小结
保护客户和 ASP 的数据不受到恶意攻击(有意的或无意的)的损害是“安全管理”的全部内容。对安全管理是什么以及 ASP 及其客户可以采取的方法有一个清晰的了解非常关键,其中包括什么是安全策略以及需要达到什么样的安全级别。需要确定 SLA 本身以及它提供的安全级别,并需要采取相应的安全措施。安全措施包括人员、过程和技术。过程涉及到沟通、升级以及围绕安全管理的过程和步骤。人员需要进行培训,并能够理解和执行所有的安全措施以及与之伴随的不断变化的技术。
要对所有的方面进行综合考虑以确保安全级别达到 ASP 的客户要求。
其它信息
首字母缩写词
AD:
Active Directory
ASP:
应用程序服务提供方
CCTA:
英国中央计算机与电信局 (UK)
CI:
配置项目
CMDB:
配置管理数据库
CRAMM:
CCTA 风险分析和管理方法
CRM:
客户关系管理
EFS:
加密文件系统
ESf:
企业服务框架
ITIL:
IT Infrastructure Library
LDAP:
轻型目录访问协议
MOF:
Microsoft 操作框架
MRF:
Microsoft 准备工作框架
MSF:
Microsoft 解决方案框架
NTFS:
NT 文件系统
NTLM:
NT LAN 管理
PKI:
公钥基本结构
SLA:
服务级别协议
SSL:
加密套接字协议层
UPN:
用户主要名称
VPN:
虚拟专用网络
书目
下列书籍为本白皮书的参考书目或推荐读物,有助于进一步理解此处包含的概念:
Security Management,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330014 X。
Contingency Planning,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330524 9。
Capacity Management,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330544 3。
Service Level Management,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330521 4。
Availability Management,IT Service Management Forum/CCTA,ITIMF Ltd.,
ISBN 0 11 330551 6。
安全管理参考资料
这部分集中了本文主体部分的所有参考资料,并按照主题的字母顺序列出。
Active Directory
http://www.microsoft.com/windows2000/guide/server/features/activedirectory.asp
ASP Industry Consortium
http://www.aspindustry.org/
Best practices(最佳做法)
http://www.aspindustry.org/members/BestPractices/DeliveryModel.cfm
http://www.microsoft.com/ISN/downloads/Best Practices Documentation for ASPs.zip
CCTA Risk Analysis and Management Method(CCTA 风险分析和管理方法)
http://www.crammusergroup.org.uk
Forum for Incident Response and Security Teams (事件响应和安全小组论坛,FIRST)
http://www.first.org/about/first-description.html
Gartner Group, J.Pescatore, "Critical Security Questions to as an ASP", DF-10-0972, February 2000
http://www.gartner.com/
International Information Systems Security Certification Consortium
http://www.sans.org/snap.htm
IT Infrastructure Library.
http://www.itil.co.uk/
Microsoft Operations Framework(Microsoft 操作架构)
http://www.microsoft.com/enterpriseservices/MOF.htm
Microsoft Telecommunications Consulting Practice, Steve Riley, "Network Security Best Practices", 7 August 2000
Http://www.microsoft.com/technet/
Microsoft Terminal Services Scaling(Microsoft 终端服务缩放)
http://www.microsoft.com/windows2000/library/technologies/terminal/tscaling.asp
http://www.microsoft.com/WINDOWS2000/library/resources/reskit/tools/hotfixes/tscpt-o.asp
Microsoft Windows 2000 Performance Tuning(Microsoft Windows 2000 性能调节)
http://www.microsoft.com/WINDOWS2000/guide/platform/performance/reports/perftune.asp
Microsoft .NET
http://www.microsoft.com/net/
Microsoft Windows Management Instrumentation(Microsoft Windows 管理规范)
http://www.microsoft.com/ISN/downloads/Operations for ASPs.zip
Microsoft Enterprise Services frameworks (ESf) publications(Microsoft 企业服务架构出版物)
http://www.microsoft.com/enterpriseservices/
撰稿人
Unisys Corporation:Jeroen Bom、Joe Helm、Hilda Willems、Tom Wu
Microsoft Corporation:Kathryn Rupchock、Kent Sarff
附录 A:SLA 中的安全部分
在 SLA 的安全部分需要讨论以下主题:
信息安全的一般策略
允许的访问方法和用户标识 (ID) 与密码的管理和使用
ASP 保留被授权人列表的义务
关于审核和日志记录的协议
记录 ASP 与