isae3402如何做--dmla访问控制

控一 控制原建立控制原则，以便于所有人员都遵循的控制管理标1.中行建立了信息系统控制用户ID“唯一性”原则：使用唯一的ID对用户进行标请与职责分离，操作与检详见《数据中心信息系统如需使用通用（GenericID）执行用ID；的ID，检查赋予用户唯一的ID对检查通用ID的使是否得到中行按照控制管理原则，对用户ID进行管理，即赋予每个用户唯一的ID，个人长期使用通用ID；（此点未进行使用到通用ID。对通用ID的请与职责分离，与用户创系统的，导致员工舞请与职责申请与由不同完成，离，与用户由不同完成，详见《信息二 海外机构权海外机构权用户只能其所拥有的数据，禁止 据可能导 加数据的风险1.各海外机构应用系统用户只能本因无法在生产环境中进代码与其可数据所属确认用户仅可其所属机三 用户账号管的申请和，以保证权限赋予的由管理层，须经过管理的安全管理团队主管的，详操作3.检查系统中该账账号原限ID需要对所有用户ID，权限进行定期 1.是否定期对用户权限号的权限是否符合控制ID整理出用户ID及权限并IDID产系统生产系统用户权限若检查发现冗余ID或冗余权用户活动检.是否定期对用户操作进行检查，确保2.由指定定期2.每周对系统ID的操作情况进行发现的操作或异常事件及四 网络控网络无法保证信息不会来自外部网络的。网络进行了；网络进行了。部网络的的理，则检查若通过实离，则检查外部网络间部署DMZ实现逻辑，详见数据中心网络拓检查配置信息，确认生网络流如果不建立正式的网络流程 造成严重。是否已建立网络户流程，设备接检查网络申理的。用户对网络的需求，需得《数据中心网络需求申请队主管，详见《数据中心团队主管，详见《数据中（外部）网络设备的控制技 行控制管理。建立了控制络设备的控络设备控制设备的控制数据中心要求对采用RADIUS技术的网络设备使用ACS用户管理平台进行认证，对未采用RADIUS技术的网络设备使用net、SSH及HTTP 据中 RADIUS技术的网络设备，现RADIUS技术的网络设备，现码进行认证。办公应建立有效的办全措施，对员办公信息或其它的风险，降低来自外部的风险。办公终端的对络连接被2.现场检查办公环以及是否从3.员工电子邮箱的开通，需经过总行的。五 ID管理ID未对ID的使用进行严格的管理和控制，一旦ID在系统中进行是否已建立ID的已建立ID的申请、，其权ID，要进行的检查ID的获得管理流程，需在申请表中注明ID的使用原因、预期操作时间，详见《ID申请单》；管的及总控中心ID管理员。IDID使用完毕后应及时进行回收，例如修改ID 是否已建立ID的已建立ID的ID 检查ID的回权ID已被重开放平台系统用户在完成业务操作后，总控中心ID管理ID进行操作。用户在完成业务操作后需归还ID，总控中心ID管理员负责对ID的进行重置，重置完成后ID管理员在《ID申请单》六 控制技术及用户口令要主机系统控制技1.1.1.数据中心使用RACF。运行了控制机系统的控统持续运行RACF安全管理组RACF安全管理组件实现要输入用户名和进行认证。根据EYMercury进行认统控制规范》；用户历史保留个数8 4令进试）3.和，认证后方可开放平台系统控制技1.是否已部署开放平台系统控制技术是否实施了统的控制管理方式，详见《数据中心控制技术细开放平台系统有以下两种（SAS,ServerAutomationSystem）对所有AIX类系统与部分Linux系统进行认证管理。用户在SAS平台上的用户ID与其AIX或Linux的系统帐号SAS，实现对AIXLinux系统的。用户使用OTP(OneTime合登入SAS系统； 对于未纳入SAS进行管理的部分Linux系统，用户使用静态通过SSH 3.上述两 进行认证。根据EYMercury名和进行身息系统控制规范》；用户ID3次；8次口令重复；4（需要运行对开放平台系统口令进试）3.登录开发平台系统需要输入用户名和，认证后方WIN平台系统控制技选择适当的WIN平台系统的控制技术，能够有效防范对WIN平台1.是否已部署WIN平台系统控制技术。察WIN平台系统是否实施了用户通过静态口令登录系统，详见《数据中心控观察WIN平台系统域控服务器的用户配置策略，确认WIN平策略对用户权限进行控是否已对WIN平台系WIN平台系统用户口登录WIN平台系统是进行认证。已建立WIN平台根据EYMercury登录WIN平台系名和进行身已建立WIN平台系统用户口令息系统控制规范》；用户ID建立后第一次登3次；8次口令重复；4 在更改后的40周内（需要运行对WIN平台系统口令进试）3.登录WIN平台系统需要输入用户名和，认证后方可七 网络设备配置管《数据中心技术标墙、检测等设备已分别按、测试、上线前和上数据中心对网络设备配置行检查，并记录于《配3.检查网络设备配八 网络管CPU利用率、带宽可用率、网早发现系统并对其进行弥补，尽量减少由于所的安全是否按照扫描对扫描机制，执行扫描，并对扫描结果进3.是否对扫描所发并制定方案。检查扫描记录，扫描工检查扫描报告》、并对进行分析、制定了计划及后续工作持续3.扫描机制目前处于试运行作，扫描的工作现状有待应对网络行为进行分析，优化所监测到的网络部署了IDS、IPS、等网已部署IDS、IPS、等数据中心对网络进行监测，对事件进行统计九 防管防管措施，会造成系统被的可能性中行已制定防管理流程，详见《中国银行防安全策终端库与服务器与服务器库版本一致；每周对防发现的问题银行防工作小组每周计算机动态及事件通报》。数据管一 数据分分为业务数据、、数中行建立了“性原则”、“最小原则”和“可二 静态数据保护（Datain数据防数据不仅会带来经济上的损数据拷贝：使用移动设备可能造成对数据的拷度，使用移动设备拷贝个人终端USB端用USB端口，待确认携带移动设备进入个人终端未禁用USB数据申请流程以及管理要求，防止盗取批量数据，导致数据数据的申请流的申请流主管及团队主管的3.是否规定数据调用的2.建立正式的获取3.使用移动存生产环境中服务器是否使用移动设备拷贝数据，待准生产环境中服务器是否使用移动设备拷贝数据，有效地限制数据在机构的流转范围，保证文档安全，防止行为导致的资料损毁或。中行对文件名，密级标据提取过程中发生数据或1.是否已建立生产数据1.建立了数据管理1.数据提取申请需得到申请团队数据owner需获得数据所有者的。若使用此类数据，会部分地 3.申请由责任团队主管和数据中心分管总监通过后，由责数据提取按照申请表中的述工作完成后，数据提取是否已被脱敏，所以只能三 数据加传输加 关文档，规定的是否对进行要 算法对采用CD传输对批量传输的行全程加密。采用HTTPS安全协议对实时传输的进行加密。行保护，即使用HTTPS安全检查CD传输 息，确认 （TransportLayerSecurity）件为RSA和AES(128位)以及CD传输日志中记录了方案》中的系统概述及览器部署SSL，使用HTTPS通过现场观察，发现览器地址栏显示TS，即确认使用了SL。文，中国银行对海外客户HTTPS安全协议；户字段，确认该数据为密截、篡改，导致数据。检查系统传输日志中的字SSL。传输“关中国银行使用HTTPS安全协议对在网络和互联网中传关键数据加密其安全，键级数据的风险。密时所使用的加行加密。加密时所使的状态，是中行要求使用RSA20483DES128位或AES128密，详见《中国银行安全系统数据库表中的字段均以密文形式进行。四 数据海外的所有者为各海外机对海外进行（按国家维度进行分区）。离。档，对数据要求实现了机构号对海外机构进行数据库表分区，详型项目（亚太批次）们了解到数据库实体由多构成，每按国家维1”中，阿联酋占一，占二通过表分区实现数据存进行现场测试。五 数据销行恢复，保证不会被他人盗针对不同介理损毁，确中行不定期收集待销毁的销毁介质入库登记表》；中行将待销毁介质移交至3.验证并确保被物4.