인증 및 액세스 제어

인증 및 액세스 제어는 두 측면의 보안이 관리자와 사용자가 동등하게 참여해야합니다에 대한 모든 수준의 효율성을 위해 존재합니다. 보안 정책을 제시해야 할 규정 및 요구 사항을 명확하게하고 직원을 이해하는 데 도움 심각성을 준수해야한다. 인증 정책을 수립 최상의 사례 및 정확한 구현에 대한 액세스를 제공하는 데 사용됩니다 데스크탑 시스템, 서버 및 로컬 네트워크 자원, 그리고 원격 사이트에서입니다. 잘 - 알려진 방법에는 여러가 이드 라인을 제공하는 인증 및 보안 환경을 만들 더 높다. 의 인증 문제를 기재하여 대부분의 다른 영역의 보안 정책이 중요하게 다루고 내에있는 정책입니다. 액세스 제어는 관련하여 인증 및는 자주 사용하는 사용자를 인스턴스의 인증을 동시에하기 때문에 그룹 구성원과 리소스에 대한 액세스를 제공합니다.

되지 놀랍게도, 인증 보안 관련의 구현 및 사용의 다양한 형태의 인증을합니다. 일반적으로 사용되는 의미는 비밀 번호, 개인 식별 번호 (핀), 싱글 - 사용할 비밀 번호, 공개 - 키 암호화, 근접 카드, 스마트 카드, 기타 코드 - 세대 토큰, 생체 인식 중개사입니다. 가 장 흔히 사용되는 인증 방법은 사용자 이름 / 비밀 번호 조합을합니다. 다른 인증 방법에 비교하여,이 또한 장 쉽게 손상 - 도난의 비밀 번호가 온다은 다양한 양식, 자주로 인해 개인의 선택의 비밀 번호가있습니다. 사람들이 경향을 까운쪽으로 쉽게 기억할 단어 또는 문구를 선택할 때 비밀 번호, 같은 이름의가 족, 애완 동물, 취미, 기타 관심 분야입니다. 죄송 합니다만, 공격자 종종 이러한 비밀 번호를 쉽게 추측할 수있습니다. 의 탐구를 균형 편리한 사용으로 높은 보안, 인증 보안 정책을 도와 사용자가 작성하는 강력한 암호를 너무 쉽게 분별되지 않을 수도있습니다. 의 정책도 제공 이드하여 보안을 높일 수있는 사용자들의 일일 업무입니다. 가 이러한 지침의 시행으로 자주 발생하는 기능은 운영 체제 또는 프로그램의 인증을 수행합니다.

인증 보안 정책도 차별화 사이의 어디에 어떻게 인증 방법이 사용됩니다. 보안 요구 사항에 대한 액세스 권한을 서로 다른 시스템, 네트워크, 또는 시설을 자주 위임장이 필요 각 사용자에 대한 여러가 지 인증 방법을 유지합니다. 이것은 특히 사실에 대한 컴퓨터 및 네트워크 관리자가있습니다. 사용자가 아닌 그룹에 의거하여 인증 정책에 불과합니다. 관리자가 필요가 더 많은 관심을 갖고 인증 보안을하기 때문에 그들이하고 제어 액세스 권한을 상위 권한 계정, 시스템 및 자원입니다. 몇가 지의 처리 및 사용에 대한 지침은 비밀 번호, 수도있습니다. 이러한 지침 도움을 지속적으로 사고의 보안을 유지하기 위해 사용자가 모든 이들 필요가있습니다.

회사 자유의 인증 보안 정책에 대한 사용자 및 관리자가 이러한 지침을 포함합니다 :

· 일 시스템을 어디에 자격 증명이의 사용자 이름 / 비밀 번호 쌍을, 비밀 번호가 다음과 같은 기준을 충족해야한다 :

o 비밀 번호가 8 자 이상이어야합니다.

o 이들의 조합을해야한다 문자, 숫자, 및 확장 또는 특수 문자가있습니다.

• 회사는 유지하는 역사의 한 사용자의 마지막 5 개의 비밀 번호를 막기 반복합니다.

o 비밀 번호가 있어야합니다 역사에서 충분히 서로 다른에서 모든 비밀 번호의 패턴을 방지하기 위해 암호를 쉽게 입수합니다.

o 일반적인 사전 단어는 허용되지 않습니다.

o 암호가 만료됩니다 매 12 주, 요구에 사용자를 만들려면 새로운 하나입니다.

o 비밀 번호에 의해 신중하게 선택해야한다 피하고 족이나 애완 동물 이름, 개인적인 이익, 또는 기타 정보를 쉽게 식별할 수있는가 연결되어있습니다.

· 관리자에 의해 준수해야합니다 기준에 명시된에 대한 사용자를 사용하여 자신의 암호가 만료됩니다뿐 아니라 더 자주, 언제 6 주입니다.

· 비밀 번호에 대한 권한이 계정은 매 4 주를 제공해 높은 안전성을 변경하기 때문에 이러한 계정을 공유 해짐 몇몇 관리자입니다.

· 원격 액세스 권한이 부여됩니다 비밀 번호 및 코드를 사용하여 단일 - 사용 - 생성 보안 토큰의 도난을 방지하기 위해 사용자 자격 증명합니다.

· 모든 사용자 계정 비밀 번호를 갖게됩니다. 모든 사용자 계정을 사용하지 않고 비밀 번호는 사용하지 않거나이있는 임의의 비밀 번호 생성을위한 것이있습니다.

· 새로 만든 계정이 임의로 생성된 비밀 번호가 만료시 먼저 로그인, 요구에 사용자를 설정하려면 새 비밀 번호를합니다.

· 비밀 번호는 결코 서면 다운되거나 복구할와 같은 매체에 저장 종이, 스티커 메모, 또는 흰색 - 보드입니다.

· 사용자가 자신의 비밀 번호를 다른 사람에게 알려 절대로해야한다.

· 관리자는 사용자에 대한 질문은 결코 자신의 비밀 번호가있습니다. 의 이벤트가있는 사람은 비밀 번호를 요구하는 경우, 즉시 알려주시기 바랍니다가 그것과 보안 그룹입니다.

·이 요구되는 작업을 자동화할 때 인증, 비밀 번호를 명확히의 데이터 파일을 저장하지 마십시오. 가 능하다면, 암호화 또는 해시의 비밀 번호를 저장하기 전에, 도용을 막기 위해 비밀 번호가있습니다.

· 사용하는 경우 스마트 카드, 근접 카드, 또는 다른 하드웨어 토큰 - 기반 인증 방법, 유지 장치에 사람이 항상, 그리고 다른 사람에게 대출이되지 않습니다.

· 공개 - 키 암호화 방법을 사용하는 경우에 대한 인증, 개인 키 정보를 보호해야한다 통해 파일 액세스 제한 또는 저장 공간에 대한 외부 장치와 같은 스마트 카드입니다.

· 암호화를 사용하는 경우, 개인 및 비밀 키 수있습니다 escrowed으로 정권을 보호하기 위해 데이터를 손실을 보장하는 접근이 필요한 경우를 달성합니다.

· 모든 인증, 성공 또는 실패 여부,이 기록은 시스템에서 액세스합니다.

· 시스템을 허용하도록 구성해야 세 번 실패 로그인을 시도하기 전에 계정을 잠글 - 아웃이 발생합니다.

·의 이벤트의 로그인 실패 및 계정 잠금 - 아웃, 내부 계정을 허용하도록 구성되어야합니다 로그인을 다시 30 분 후에합니다. 의 사용을 영구 자물쇠 - 사는 또한 다양한 운영 체제에서 지원됩니다. 이들을 필요에 계정에 관리자에 대한 개입을 재개합니다. 영구 자물쇠 - 아웃 수있는 서비스 거부 상태에서 발생하는 경우 공격자가 공격을 여러 개의 계정입니다.

· 원격 액세스 계정을 해제해야 세 번 실패 후 로그인 시도를 요구 재사용의 계정에 대한 관리자의 개입니다.

· 관리자를 구현해야합니다 로그인을 고지하기 전에 표시되는 로그인을 묻습니다. 이러한 통지해야한다 경고는 인증받지 않은 사용자가 자신의 작업이 모니터하고 시도를 입력이 시스템은 금지합니다. 법적 효과가 능성 결과를 지속적으로 사용하여 무단 인사입니다.

·의 이벤트의 분실 또는 도난당한 암호 및 인증 장치, 그것을 즉시 통보해야한다를 위해 해당 계정에 대한 액세스 비활성화하고 새로운 액세스 자격 증명을 만드는 것을 시작합니다.

· 관리자는 새로운 비밀 번호를 발급하기 전에 사용자의 신원을 확인합니다. 이것은 사람과 함께 작업을 수행할 수있습니다 프레 젠 테이션의 배지 또는 신분증을 사용하는 특수 회복 비밀 번호, 개인 식별 번호, 사회 보장 번호, 또는 다른 방법은 일반적으로 사용자와 관리자에 의해서만 알려져있습니다.

볼 수 있듯이,를 사용하는 인증은 심각한 업무입니다. 사용자와 관리자가해야 할 사항을 알고 부정적인 효과는 인증을 오용입니다. 요약,의 중요한 구성 요소의 인증이

· 강의 사용자와 관리자를 사용하려면 강력한 암호를 통해 인증 방법을 안전하게 만들기, 물론 비밀 번호 보안을 유지합니다.

· 인증 로깅 및 모니터링합니다.

· 서로 다른 인증 방법을해야한다 정의 및 사용에 대한 서로 다른 응용 프로그램을 제공해가 장 높은 수준의 보안, 대신에 표준에 대한 단일 인증 방법입니다. 예를 들어, 원격 액세스를 자주 장점 강한 인증 메커니즘보다 내부 서버에 액세스하지입니다.

·의 중요성은 엄격한 인증 보안 정책과 같은 암호 만료와 선정 기준을하기 공격과 타협을 어렵게합니다.

액세스 제어는 다음 관련 구성 요소를 인증합니다. 액세스 제어에있는 여러 개의 레벨 - 네트워크 액세스, 데이터 파일에 대한 액세스, 그리고 자원에 액세스합니다. 네트워크에 대한 액세스가에 의해 결정 프로토콜, 포트 번호, 소스 및 대상 시스템 및 네트워크입니다. 네트워크 액세스 제어는 주로 방화벽을 통해 유지합니다. 데이터 파일과 시스템 리소스 액세스 제어는 운영 체제가 기능을 통해 수행과 같은 파일 사용 권한을 사용자 및 그룹 구성원으로 연결됩니다. 액세스 제어 보안 정책 제시가 사용자와 함께 한 세트의 우수 사례에 대해이 기능을 활용합니다. 고려 회사 자유의 액세스 제어 정책 :

· 네트워크 액세스 제어를 통해 발생 방화벽, 이는 직원에 대한 인터넷 액세스를 허용하도록 구성되어있습니다. 방화벽에 의해 차단되는 경우에 필요한 서비스에 문의하거나 네트워크를 관리 그룹에 대해 논의가능한 솔루션입니다.

· 직원이 주어 글로벌 기업 컴퓨팅 리소스에 대한 액세스를 통해 자신의 데스크탑 로그인 절차입니다.

· 일반적인 파일 공유는 자동으로 초기화시 로그인 시간입니다. 사용자가 권리를 추가 일반적인 분야가 아니라 파일이나 폴더를 제거하려면 해당하지 않는 한 사용자가 만들어집니다.

· 유닉스 사용자 계정을 만들어야과 회원의 글로벌 사용자 그룹 또는 동급 (운영 체제 종속).

· 유닉스 사용자 계정이 있어야 자신의 개인 그룹의 기본 그룹 회원이 배송되고,이를 통해 그들 자신의 파일 및 디렉토리에 대한 사용 권한을 설정을 안전하게합니다.

· windows 계정은 도메인 사용자 그룹의 구성원이어야합니다.

· 홈 디렉토리를해야한다 의해서만 만들어 액세스를 허용 디렉토리의 소유자입니다.

· 유닉스 후로 설정하면 사용자가 지정하는 기본 권한 수준에 대한 새로 만든 파일이있습니다. 이렇게 설정해야하는 파일을 작성 금지 다른 모든 사람을 수정하거나 실행합니다. (기본 후은 일반적으로 022을 생성합니다에 대한 읽기 및 쓰기 권한을가 진 파일의 소유자 및 읽기 권한에 그룹과 세계를합니다.)

· 유닉스 setuid / gid 설정을해야한다 기피하지 않는 한 절대적으로 필요합니다.

· 사용 권한은 사용자의 리소스 설정을 포함합니다. 로그인을합니다. 프로필을하고있습니다. rhosts해야한다 확보 무단 수정을 반대합니다.

· 사용자의 경우, 연락하여 해당 부서가 따로있는 경우 액세스 제어 방법을 설정할 때 불확실성이 존재합니다.

·이 무단으로 액세스하는 파일, 폴더, 또는 기타 데이터는 의심을 알리려면 그것 부서에 대한 조사를합니다.

· 자동 스캔을 실행하여 정기적으로 안전하지 않은 액세스 제어 설정에 대한 검색을 위해 사용자가 파일, 폴더 및 응용 프로그램입니다.

· windows nt와 2000의 운영 체제에 대한 액세스를 제공 누구나 (경유의 특별 "누구나"그룹)를 기본적으로합니다. 이 그룹에 액세스해야한다 제거하고 바뀜은 도메인 사용자 그룹, 경우에 대한 액세스를 모든 임직원이 부여된다.

참고 사항

가 windows nt, 2000 운영 체제를 지원하는 유닉스에 비해 약간 다른 액세스 제어 메커니즘입니다. 가 windows 메커니즘은 표준 읽기, 쓰기 및 실행 권한이 같은 유닉스지만 역시 같은 몇몇 특별한 특성 득 - 액세스 및 수정을합니다. 전체 - 액세스 권한을 수정할 수있는 개인의 모든 사용 권한을 비롯하여 다른 사람에 대한 사용 권한을 변경합니다. 이것은 대개의 원하는 효과가없습니다 때문에, 사용자가 필요로있는 경우에만 읽기, 쓰기 및 실행 액세스, 전체 - 접근해야한다 활성화되지 않았을 수있습니다. 수정 속성을 사용하면 사용자가 변경 사항을 파일에 이미 존재하지만, 새로운 파일이나 폴더를 생성하지 않습니다.

액세스 제어 정책을 수있는 유용한 기술 정보를 사용자 및 홍보 보안을 인식합니다. 주목에 대한 기술적인 세부 사항은 액세스 제어 메커니즘은 운영 체제에서 사용이 유익한 캐주얼하기 때문에 사용자가 자주 나타나 자신의 존재를 나 자신을 사용합니다. 과 같은 요소의 연락처 및 절차에 대한 액세스를 제어하는 데 사용하는 데 문제가 사용자 학습 및 활용 보안 설정을