小结
保护客户和 ASP 的数据不受到恶意攻击(有意的或无意的)的损害是“安全管理”的全部内容。对安全管理是什么以及 ASP 及其客户可以采取的方法有一个清晰的了解非常关键,其中包括什么是安全策略以及需要达到什么样的安全级别。需要确定 SLA 本身以及它提供的安全级别,并需要采取相应的安全措施。安全措施包括人员、过程和技术。过程涉及到沟通、升级以及围绕安全管理的过程和步骤。人员需要进行培训,并能够理解和执行所有的安全措施以及与之伴随的不断变化的技术。
要对所有的方面进行综合考虑以确保安全级别达到 ASP 的客户要求。
其它信息
首字母缩写词
AD:
Active Directory
ASP:
应用程序服务提供方
CCTA:
英国中央计算机与电信局 (UK)
CI:
配置项目
CMDB:
配置管理数据库
CRAMM:
CCTA 风险分析和管理方法
CRM:
客户关系管理
EFS:
加密文件系统
ESf:
企业服务框架
ITIL:
IT Infrastructure Library
LDAP:
轻型目录访问协议
MOF:
Microsoft 操作框架
MRF:
Microsoft 准备工作框架
MSF:
Microsoft 解决方案框架
NTFS:
NT 文件系统
NTLM:
NT LAN 管理
PKI:
公钥基本结构
SLA:
服务级别协议
SSL:
加密套接字协议层
UPN:
用户主要名称
VPN:
虚拟专用网络
书目
下列书籍为本白皮书的参考书目或推荐读物,有助于进一步理解此处包含的概念:
Security Management,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330014 X。
Contingency Planning,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330524 9。
Capacity Management,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330544 3。
Service Level Management,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330521 4。
Availability Management,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330551 6。
安全管理参考资料
这部分集中了本文主体部分的所有参考资料,并按照主题的字母顺序列出。
Active Directory
http://www.microsoft.com/windows2000/guide/server/features/activedirectory.asp
ASP Industry Consortium
http://www.aspindustry.org/
Best practices(最佳做法)
http://www.aspindustry.org/members/BestPractices/DeliveryModel.cfm
http://www.microsoft.com/ISN/downloads/Best Practices Documentation for ASPs.zip
CCTA Risk Analysis and Management Method(CCTA 风险分析和管理方法)
http://www.crammusergroup.org.uk
Forum for Incident Response and Security Teams (事件响应和安全小组论坛,FIRST)
http://www.first.org/about/first-description.html
Gartner Group, J.Pescatore, "Critical Security Questions to as an ASP", DF-10-0972, February 2000
http://www.gartner.com/
International Information Systems Security Certification Consortium
http://www.sans.org/snap.htm
IT Infrastructure Library.
http://www.itil.co.uk/
Microsoft Operations Framework(Microsoft 操作架构)
http://www.microsoft.com/enterpriseservices/MOF.htm
Microsoft Telecommunications Consulting Practice, Steve Riley, "Network Security Best Practices", 7 August 2000
Http://www.microsoft.com/technet/
Microsoft Terminal Services Scaling(Microsoft 终端服务缩放)
http://www.microsoft.com/windows2000/library/technologies/terminal/tscaling.asp
http://www.microsoft.com/WINDOWS2000/library/resources/reskit/tools/hotfixes/tscpt-o.asp
Microsoft Windows 2000 Performance Tuning(Microsoft Windows 2000 性能调节)
http://www.microsoft.com/WINDOWS2000/guide/platform/performance/reports/perftune.asp
Microsoft .NET
http://www.microsoft.com/net/
Microsoft Windows Management Instrumentation(Microsoft Windows 管理规范)
http://www.microsoft.com/ISN/downloads/Operations for ASPs.zip
Microsoft Enterprise Services frameworks (ESf) publications(Microsoft 企业服务架构出版物)
http://www.microsoft.com/enterpriseservices/
撰稿人
Unisys Corporation:Jeroen Bom、Joe Helm、Hilda Willems、Tom Wu
Microsoft Corporation:Kathryn Rupchock、Kent Sarff
附录 A:SLA 中的安全部分
在 SLA 的安全部分需要讨论以下主题:
信息安全的一般策略
允许的访问方法和用户标识 (ID) 与密码的管理和使用
ASP 保留被授权人列表的义务
关于审核和日志记录的协议
记录 ASP 与安全相关的管理活动的义务
解决方案有效的时间和日期(必要时可把回退的设备考虑在内)
客户、厂商和 ASP 的义务(按照 ASP、客户和厂商的责任)
保护 ASP 及客户资产(包括信息)的步骤
对法律事务的责任
监督客户和厂商活动的权利(以及取消该权利的权利)
安装和维护设备及软件的责任
检查合同责任的权利
对信息复制和公开的限制
用来确保在 SLA 终止时信息或货物被破坏或归还的办法
所需的任何物理安全措施
ASP 方面信息安全的管理过程
确保安全措施忠实有效的步骤
在安全策略、方法和步骤方面对用户(内部和外部)的培训
用来确保不扩散计算机病毒和其它攻击的措施
对用户访问权限的授权步骤
关于报告和调查安全事件的协议。在出现安全事件的情况下要使用的沟通步骤(包括所涉及 ASP、客户和/或厂商方面人员的电话号码)
