In base alla Norme sulla sicurezza CJIS -
Access Enforcement
The information system shall enforce assigned authorizations for controlling access to the system and contained information. The information system controls shall restrict access to privileged functions (deployed in hardware, software, and firmware) and security-relevant information to explicitly authorized personnel.
Access control policies (e.g., identity-based policies, role-based policies, rule- based policies) and associated access enforcement mechanisms (e.g., access control lists, access control matrices, cryptography) shall be employed by agencies to control access between users (or processes acting on behalf of users) and objects (e.g., devices, files, records, processes, programs, domains) in the information system.
Le agenzie controllano l'accesso alla CJI sulla base di uno o più dei seguenti elementi:
- Assegnazione del lavoro o funzione (ovvero il ruolo) dell'utente che cerca accesso
- Posizione fisica
- Posizione logica
- Indirizzi di rete (ad esempio, gli utenti di siti all'interno di una determinata agenzia potrebbero essere autorizzati maggiore accesso di quelli dall'esterno)
- Restrizioni dell'ora e del giorno della settimana / mese
La posizione fisica e la posizione logica vengono indicate come indirizzo fisico e indirizzo logico qui? In che modo questi sono diversi dagli indirizzi di rete.
Qualcuno può fornire gli scenari per rendere il sito Web compatibile con la politica di sicurezza CJIS?