认证和访问控制

认证和访问控制是两个方面的安全，其中系统管理员和用户必须平等地参加任何级别的有效性存在。 安全政策需要，目前的规定和要求明确，并应帮助员工了解严重性遵守。 认证政策确定最佳做法，并确实执行，用于提供接入到桌面系统，服务器，和当地的网络资源，并从远程站点。 有著名的方法所提供的认证和若干准则，创造一个更加高度安全的环境。 认证处理的问题，安全政策是重要的，最涵盖的其他领域内的政策。 访问控制是相关认证，并经常同时使用，因为认证的用户instantiates组成员，并提供利用的资源。

毫不奇怪，认证安全涉及执行和运用各种形式的认证。 常用的手段是密码，个人识别号码（脚） ，单次使用的密码，公开密钥加密，感应卡，智能卡，其他代码代代币，和生物剂。 最常用的认证方式是用户名/密码组合。 相较于其他认证方式，这也是最容易受到损害的防盗密码来，在许多不同的形式，往往是因为个人的选择密码。 人们往往重力对容易记住的词或句子时选择的密码，如姓名，家庭成员，可带宠物，兴趣爱好，或其他利益关系。 不幸的是，攻击者通常很容易猜测，这些密码。 在寻求平衡的易用性与高安全性，认证安全政策中，帮助用户建立更强有力的密码，这也许不是这么容易被察觉。 该政策还提供指引，使用户可以增加安全的日常工作。 执行这些准则往往由于出现的一个特点，作业系统或程式做认证。

认证安全政策还区别在何处和如何认证方法使用。 保安上的需要，为获取不同的系统，网络或设施的任务，往往需要为每个用户，以维持几个认证方法。 这一点尤其适用于计算机和网络管理员。 用户不是唯一的组由认证政策。 系统管理员也必须更加关心认证安全问题，因为他们有和控制接触高度特权的帐户，系统和资源。 有几个指引，以便处理和使用的密码，也。 这些准则有助于保持用户不断思考的安全他们所做的一切。

公司z的认证安全政策，为用户和管理员包括这些指导方针：

-对系统证书是用户名/密码组合的密码应符合下列条件：

o密码至少应为8个字。

o ，他们应该是一个组合的字母，数字，并延长或特殊字符。

者o公司将保持历史的一个用户的最后5个密码，以防止重复。

o密码应具有足够的不同，从任何密码，在历史上，以防止模式容易获得密码。

o常见字典字都是不允许的。

o密码将届满，每12个星期内，需要用户创建一个新的。

o密码应慎重选择，避免家人或宠物的名字，个人利益，或其他资料，可以联系和容易辨别。

•管理员必须遵守所订标准，为用户，加上自己的密码，将过期更加频繁，在6个星期。

•密码为特权账户，将改变一切四周，以提供更高的安全性，因为这些账目分享几个管理员。

•远程访问，将给予使用单次使用的密码和代码生成安全令牌，以防止盗窃用户凭证。

•所有用户帐户将有一个密码。 任何用户帐号，没有密码将被禁用或有一个随机密码产生的。

-新设立的帐户将有随机生成的密码届满后，首次登录，需要用户设置一个新的密码。

•密码要永远写下来，或储存于可回收介质如纸张，便签，或白色板。

•用户应从来没有告诉任何人自己的密码。

•管理员绝不会要求用户，让他们的密码。 在万一有人问是否为密码，请提出报告，立即给它的安全组。

•自动化的任务，需要认证，避免存放的密码很清楚的资料档案。 如果可能的话，加密或散列密码之前存放，以防止窃取密码。

•当使用智能卡，感应卡，或其他硬件令牌认证的方法，保持装置对你的人在任何时候，千万不要让别人借钱。

•当使用公开密钥加密方法进行认证，私钥信息应加以保护，通过file准入限制或存放于外部设备，如智能卡。

•当使用加密，私人和秘密的钥匙，可以托管，由政府，以保护数据免受损失，并确保准入是可以实现在需要时查阅。

-所有认证，无论成功或失败，都是登录该系统正在存取。

•系统应配置，以允许三次登入失败之前帐户锁定列出现。

-在发生登录失败和帐户锁定，内部帐目应配置，以允许再次登录后3 0分钟。 使用永久船闸外，还支持许多操作系统。 这些都需要管理员干预，并重新开启帐户。 永久船闸出能导致拒绝服务条件，如果一个攻击者攻击多个帐户。

•远程接入帐户应被禁用三次登入失败后，要求行政干预，为重用的账户。

•管理员应贯彻登录告示是张贴之前登录提示。 这些告示牌应警告未经授权的用户，他们的行动进行监控和试图进入该系统是禁止的。 法律影响的效果可能继续使用未经授权的人员。

-在发生丢失或被盗的密码和认证装置，它应立即通知，以禁用进入该帐户，并开始建立新的准入证书。

•管理员应确认身份的用户，才发出新的密码。 这是可以做到的，在与人的陈述上口或照片的身份证，使用一种特殊的恢复密码，个人识别号码，社会保障号码，或其他方法，这就是众所周知的，通常只能由用户和管理员。

大家可以看到，其使用认证是严肃的商业。 使用者和管理者必须认识到这一负面影响的认证挤占。 总结中，很重要的组成部分认证

•教学使用者和管理者使用的认证方法稳妥地通过强有力的密码设定，以及为保持密码的安全。

•认证测井和监测。

•不同的认证方法应加以界定和用于不同的应用，以提供最高级别的安全性，而不是规范，对单点认证的方法。 举例来说，远程接入往往值得更强的认证机制比内部服务器访问是否。

防治的重要性，以及严格认证的安全政策，如密码到期和选拔标准，使进攻和妥协的难度。

访问控制将是未来的相关组件认证。 访问控制存在于几个层次网络接入，数据文件存取，以及资源访问。 网络接入取决于议定书，港口数量，来源地和目的地，系统和网络。 网络接入控制是最有可能维持的防火墙。 数据文件和系统资源的访问控制，是完成了途经的操作系统功能，如文件的权限相联系的用户和组成员关系。 访问控制安全政策提出了用户与一套最佳做法，为利用这一功能。 考虑公司z的访问控制策略：

-网络接入控制的出现，透过防火墙，它是配置，让上网的雇员。 如果需要服务，是阻挡了防火墙，请联系或网络管理小组，以讨论可能的解决办法。

•雇员获准进入全球公司的计算资源可经由其桌面登录程序。

-共同文件的股票将自动初始化，在登录的时候。 用户有权利要补充公用地方，但不拆除的文件或文件夹，除非用户创建他们。

• unix用户帐户应建立与会员国，在全球的用户群体或同等学历（操作系统依赖性） 。

• unix用户帐户应该有自己的私人集团作为默认组成员的船舶，这使得他们可以设置权限，安全上自己的文件和目录。

•窗户帐户应成员的域用户组。

回航目录应建立允许进入只能由车主的目录。

•在unix的umask设置允许用户指定一个默认许可水平，为新设立的档案。 这应该是一套创造文件不让他人修改或执行。 （默认的umask一般是022 ，它可以生成文件的读写权限，为业主和阅读权限，为集团和世界） 。

• unix的setuid / gid的设置应当避免，除非绝对必要的。

•权限的用户资源设置包括。登录。概况。 rhosts应担保对擅自改装。

•用户应先接触资讯科技署，如果有任何不明朗因素存在时，设置访问控制方法。

•如果擅自进入档案，文件夹，或者其他数据资料，是怀疑，通知该署进行调查。

•自动扫描将执行一项经常性的基础上，以寻找不安全的访问控制设置，对用户的档案，资料夹及应用。

• windows nt和2000操作系统提供获得大家（通过特殊的"人人"集团）默认。 这一组获得应予取消，而代之以同域用户组，如果进入所有雇员，是予以批准。

注

在windows nt和2000操作系统的支持略有不同的访问控制机制比unix的。 窗口机制有标准的读，写和执行权限的unix一样，但也有若干的特殊属性，如全职访问和修改。 充分准入许可，允许个别修改所有的权限，包括改变权限等。 这往往是没有达到预期效果，所以在的情况下，用户只需要读，写和执行准入，全面获取不应该被激活。 [修改属性允许用户自行更改一个文件已经存在，而不是创造新的档案或资料夹。

存取控制政策可目前有用的技术信息，向用户及促进安全意识。 注意到技术细节的访问控制机制，为操作系统使用的是有助益的，因为普通用户往往不知道他们的存在，或其使用。 查明接触和程序的访问控制问题，是用来帮助用户学习和使用的安全设置