Главная: Рефераты

Рефераты. Интеллектуальные компьютерные технологии защиты информации

изменять устанавливаемые по умолчанию пароли при использовании нового идентификатора пользователя в первый раз;

перед заменой пароля проверить установки клавиш, таких как Caps Lock и Shift Lock, для того что бы обеспечить правильность знаков;

использовать простые (т.е. легко запоминаемые) пароли, такие как слова с произвольными орфографическими ошибками;

включить в состав пароля не менее одного знака, который не является буквой;

использовать некоторую форму триггера памяти для облегчения вызова пароля;

периодически менять свой пароль, предпочтительно не реже одного раза в месяц;

заменить пароль, если есть подозрения в его компрометации.

Не выбирать пароль, который:

вероятно может быть найден в словаре (особенно слова, ассоциирующиеся с безопасностью, такие как «система», «секрет», «пароль» и т.п.);

является обычным именем;

имеет ассоциацию с предыдущим паролем (например, имеет в своем составе наименование или обозначение месяца, если пароль меняется ежемесячно);

имеет явную ассоциацию с его владельцем (например, номер автомобиля, имя ребенка, название дома, инициалы и т.п.);

состоит из одной повторяющейся буквы;

Запрещается:

использовать пароль в скрипте входа в систему или макросе;

пересылать пароли по электронной почте;

устанавливать идентификатор пользователя без пароля или с паролем, состоящим из символов пробела;

Администраторы сетей и системные администраторы должны:

идентифицировать и менять устанавливаемые по умолчанию пароли, когда система запускается в эксплуатацию;

менять или удалять соответствующие идентификаторы пользователей и/или пароли при перемещении персонала;

блокировать соответствующие идентификаторы пользователей в случае отсутствия сотрудника в течение длительного времени;

обеспечить подходящую конфигурацию программного обеспечения управления паролями;

При выборе системного программного обеспечения отдавать предпочтение тем, чей механизм контроля паролей:

позволяет использовать в паролях как буквы, так и числа;

требует подтверждения новых паролей (например двойного ввода), чтобы избежать риска неправильного набора;

вынуждает менять пароль спустя определенное время;

не позволяет повторного использования паролей (для одного и того же идентификатора пользователя);

отключает идентификатор пользователя, если пароль неправильно вводится несколько раз (обычно три раза) подряд;

не выводит на дисплей пароли при их вводе;

требует, чтобы пароли имели не менее шести знаков;

хранит пароли в зашифрованном виде;

защищает таблицу или файл паролей системы от несанкционированного доступа;

предоставляет средство сброса паролей в случае, когда их забывают, и обеспечивает наблюдение за этим процессом;

Там, где проблемы безопасности особенно важны, рассмотреть возможность:

использования устройства для генерации нового пароля при каждой необходимости доступа в систему или сеть;

совместного использования пароля с интеллектуальной карточкой;

ограничения доступа к идентификаторам пользователей обычными часами работы соответствую щих сотрудников.

3.3.3 Обязательные правила

Пароли должны включать в себя не менее шести знаков; их необходимо держать в секрете (посредством таких мер, как регулярная замена, исключение общих слов и т.п.). Никому не сообщайте свой пароль без явного разрешения руководителя подразделения.

По окончании времени использования информационной системы или при оставлении своего терминала или ПК без присмотра соблюдайте формальные процедуры выхода из работы.

3.4 Управление идентификаторами привилегированных пользователей

Компьютерные системы, от PC LAN до мейнфреймов, обычно различают пользователей посредством User-ID (идентификаторов пользователей). Данный раздел посвящен особым «идентификаторам привилегированных пользователей», дающих привилегированным пользователям право как устанавливать систему, так и впоследствии сопровождать ее. Например, такой ID используется для предоставления или аннулирования доступа в систему или к ее данным, прогонять резервные копии и осуществлять восстановление. Идентификатор привилегированного пользователя по своей природе должен предоставлять возможность доступа последнего ко всем программам и данным в системе, несмотря на их принадлежность и обычные ограничения в области безопасности.

Как следствие, этот очень нужный ID несет риск безопасности в своем праве, если его использование тщательно не контролируется и не отслеживается. Компьютер не может сказать, кто в самом деле пользуется в настоящий момент идентификатором - любой, кто говорит, что он привилегированный пользователь, и знает нужный пароль, и есть привилегированный пользователь. Несанкционированный доступ под идентификатором привилегированного пользователя может быть использован для модификации любых журналов мониторинга, таким образом уничтожая любые улики.

Дополнительная угроза заключается в том, что в аварийной ситуации может понадобиться использование идентификатора привилегированного пользователя для корректировки некоторых ошибок глубоко в системе. Такое использование может осуществить кто-либо другой, а не сам системный администратор, тем самым расширяются возможности несанкционированного использования прав привилегированного пользователя.

3.4.1 Потенциальные угрозы

Потеря конфиденциальности вследствие:

несанкционированного использования идентификатора привилегированного пользователя для получения доступа к уязвимым данным;

несанкционированного использования идентификатора привилегированного пользователя для изменения или снятия ограничений в отношении защиты и безопасности.

Потеря целостности вследствие:

санкционированного, но некомпетентного использования идентификатора привилегированного пользователя для внесения изменений в программное обеспечение и/или данные;

несанкционированного использования идентификатора привилегированного пользователя для внесения изменений в программное обеспечение и/или данные.

Потеря доступности вследствие:

*несанкционированного или некомпетентного использования идентификатора привилегированного пользователя, что привело к порче или удалению ключевого программного обеспечения и данных.

3.4.2 Пути снижения рисков

соблюдать особые меры предосторожности в отношении защиты идентификаторов привилегированных пользователей (см. параграф - управление паролями);

обязательно отключиться от идентификатора привилегированного пользователя по завершении выполнения задания, требующего его использования, а также при оставлении терминала или ПК без присмотра;

предоставлять доступ к идентификаторам привилегированных пользователей только специально подготовленным сотрудникам и только для определенного набора заданий;

регистрировать и отслеживать случаи фактического использования идентификаторов привилегированных пользователей и попытки их использования;

использовать все имеющиеся в системе средства, такие как контрольные журналы, для регистрации действий с применением идентификаторов привилегированных пользователей;

поддерживать тщательный контроль, преимущественно на уровне руководства, за всеми паролями привилегированных пользователей, предназначенными для использования в аварийной ситуации. Немедленно заменить их после использования; использовать идентификаторы привилегированных пользователей для выполнения только тех задач, которые специально требуют их применения (т.е. не использовать их, если задание может быть выполнено с применением идентификаторов обычных пользователей и обычных процедур); присваивать идентификаторам привилегированных пользователей непритязательные имена (без указания на привилегии);

там, где возможно (например, с операционной системой UNIX), идентификаторы привилегированных пользователей самого высокого уровня должны быть доступны только при первоначальном подключении к идентификатору обычного пользователя, тем самым обеспечивая некоторую степень ответственности. Для некоторых заданий, требующих высокого уровня привилегий, может оказаться возможным ограничить их до «консольного» терминала, который может быть защищен физически.

3.4.3 Обязательные правила

Обязательные правила, в основном, касаются использования паролей и аналогичны изложенным в пункте 3.3.3.

3.5 Планирование мероприятий по обеспечению логической безопасности

Логическая безопасность - это нефизические(как правило, программные) средства контроля доступа в систему. Используются для защиты уязвимой информации и программных средств.

Большинство компьютерных систем, используемых в организации, имеют механизм обеспечения безопасности, который может использоваться для создания соответствующей структуры контроля с целью защиты системы. Для ПК стандартная операционная система которых не обеспечивает такого механизма, имеются пакеты, которые могут выполнять эту функцию.

Хорошо спланированные мероприятия по обеспечению логической безопасности наряду с физической безопасностью повышают защиту компьютерных систем и содержащихся в них данных от несанкционированного доступа и/или вмешательства.

3.5.1 Потенциальные угрозы

Потеря конфиденциальности вследствие:

*несанкционированного доступа к уязвимой информации.

Потеря целостности вследствие:

несанкционированного или неконтролируемого внесения изменений в программное обеспечение и/или данные, содержащиеся в системе;

отсутствия разграничения в отношении кто и что может изменять в системе.

Потеря доступности вследствие:

*искажения или удаления (случайного или намеренного) программного обеспечения и/или данных в системе не имеющими прав пользователями.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.