取决于系统性质、数据
)身份管理系统。
传统上对于每个独立资源、平台、应用系统或工作站,用户都有不
同的账户和密码。此方法要求用户管理多套密码和账户。具有企业用户
目录的组织可以在异构资源之间建立同步机制,以简化用户密码管理。
在这种情况下,用户只需一次性输入密码(通常是在登录工作站时),
之后所有身份验证和授权都通过引用企业用户目录来执行。实现此功能
的身份管理系统称为“单点登录”,从用户角度来看是最佳的。
2)电子邮件系统的用户ID标准。
在电子邮件域中,用户ID应当是唯一的。大多数公司使用一些名字
或首字母以及完整或部分姓氏作为电子邮件或网络ID,并使用数字来区
分冲突。姓氏通常为人所共知,在业务联系时更有用。
不鼓励使用包含系统员工ID号的电子邮件或网络ID,因为这些信息
通常在组织外部不可用,并且给潜在供给者提供了应该在系统内保密的
数据信息。
3)密码标准。
密码是保护数据访问的第一道防线。每一个用户账户都需要有一个
密码,由用户(账户所有者)自己设置。要求在安全标准中定义足够高
的密码级别,通常称为“强”密码。
在创建新用户账户时,生成的临时密码应设置为首次使用立即过
期,且后续访问必须由用户选择新密码,不得使用空白密码。
大多数安全专家建议用户每隔45~180天更改一次密码,具体更改频率取决于系统性质、数据类型和企业敏感程度。但是,更改密码过于
频繁也会带来风险,因为员工会在本子上记录新密码。
4)多因素识别。
有些系统需要额外的识别程序。这包括对包含代码的用户移动设备
的返回调用、用于登录所必需的硬件设备的使用或者诸如指纹、面部识
别或视网膜扫描的生物特征因素。双重因素识别使得进入账户或登录用
户设备更加困难,所有具有高度敏感信息权限的用户都应使用双重因素
识别技术登录网络。
(
4)电子通信安全
不安全的通信方式可被外部读取或拦截。为避免通过电子邮件或即
时通信应用发送个人信息或任何限制级/机密级公司信息,用户必须接
受安全培训。发送电子邮件后,用户将失去对其中信息的控制。它可以
在发件人不知情或没有同意的情况下被转发给其他人。
社交媒体也应被视为不安全的通信方式,包括博客、门户、Wiki、
论坛和其他互联网或局域网社交媒体,都不应包含机密或限制级信息。
12.数据安全制约因素
数据安全制约因素包括数据的保密等级和监管要求。
1)保密等级。保密意味着机密或私密。组织确定哪些类型的数据
不应泄露到组织外部,甚至不应为组织中某些部门所知道。机密信息仅
在“需要知道”的基础上共享。保密等级取决于谁需要知道某些类型的信
息。
2)监管要求。根据外部规则(如法律、条约、海关协定和行业法
规)分配监管类别。监管信息在“允许知道”的基础上共享。数据共享方
式受该法规明细条款的约束。
类型和企业