小結(jié)
保護(hù)客戶和 ASP 的數(shù)據(jù)不受到惡意攻擊（有意的或無(wú)意的）的損害是“安全管理”的全部?jī)?nèi)容。對(duì)安全管理是什么以及 ASP 及其客戶可以采取的方法有一個(gè)清晰的了解非常關(guān)鍵，其中包括什么是安全策略以及需要達(dá)到什么樣的安全級(jí)別。需要確定 SLA 本身以及它提供的安全級(jí)別，并需要采取相應(yīng)的安全措施。安全措施包括人員、過(guò)程和技術(shù)。過(guò)程涉及到溝通、升級(jí)以及圍繞安全管理的過(guò)程和步驟。人員需要進(jìn)行培訓(xùn)，并能夠理解和執(zhí)行所有的安全措施以及與之伴隨的不斷變化的技術(shù)。

要對(duì)所有的方面進(jìn)行綜合考慮以確保安全級(jí)別達(dá)到 ASP 的客戶要求。

其它信息
首字母縮寫詞
AD：

Active Directory


ASP：

應(yīng)用程序服務(wù)提供方


CCTA：

英國(guó)中央計(jì)算機(jī)與電信局 (UK)


CI：

配置項(xiàng)目


CMDB：

配置管理數(shù)據(jù)庫(kù)


CRAMM：

CCTA 風(fēng)險(xiǎn)分析和管理方法


CRM：

客戶關(guān)系管理


EFS：

加密文件系統(tǒng)


ESf：

企業(yè)服務(wù)框架


ITIL：

IT Infrastructure Library


LDAP：

輕型目錄訪問(wèn)協(xié)議


MOF：

Microsoft 操作框架


MRF：

Microsoft 準(zhǔn)備工作框架


MSF：

Microsoft 解決方案框架


NTFS：

NT 文件系統(tǒng)


NTLM：

NT LAN 管理


PKI：

公鑰基本結(jié)構(gòu)


SLA：

服務(wù)級(jí)別協(xié)議


SSL：

加密套接字協(xié)議層


UPN：

用戶主要名稱


VPN：

虛擬專用網(wǎng)絡(luò)



書目
下列書籍為本白皮書的參考書目或推薦讀物，有助于進(jìn)一步理解此處包含的概念：

Security Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330014 X。

Contingency Planning，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330524 9。

Capacity Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330544 3。

Service Level Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330521 4。

Availability Management，IT Service Management Forum/CCTA，ITIMF Ltd.，
ISBN 0 11 330551 6。

安全管理參考資料
這部分集中了本文主體部分的所有參考資料，并按照主題的字母順序列出。

Active Directory
http://www.microsoft.com/windows2000/guide/server/features/activedirectory.asp

ASP Industry Consortium
http://www.aspindustry.org/

Best practices（最佳做法）
http://www.aspindustry.org/members/BestPractices/DeliveryModel.cfm
http://www.microsoft.com/ISN/downloads/Best Practices Documentation for ASPs.zip

CCTA Risk Analysis and Management Method（CCTA 風(fēng)險(xiǎn)分析和管理方法）
http://www.crammusergroup.org.uk

Forum for Incident Response and Security Teams （事件響應(yīng)和安全小組論壇，F(xiàn)IRST）
http://www.first.org/about/first-description.html

Gartner Group, J.Pescatore, "Critical Security Questions to as an ASP", DF-10-0972, February 2000
http://www.gartner.com/

International Information Systems Security Certification Consortium
http://www.sans.org/snap.htm

IT Infrastructure Library.
http://www.itil.co.uk/

Microsoft Operations Framework（Microsoft 操作架構(gòu)）
http://www.microsoft.com/enterpriseservices/MOF.htm

Microsoft Telecommunications Consulting Practice, Steve Riley, "Network Security Best Practices", 7 August 2000
Http://www.microsoft.com/technet/

Microsoft Terminal Services Scaling（Microsoft 終端服務(wù)縮放）
http://www.microsoft.com/windows2000/library/technologies/terminal/tscaling.asp
http://www.microsoft.com/WINDOWS2000/library/resources/reskit/tools/hotfixes/tscpt-o.asp

Microsoft Windows 2000 Performance Tuning（Microsoft Windows 2000 性能調(diào)節(jié)）
http://www.microsoft.com/WINDOWS2000/guide/platform/performance/reports/perftune.asp

Microsoft .NET
http://www.microsoft.com/net/

Microsoft Windows Management Instrumentation（Microsoft Windows 管理規(guī)范）
http://www.microsoft.com/ISN/downloads/Operations for ASPs.zip

Microsoft Enterprise Services frameworks (ESf) publications（Microsoft 企業(yè)服務(wù)架構(gòu)出版物）
http://www.microsoft.com/enterpriseservices/

撰稿人
Unisys Corporation：Jeroen Bom、Joe Helm、Hilda Willems、Tom Wu

Microsoft Corporation：Kathryn Rupchock、Kent Sarff

附錄 A：SLA 中的安全部分
在 SLA 的安全部分需要討論以下主題：
信息安全的一般策略
允許的訪問(wèn)方法和用戶標(biāo)識(shí) (ID) 與密碼的管理和使用
ASP 保留被授權(quán)人列表的義務(wù)
關(guān)于審核和日志記錄的協(xié)議
記錄 ASP 與安全相關(guān)的管理活動(dòng)的義務(wù)
解決方案有效的時(shí)間和日期（必要時(shí)可把回退的設(shè)備考慮在內(nèi)）
客戶、廠商和 ASP 的義務(wù)（按照 ASP、客戶和廠商的責(zé)任）
保護(hù) ASP 及客戶資產(chǎn)（包括信息）的步驟
對(duì)法律事務(wù)的責(zé)任
監(jiān)督客戶和廠商活動(dòng)的權(quán)利（以及取消該權(quán)利的權(quán)利）
安裝和維護(hù)設(shè)備及軟件的責(zé)任
檢查合同責(zé)任的權(quán)利
對(duì)信息復(fù)制和公開的限制
用來(lái)確保在 SLA 終止時(shí)信息或貨物被破壞或歸還的辦法
所需的任何物理安全措施
ASP 方面信息安全的管理過(guò)程
確保安全措施忠實(shí)有效的步驟
在安全策略、方法和步驟方面對(duì)用戶（內(nèi)部和外部）的培訓(xùn)
用來(lái)確保不擴(kuò)散計(jì)算機(jī)病毒和其它攻擊的措施
對(duì)用戶訪問(wèn)權(quán)限的授權(quán)步驟
關(guān)于報(bào)告和調(diào)查安全事件的協(xié)議。在出現(xiàn)安全事件的情況下要使用的溝通步驟（包括所涉及 ASP、客戶和/或廠商方面人員的電話號(hào)碼）