Им не нужна копия Вашей всей внутренней политики IT, но я думаю, что они могут быть после чего-то подобного этому - кто-то определенно должен заставить Вас достаточно информации о контракте определять, сколько детали необходимо обеспечить, и о какой. Tho, который я согласовываю с Joseph - если им нужна информация по легальным причинам / причинам соответствия, должен быть легальным входом.
1) Какой-либо из Ваших сотрудников расположен за пределами США?
2) Ваша компания имеет формализованные и зарегистрированные политики информационной безопасности на месте?
3) Обработка и классификация информации и данных покрыты Вашими политиками информационной безопасности?
4) Есть ли какие-либо выдающиеся нормативные проблемы, которые Вы в настоящее время решаете в состоянии (состояниях), в котором Вы действуете? Если да, объясните.
1) У Вас есть программа обучения осведомленности информационной безопасности для сотрудников и подрядчиков?
2) Какой из следующих методов для аутентификации и авторизации доступа к Вашим системам и приложениям делает Вас, в настоящее время используйте:
3) Кто авторизовывает доступ для сотрудников, подрядчиков, временных файлов, поставщиков и деловых партнеров?
4) Вы позволяете Вашим сотрудникам (включая подрядчиков, временные файлы, поставщиков, и т.д.) иметь удаленный доступ к своим сетям?
5) У Вас есть план реагирования на инциденты информационной безопасности? Если не, как инциденты информационной безопасности обрабатываются?
6) У Вас есть политика, которая обращается к обработке внутренней информации или конфиденциальной информации в электронных письмах к внешней стороне Ваша компания?
7) Вы рассматриваете свои политики информационной безопасности и стандарты по крайней мере ежегодно?
8) Какие методы и физические средства управления существуют для предотвращения несанкционированного доступа к компании, охраняют территории?
9) Опишите свою политику паролей для всех сред? Т.е. Длина, сила и старение
10) У Вас есть план аварийного восстановления (DR)? Если да, как часто Вы тестируете его?
11) У Вас есть план Непрерывности бизнеса (BC)? Если да, как часто Вы тестируете его?
12) Вы предоставите нам копию своих тестовых результатов (до н.э и DR), если требуется?
1) Будет [Компания] данные и/или приложения быть сохраненным и/или обработанным на выделенном или общем сервере?
2) Если на общем сервере, как будет [Компания], данные сегментируются от других компаний’ данные?
3) Какой тип (типы) возможности соединения от компании к компании будет обеспечен?
4) Это сетевое соединение будет зашифровано? Если да, какой метод (методы) шифрования будет использоваться?
5) Есть ли какой-либо клиентский код (включая ActiveX, или код Java) потребовал для использования решения? Если да, опишите.
6) У Вас есть брандмауэр (брандмауэры) для управления доступом внешней сети к веб-серверу (веб-серверам). Если не, где этот сервер (серверы) расположен?
7) Ваша сеть включает демилитаризованную зону для доступа в Интернет к приложениям? Если не, где эти приложения расположены?
8) Ваша организация предпринимает шаги для обеспечения против отключений электричества Отказа в обслуживании? Опишите эти шаги
9) Вы выполняете какой-либо из следующих обзоров/тестов информационной безопасности
10) Какие из применяющих методов информационной безопасности активно используются в Вашей организации
11) У Вас есть стандарты для укрепления или обеспечения Ваших операционных систем?
12) У Вас есть расписание для применения обновлений и текущих исправлений к Вашим операционным системам? Если не, скажите нам, как Вы определяете, какой и когда применить патчи и критические обновления
13) Для обеспечивания защиты от сбоя питания или отказа сети Вы обслуживаете полностью избыточные системы для своих ключевых систем обработки транзакций?
1) Каков URL, который будет использоваться для доступа к приложению/данным?
2) Какая операционная система (системы) является веб-сервером (веб-серверами)? (Обеспечьте имя ОС, версию и пакет обновления или уровень установки патча.)
3) Каково программное обеспечение веб-сервера?
1) Какая операционная система (системы) является сервером (серверами) приложений? (Обеспечьте имя ОС, версию и пакет обновления или уровень установки патча.)
2) Каково программное обеспечение сервера приложений?
3) Вы используете основанное на роли управление доступом? Если да, как уровни доступа присвоены ролям?
4) Как Вы удостоверяетесь, что соответствующая авторизация и сегрегация обязанностей существуют?
5) Ваше приложение использует многоуровневый пользовательский доступ / безопасность? Если да, предоставьте подробную информацию.
6) Операции в Вашем приложении контролируются сторонней системой или сервисом? Если да предоставьте нам название компании и службы и какая информация контролируется
1) Какая операционная система (системы) является сервером (серверами) базы данных? (Обеспечьте имя ОС, версию и пакет обновления или уровень установки патча.)
2) Какое программное обеспечение сервера баз данных используется?
3) DB копируется?
4) Часть сервера БД кластера?
5) Что сделано (если что-нибудь) для изоляции [Компании] данные других компаний?
6) Будет [Компания] данные при хранении на диске, быть зашифрованным? Если да, опишите метод шифрования
7) Как исходные данные получены?
8) Как ошибки целостности данных обрабатываются?
1) Сделайте Вы регистрируете клиентский доступ в:
2) Журналы рассматриваются? Если да, объясните процесс и как часто они рассматриваются?
3) Вы обеспечиваете системы и ресурсы, чтобы поддержать и контролировать контрольные журналы и журналы транзакций? Если да, какие журналы Вы сохраняете и сколько времени Вы храните их?
4) Вы разрешите [Компанию] для рассмотрения системных журналов, поскольку они принадлежат нашей компании?
1) Что процессы и процедуры используются для рассекречивания/удаления/отбрасывания [Компании] данные, когда больше не необходимый?
2) Вы имеете когда-либо ошибочно или случайно раскрытая информация о клиенте?
Если да, какие корректирующие меры Вы реализовали с тех пор?
3) У подрядчиков (несотрудники) есть доступ к уязвимой информации или конфиденциальной информации? Если да, они подписали соглашение о неразглашении?
4) У Вас есть поставщики, которые разрешены получить доступ и поддержать Ваши сети, системы или приложения? Если да, эти поставщики в соответствии с составленными договорами, предусматривающими конфиденциальность, проверки данных и страховку/компенсацию от потери?
5) Как Ваши данные классифицированы и защищены?
1) Каковы частота и уровень Ваших резервных копий?
2) Каков локальный период хранения резервных копий?
3) В каком формате Ваши резервные копии хранятся?
4) Вы храните резервные копии в удаленном местоположении? Если да, каков период хранения?
5) Вы шифруете свои резервные копирования данных?
6) Как Вы удостоверяетесь, что только действительные производственные программы выполнены?
Версия OpenSSH, который идет с CentOS 5, не поддерживает номера портов в known_hosts
. Необходимо будет создать и установить более новую версию, если Вы захотите, чтобы это работало.
~/.ssh/config
:
Host foohost-2201 Hostname foohost.domain.tld # This should comply with the format used in OpenSSH 5. HostkeyAlias "[foohost.domain.tld]:2201" User username Port 2201
И серьезно, обновление.
мое решение; добавьте подробную информацию о хосте к ~/.ssh/config
:
Host <someidentifier>
Hostname ip.add.re.ss
StrictHostKeyChecking no
User username
Port 2201
Host <someotheridentifier>
Hostname ip.add.re.ss
StrictHostKeyChecking no
User username
Port 2202
затем можно сделать ssh someidentifier
даже не имея необходимость предоставить -p
и т.д.
~/.ssh/known_hosts
для добавления нескольких ключей для того же имени хоста. возможно, это будет работать?
– cpbills
13 May 2010 в 20:04
Используйте это, если Ваш openssh клиент не поддерживает базирующиеся записи host+port:
Директива 'GlobalKnownHostsFile' может неправильно использоваться для указания на другой файл для каждой из 2 firewalled машин (здесь Alice и Bob). Однако эти два файла должны быть подготовлены с корректными ключами хоста или alice или боба заранее, поскольку они не записаны в при принятии неизвестных ключей.
Это не действительно забава настроить, но после того как это сделало это работы.
Мое предыдущее обходное решение, прежде чем это был 'StrictHostKeyChecking не', который не позволяет ssh-агенту передавать ключи, ни иметь переданные порты (заблокированный openssh при использовании).
Мой .ssh/config был похож на это до недавнего времени:
Host hoppingstation
Hostname loginhost.somewhere.net
User me
LocalForward 2201 alice.somewhere.net:22
LocalForward 2202 bob.somewhere.net:22
Host alice
Hostname localhost
Port 2201
User root
ForwardAgent yes
GlobalKnownHostsFile /home/me/.ssh/known_hosts_alice
Host bob
Hostname localhost
Port 2202
User root
ForwardAgent yes
GlobalKnownHostsFile /home/me/.ssh/known_hosts_bob