ACM最终目标是确保不可公开的网络资产和安全资产的安全,避免未经授权的访问、读取或修改。
ACM-1 非公开资产的判断,对于不可公开的网络资产和安全资产:
1、环境限制评估: 首先,需要判断这些资产所处的产品运行环境中,是否存在物理或逻辑限制(例如,仅家用、防火墙规则等),以限制实体的访问。
2、如果运行环境中没有物理或逻辑的限制,那么就必须在产品中实施访问控制来保证这些不可公开的信息仅能够被拥有权限的实体读取、修改。
ACM-2 访问控制的实施:
ACM-2 主要验证访问控制是否实现预期的限制功能。这意味着系统必须能够根据预设的权限规则,限制对特定功能或数据的访问,确保只有拥有相应权限的实体才被允许访问这些资源。
扫一扫
3538
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
