操作安全是关于为保持一个网络、计算机系统、应用程序和环境运转,并运行在一个安全和受保护的方式下所发生的一切事情。它包括确保人员、应用程序和服务器仅拥有访问他们所需要的资源的权限,并通过监控、审计和报告控制实施监督。操作是在网络己开发并得到实现后才产生的。这包括一个运行环境的持续维护和那些每天或每周应该发生的行为,这些行为实际上是日常事务,确保网络和个人计算机持续、正确、安全地运行。 操作安全包括确保人员、应用程序、设备和整个环境的安全得到合理、充分的保障。操作安全包括确保人员、应用程序、设备和整个环境的安全得到合理、充分的保障。 公司和公司中的高级主管很多时候都有法律义务来确保资源是受保护的、确保安全措施是适当的,还要确保安全机制己被测试过,可以担保它们仍能提供必要的保护等级。 操作安全包括确保物理和环境问题得到适当解决,如温度和湿度控制、媒介重用、处理及包含敏感信息的媒介的销毁。 总体而言,操作安全涉及配置、性能、容错、安全性、稽核和检查管理,其目的在于确保适当的操作标准和合规性要求得到满足。 行政管理是操作安全中一个非常重要的环节。行政管理的一个方面是处理人员问题,包括职责分割和岗位轮换。职责分割(Separation of Duties)的目的是确保一个独立行动的人通过任何方法都无法危及公司的安全。组织应建立一个完整的职位列表,说明与每个职位有关的任务和责任。 岗位轮换(Job Rotation)意味着在某个公司里很多人执行同一个岗位的任务,这使得这个公司挺有不止一个人理解一个特定职位的任务和责任,这样在某个人离开了公司或不在的情况下便能提供后备人员。岗位轮换也能帮助确定欺诈行为,因此被认为是一种侦测类的控制。 最小特权(Least Privilege)和须知(Need-to^Know) 也是应该在操作环境中执行的行:政类控制。最小特权意味着个人应该仅有足够的许可和权限来履行他在公司的任务而不超出范围。最小特权和须知存在共生关系,每个用户应该对他被允许访问的资源有须知。—个用户的访问权限可能是最小特权属性、用户安全许可、须知、资源的敏感级别和计算机操作的模式的混合体。强制休假(Mandatory Vacations)是行政控制的另一种类型,这与确认欺诈行为和促使岗位轮换有关。 安全和网络人员 网络管理员应努力确保网络和资源的髙可用性及性能,并为用户提供他们需要的功能。安全管理员应处在一个与网络人员不同的需求链中,以确保安全不会被忽视或...
