在这里,限制不仅仅是limited,是更为严厉的restricted
291在这里,限制不仅仅是limited,是更为严厉的restricted。对特权账户既要考虑严厉限制,尽量的少,又要考虑单点风险。
292“秘密用户信息(secret a uthentication information)”概念不常见,搞得有点不明确,在ISO/IEC 27002: 2005中11.2.3有“用户口令管理( use password management)”章节,估计以前比较常见的就是口令,其他都不多。因此,ISO/IEC 27002: 2013的“其他信息”中说:Passwords are a commonly used type of secret authentication information and are a com-mon means of verifying a user's identity. Other types of secret authentication information are cryptographic keys and other data stored on hardware tokens(e.g.smart cards) that produce authentication codes,大意是:口令是常用的秘密认证信息和常见的验证用户身份的手段。其他类型秘密认证信息是密钥数据以及其他存储在产生认证码的硬件(例如智能卡)的数据。
293虽然ISO/IEC 27002: 2013的描述全面了,主要包括的要求还是比较模糊,绝大部分的描述是把use password换成了secret authentication.nformation,而且ISO/IEC 27002: 2005中的“其他信息”中也说了智能卡等,只是那时候还比较新鲜,用的口气是“如果合适,宜加以考虑”。ISO/IEC 27002: 2013中的具体控制措施