Il controllo di accesso e di autenticazione è due funzioni di sicurezza a cui i coordinatori e gli utenti devono partecipare ugualmente per tutto il livello di efficacia per esistere. Le politiche di sicurezza devono presentare le regolazioni ed i requisiti chiaramente e dovrebbero aiutare gli impiegati a capire la serietà di conformità. Le politiche di autenticazione stabiliscono le pratiche migliori e le esecuzioni esatte usate per fornire l'accesso ai sistemi da tavolo, agli assistenti ed alle risorse locali della rete e dai luoghi a distanza. Ci sono metodi ben noti per fornire l'autenticazione e parecchia guida di riferimento che generano un ambiente più altamente sicuro. Le edizioni di autenticazione indirizzate dalla politica di sicurezza sono importanti alla maggior parte degli altri settori trattati all'interno della politica. Il controllo di accesso è collegato con l'autenticazione e spesso è usato simultaneamente perché l'autenticazione di una composizione di gruppo dei instantiates dell'utente e fornisce l'accesso alle risorse.
Non sorprendentemente, la sicurezza di autenticazione coinvolge l'esecuzione e l'uso di varie forme dell'autenticazione. I mezzi comunemente usati sono parole d'accesso, numeri di identificazione personale (perni), parole d'accesso da usare una volta sola, la crittografia di pubblico-chiave, schede di prossimità, schede astute, l'altro segno della codice-generazione ed agenti biometrici. Il metodo il più comunemente usato di autenticazione è la combinazione di username/password. Rispetto ad altri metodi di autenticazione, questo è inoltre il furto il più facilmente—compromesso delle parole d'accesso viene in molte forme differenti, spesso dovuto la scelta dell'individuo della parola d'accesso. La gente tende a gravitate verso le parole o le frasi facilmente ricordate di quando seleziona le parole d'accesso, quali i nomi dei membri della famiglia, gli animali domestici, gli hobby, o altri interessi. Purtroppo, i attackers indovinano spesso facilmente queste parole d'accesso. Nella ricerca per equilibrare la facilità di uso con alta sicurezza, gli utenti di aiuto di politiche di sicurezza di autenticazione generano le parole d'accesso più forti che non potrebbero essere discernute così facilmente. Le politiche inoltre forniscono la guida di riferimento da cui gli utenti possono aumentare la sicurezza del loro lavoro quotidiano. L'applicazione di questa guida di riferimento si presenta spesso come caratteristica del sistema operativo o dei programmi che fa l'autenticazione.
La politica di sicurezza di autenticazione inoltre differenzia in mezzo dove e come i metodi di autenticazione sono usati. I requisiti di sicurezza di accesso ai sistemi, alle reti, o alle facilità differenti affidano spesso la necessità in mandato per ogni utente di effettuare parecchi metodi di autenticazione. Ciò è particolarmente allineare per i coordinatori della rete e del calcolatore. Gli utenti non sono l'unico gruppo governato dalle politiche di autenticazione. I coordinatori devono ancor più preoccuparsi di sicurezza di autenticazione perché hanno e controllano accesso ai clienti, ai sistemi ed alle risorse altamente privilegiati. Ci è parecchia guida di riferimento per il maneggiamento e l'uso delle parole d'accesso, anche. Questa guida di riferimento contribuisce a mantenere gli utenti continuamente pensare alla sicurezza in tutto che.
La politica di sicurezza di autenticazione della z dell'azienda per gli utenti ed i coordinatori include questa guida di riferimento:
|
|
· Sui sistemi in cui le credenziali sono l'accoppiamento di username/password, le parole d'accesso dovrebbero rispondere ai seguenti test di verifica:
la parola d'accesso della o dovrebbe essere almeno otto caratteri.
o dovrebbero essere una combinazione delle lettere, dei numeri e dei caratteri estesi o speciali.
la o l'azienda effettuerà una storia delle parole d'accesso dell'ultimo cinque dell'utente per impedire la ripetizione.
le parole d'accesso della o dovrebbero essere sufficiente differenti da tutta la parola d'accesso nella storia impedire i modelli delle parole d'accesso facilmente ottenute.
le parole comuni del dizionario della o non sono permesse.
le parole d'accesso della o espireranno ogni 12 settimane, richiedenti all'utente di generare un nuovo.
le parole d'accesso della o dovrebbero essere scelte con attenzione evitando i nomi dell'animale domestico o della famiglia, gli interessi personali, o altre informazioni che possono essere collegate ed essere identificate facilmente.
· I coordinatori devono attenersi ai test di verifica disposti per gli utenti, con l'aggiunta che le loro parole d'accesso espireranno più frequentemente, a sei settimane.
· Le parole d'accesso per i clienti privilegiati cambieranno ogni quattro settimane per fornire l'più alta sicurezza perché questi clienti sono ripartiti fra parecchi coordinatori.
· L'accesso a distanza sarà assegnato usando le parole d'accesso da usare una volta sola e codice-generando il segno di sicurezza per impedire il furto delle credenziali dell'utente.
· Tutti i clienti dell'utente avranno una parola d'accesso. Tutto il cliente dell'utente senza una parola d'accesso sarà disabled o avrà una parola d'accesso casuale generata per esso.
· I clienti recentemente generati avranno generato a caso le parole d'accesso che espirano sul primo inizio attività, richiedenti all'utente di regolare una nuova parola d'accesso.
· Le parole d'accesso dovrebbero non essere annotate mai o essere immagazzinate su un mezzo ricuperabile quali carta, le note appiccicose, o white-bordo.
· Gli utenti dovrebbero mai non dire chiunque alle loro parole d'accesso.
· I coordinatori non chiederanno mai agli utenti le loro parole d'accesso. Nel caso in cui qualcuno chieda la parola d'accesso, segnalila prego immediatamente ESSO ed al gruppo di sicurezza.
· Nell'automatizzare le mansioni che richiedono l'autenticazione, eviti di immagazzinare le parole d'accesso chiaramente negli schedari di dati. Se possibile, cifri o hash la parola d'accesso prima dell'immagazzinarla, per impedire il furto delle parole d'accesso.
· Nel usando le schede astute, le schede di prossimità, o altri fissaggi segno-hanno basato i metodi di autenticazione, mantengono il dispositivo sulla vostra persona sempre e non lasciano altri prenderle in prestito.
· Nel usando i metodi di crittografia di pubblico-chiave per l'autenticazione, le informazioni chiave riservate dovrebbero essere protette via le limitazioni o l'immagazzinaggio di accesso della lima sui dispositivi esterni quali le schede astute.
· Nel usando la crittografia, le chiavi riservate e segrete possono essere escrowed tramite la gestione proteggere i dati da perdita ed accertarsi che l'accesso sia raggiungibile una volta richiesto.
· Tutte le autenticazioni, se riuscito o i guasti, sono annotati dal sistema che è raggiunto.
· I sistemi dovrebbero essere configurati per permettere tre tentativi guastati di inizio attività prima che il bloccaggio di cliente accada.
· In caso di guasto di inizio attività ed il bloccaggio di cliente, i clienti interni dovrebbero essere configurati per permettere ancora gli inizio attività dopo 30 minuti. L'uso dei bloccaggi permanente inoltre è sostenuto da molti sistemi operativi. Questi richiedono ad un coordinatore di intervenire e riaprire il cliente. Un bloccaggio permanente può provocare una smentita dello stato di servizio se un attacker attaca i clienti multipli.
· I clienti di accesso a distanza dovrebbero essere disabled dopo che tre abbiano venuto a mancare i tentativi di inizio attività, richiedendo l'intervento amministrativo per la riutilizzazione del cliente.
· I coordinatori dovrebbero effettuare gli avvisi di inizio attività che sono visualizzati prima dei richiami di inizio attività. Questi avvisi dovrebbero avvertire gli utenti non autorizzati che le loro azioni sono controllate ed i tentativi di entrare nel sistema sono proibiti. Le ramificazioni legali hanno potuto derivare da uso continuato dai personali non autorizzati.
· In caso di le parole d'accesso ed i dispositivi persi o rubati di autenticazione, dovrebbe essere comunicato immediatamente per inabilitare l'accesso per quel cliente e cominciare la creazione di nuove credenziali di accesso.
· I coordinatori dovrebbero confermare l'identità degli utenti prima della pubblicazione delle parole d'accesso nuove. Ciò può essere fatta in persona con la presentazione di un'identificazione della foto o del distintivo, nell'uso di una parola d'accesso speciale di recupero, in un numero di identificazione personale, nel numero di previdenza sociale, o nell'altro metodo che è conosciuto normalmente soltanto dall'utente e dal coordinatore.
Come potete vedere, l'uso dell'autenticazione è il commercio serio. Gli utenti ed i coordinatori devono essere informati degli effetti negativi dell'abuso di autenticazione. Ricapitolare, i componenti importanti dell'autenticazione sono
· Utenti e coordinatori d'istruzione per usare saldamente i metodi di autenticazione attraverso la creazione forte di parola d'accesso, così come per mantenere le parole d'accesso sicure.
· Autenticazione che annota e che controlla.
· I metodi differenti di autenticazione dovrebbero essere definiti ed usati affinchè le applicazioni differenti forniscano il livello elevato di sicurezza, invece di standardizzazione su un metodo singolo di autenticazione. Per esempio, l'accesso a distanza merita spesso un meccanismo più forte di autenticazione che l'accesso interno dell'assistente.
· Importanza delle politiche rigorose di sicurezza di autenticazione, quali i criteri di scadenza di parola d'accesso e di selezione, fare attacco e compromettere difficile.
Il controllo di accesso è il componente relativo seguente all'autenticazione. Il controllo di accesso esiste ad accesso di rete—di parecchi livelli, ad accesso dello schedario di dati e ad accesso delle risorse. L'accesso di rete è determinato dai protocolli, numeri port, sistemi della destinazione e di fonte e reti. Il controllo di accesso della rete è effettuato molto probabilmente dalla parete refrattaria. Il controllo di accesso dello schedario di dati e delle risorse di sistema è compiuto via funzionalità del sistema operativo, quali i permessi della lima collegati alle composizioni di gruppo e dell'utente. Una politica di sicurezza di controllo di accesso presenta l'utente con un insieme delle pratiche migliori per l'utilizzazione della questa funzionalità. Consideri La Politica Di Controllo Di Accesso Della Z Dell'Azienda:
· Il controllo di accesso della rete si presenta via la parete refrattaria, che è configurata per permettere l'accesso del Internet per gli impiegati. Se un servizio richiesto è ostruito dalla parete refrattaria, mettasi in contatto con il gruppo della gestione della rete o ESSO per discutere le soluzioni possibili.
· Gli impiegati sono assegnati l'accesso alle risorse di computazione globali dell'azienda via la loro procedura di inizio attività desktop.
· Le parti della lima comune sono inizializzate automaticamente a tempo di inizio attività. L'utente ha diritti di aggiungere alle zone comuni, ma di non rimuovere le lime o i dispositivi di piegatura a meno che l'utente li abbia generati.
· I clienti dell'utente di UNIX dovrebbero essere generati con l'insieme dei membri nei gruppi di utenti o nell'equivalente globali (dipendente del sistema operativo).
· I clienti dell'utente di UNIX dovrebbero avere loro proprio gruppo riservato come la nave del membro del gruppo di difetto, che li permette di regolare sicuro i permessi sulle loro lime ed indici.
· I clienti di Windows dovrebbero essere membri del gruppo di utenti di dominio.
· Gli indici domestici dovrebbero essere generati per permettere l'accesso soltanto dal proprietario dell'indice.
· La regolazione del umask di UNIX permette che gli utenti specifichino un livello di permesso di difetto per le lime recentemente generate. Ciò dovrebbe essere regolata per generare le lime che respingono tutto altrimenti per modificarle o eseguire. (il umask di difetto è generalmente 022, che genera le lime con colto e scrive i permessi per il proprietario ed ha letto i permessi per il gruppo ed il mondo.)
· Le regolazioni di UNIX SetUID/GID dovrebbero essere evitate a meno che assolutamente necessario.
· I permessi delle regolazioni delle risorse dell'utente compreso login, profile e rhosts dovrebbero essere assicurati contro modifica non autorizzata.
· Gli utenti dovrebbero metterseli in contatto con reparto se dell'incertezza esiste quando regola i metodi di controllo di accesso.
· Se non autorizzato l'accesso alle lime, i dispositivi di piegatura,or altri dati è ritenuto sospetto, la informa reparto per una ricerca.
· Le esplorazioni automatiche eseguiranno in maniera regolare per cercare le regolazioni pericolose di controllo di accesso sulle lime, sui dispositivi di piegatura e sulle applicazioni dell'utente.
· Windows NT e 2000 sistemi operativi forniscono l'accesso ad ognuno (via lo speciale "ognuno" gruppo) per difetto. Questo accesso del gruppo dovrebbe essere rimosso e sostituito con il gruppo di utenti di dominio, se l'accesso a tutti gli impiegati deve essere assegnato.
Nota
Windows NT e 2000 sistemi operativi sostengono un meccanismo un po'differente di controllo di accesso che UNIX. Il meccanismo di Windows fa eseguire il campione leggere, scrivere ed i permessi come UNIX, ma anche ha parecchi attributi speciali come full-access e modifica. Il permesso full-access permette che l'individuo modifichi tutti i permessi, compreso cambiamento i permessi per altri. Ciò non è spesso l'effetto voluto, in modo da nei casi in cui l'utente richiede colto soltanto, scrive ed esegue l'accesso, full-access non dovrebbe essere permessa. L'attributo di modificazione permette che un utente faccia i cambiamenti ad una lima già in atto, ma non generi le nuovi lime o dispositivi di piegatura.
Le politiche di controllo di accesso possono presentare le informazioni tecniche utili agli utenti e promuovere la consapevolezza di sicurezza. La nota dei particolari tecnici dei meccanismi di controllo di accesso per i sistemi operativi in uso è favorevole perché l'utente casuale è spesso ignaro della loro esistenza o del loro uso. L'identificazione dei contatti e delle procedure per le edizioni di controllo di accesso è usata per aiutare l'utente ad imparare ed utilizzare le regolazioni sicure
Online: 380 users browsing the articles directory
|
|