комбінації на основі криптографії, які можуть дозволити реалізувати дану форму аутентифікації, але поточні стратегії використовують криптографію для обробки кожного біта даних. Інакше незахищені частини потоку даних можуть показатися підозрілими.
5.1 Загальні політики аутентифікації в Інтернеті
Хоча паролі легко скомпрометувати, організація може порахувати, що загроза маловірогідна, що відновлення після інциденту буде нескладним і що інцидент не торкнеться критичних систем (на яких можуть бути інші механізми захисту) .
Низький ризик
Потрібна аутентифікація для доступу до систем організації з Інтернету. Мінімальним стандартом для аутентифікації є використання паролів.
Середній ризик
Доступ до інформації класу ХХХ і її обробка з Інтернету (при її несанкціонованій модифікації, розкритті або знищенні має місце невеликий збиток) вимагає використання паролів, а доступ до решти всіх видів ресурсів вимагає використання стійкої аутентифікації.
Доступ в режимі telnet до корпоративних ресурсів з Інтернету вимагає використання стійкої аутентифікації.
Високий ризик
Доступ з Інтернету до всіх систем за брандмауером вимагає використання стійкої аутентифікації. Доступ до інформації ХХХ і її обробка (при порушенні її безпеки організація понесе великий збиток) вимагає використання постійної аутентифікації.
Політика адміністрування паролів
Нижче приведені загальні правила роботи з паролями, корисні для використання в Інтернеті:
Ідентифікатори користувачів і їх паролі повинні бути унікальними для кожного користувача.
Паролі повинні складатися як мінімум з 6 символів (не повинні бути іменами або відомими фразами). Повинне проводитися періодичне тестування спеціальними програмами на предмет виявлення вгадуваних паролів (у цих програмах повинен бути набір правив по генерації вгадуваних паролів) .
Паролі повинні триматися в таємниці, тобто не повинні повідомлятися іншим людям, не повинні вставлятися в тексти програм, і не повинні записуватися на папір.
Паролі повинні мінятися кожен 90 днів(мул через інший період). Більшість систем можуть змусити примусово поміняти пароль через певний час і запобігти використанню того ж самого або вгадуваного пароля.
Бюджети користувачів повинні бути заморожені після 3 невдалих спроб входу в систему. Всі випадки невірно введених паролів повинні бути записані в системний журнал, щоб потім можна було зробити дії.
Для відновлення сеансу повинне бути знову потрібним введення пароля.
Бюджети користувачів повинні блокуватися після певного часу невикористання.
Для систем з високим рівнем риски:
Після деякого числа спроб НСД система повинна подавати сигнал тривоги і при нагоді імітувати сеанс (видавати помилкові повідомлення сервера) для користувача, який робить ці спроби (щоб він залишався підключеним до системи
поки адміністратор безпеки намагається з'ясувати його місцеположення))
Політика для стійкої аутентифікації
Якщо ви вирішили використовувати стійку аутентифікацію, то вам потрібно розуміти за рахунок чого досягається безпека і враховувати витрати на навчання користувачів і додаткове адміністрування. Користувачі будуть набагато більш грамотно використовувати засоби аутентифікації, якщо вони відповідним чином навчені, як їх використовувати і їм пояснено, чому потрібно застосовувати саме їх.
Існує багато технологій для реалізації стійкої аутентифікації, включаючи генератори динамічних паролів, системи запит-відповідь на основі криптографії і
смарт-карт, а також цифрові підписи і сертифікати. При використанні електронних підписів і сертифікатів виникають нові питання - які вимоги забезпечення безпеки для сертифікатів?
Користувачі стійкої аутентифікації повинні прослуховувати курси перед початком застосуваннями ними цього методу аутентифікації.
Співробітники відповідають за безпечне використання і зберігання всіх пристроїв аутентифікації, що належать організації. Смарт-карты не повинні зберігатися разом з комп'ютером, використовуваним для доступу доступу до комп'ютерів організації. При втраті або крадіжці смарт-карты про той, що трапився треба негайно повідомити службу безпеці, щоб можна було заблокувати його використання.
Електронні підписи і сертифікати
Якщо для аутентифікації повинні використовуватися електронні підписи, то потрібне використання сертифікатів. Сертифікати зазвичай складаються з якоїсь інформації і електронного підпису інформаційної частини сертифікату, виданої довіреною особою. Сертифікати видаються відповідальною особою у вашій організації або зовнішньою довіреною організацією. В рамках Інтернету з'явилося декілька комерційних інфраструктур для розповсюдження сертифікатів електронних підписів(PKI). Користувачі можуть отримати сертифікати різних рівнів.
Приклади різних інфраструктур розповсюдження сертифікатів
· За допомогою сертифікатів 1 рівня перевіряють істинність адрес електронної пошти. Це робиться за допомогою персонального інформаційного номера, який користувач повинен повідомити при своїй реєстрації в системі сертифікатів. Сертифікати цього рівня можуть також містити ім'я користувача, а також адресу електронної пошти, але ідентифікаційна інформація в сертифікаті може не бути унікальною.
· Сертифікати 3 рівні використовуються усередині організацій. У їх склад входить фотографія співробітника крім іншої інформації, що міститься в сертифікаті 2 рівні.
Після отримання сертифікату він може бути завантажений в програму електронної пошти або веб-сервер-браузер, в якому він використовуватиметься для посвідчення особи користувача при запиті веб-сайту або при іншій ситуації. Для ефективного використання таких систем потрібні довірені сертифікаційні центри, інакше можуть з'явитися фальшиві сертифікати.
У багатьох сучасних веб-серверах і веб-браузерах є можливості по використанню електронних сертифікатів. SSL - це технологія, використовувана в більшості веб-приложений. SSL версії 2.0 підтримує посилену аутентифікацію на веб-сервері-сервері, а SSL 3.0 додав підтримку аутентифікації клієнта. Після того, як обидві сторони провели взаємну аутентифікацію, всі дані, передавані в ході сеансу шифруються, забезпечуючи захист як від перехоплення даних, так і від вставки даних в сеанс. Електронні сертифікати використовують стандарт X.509, містять в собі інформацію про той, хто видав сертифікат, період його використання, і іншу інформацію.
Але навіть при використанні електронних сертифікатів паролі продовжують грати важливу роль. Оскільки сертифікат зберігається в комп'ютері, він може бути використаний тільки для аутентифікації комп'ютера, а не користувача, якщо тільки користувач не здійснює свою аутентифікацію при використанні комп'ютера. Дуже часто використовуються для цього паролі або ключові фрази, можливо в майбутньому використовуватимуться смарт-карты.
5.2. Контроль за імпортом програм
Дані на комп'ютерах рідко
