Аутентификации и контроля доступа

Аутентификации и контроля доступа являются двумя аспектами безопасности, в которой администраторы и пользователи должны в равной степени участвовать на любом уровне эффективности существовать. Политики безопасности необходимо представить правила и требования четко и должна помочь сотрудникам понять серьезность требований. Подлинности политики создания наилучшей практики и точного выполнения используются для предоставления доступа к настольных систем, серверов и ресурсов локальной сети, и из отдаленных мест. Есть хорошо известные методы, призванные обеспечить аутентификацию и ряд руководящих принципов, которые обеспечивают более высокую безопасную среду. В подлинности вопросов, рассматриваемых в рамках политики безопасности имеют важное значение для большинства других областях, в рамках политики. Контроль доступа имеет отношение к подлинности и часто используются одновременно, поскольку аутентификации пользователя инстанцирует группе, и обеспечивает доступ к ресурсам.

Неудивительно, подлинности безопасности предполагает внедрение и использование различных форм аутентификации. Часто используемые средства, пароли, персональные идентификационные номера (ПИН), однократного использования паролей, шифрования с открытым ключом, близость карты, смарт-карты, другие коды поколения маркеров, и биометрические агентов. Наиболее часто используется метод проверки подлинности - это имя пользователя и пароль. По сравнению с другими методами аутентификации, то это также наиболее легко скомпрометированы - кража паролей происходит в различных формах, часто из-за индивидуальных выбора пароля. Люди, как правило, к gravitate легко помнить слова или словосочетания при выборе паролей, такие как имена членов семьи, животных, хобби, или иных интересов. К сожалению, нападающие часто легко догадаться, эти пароли. В стремлении сбалансировать простоту использования с высоким уровнем безопасности, аутентификации политики безопасности поможет пользователям создавать более пароли, которые не могут быть так легко различить. Политика также разработать руководящие принципы, с помощью которых пользователи могут повысить безопасность их повседневной работе. Применение этих руководящих принципов часто происходит, как функция операционной системы или программ делает аутентификации.

Подлинности политики безопасности, также различаются, где и как подлинности методы. Требованиям безопасности для доступа к различным систем, сетей и объектов часто мандата необходимость для каждого пользователя поддерживать несколько методов аутентификации. Это особенно актуально для компьютерных и сетевых администраторов. Пользователи, не только группы регулируется подлинности политики. Администраторы должны быть даже более касается подлинности безопасности, поскольку они и контролировать доступ к весьма привилегированной счета, систем и ресурсов. Есть ряд руководящих принципов для обработки и использования паролей, также. Эти руководящие принципы помогают сохранять пользователям постоянно мышления в безопасности все они.

Компания Z подлинности в политике безопасности для пользователей и администраторов входят следующие руководящие принципы:

· В системах, где полномочия являются имя пользователя и пароль пары, пароли должны удовлетворять следующим критериям:

о Пароль должен быть не менее восьми символов.

о Они должны быть сочетание букв, цифр, и продлен или специальные символы.

о компании будет вести историю пользователя последних пяти паролей для предотвращения повторения.

о Пароли должны быть в достаточной степени отличается от любой пароль в истории предотвратить модели легко получить пароли.

о Общий словарь слова не допускаются.

о Пароли истекает каждые 12 недель, требуя пользователю создавать новую.

о Пароли должны выбираться тщательно, не допуская семьи или имена домашних животных, личные интересы, или другую информацию, которая может быть связана и легко опознать.

· Администраторы должны соблюдать критерии, установленные для пользователей, с того, что их пароли истекает чаще на шесть недель.

· пароли для привилегированных счетов будет меняться каждые четыре недели, чтобы обеспечить безопасность выше, поскольку эти счета распределяются среди нескольких администраторов.

· Удаленный доступ будет предоставлен с использованием однократного использования паролей и кодов создания маркеров безопасности для предотвращения кражи пользователя.

· Все учетные записи пользователей будут иметь пароль. Любой учетной записи пользователя без пароля будет заблокирована, или имеют случайный пароль, создаваемом для него.

· Новый счета будет вычисляется при пароли, которые прекращаются при первом входе, требующих пользователю установить новый пароль.

· Пароли нельзя записать или сохранить на извлекаемые средних таких, как бумага, поклейка отмечает, или белого советов.

· Пользователи никогда не должны говорить никому свои пароли.

· Администраторы никогда не просим пользователей их пароли. В том случае, если кто-то делает просить пароль, просьба немедленно сообщить ИТ и безопасности группы.

· При автоматизации задачи, которые требуют аутентификации, избежать хранения паролей четко в файлы данных. Если возможно, зашифровать или хеш пароля до хранения, с тем чтобы предотвратить кражу паролей.

· При использовании смарт-карт, близость карт, или других аппаратных признак - методом аутентификации, держать устройство в Вашем лице на все времена, и не позволяйте другим брать его.

· При использовании шифрования с открытым ключом методов аутентификации, частные ключевая информация должны быть защищены с помощью ограничения доступа к файлу или хранения на внешних устройств, таких как смарт-карты.

· При использовании шифрования, частных и секретные ключи можно escrowed со стороны администрации для защиты от потери данных и обеспечить доступ достижимый при необходимости.

· Все authentications, будь то успешные или неудачи, которые вошли в систему для доступа.

· Системы должны быть настроены разрешить три неудачных попыток входа до блокировки счета из происходит.

· В случае неудачи логин и счета из замка, внутренние счета должен быть сконфигурирован чтобы логины вновь после 30 минут. Использование постоянных локауты также поддерживается многими операционными системами. Они требуют, администратор вмешаться и открыть счет. Постоянный из замка может привести к отказу службы условии, если злоумышленник нападения нескольких аккаунтов.

· удаленного доступа к счетам должна быть отключена после три неудачных попыток входа, требующих административного вмешательства для повторного использования счета.

· Администраторам следует выполнить вход уведомлений, которые отображаются до входа экране. Эти уведомления должны предупредить неавторизованных пользователей, что их действия отслеживаются и попытки войти в систему запрещены. Юридические последствия могут возникнуть в результате продолжающегося использования неуполномоченными персонала.

· В случае потери или кражи паролей и аутентификации устройств, ИТ следует незамедлительно, с тем чтобы запретить доступ на этот счет и начать создание нового доступа.

· Администраторам следует подтверждения личности пользователей, до выдачи новых паролей. Это можно сделать лично, с представлением пропуска или фотографией ID, использование особого подъема пароль, персональный идентификационный номер, номер социального страхования, или другой метод, как правило, известны только пользователю и администратору.

Как вы можете видеть, использование аутентификации серьезный бизнес. Пользователи и администраторы должны знать о негативных последствиях злоупотребления подлинности. Подводя итог, важных компонентов аутентификации являются

· Обучение пользователей и администраторов использовать методы аутентификации надежно благодаря активным пароль создания, а также сохранять пароли в безопасности.

· подлинности регистрации и контроля.

· Различные методы аутентификации должны быть определены и использоваться для различных приложений для обеспечения самого высокого уровня безопасности, а не по стандартизации единого метода проверки подлинности. Например, удаленный доступ часто заслуживает механизм аутентификации сильнее, чем внутренний сервер доступа вовсе.

• важность строгой аутентификации политики безопасности, такие как пароль истечения и критериев отбора, сделать нападение трудным и компромисса.

Контроль доступа - это следующий связанных компонент аутентификации. Контроль доступа существует на нескольких уровнях - доступ к сети, доступ к файлам данных и доступа к ресурсам. Сети доступа определяется протоколов, номера портов, источника и назначения, систем и сетей. Сеть контроля доступа, скорее всего, ведется брандмауэра. Данные файла и ресурс системы контроля доступа осуществляется через операционную систему функций, таких как файлу, связанные с пользователем и в группах. Доступ контроля политики безопасности представляет пользователю комплекс передовых методов использования этой функции. Рассмотрим компании Z контроля доступа Политика:

· Сеть контроля доступа происходит через брандмауэр, который настроен на возможность доступа в Интернет для работников. Если требуется услуга блокируется межсетевым экраном, то свяжитесь с ИТ или сетевое администрирование группу для обсуждения возможных решений.

· Работники получают доступ к глобальной компанией вычислительные ресурсы с помощью своих настольных регистрационной процедуры.

· Общий файл акции автоматически инициализируется в момент входа. Пользователь имеет право добавить к общей области, но не удалить файлы или папки, если пользователь их создали.

· UNIX учетные записи пользователей должны быть созданы с членством во Всемирной групп пользователей или эквивалент (операционной системы зависит).

· UNIX аккаунты пользователей должны иметь свои собственные группы по умолчанию группу член судна, что позволяет им безопасно для доступа на свои файлы и каталоги.

· Windows счетов должны быть членами этого домена Пользователи группы.

· Главная каталоги должны быть созданы разрешить доступ только владельцу каталога.

· В UNIX umask позволит пользователям задавать умолчанию разрешения на уровне недавно созданных файлов. Это должно быть для создания файлов, все остальные запретить изменять или выполнять их. (по умолчанию umask обычно 022, что создает файлы, чтения и записи для владельца и читать разрешений для группы и мира.)

· В UNIX SetUID / ГИД настройки следует избегать, если это абсолютно необходимо.

· В разрешений пользователей ресурсов в том числе. вход. профиль, и. rhosts должны быть защищены от несанкционированного изменения.

· Пользователи должны связаться с ИТ если существует неопределенность при установлении методов контроля доступа.

· В случае несанкционированного доступа к файлам, папкам, или другие данные, подозреваемого уведомляет ИТ для проведения расследования.

· Автоматическое сканирует будет работать на регулярной основе для поиска небезопасным контроля доступа настройки пользователя файлы, папки и приложения.

· В Windows NT и 2000 операционных систем обеспечения доступа для всех (через специальную "Все" группы) по умолчанию. Эта группа доступа должны быть удалены и заменены в группы пользователей домена, если доступ ко всем работникам должно быть предоставлено.

Примечание

В Windows NT и 2000 поддерживается операционными системами несколько иной механизм контроля доступа, чем UNIX. В Windows механизм стандарт читать, писать и исполнять разрешения, как UNIX, но также имеет ряд специальных атрибутов, таких, как полный доступ и изменять. Полный доступ - разрешение позволяет личности изменить все разрешения, включая изменение разрешения для других. Это часто не желаемого эффекта, поэтому в тех случаях, когда пользователю требуется только читать, писать и выполнять доступ, полный доступ не должен быть включен. На изменить атрибут позволяет пользователю вносить изменения в файл уже существует, но не создавать новые файлы или папки.

Доступ политики могут представлять полезную техническую информацию для пользователей и обеспечения безопасности населения. Отмечая технические детали механизмов контроля доступа для операционных систем, используемых выгодно потому, что случайных пользователь зачастую не знают об их существовании или их использования. Выявление контактов и процедуры для вопросов, контроль доступа используется, чтобы помочь пользователю научиться использовать и безопасной настройки