsoft.com/enterpriseservices/MOF.htm 。
MOF 和 ITIL
MOF 熟悉到,英国中心盘算机与电信局 (Central Computer and Telecommunications Agency, CCTA) 的 IT Infrastructure Library (ITIL) 中已很好地纪录了 IT 办事办理确当前行业最好做法。
CCTA 是英国当局的一个行政部分,它针对办事办理和操作中信息手艺的使用,开辟和制定最好做法建议及指点方针。为完成此方针,CCTA 在全球局限内追踪抢先的 IT 公司的项目,以纪录和验证 IT 办事办理方面的最好做法。
MOF 将这些协作行业尺度与运转在 Microsoft 平台上的详细指点方针相联合,应用到多种贸易计划中。MOF 扩大了 ITIL 操作规程,使其能撑持散布式 IT 情况和以后行业偏向,如使用法式托管、挪动装备盘算和基于 Web 的事务性和电子商务体系。
ASP 平安办理概述
方针
平安办理的方针是在 ASP 的处理计划上办理必定级其余平安性,包含办理对平安事务的反响。经由过程如许做,平安办理可确保一连性并回护 ASP 及其客户的信息,还可匡助将损坏 ASP 平安的伤害减至最小。
平安办理为何对 ASP 十分主要?
供应客户处理计划是 ASP 最主要的方针。没有它,ASP 就无事可做。对 ASP 来讲,平安地与客户同享信息和创立平安的处理计划是相当主要的。
传递和吸收信息是 ASP 存在的关头。任何威逼信息或信息处置的工作都将直接危及 ASP。不管是触及信息的秘密性、准确性、合时性,仍是触及处理计划的可用性,那些会构成风险的威逼都必需经由过程平安办法来预防。这里所谈到的是 ASP 布局方面的成绩。这意味着布局上的风险需求有布局上的对策来处理。
平安办理可匡助 ASP 肯定和实行针对平安风险的对策。
选择 ASP 的客户愈来愈但愿确信所选的 ASP 可以确保其处理计划的平安。Gartner Group 的 J.Pecatore(DF-10-0972,2000 年 2 月)已明白提出了一些客户能够向其 ASP 处理计划供应商扣问的成绩。示例以下:
“ASP 是不是为防火墙及其它关头的平安要素供应冗余和负载均衡办事?”
“ASP 最少按季度停止(或让有经历的征询公司来停止)内部浸透测试而且最少每一年停止一次外部收集平安性审核吗?”
“ASP 能否出示对客户收集平安的书面请求(和 ASP 审核步调),以确保其它的 ASP 客户不会危及 ASP 骨干的平安?”
“ASP 能供应稳固 Web 和其它办事器的操作体系的书面战略吗?假如 ASP 在物理办事器上设置装备摆设客户使用法式,它是不是有书面纪录的掌握步调,用来确保客户使用法式之间数据和平安信息的分别?”
“ASP 若何反省添加到它所供应的贸易使用法式中的剧本和集成代码的平安性?”
“ASP 是不是供应基于使用法式或事务的入侵检测办事?”
“ASP 是不是对可以办理员身份会见办事器和使用法式的人员停止后台反省?”
“ASP 是不是可以出示书面纪录的流程,用于评价 OS 和使用法式供给商平安警报并装置平安修补法式和办事包?”
“ASP 是不是可以出示书面纪录的停止入侵检测、事务呼应和事务晋级/查询拜访的步调?”
“ASP 是‘事务呼应和平安小组服装论坛’的成员吗?或它利用的平安办事供应商是该服装论坛的成员吗?”
“ASP 平安办理的员工是不是在信息/收集平安方面有均匀三年以上的经历?”
对以上成绩的一定回覆十分主要。可以这么做的 ASP 将具有竞争优势。
有关本章主题的具体信息,请拜见 http://www.itil.co.uk/ 中 ITIL Library Security Management 局部或 ITIL Security Management 一书 (ISBN 0 11 330014 X)。
有关 Gartner Group 论文的具体信息可在 Critical Security Questions to an ASP(DF-10-0972,J.Pecatore,Gartner Group,2000 年 2 月)中找到。
ASP 履行平安办理的工夫
平安办理应是任何 ASP 永久存眷的成绩。每当处理计划或情况变更时,ASP 应当花工夫反省一下所采取的平安办法。依据客户请求,针对特定客户处理计划的对策能够需求有所改动。应当一直思索人员培训和平安办法的测试。由于在呈现进击时,就没有工夫再来细心思索。
ASP 平安办理的根基概念
平安办理是依据对信息和 ASP 处理计划平安战略中的设定来办理已界说的平安级其余进程。个中包含办理对违背平安行动的反响。可以掌握进击而不必忧虑 ASP 和 ASP 客户营业的延续性,可以如许来凑合歹意方的进击可真是一门艺术。
平安办理在很大水平上依附于平安战略。这些战略可从分歧来历中发生。设计平安性时要思索的战略有:
办事级别协定中界说的内部客户需求
关于平安的内部功令请求
内部供给商平安战略
外部 ASP 平安战略
在 ASP 和客户情况的集成情形下,外部/内部的平安战略
关于每一个处理计划,ASP 必需界说平安战略。该战略应是基于上述各个方面的最牢靠的组合。
依据客户的需求,即便是根基布局的设计也会很不不异。凡是利用三种平安设计:
公用。ASP 处理计划和平安办法完整由 ASP 停止端对真个掌握。凡是,这意味着 ASP 对一切的根基布局组件具有完整的掌握,包含 ASP 和客户之间的公用收集毗连。
公用。ASP 处理计划和平安办法由 ASP 局部掌握。凡是,这意味着 ASP 在本人的站点内具有掌握权,然而不包管对用来供应处理计划的公用收集具有掌握权。但是,ASP 可以使用像“虚拟公用收集”(VPN) 如许的手艺来停止 ASP 和客户平安之间的毗连。
夹杂。该处理计划是后面两种的组合。“公用”和“公用”处理计划都利用。在确保平安的处理计划时,同时触及到 ASP 和客户。
该进程有五个层面需求遵守 MOF 模子停止改善:
计划。计划举动包含在客户请求、外部和内部战略和正当请求的基本上创立 SLA 平安局部的体例。在与客户停止对话的同时,能够有需要肯定或调剂外部平安战略。固然要由 ASP 来决意是不是如许做。此层面的了局是发生一个平安计划,个中包含平安战略和一切方面的设计(根基布局、人员、步调、情况、基本合一律等)。
实行。实行层面履行一切需要的平安办法,以恪守 SLA 中已界说的平安局部。需要时,此阶段还将实行更悔改的外部平安战略。
评价。评价是停止平安办理进程所必不成少的。它触及所采取办法和所肯定战略的形态和无效性。
保护。平安办法的保护创立在以下方面的基本上:按期反省的了局、对变更的风险情况的洞察,和 SLA 或其它前提的更改。
掌握。掌握举动可组织并指点平安办理进程自己。掌握举动界说子历程、功效、脚色、义务分派、组织布局和呈报布局。它是进程的引擎并确保停止延续的改善。
平安办理进程必需不休地停止本身改善。新处理计划、新手艺、新人员、新步调、忽略都能够招致进击者攻破所装置的平安处理计划。
下图将平安性进程暗示为一个依据战略和协定不休改善的进程。
</p> Windows本身的所有问题都会一成不变的也累加到了它的身上。安全性、稳定性、跨平台性都会因为与NT的捆绑而显现出来; |
|