ВУЗ:
101
да в систему. Пользователь не должен иметь возможности обойти эту процеду-
ру.
Контрольные журналы
Система должна создать контрольный журнал применения и изменения
паролей. Такой журнал не должен содержать действительных паролей или
строк символов, представляющих неправильные варианты паролей, поскольку
эта информация может выдать пароль законного пользователя, который ввел с
ошибкой
свой идентификатор пользователя или пароль. В контрольный журнал
попадают следующие события: успешный вход в систему, неуспешные попытки
входа в систему, использование процедуры изменения паролей и блокирование
идентификатора пользователя до конца срока действия его пароля. Каждое со-
бытие фиксируется с указанием даты и времени события, типа события, иден-
тификатора пользователя для
неуспешных входов в систему или
действительного идентификатора пользователя для других событий и
источника события (терминал или идентификатор порта доступа). Записи
контрольного журнала изменений пароля должны указывать, успешны ли
изменения.
Оперативное уведомление обслуживающего персонала системы
При нескольких последовательных неудачных попытках входа в систему
с одного порта доступа или с одним идентификатором
пользователя должно
посылаться немедленное уведомление оператору или администратору сети.
При успешном входе в систему пользователь должен быть уведомлен о
следующем.
- Дате и времени последнего входа в систему пользователя.
- Расположении пользователя (определенном как можно точнее) при послед-
нем входе в систему.
- Каждой неудачной попытке входа в систему, сделанной с
идентификатором
пользователя, после последнего успешного входа в систему. Taкoe уведомление
помогает пользователю определить, использовал или пытался кто-то угадать
этот идентификатор пользователя или пароль.
8.1.5. Резюме
Схема парольной защиты может не сработать, если пользователи, боясь
забыть свои пароли, запишут их на столе или на компьютере, поместят записи в
выдвижной ящик стола
, используют в качестве паролей свои инициалы или да-
ту рождения или поместят их на доске объявлений.
Но утечка пароля – это не всегда ошибка пользователя. Существуют как
подпольные, так и коммерческие утилиты для нарушения парольной защиты.
Как ответственный за сохранность информации в организации, вы можете
усилить защиту, усовершенствовав систему идентификации
и аутентификации
пользователей.
Начните с физической защиты сервера. Закройте сервер в отдельной ком-
нате и убедитесь в том, что являетесь единственным обладателем ключа.
Просматривайте систему при поиске резидентных программ или троян-
ских коней, предназначенных для перехвата паролей. Независимо от того, уда-
Страницы
- « первая
- ‹ предыдущая
- …
- 99
- 100
- 101
- 102
- 103
- …
- следующая ›
- последняя »
