國際標準ISO/IEC17799

國際標準 ISO/IEC 17799（三）

9訪問控制

9.1訪問控制的業務需要目標：控制對信息的訪問

根據業務和安全的要求應當控制對信息的訪問和對業務程序的訪問。這應當把信息發布和授權的策略考慮在內。

9.1.1訪問控制策略9.1.1.1 策略和業務的要求應當定義并記錄下對訪問控制的業務要求。在訪問控制策略說明中，應當清楚闡明訪問控制規則和每個個人

用戶和用戶群體的權限。用戶和服務提供商應當提供一份清楚的對訪問控制所要滿足的業務要求的說明。

該策略應當考慮到以下內容：a) 個人業務應用軟件的安全要求。b) 對所有與業務應用程序相關的信息的鑒別。c) 信息傳播和授權的策略，例如 需要知道原理和信息的安全等級和分類；d) 在訪問控制和不同系統和網絡間信息分類的策略之間的連貫性；e) 對數據或者服務的訪問的保護所涉及的法律和所有合同義務；f) 對一般工種而設的標準用戶訪問特征；g) 在分布式的和網絡化的環境中訪問權限的管理。這種環境能夠分辯所有可用連接的類型。

9.1.1.2 訪問控制規定為確定訪問控制規定，應當仔細考慮以下問題：a） 區分必須一直堅持的規定和那些有可選擇性和有條件的規定；b） 規定的建立基于如下前提“除非得到明白的許可，否則一般必須禁止此類行為”，而不是更弱的標準

“除非被明令禁止，否則所有的行為都是允許的”；c） 由信息處理設備自動引起的信息標簽（見5.2）的改變和那些用戶判斷引起的信息標簽的改變。d） 由于信息系統自動引發的用戶許可的改變和管理員所做的這種改變。e） 在執行之前，需要管理員或者其他人批準的規定和那些不需要這種批準的規定；

9.2 用戶訪問管理目標：防止對信息系統的未經授權的訪問

應當由正規的程序來控制對信息系統和服務的訪問權限分配。這些程序應當覆蓋用戶訪問全過程的所有階段，從新用戶的最初注冊到不再需要訪問信息系統和服務的用戶

最終的注銷。適當的情況下，應當特別注意控制特權訪問權限的分配。 這些特權允許用戶超越系統控制。

9.2.1 用戶注冊為了授予對一個多用戶的信息系統和服務的訪問權限，應當由一個正式的用戶注冊和注銷程序。應當通過正式的用戶注冊程序來控制對于多用戶信息服務的訪問。該注冊程序應當包括：a）

使用唯一的用戶身份，以便將用戶與他們的行為聯系上并讓他們對自己的行為負責。群體身份（group ID）

只允許在它們適于所要做的工作時才采用。b） 檢查用戶是否有從系統所有人處得到的使用信息系統和服務的授權。管理層做出的對于訪問權限的單

獨批準可能也是合適的c） 檢查授予的訪問等級是否于業務目標相適應（見9.1），并且是否與組織的安全策略相一致，例如：

它不會損害任務的分離（見8.1.4）。d） 給用戶一個關于他們訪問權限的書面聲明；e） 要求用戶簽署該聲明以表明他們理解訪問的條件。f） 確保訪問提供商在授權程序完結之前不提供訪問途徑。g） 保存一份注冊使用該系統的所有人員的正式記錄。h） 立即取消已經改換工作或者離開該組織的用戶的訪問權限；i） 定期檢查并刪除冗余的用戶ID和帳戶；j） 確保冗余的用戶賬號不被轉給其它用戶。

如果職工和服務代理人有未經授權的訪問時要受處罰，應當注意，在員工合同和服務合同中要包涵相關條款

對此做出規定（見6.1.4和6.3.5）。

9.2.2 特權管理應當嚴格限制特權（多用戶信息系統的任何使得客戶超越系統或者應用軟件控制的特征或者便利）的分配和

使用。對系統特權的不當使用經常成為導致被攻破的系統產生故障的一個主要因素。需要防止未經授權訪問

的多用戶系統應當通過正式的授權程序來控制對特權的分配。 應當考慮以下的步驟：a） 應當確定與每個系統產品例如操作系統、數據庫管理系統和每個應用軟件相聯系的特權和需要分派的

職工類別；b） 特權的分配應當建立在一種需要使用的基礎和就事論事的基礎上，例如只有在需要時才對它們功能角

色有最低限度的要求。c） 應當保有一個授權程序和一份所有分配出的特權的記錄。在授權程序結束之前不應當授予特權。d） 系統程序的開發和使用應當得到提升，以避免需要向用戶授予特權。e） 特權應當分配給一個不同于常規業務使用的用戶身份。

9.2.3 用戶密碼管理密碼是一種訪問信息系統或者訪問時確認用戶身份的常用方式。應當通過正式的管理程序來控制密碼的分配

。這一程序應當：a） 需要用戶簽署一項聲明以保持個人密碼的保密性并確保工作組密碼只在該組成員的內部（這應當包括

在用工合同條款中，見6.1.4）b） 在用戶需要維護他們的密碼時，確保最初為它們提供一個安全的臨時密碼，而迫使他們立即更改。當

用戶未經他們密碼的時候提供的臨時密碼應當只按照確實的用戶身份提供。c） 需要臨時密碼來給用戶一個安全的方式。應當避免使用第三方或者使用未受保護 的明碼電文的電子

郵件信息。用戶應當確認接收到密碼了。

無論如何，密碼都不能以一種未受保護的形式存儲在計算機上。可以使用其它的用戶識別和授權技術，例如

生物測定像指紋鑒定、簽字確認和硬件標識例如集成芯片卡。適當情況下應當加以考慮。

9.2.4 用戶訪問權限的復查為了保持對數據和信息服務的存取訪問的有效控制，管理層應當實施一個正式的程序來定期復查用戶的訪問

權限，使得：a） 用戶的訪問權限得到定期復查（推薦周期是6個月）并在做任何改動后進行復查（見9.2.1）。b） 對特殊的特權訪問權限（見9.2.2）應當以更高的頻率來檢查；推薦周期是3個月。c） 定期核查特權分配，以確保無人得到未經授權的特權。

9.3 用戶責任目標：防止未經授權的用戶訪問

得到授權的用戶進行合作是有效的安全基礎。為了維持有效的訪問控制，應當讓用戶知道他們的責任，尤其是有關密碼使用和用戶設備的安全方面的責任

9.3.1 密碼使用用戶應當按照良好的安全操作規程來選擇和使用密碼。密碼提供了一種驗證用戶身份的手段，從而建立了對信息處理設備和服務的訪問權限。 應當建議所有的用戶

：a） 保護密碼的保密性；b） 避免在紙張上保留密碼記錄，除非可以對其安全存放。c） 只要有系統或者密碼可能被侵害的跡象，就更改密碼；d） 選擇的優質密碼至少要有6個字符的長度，這些字符要：1） 容易記憶；2） 不是基于那些別人很容易地根據個人相關信息就能夠猜出來的東西。例如：名字、電話號碼和生日等

等。3） 避免使用連續的相同數字，或者全是數字或全是字母的字符組。d) 定期更換密碼或者根據一定量的訪問次數來更改密碼（特權帳戶的密碼應當比普通帳戶密碼更改的更

為頻繁）。避免重復或者循環使用舊的密碼。e) 定期更換密碼或者根據一定量的訪問次數來更改密碼（特權帳戶的密碼應當比普通帳戶密碼更改的更

為頻繁）。避免重復或者循環使用舊的密碼。f) 在第一次登錄時更改臨時密碼；g) 不要把密碼包含在任何自動登錄程序之中，例如把密碼存在宏代碼或者功能鍵上。h) 不要共用個人用戶密碼。

如果用戶需要訪問多重服務或者平臺并且被要求持有多重密碼，那么應當建議他們對于所有的為存儲的密碼

提供合理保護等級的服務都使用單一的優質密碼（見上述d）) 。

9.3.2 無人值守用戶設備用戶應當確保無人值守設備得到足夠的保護。在用戶區安裝的設備，例如工作站或者文檔服務器，可能需要

特殊的保護以防止在較長的無人值守時間內被未經授權地訪問。為了保護無人值守的設備，應當讓所有的用

戶和合同伙伴明白安全要求和安全程序。而要實施這些保護還得使他們清楚自己的責任。 應當建議用戶：a） 當完成對話束時要將活動的對話終止，除非有適當的鎖定機制的保護，例如一個密碼保護的屏幕保存

程序；b） 當對話期結束時要注銷主機（而不僅僅是關掉個人計算機和終端）；c） 在不使用PC機和終端時，用密碼鎖或者相類似的控制手段例如密碼訪問，以防止對它們的未經授權的

使用。

9.4 網絡訪問控制目標：保護網絡服務

應當控制對內部和外部網絡服務的訪問。這對于確保對網絡和網絡訪問有訪問權限的用戶不損害這些系統的安全是必要的。為此，要確保：a） 在本組織的網絡和其它組織的網絡例如公共網之間有適當的接口；b） 對用戶和設備的適當的授權機制；對用戶訪問信息服務的控制。

9.4.1 網絡服務的使用策略與網絡服務的不安全的鏈接會影響到整個組織。只應當向用戶提供對那些特別授權他們使用的服務進行直接

訪問。這種控制對于同敏感或者關鍵業務應用軟件的聯網或者同處于高風險地區的用戶的聯網都是十分重要

的。其中高風險地區指公共的場所或者組織的安全管理范圍以外的區域。

策略的籌劃應當考慮到網絡和網絡服務的使用。應當包括：a） 允許訪問的網絡和網絡服務；b） 用來確定誰可以訪問那些網絡和網絡服務的授權程序；c） 保護對網絡連接和網絡服務的訪問的管理措施和程序。這一策略應當與業務訪問控制策略（見9.1）相一致。

9.4.2 強制路徑從用戶終端到計算機服務器的路徑可能需要進行控制。 網絡被設計成要允許最大程度的資源共享和最大程度

的路徑選擇自由。而網絡的這些特征也可能為那些對業務應用軟件未經授權的訪問或者對信息設備未經授權

的使用制造了機會。限制用戶終端與允許用戶訪問的計算機服務器之間路徑的聯合管理措施，例如建立一條

強制路徑，能夠降低這種風險。

強制路徑的目的是為了防止用戶選擇了任何用戶終端與允許用戶訪問的計算機服務器之間路徑的其它路徑。

一般來說，這需要在路徑的不同地點實行一定數量的控制。其原理是通過預先確定的選擇來限制在網絡中的

各個點處的路徑選取。

下面是它的例子：a） 分配專用線路和電話號碼；b） 自動連接到指定的應用軟件系統或者安全門路；c） 為單個用戶限制菜單和子菜單選項。d） 防止不受限制的網絡漫游；e） 對外部的網絡使用者，強制其使用指定的應用軟件系統和/或安全門路；f） 通過安全門路例如防火墻來積極地控制目的地通信的許可來源。g） 為組織內部的用戶群建立分離的邏輯域來限制網絡訪問，例如虛擬私人網絡（又見9.4.6）。對強制路徑的要求應當基于業務訪問控制策略（見9.1）

9.4.3 外部連接的用戶認證外部連接可能導致對信息系統未經授權的訪問，例如撥號的方法。因此，應當把遠程用戶的訪問置于比其它

方式更為嚴密的保護之下，例如以使用密碼技術為基礎的方法能夠提供強大的認證。要從風險評估中確定所

需保護等級，這點十分重要而且選擇恰當的認證方法時也需要。

可以通過多種方式驗證遠程用戶的身份，例如加密技術、硬件標識或者詢問/應答協議。也可能用專用線路或

者網絡用戶地址檢查設備來確認連接的來源。

撥號回送程序和控制措施，例如使用回撥調制解調器，能夠防止對一個組織的信息處理設備的未經授權的和

有害的連接。這種控制鑒別那些試圖從遠處建立到組織的網絡的連接的用戶。使用這些管理措施時，組織不

應當用網絡服務包括電話發送；如果使用了這種網絡服務，就應當取消這樣的特征，以避免與電話發送相關

的弱點。回撥過程包括確認在組織一方的連接確實斷開了，這點也很重要。否則，遠程用戶能夠持續占線假

裝已經做了回撥驗證。應當仔細的檢測回撥程序和控制的這種可能性。

9.4.4 節點鑒別自動連接到遠程計算機的設備能夠提供了一種途徑，從中可以獲得對業務應用軟件的未經授權的訪問。因此

應當認證連到遠程計算機系統的連接。如果連接使用的網絡在組織的安全管理的控制范圍以外，這種做法就

尤其重要了。 在上述9.4.3中給出了一些例子說明什么是認證和如何實現認證。

節點認證能夠作為認證遠程用戶群的替代方式，在那里用戶連接到了一個安全的共享的計算機設備（見9.4.3

）。

9.4.5 遠程診斷接口的保護應當安全地控制對診斷接口的訪問。為了方便維護工程師的使用，許多計算機和通信系統安裝在一個撥號遠

程診斷設備之中。如果未加保護，這些診斷接口就為未經授權的訪問提供了途徑。因此，應當用適當的安全

機制對其加以保護，例如一個密碼鎖和一個保護程序。通過在計算機服務管理員和需要訪問通路的硬件/軟件

支持人員之間所做的安排，該程序確保了診斷接口只能由他們訪問。

9.4.6 網絡分離網絡日益被擴展到傳統的組織邊界以外，例如業務伙伴關系的形成可能需要互聯或者共享信息處理和網絡設

備。網絡的這種擴展可能加大使用網絡的現有信息系統受未經授權的訪問的風險。由于有些網絡的敏感性或

者關鍵性，它們可能需要其它網絡用戶的保護。在這種情形下，應當考慮在網絡中引入管理措施來分離不同

的信息服務、用戶和信息系統。大型網絡安全管理的方法之一就是將其分解為獨立的邏輯網域，例如組織的內部網域和外部網域, 每個域都

由一個確定的安全邊界保護。在將被連接起來以控制兩個域之間的訪問和信息流的兩個網絡之間安裝一個安

全門路，由此可以實現上述的安全邊界。這一門路經過定制可以來過濾這些域之間的通信（見9.4.7和9.4.8

）并能夠按照組織的訪問管理措施（見9.1）堵住未經授權的訪問渠道。這種門路的一個例子就是我們通常所

說的防火墻。

將網絡分離成域的標準應當是基于訪問控制策略和訪問的要求（見9.1），而且還要考慮到合成適當的網絡路

徑或者門路技術的相對成本和對性能的影響（見9.4.7和9.4.8）。

9.4.7 網絡連接管理共享網絡訪問控制策略的要求，特別是那些跨越組織界線的關系網絡，可能需要把控制措施結合起來以約束

用戶的連接能力。這種控制措施可以由一個用預先擬定的表格或者規則過濾通信的網絡門路來實現。所用的

這種約束措施應當基于訪問控制策略和業務應用軟件的需要（見9.1），因此應當加以維護和更新。

需要加以限制的一些具體應用是：a） 電子郵件；b） 單向文件傳送；c） 雙向文件傳送；d） 交互式訪問；e） 與每天或者某個日期的時間相關的網絡通路。

9.4.8 網絡路徑選擇控制共享的網絡，尤其是那些跨越組織邊界的網絡，可能需要把路徑選擇管理措施結合起來以確保計算機連接和

信息流不會破壞業務應用軟件的訪問控制策略（見9.1）。這種控制對于同第三方（非組織）用戶共享的網絡

常常是具有根本性的。

路徑選擇控制應當基于確定的來源和目標地址檢測機制。網絡地址翻譯對于隔離網絡和防止路徑從一個組織

的網絡延伸到另一個網絡中也是一種非常有用的機制。它們能夠在軟件和硬件中實現。實施者應當清楚所配

備的任何機制的作用強度。

9.4.9 網絡訪問安全有廣泛的公共網絡服務和私有網絡服務可供利用，其中有的是增值服務。網絡服務可能有獨特的或者復雜的

安全特征。使用網絡服務的組織應當確保對所有服務的安全屬性做一個清晰的描述。

9.5 操作系統訪問管理

目標：防止未經授權的計算機訪問。

操作系統水平的安全設備應當用于限制對計算機資源的訪問。這些設備應當能夠做到以下事情：a） 鑒別和驗證身份，如果需要的話還能夠鑒別和驗證每個經授權用戶的位置和終端。b） 記錄對系統的成功訪問和失敗訪問。c） 提供適當的授權方式；如果使用了密碼管理系統，應當能夠確保使用的是優質密碼（見9.3.1 d）)。d） 在適當的地方，限制用戶的連接次數。

如果證明對于業務風險沒有危害，那么也可以使用其它的訪問控制方法，例如詢問－應答方法。

9.5.1 自動終端識別為了鑒別連到特殊地點和便攜設備的連接應當考慮自動終端識別技術。如果一個對話只能從特殊的地點或者

計算機終端上啟動這點很重要，那么自動終端識別就是一種可以考慮的方法。終端內或者貼到終端上的一個

標識可以用來指示是否允許這個特定的計算機終端啟動或者接收特殊事項。為保持終端標識的安全，可能需

要對計算機終端進行物理保護。也可以用其它的技術鑒別計算機終端（見9.4.3）。

9.5.2 終端登錄程序由一個安全的登錄程序應當能夠獲得對信息服務的訪問。這一登錄到計算機系統的過程的設計應當把對系統

未經授權的訪問的機會降到最低限度。因此為了避免給未經授權的用戶以不必要的幫助，該登錄程序只會透

露出最少的系統信息。一個好的登錄程序應當做到：a） 除非登錄程序成功結束，否則不顯示系統或者應用程序；b） 顯示一般性的警告，說明只有經過授權的用戶才能夠訪問；c） 在登錄程序中不提供可能會幫助未經授權的用戶的信息；d） 只有完成所有數據的輸入以后才開始驗證。如果產生一個錯誤條件，該系統不應當指示出哪對哪錯。e） 限制所允許失敗登錄次數（推薦使用3次），并且考慮：1） 記錄失敗的嘗試；2） 在重新登錄之前強制等待一段時間或者拒絕任何沒有特殊授權的進一步嘗試。3） 斷開數據連接。e) 限制所允許的登錄程序的最長和最短時間。如果超過了這個范圍，系統應當終止登錄。f) 當成功的完成登錄以后，要顯示以下信息：1） 上一次成功登錄的日期和時間；2） 自從上次成功登錄以來，歷次失敗登錄嘗試的細節。

9.5.3 用戶識別和鑒定所有的用戶（包括技術支持人員，例如操作員、網絡管理員、系統程序員和數據庫管理員）應當有唯一的標

識（用戶ID）供他們個人并且只供他們個人使用。因此，可以追蹤各種活動到負有責任的個人身上。用戶ID

不應當顯示出用戶的特權等級（見9.2.2），例如管理人員、監控人員。

在例外的情況之下，如果有明顯的商業利用，可能會讓一個用戶群或者特殊的工種共享一個用戶ID。管理層

對這種情況的批準應當記錄在案。為保持可計量性，可能還需要其它管理措施。

有各種授權程序，可以用來證實所聲稱的用戶身份。密碼（見9.3.1和下文）是一種非常通用的進行識別和鑒

定（I&A）的方法。這一方法基于一個只有用戶才知道的秘密。利用加密技術和鑒別協議也可以達到同樣的目

的。

像存儲標識或者用戶擁有的智能卡這類物品也可以用來進行識別和鑒定。利用個人的唯一的特征或者屬性的

生物鑒別技術也可以用來鑒別一個人的身份。將鑒別技術和管理機制妥善地結合到一起能夠得到更為強大的

鑒定能力。

9.5.4 密碼口令管理系統密碼是驗證用戶訪問計算機權限的主要形式之一。密碼管理系統應當提供一個有效的、交互的設備。這樣可

以確保優質密碼（參考9.3.1小節的密碼使用指導）。

一些應用程序需要有獨立的職權來分配用戶密碼。在大多數情況下，密碼是由用戶選擇和維護的。一個好的密碼管理系統應當：a） 強制使用個人密碼以保持可計量性;b） 適當的時候，允許用戶選擇和更改他們自己的密碼并包括一個確認程序，它允許出現輸入錯誤。c） 強制選擇如9.2.1所述的優質密碼；d） 用戶維持他們自己的密碼時，強制實行如9.3.1所述的密碼變更；e） 當用戶選擇密碼時，強制他們在第一次登錄的時候更改臨時密碼（見9.2.3）;f） 維持一份以前用戶密碼的記錄，例如在此之前12個月，并避免再次使用；g） 輸入密碼時不要將其在屏幕上顯示出來；h） 把密碼未經與應用軟件系統的數據分開存放；i） 以使用單向加密算法的加密形式存儲密碼口令；j） 軟件安裝完畢后，改變缺省的賣方密碼。

9.5.5 系統實用程序的使用大多數計算機安裝有一個或者更多系統實用程序，它們可能有能力超越系統和應用程序的控制。限制并嚴格

控制對它們的使用是十分重要的。應當考慮以下的控制措施：a） 給系統實用程序使用認證程序；b） 系統實用程序從應用軟件分離出來；c） 把使用系統實用程序的人限制在最少的值得信任的授權用戶之內；d） 為系統實用程序的特殊使用進行授權；e） 限制系統實用程序的有效性，例如在一個經授權的變更的持續時間之內；f） 記錄系統實用程序的所有使用；g） 系統實用程序授權等級的定義和文件證明；h） 所有基于軟件的多余實用程序和多余系統軟件的刪除。

9.5.7 終端暫停為了防止未經授權的人訪問，在一段確定的休止期結束后，應當關閉在高風險地區例如在組織的安全管理之

外的公共場所或外部地區的暫停終端或者是正在為高風險系統提供服務的終端。 在一段確定的暫停期后，這

一終端暫停手段應當清除終端屏幕內容并關閉應用程序和網絡對話。該暫停應當反映出這個地區和終端用戶

的安全風險。

一些PC機可以得到有限的終端暫停手段，使其能夠清楚屏幕內容并防止未經授權的訪問但是不會關閉應用程

序或者網絡進程。

9.5.8 連接時間的限制對連接時間的限制應當為高風險應用程序提供額外的安全保證。限制終端可以連接到計算機訪問的時間縮小

了未經授權訪問的機會空間。對于敏感的計算機應用程序，特別是那些有終端安裝在高風險地區例如在組織

的安全管理范圍之外的公共場所或外部地區的，應當考慮這樣的管理措施。這樣約束措施的例子包括：a） 使用預先確定的時間段，例如批量的文件發送，或者定期的短時交互式對話；b） 如果沒有超時或者延時業務，限制連接到正常辦公時間的次數。

9.6 應用程序訪問控制目標：防止保存在信息系統內信息被未經授權地訪問。應當使用安全設施限制在應用程序系統中的訪問。

對軟件和信息的邏輯訪問應當限制在經過授權的用戶之中。應用軟件系統應當：a) 控制用戶對信息和應用程序系統功能的訪問，并要與確定的業務訪問控制策略相一致；b) 為任何一個能夠超越系統或應用程序限制的實用程序和操作系統軟件提供保護，防止未經授權的訪問

；c) 不損害有共享信息資源的其它系統的安全；d) 只能夠向所有權人、其它被指派和經授權的個人或者確定的用戶群提供對信息的訪問權限。

9.6.1 信息訪問限制按照確定的訪問控制策略，應當為應用軟件系統的用戶包括技術支持人員提供對信息和應用程序系統的訪問

。這是基于個人業務應用程序要求的并且與組織的信息訪問策略（見9.1）相吻合。為了支持訪問限制要求，

應當運用以下管理措施：a） 提供菜單來控制訪問應用程序系統功能；b） 通過適當編輯用戶文件，可以限制用戶對于未得到授權進行訪問的信息或者應用程序系統功能的了解

；c） 控制用戶的訪問權限，例如讀取、改寫、刪除和執行等權限。d） 確保處理敏感信息的應用程序系統的輸出只包括與輸出的使用相關的信息，而且只送到得到授權的終

端和地點，包括對這種輸出周期性的復查以確保多余的信息被刪除了。

9.6.2 敏感系統的隔離敏感系統可能需要專用（隔離的）計算環境。有些應用程序系統對于潛在的損失如此敏感以致于需要對它們

做專門處理。這種敏感性可能表示應用程序系統應當在專用計算機上運行，而且只同受信的應用程序系統共

享資源，或者沒有限制。可以考慮以下幾點。a) 對一個應用程序系統的敏感性應當做清楚的定義并且有應用程序所有權人把它記錄在案（見4.1.3）。b) 當一個敏感的應用程序將在共享的環境下運行時，應當識別出應用程序將分享其中資源的該應用程序

系統，并獲得敏感應用程序的所有權人的準許。

9.7檢測系統訪問和使用目標：探測未經授權的活動。

應當監視系統以發現偏離訪問控制策略的行為并記錄可監測事故以便方式安全事件時提供證據。系統檢測允許對所采用管理措施的有效性進行檢測，并允許對一個訪問策略模型（見9.1）的確認進行驗證。9.7.1 事件記錄應當編寫用來記錄異常現象和其它有關安全的事件的審查日志，并在各方同意的時間段內保持該日志，以協

助以后的調查研究和訪問控制監測。 審核日志還應當包括：a） 用戶ID；b） 登錄和注銷的日期及時刻；c） 如果需要，要做終端或者地點的識別；d） 對系統成功的訪問和被拒絕的嘗試所做的記錄；e） 對數據和其它資源成功的和被拒絕的訪問所做的記錄。某些審核日志可能需要放入檔案中，作為記錄保留策略的一部分或者出于收集證據的需要（另見第12句）

9.7.2 檢測系統使用9.7.2.1 程序和風險區域。應當建立程序以檢測信息處理設備的使用。為了確保用戶只做了得到明確授權的行為，這樣的程序是必需的

。應當由風險評估確定個人設備所需的監測等級。應當考慮的地方有：a） 得到授權的訪問，包括細節例如：1） 用戶ID；2） 關鍵事件發生的日期和時間；3） 事件的類型；4） 訪問的文件；5） 使用的程序/實用程序；c) 所有有特權的作業，例如：1） 監督員帳戶的使用；2） 系統啟動和結束；3） 輸入/輸出設備附件/可拆件。d) 未經授權的訪問嘗試，例如：1） 失敗的嘗試；2） 對訪問策略規定的違反和對網絡門路和防火墻的通告。3） 警惕所有權人侵入檢測系統；e) 系統警報或者故障，例如：1） 控制臺警報或者消息；2） 系統日志異常；3） 網絡管理警報。

9.7.2.2 風險因素應當定期檢查檢測活動的結果。檢查的頻率取決于所涉及的風險。應當加以考慮的風險因素包括：a) 應用進程的重要程度；b) 所涉及信息的價值、敏感性和重要程度；c) 以往的系統過濾和和誤用的經驗教訓；d) 系統互聯的程度(特別是公共網絡)；

9.7.2.3記錄和檢查事件日志檢查涉及對于系統所面臨威脅的理解和對這些威脅可能的產生方式的認識。在9.7.1中給出了為了防止安

全事故可能需要深入調查的事件的例子。

系統日志常常包涵大量的信息，其中很多信息與安全檢測無關。出于安全檢測的目的而幫助識別重要事件時

，應當考慮把適當的信息類型自動復制到第二個日志和/或者使用適當的系統實用程序或檢測工具，以便進行

文件審查。

當為檢查日志而分配責任時，應當考慮把執行檢查的人員和其活動被監測的人員之間的角色分離開。

應當尤其注意日志記錄設施的安全，因為一旦遭到破壞可能給人一種十分安全的假相。管理措施應當致力于

防范未經授權的改動和操作問題包括：a） 將記錄設備置于停止狀態；b） 所記錄的消息模式的變更；c） 被編輯或者刪除的日志文件；d） 被用完的日志文件的存儲器，要么不能記錄事件要么覆蓋了自己。

9.7.3 時鐘同步為了確保審查日志的準確性，正確的設定計算機時鐘是十分重要的。這在調查研究中可能需要或者可以作為

法律案件中的證據。不準確的審查日志可能會妨礙調查研究的進行，并會削弱它作為證據的可信度。在計算

機或者通信設備有能力操作一個實時的時鐘的地方，應當按照一個共同的標準把它設定，例如 通用協調時間

（UCT）或者當地標準時間。由于有的時鐘有偏差，應當有一個程序可以檢測并改正任何重要的變更。

9.8 移動計算和遠程工作目標：在使用移動計算和進行遠程工作時確保信息安全。所需要的保護應當與這些工作的特殊方式引起的風險相協調。使用移動計算時應當考慮到 未經保護的環境下

工作的風險，并且要考慮到所采用的適當措施。在遠程工作時，組織應當為遠程工作地點提供保護并且確保

對這種工作方式有適當的安排。

9.8.1 移動計算使用移動計算設備例如筆記本電腦、掌上電腦、膝上電腦和移動電話等的時候，應當特別注意要確保業務信

息不受損害。應當采取正式策略來考慮使用移動計算設備的風險，特別是在未加保護的環境之中。例如，該

策略應當涵蓋物理保護、訪問控制、加密技術、備份文件和防范病毒等等方面的需要。該策略還應當包括有

關把設備連接到網絡的規則和建議以及對于在公共場所使用這些設備的指導。

在公共場所、會議室和其它在組織的保護范圍之外的未受保護的地區。在適當的位置應當有保護措施，以避

免未經授權的訪問或者泄露由這些設備存儲和處理的信息，例如使用加密技術（見10.3）。

當這種設備在公共場所使用的時候應當小心避免被未經授權的個人從遠處看見的危險。這一點很重要。應當

有適當的防止惡意軟件的程序并且要對其不斷更新（見8.3）。為了確保能夠快速而方便地備份信息，這些設

備應當是可用的。這些備份應當得到充分的保護例如防盜和防止信息丟失。

對連接到網絡的移動設備移動給以適當的保護。只有經過成功的識別和鑒定之后才可以使用移動計算設備通

過公眾網對業務信息進行訪問，并且有適當的訪問控制機制在（見9.4）。還應當對移動計算設備加以物理上的保護，以防在離開時被偷竊，例如在轎車和其它交通工具上、在賓館房

間、會議中心和見面地點等。載有重要信息、敏感和/或者關鍵的業務信息的設備不應當沒人照看，而且如果

可能的話，應當把實物鎖起來、或者使用特殊的鎖來保護該設備。關于對移動設備進行物理保護的更多的信

息可以在7.2.5找到。

應當訓練職工使用移動設備，提高他們對這種工作方式所帶來的額外風險和應當實行的管理措施的認識。

9.2.8 遠程工作遠程工作用通信技術使得職工能夠在組織之外的遠程固定地點工作。對遠程工作的適當保護應當防止設備和

信息被盜走、未經授權就披露信息、對組織內部系統的未經授權的訪問或者設備的誤用。遠程工作不但需要

授權還要由管理層控制，而且對這種工作方式應當有適當的安排。這一點非常重要。

組織應當考慮開發一種策略、程序和標準來控制遠程工作活動。組織應當只授權遠程工作活動，如果它們能

夠滿足有適當的安全設置和管理措施的要求而且符合組織的安全策略的話。應當考慮以下幾點：a） 對遠程工作地點現有的物理上的保護，考慮建筑物理的安全和當地環境的安全。b） 擬定的遠程工作環境；c） 通信安全要求，考慮到對組織內部系統進行遠程訪問的需要、即將通過通信鏈接并接收評估的信息的

敏感性和內部系統的敏感性。d） 在該適應范圍例如家庭和朋友的其他人對信息或者資源的未經授權的訪問所造成的威脅。

需要考慮的管理措施和安排應當包括：a） 為遠程工作提供適當的設備和存儲家具。b） 對允許做的工作、工作時間、可以保留的信息的分類和遠程工作人員被授權訪問的內部系統及其服務

分別做出的定義。c） 提供適當的通信設備包括保護遠程訪問的方法。d） 物理安全；e） 對家庭成員和來客訪問設備和訪問信息的有關規定和指導；f） 軟件和硬件支持和維護措施的提供。g） 備份和業務連續性的過程。h） 審查和安全監測；i） 遠程工作活動停止時，權力的取消、訪問權限和設備的歸還

10系統的開發與維護10.1 系統的安全需要目的：確保將安全構建成信息系統的一部分。

這包括基礎架構、業務應用軟件和用戶開發的軟件。這種支持應用軟件或者服務的商務處理的設計和實施可

能對安全十分關鍵。在開發信息系統之前應當確定其安全需要并得到對它的贊同。所有的安全需要包括撤退安排的需要都應當在一個項目的需求分析階段被確認， 并且作為一個信息系統的總

體經營情況得到對其合理性的證明、獲得同意并被記錄在案。

10.1.1安全性要求分析和規范對新系統業務需要所做說明或者對現有系統所給的增強作用應當規定管理措施的要求。這樣的規范應當考慮

到將要集成到系統中的自動控制措施并考慮到支持手動控制的需要。為商業應用目的評價軟件包時應當做類

似的考慮。如果被認為合適的話，管理層可能希望利用獨立的評價和驗證產品。

安全需要和管理措施應當反映所涉及信息資產的價值和可能有安全故障或者缺乏安全導致的潛在業務損害。

分析安全需要和識別管理措施以實現它們的基本框架是風險評估和風險管理。

在設計階段引進的管理措施要比那些在實施時或者完成后的控制措施實現和維護起來更便宜。

10.2 應用軟件系統中的安全目標：防止在應用軟件系統中的用戶數據的丟失、改動或者誤用。

應當把適當的管理措施和查驗追蹤或者活動日志設計到應用軟件系統中，包括用戶編寫的應用程序。這些措

施應當包括對輸入數據、內部處理和輸出數據的檢驗。

對于那些處理敏感的、有價值的或者重要的組織資產的系統或者對其有影響的系統，可能還需要適當的管理

措施。這些管理措施的確立應當基于安全需要和風險評估。

10.2.1 輸入數據的驗證應當驗證輸入到應用軟件系統中的數據，確保它是正確的和適當的。應當檢查業務交易的輸入、固定數據（

姓名和地址、信貸限額、客戶基準數）的輸入和參數表（售價、貨幣兌換率、稅率）的輸入。應當考慮以下

的措施：a） 為發現下述錯誤可以重新輸入或者采用其它輸入檢查方法：1） 超范圍數值；2） 數據域中的無效字符；3） 遺漏的或者不完整的數據；4） 超出數據容量的上下限；5） 未經授權或者不一致的控制數據；b） 對關鍵域或者數據文件內容進行周期性檢查，確認其有效性和完整性；c） 檢查打印的輸入文件中是否有未經授權的對輸入數據的變更（對輸入數據文件的所有變更都應當是得

到授權的）。d） 響應驗證錯誤的程序；e） 檢測輸入數據整體的可信度的程序；f） 確定所有涉及數據輸入程序的人員的責任。

10.2.2 內部作業的管理10.2.2.1 風險區域正確輸入的數據可能被處理中的錯誤或者刪除行為破壞。應當把有效性驗證作為系統的一部分來檢測這種破

壞。應用軟件的設計應當確保實施限制措施把危及數據完整性的處理故障的風險降低到最小。需要加以注意

的特殊地方包括：a） 改變數據的添加和刪除功能在程序中的使用和位置；b） 防止程序按照錯誤的順序運行或者在先前的處理故障之后馬上運行的程序；c） 使用恰當的程序從故障中恢復，以確保對數據的正確處理。

10.2.2.2 檢查和控制所需的管理措施取決于應用軟件的性質和數據破壞對業務的沖擊。以下是一些可以采用的檢測措施的例子：a） 對進程或者批處理的管理，用于在事務更新之后調節數據文件平衡。b） 平衡控制，用于對比檢測期初余額和先前的期末余額，即：1）運營對運營的控制；2) 文件更新合計；3) 程序對程序的控制。b) 對系統生成數據的驗證（見10.2.1）;c) 驗證在中心和遠程計算機之間下載或上載的數據或者軟件的完整性（見10.3.3）；d) 記錄和文件的數位總和；e) 檢查確保應用程序在恰當的時間運行；f) 檢查確保應用程序按照正確的順序運行，在出現故障時程序終止并且在問題解決之前停止運行。

10.2.3 文電鑒別文電鑒別是一種檢查手段，用于檢測對傳送的電子消息的內容所做未經授權的更改或者文電消息本身的損害

。該方法可以用在支持物理消息鑒別設備或軟件算法的硬件或者軟件中。

對于需要保護消息內容完整性的應用程序應當考慮采用文電鑒別。例如，電子形式的資金傳送、規定、合同

、建議等具有很大重要性的消息內容，或者其它類似的電子數據交換。為了確定是否需要文電鑒別并找到最

佳實施方案應當進行安全風險評估。

文電鑒別不是用來防止消息內容未經授權就被泄露的。可以用加密技術（見10.3.2和10.3.3）作為實現文電

鑒別的方式。

10.2.4 輸出數據驗證應當驗證應用系統輸出的數據以確保對存儲信息的處理是正確的并且與環境相適應。一般的說，系統的建造

基于這樣的前提，即已經采用的對輸出的適當的驗證、鑒別和檢測將會一致是正確的。而實際情況并非如此

。輸出驗證可以包括：a） 可信度的檢查，用來測試輸出數據是否合理；b） 協調控制計數，用于確保所有數據的處理；c） 為讀者或者后續處理系統提供充足信息以確定信息的準確性、完整性、精確度和類別；d） 響應輸出驗證測試的程序；e） 定義所有涉及數據輸出過程的人員的責任。

10.3 密碼管理措施目標：保護信息的保密性、完整性和有效性。對處于危險中而且其它管理措施無法對其進行有效保護的信息，應當用密碼系統和密碼技術對其進行保護。

10.3.1使用密碼控制措施的策略對一個密碼解決方案是否適當做出決定可以看作是更廣泛的評估風險和選擇管理措施的手段的一個部分。應

當用風險評估了確定信息所應當得到的保護等級。這種評估隨后可以用于評判一個密碼管理措施是否得當、

應當采用何種控制措施以及為了什么目的和業務處理。

組織應當為保護其信息制訂一套加密管理措施的使用策略。這樣的策略必須能夠將利益最大化并把使用密碼

技術的風險降到最低，而且還要避免不適當或者不正確的使用。 在開發該策略的時候應當考慮到以下幾點：a） 在整個組織范圍內使用密碼技術的管理途徑，包括業務信息應當受其保護的一般規則；b） 密鑰管理的途徑，包括為防止密鑰丟失、受損或者被毀而對加密的信息進行恢復；c） 角色和任務，例如誰應當負責：d） 策略的實施；e） 怎樣確定適當的密碼保護等級；f） 為在整個組織內有效實施所要采用的標準（何種解決方案用于何種商務處理）。

10.3.2 信息加密信息加密是一種密碼技術，它可以用于保護信息的保密性。保護敏感的和關鍵的信息時應當考慮該技術。

根據風險評估，確定所需的保護等級并且考慮到所用加密算法的類型和質量以及要用的密碼關鍵字的長度。

當實施組織的加密策略時，應當考慮到有的法規和國家性限制可能涉及在世界的不同地方這些加密技術的使

用問題，還應當考慮到加密信息的越界流動。

另外，應當注意那些用于密碼技術進出口的管理措施（見12.1.6）。

應當征求專家的建議來確定適當的保護等級、選擇適當的將要用于所需保護的產品和挑選密鑰管理的安全系

統的實施方案（見10.3.5）。另外，為了尋找一些法律法規，它們可能適用于組織中意的加密技術的使用，

可能需要法律建議。

10.3.3 數字簽名數字簽名提供了一種保護電子文檔的真實性和完整性的方法。例如它們可以用于電子商務，那里需要驗證是

誰簽署了一份電子文件并且檢查簽了名的文件是否被改動。

數字簽名能夠用于以電子化處理的任何文件形式，例如可以用它們簽署電子支付單據、基金傳送、合同和協

議。數字簽名可以用基于唯一相關的密鑰對的密碼技術，其中的一個密鑰用于生成簽字（私有密鑰）而另外

一個密鑰用于檢測該簽名（公共密鑰）。

應當注意保護私有密鑰的保密性。應當對該密鑰進行保密，因為任何取得該密鑰的人都能夠簽署文件，例如

付款單據、合同，因此偽造了密鑰主人的簽字。另外，保護公共密鑰的完整性也很重要。可以使用公共密鑰

證件（見10.3.5）來提供這種保護。

需要考慮所用簽名算法的類型和質量以及將要使用的密碼的長度。數字簽名中使用的密碼關鍵字應當與加密

算法中使用的不同。

使用數字簽名時，應當考慮到相關立法，它們描述了在什么情況下數字簽名受法律約束。例如在電子商務中

知道數字簽名的立法角度是十分重要的。在缺乏法律框架的時候，可能需要具有約束力的合同或者其它協議

來支持使用數字簽名。

10.3.4 非拒絕服務對于一個事件或行為是否發生有爭議時，例如對在一份電子合同或者支付手續上數字簽名的使用的爭執，為

解決爭議需要用到非拒絕服務。它們能夠幫助找到證據，以便證實一個特殊事件或者行為是否已經發生，例

如是否拒絕使用電子郵件發送有數字簽名的說明。這些服務基于加密和數字簽名技術（見10.3.2和10.3.3）

的使用。

10.3.5密鑰管理10.3.5.1 密碼關鍵性的保護密碼關鍵字的管理是對密碼技術的有效利用的根本。密碼關鍵字的任何損壞或者丟失都可能危及信息的保密

性、真實性和/或者完整性的安全。應當有一個管理系統適當地支持組織對兩種密碼技術的使用，它們是：a） 秘密密鑰技術，其中兩個或者更多方共享同一個密鑰并且不但使用這個密鑰的加密形式還使用它的解

密形式。該密鑰必須是秘密的，因為任何得到它的人都能夠用這個密鑰把所有加密的信息解密出來，或者用

它加入未經授權的信息。b） 公共密鑰技術, 其中每個用戶有一個密鑰對：一個公共密鑰（可以展示給任何人）和一個私人密鑰（

必須保密）。公共密鑰技術能夠用在加密上（見10.3.2）也能夠用于生成數字簽名（見10.3.3）。

所有的密鑰應當得到保護，以防被修改或者破壞。而且秘密和私有密鑰要防止未經授權的泄露。密碼技術也

可以用于這個目的。應當從物理上保護那些用于生成密鑰、存儲密鑰和將其存檔的設備。

10.3.5.2 標準、程序和方法一個密鑰管理系統應當基于共同的標準、程序和安全方法的集合，它們用于：a） 為不同的密碼系統和不同的應用軟件生成密鑰；b） 生成和獲取公共密鑰證明；c） 把密鑰分發給需要的用戶，包括接到密鑰時應當怎樣將其激活。d） 存儲密鑰，包括經授權的用戶怎樣得到密鑰；e） 更改或者更新密鑰，包括關于何時應該改變密鑰和怎樣改變的一些規則；f） 處理受損的密鑰；g） 激活密鑰，包括應當怎樣將密鑰撤出或者使其失效，例如密鑰在何時被損害或者用戶在何時離開了組

織（在此種情況下密鑰也應當被存檔）；h） 作為業務連續性管理的一部分，恢復丟失的或者毀壞的密鑰。例如加密信息的恢復。i） 存檔密鑰，例如用于信息存檔或者備份；j） 銷毀密鑰；k） 密鑰管理相關活動的記錄和查驗。

為了減少損害的可能性，密鑰應當有確定的激活和休止日期，從而它們只能在有限的時間段內使用。該時間

段的長度應當取決于運用密碼管理措施的環境和所發現的風險。為了處理訪問密碼關鍵字的法律要求，需要考慮一些程序。例如，可能需要用加密信息的解密形式做法庭上

的證據。

除了安全管理的秘密和私人密鑰的話題之外，還應當考慮公共密鑰。有的人用自己密鑰替代公共密鑰來偽造

數字簽名，可能有這種威脅存在。這一問題可由使用公共密鑰證明的方法來解決。這些證明文件應當以一種

把與公共密鑰/私有密鑰的所有人相關的信息同公共密鑰唯一地連續在一起。因此生成這些證明文件的管理過

程要值得信賴，這一點很重要。該過程通常由一個權威驗證機構來執行，該機構有適當的管理和控制措施提

供所需的置信度。

服務等級管理的內容或者與外部密碼服務供應商所簽訂合同的內容，例如與一個權威驗證機構所簽合同，應

當包括有關責任、服務的可靠性和提供服務的響應時間等議題（見4.2.2）。

10.4 信息文件的安全目標：確保IT項目和支持行為以安全的方式進行。應當控制對系統文件的訪問。維護信息的完整性應當是應用程序系統或者軟件所屬的用戶功能或者開發群體的責任。

10.4.1 操作軟件的控制應當為在操作系統中使用軟件提供管理措施。為了把操作系統潰掉的風險降到最低，應當考慮一些的管理措

施：a） 操作系統程序庫的更新應當只由指定的程序庫管理員根據適當的管理層授權來執行（見10.4.3）;b） 如果可能的話，操作系統應當只包涵可執行代碼；c） 獲得測試成功和用戶被接受的證據之前，以及在相應的程序資料庫更新之前，不能在操作系統中運行

可執行代碼。d） 應當維護對層次系統程序庫的所有更新的審查日志；e） 應當保留軟件的以前版本做為應急之用。

操作系統中使用的由銷售商提供的軟件應當維護在一個由該供應商支持的水平之上。任何升級到新版本的決

定都應當考慮到該版本的安全，比如新安全功能的引入或者影響該版本的安全問題的數量和嚴重性。當軟件

補丁能夠幫助消除或者減少安全缺陷的時候，就應當使用他它們。

對操作系統進行的物理或者邏輯訪問應當只是在需要的時候出于技術支持的目的而授予供應商的，而且還需

要得到管理層批準。應當監視供應商的活動。

10.4.2系統測試數據的保護應當保護并控制測試數據。系統和驗收試驗通常需要大量的盡可能與靠近際運行數據的測試數據。應當避免

使用含有個人信息的業務數據庫。如果要使用其中信息，在用之前應當使其失去個性化。當把運行數據用于

測試目的時，應當采取以下措施保護運行數據。a) 訪問控制程序，它可以用于應用操作系統.也可以用于測試應用系統。b) 每次把運行信息復制到測試應用系統都應當有單獨的授權。c) 測試完成之后，應當立即把運行信息從測試應用系統中刪除。d) 應當記錄運行信息的復制和使用，以提供一種檢查追蹤。

10.4.3 對程序資源庫的訪問控制為降低計算機程序潰掉的可能性，在對程序資源庫的訪問中應當保持如下所述的嚴格管理措施。a) 可能的情況下，程序資源庫不應當放在操作系統中；b) 應當為每個程序指定一名程序資源庫管理員；c) IT技術支持人員不應當對程序資源庫不加限制地訪問；d) 正在開發的程序和正在維護的程序不應當放在程序資源庫中；e) 程序資源庫的升級和程序資源向程序員的發布應當只由指派的程序資源庫管理員根據授權從應用程序

的IT技術支持經理那里進行；f) 程序列表應當放在安全的環境中(見8.6.4)。g) 應當保留一份對程序資源庫所有訪問的審查日志。h) 老版本的程序資料應當存檔，清楚標明它們運行的準確日期和時間，以及所有支持軟件、作業控制、

數據定義和程序。i) 程序資源庫的維護和復制應當服從嚴格的變更管理程序（見10.4.1）。

10.5 開發和支持過程中的安全目標：維持應用程序系統軟件和信息的安全。

應當嚴格控制項目和支持環境。應用程序系統的負責主管也應當負責項目或者支持環境的安全。它們應當確保所有建議的系統變更都經過復

查以驗證它們不會損害系統或者運行環境的安全。

10.5.1 變更控制程序為了降低信息系統潰掉的危險，對變更的實施應當有嚴格的管理措施。正式的變更管理程序應當得到加強。

它們應當確保安全并且控制程序不會受到損害，確保技術支持程序員只被授予訪問他們工作所必須接觸的部

分系統內容，并且保證所有變更都得到了的正式同意和批準。改變應用程序軟件可能對運行環境產生沖擊。

如果合適的話，應用程序和運行變更程序應當集成到一起（見8.1.2）。該過程應當包括：a） 保持一份同意授權等級的記錄；b） 確保變更是由授權的用戶提交的；c） 復查控制和集成程序以確保它們不會被變更所損害；d） 識別所有計算機軟件、信息、數據庫物理和需要維修的硬件；e） 在工作開始之前得到對詳細建議的贊同；f） 確保授權的用戶在任何執行之前接受改變；g） 確保過程的執行會把業務分裂降低到最小的程度；h） 確保每次變更完成之后更新系統文獻集合并且把舊的文獻存檔或者進行處置；i） 為所有軟件更新維持一個版本管理；j） 保持對所有變更要求的審查追蹤；k） 確保運行文件（見8.1.1）和用戶程序的改變必須得當；l） 確保在正確的時候做出變更而且沒有擾亂相關的業務過程。許多組織維護一個環境，用戶在其中檢測新軟件并且該環境與開發和生成環境相互分離。這就提供了一種控

制管理新軟件的方式并且允許對用于測試的運行信息的給以額外保護。

10.5.2 操作系統變更的技術復查需要定期改變操作系統，例如安裝新提供的軟件版本或者補丁程序。當發生改變時，應當復查并測試應用程

序系統以確保對運行或者安全沒有負作用。該程序應當包括：a) 復查應用程序控制措施和完整性程序以確保它們沒有受到操作系統改變的損害；b) 確保手動支持計劃和預算會保護由操作系統變更引起的復查和系統測試；c) 確保及時提供操作系統變更的通知，從而允許在執行之前進行適當的復查；d) 確保對業務連續性計劃做了適當改變（見句1）。

10.5.3 改變軟件包的限制應當阻止修改軟件包。只要可能，而且也可行，應當不加任何修改地使用賣方供應的軟件包。如果認為必須

對軟件包進行改動，應當考慮以下各點：a） 受損的內置控制措施和集成程序的風險；b） 是否得到了供應商的許可；c） 從供應商那里得到所需變更作為標準程序更新的可能性；d） 如果因為軟件包變更而要組織為軟件未來的維護承擔責任，有怎樣的影響。

如果認為必須做改動，那么應當保留原始軟件和對一個清楚定義的副本所做的改動。應當對所有的改動充分

測試并記錄在案，因此如果將來軟件升級需要，就能重新應用它們。

10.5.4 隱蔽通道和特洛伊代碼（滲透性代碼）隱蔽的通道可能由一些間接的和隱晦的方式披露信息。 改變一個計算系統的安全元素和不安全元素都可以訪

問的參數，或者把信息嵌入一個數據流中，就可以激活這一隱蔽通道。滲透性代碼是要以一種未經授權、沒

被注意并且應用程序的接收方或者用戶不需要方式和 的方式影響系統。隱蔽通道和滲透性代碼的出現很少是

偶然的。關注隱蔽通道或滲透性代碼時，應當考慮一些幾點：a) 只從有聲譽的來源購買程序軟件；b) 購買程序的源代碼以便進行修改；c) 使用評價過的產品;d) 在運行之前檢查所有源代碼；e) 控制訪問和修改已經安裝了的程序代碼；f) 在關鍵系統的工作中用已經證明是可以信賴的職工；