Корпоративные информационные системы. Самардак А.С. - 178 стр.

UptoLike

ВУЗ: 

ДВФУ | Владивосток

Составители: 

Рубрика: 

178
178
ется максимальное упрощение. Все ненужные сервисы, файлы, устройства
должны быть удалены. Число пользователей, имеющих прямой доступ к сер-
веру, должно быть сведено к минимуму, а их привилегии - упорядочены в
соответствии со служебными обязанностями.
Еще один общий принцип состоит в том, чтобы минимизировать объем
информации о сервере, которую могут получить пользователи. Многие сер-
веры в случае обращения по имени каталога и отсутствия файла index.HTML
в нем, выдают HTML-вариант оглавления каталога. В этом оглавлении могут
встретиться имена файлов с исходными текстами CGI-процедур или с иной
конфиденциальной информацией. Такого родадополнительные возможно-
стицелесообразно отключать, поскольку лишнее знание (злоумышленника)
умножает печали (владельца сервера).
§ 3.4.7. Аутентификация в открытых сетях
Методы, применяемые в открытых сетях для подтверждения и провер-
ки подлинности субъектов, должны быть устойчивы к пассивному и актив-
ному прослушиванию сети. Суть их сводится к следующему.
* Субъект демонстрирует знание секретного ключа, при этом ключ ли-
бо вообще не передается по сети, либо передается в зашифрованном виде.
* Субъект демонстрирует обладание программным или аппаратным
средством генерации одноразовых паролей или средством, работающим в
режимезапрос-ответ”. Нетрудно заметить, что перехват и последующее
воспроизведение одноразового пароля или ответа на запрос ничего не дает
злоумышленнику.
* Субъект демонстрирует подлинность своего местоположения, при
этом используется система навигационных спутников.
§ 3.4.8. Простота и однородность архитектуры
Важнейшим аспектом информационной безопасности является управ-
ляемость системы. Управляемость - это и поддержание высокой доступности 
                                   178

ется максимальное упрощение. Все ненужные сервисы, файлы, устройства
должны быть удалены. Число пользователей, имеющих прямой доступ к сер-
веру, должно быть сведено к минимуму, а их привилегии - упорядочены в
соответствии со служебными обязанностями.
     Еще один общий принцип состоит в том, чтобы минимизировать объем
информации о сервере, которую могут получить пользователи. Многие сер-
веры в случае обращения по имени каталога и отсутствия файла index.HTML
в нем, выдают HTML-вариант оглавления каталога. В этом оглавлении могут
встретиться имена файлов с исходными текстами CGI-процедур или с иной
конфиденциальной информацией. Такого рода “дополнительные возможно-
сти” целесообразно отключать, поскольку лишнее знание (злоумышленника)
умножает печали (владельца сервера).


                § 3.4.7. Аутентификация в открытых сетях
     Методы, применяемые в открытых сетях для подтверждения и провер-
ки подлинности субъектов, должны быть устойчивы к пассивному и актив-
ному прослушиванию сети. Суть их сводится к следующему.
     * Субъект демонстрирует знание секретного ключа, при этом ключ ли-
бо вообще не передается по сети, либо передается в зашифрованном виде.
     * Субъект демонстрирует обладание программным или аппаратным
средством генерации одноразовых паролей или средством, работающим в
режиме “запрос-ответ”. Нетрудно заметить, что перехват и последующее
воспроизведение одноразового пароля или ответа на запрос ничего не дает
злоумышленнику.
     * Субъект демонстрирует подлинность своего местоположения, при
этом используется система навигационных спутников.


              § 3.4.8. Простота и однородность архитектуры
     Важнейшим аспектом информационной безопасности является управ-
ляемость системы. Управляемость - это и поддержание высокой доступности

                                                                         178

Страницы