ВУЗ:
98
- Они очень дороги.
- Устройства BAC несовершенны.
- Защиту устройства ВАС легко обойти. В этом плане самый легкий путь –
замаскироваться под респектабельного хорошо одетого посетителя, подходяще-
го к двери с тяжелым пакетом в час пик, когда многие служащие проходят ми-
мо. Большинство легальных пользователей придержат дверь перед незваным
гостем. Можно бороться
с такими злоумышленниками, используя вращающие-
ся двери, которые пропускают людей по одному, однако вращающиеся двери не
позволяют применять ручные тележки, кресла на колесах и т.п. Другой доволь-
но легкий путь обмануть любое устройство – засунуть жевательную резинку в
устройство, отойти на несколько минут, а затем вернуться. Кто-то из входящих
обнаружит
проблему, вызовет помощь и дверь будет открыта, пока организация
не дождется прихода ремонтника и чистки недремлющего ока. Бороться с этой
хитростью можно с помощью нескольких скрытых камер, расположенных око-
ло двери, которые зафиксируют момент, когда злоумышленник засовывает ре-
зинку в устройство.
8.1.3. Основные принципы управления парольным доступом
Обязанности руководителя службы
безопасности
Пароли в устанавливаемой системе
Многие сети устанавливаются с несколькими стандартными идентифика-
торами пользователя, заранее включенными в системный список. Изменяйте
пароли (или создавайте пароли, если их еще нет) для всех стандартных иденти-
фикаторов пользователя до того, как разрешите большинству пользователей
доступ к системе.
Допуск на изменение пароля
Изредка
пользователь забывает пароль или вдруг возникает подозрение,
что произошла утечка пароля пользователя. Во избежание этих проблем необ-
ходимо разрешить администратору сети изменить пароль любого пользователя
путем генерации нового пароля. Администратор сети не должен знать пароль
пользователя для генерации нового пароля, но он должен следовать тем же пра-
вилам для распространения нового
пароля, что применяются при назначении
исходного пароля. Администратор сети, несомненно, должен идентифициро-
вать пользователя, когда нужно изменить забытый пароль.
Идентификаторы групп
На весь срок существования сети каждый идентификатор пользователя
должен быть назначен только одному человеку. Иными словами, два человека
не могут иметь один и тот же идентификатор пользователя в
одно и то же (и
даже в разное) время. Вы должны расценивать как нарушение безопасности тот
факт, что два или более пользователей знают пароль для определенного иден-
тификатора пользователя (за исключением случая, когда этим вторым челове-
ком является администратор сети, и идентификатор пользователя идентифици-
руется системой как пароль, утративший силу). Здесь
не запрещаются альтерна-
тивные формы идентификации пользователя (например, идентификатором
Страницы
- « первая
- ‹ предыдущая
- …
- 96
- 97
- 98
- 99
- 100
- …
- следующая ›
- последняя »
