2017 yil iyul kirish eks xavfsizlik nazoratlari 4

Nodavlat shaxslarni identifikatsiya qilish va avtorizatsiya qilish

bet	37/75
Sana	22.12.2022
Hajmi	189.91 Kb.
	#1041454

1 ... 33 34 35 36 37 38 39 40 ... 75

Bog'liq
PortalAdmin Uploads Content FastAccess 84ee238865815 (1)

Qoshimcha boshqaruv/alternativ boshqaruv
Boshqaruv

Nodavlat shaxslarni identifikatsiya qilish va avtorizatsiya qilish

Boshqaruv

Axborot tizimi tashqi foydalanuvchilarni (yoki tashqi foydalanuvchilar nomidan ishlaydigan jarayonlarni) yagona aniqlashi va tasdiqlashi kerak.

Qo'llash bo'yicha qo'llanma

Korxona bo'lmagan foydalanuvchilarga tashkilotdagi axborot tizimidan foydalanish va undan foydalanish huquqiga ega bo'lganlardan tashqari, korxona bo'lmagan axborot tizimi foydalanuvchilari kiradi. Ushbu shaxslar tashkilot tomonidan aniq belgilab qo'yilgan va hujjatlashtirilganidan tashqari kirish uchun noyob identifikatsiyaga ega va autentifikatsiya qilinadi. Taʼkidlash joizki, “Elektron hukumat” tashabbusiga koʻra, yuqori milliy taʼsirga ega boʻlgan axborot tizimlariga kirishda tadbirkor boʻlmagan foydalanuvchilarning autentifikatsiyasi davlat, mulk yoki shaxsiy daxlsizlik bilan bogʻliq maʼlumotlarni himoya qilish uchun talab qilinishi mumkin.
Tashkilot autentifikatsiya ehtiyojlarini aniqlash uchun xavflarni baholashdan foydalanadi va foydalanish qulayligi va milliy axborot va axborot tizimlariga kirish xavfini himoya qilish va etarli darajada kamaytirish zarurati bilan muvozanatlash uchun miqyoslilik, amaliylik va xavfsizlikni hisobga oladi.

Qo'shimcha boshqaruv/alternativ boshqaruv

Ma'lumotnomalar/Xavf haqida ma'lumot

NIST SP-800-53 AC-2, AC-14, AC-17, IA-2, IA-4, IA-5, IA-8, MA-4, RA-3, SA-12, SC-8
FIPS nashri 201
NIST SP 800-63, 800-116

Parolni tekshirish

Boshqaruv

EKS uchun maxsus parollar bilan bog'liq muammolardan biri shundaki , foydalanuvchi parolni eslab qolish va kiritish qobiliyatiga hozirgi stress ta'sir qilishi mumkin. Katta inqiroz paytida, jarayonni boshqarish uchun inson aralashuvi muhim bo'lsa, operator vahima qo'zg'atishi va parolni eslab qolish yoki kiritishda qiynalishi, hodisaga to'liq javob berishni kechiktirishi yoki kechiktirishi mumkin. Agar parol noto'g'ri kiritilgan bo'lsa va tizim parolni noto'g'ri kiritishga ruxsat bermasa, vakolatli xodim ushbu hisobni qayta tiklamaguncha operator hisobi doimiy ravishda yopilishi mumkin. Biometrik identifikatorlar ham shunga o'xshash kamchiliklarga ega bo'lishi mumkin. Tashkilot o'zining xavfsizlik ehtiyojlarini va ushbu muhim tizimlarda autentifikatsiya mexanizmlaridan foydalanishning mumkin bo'lgan oqibatlarini diqqat bilan ko'rib chiqishi kerak.
EKS uni qo'llab-quvvatlamagan hollarda yoki EKSda autentifikatsiya mexanizmini amalga oshirish tavsiya etilmasa (ishlash, xavfsizlik, ishonchlilikni buzish va boshqalar), tashkilot jiddiy jismoniy xavfsizlik tekshiruvlari kabi kompensatsion nazoratdan foydalanadi. EKS uchun xavfsizlik qobiliyati yoki himoyasining ekvivalent darajasini ta'minlash ( masalan , vakolatli foydalanuvchilar uchun boshqaruv markaziga kalit kartadan kirish). Ushbu nazorat , shuningdek, EKS'larda sessiya blokirovkasi va sessiyani tugatishdan foydalanish uchun ham amal qiladi .
EKS muhitida login paroli autentifikatsiyasiga asoslangan siyosatlarni qo'llashda alohida e'tibor berilishi kerak. Mashina autentifikatsiyasiga (ID) asoslangan istisnolar roʻyxati boʻlmasa, bu tizim ishiga salbiy taʼsir koʻrsatishi mumkin boʻlgan operator boʻlmagan tizimga kirish, avtomatik tizimdan chiqish vaqti va administrator parolini oʻzgartirish kabi siyosatlarning bostirilishiga olib kelishi mumkin. Ba'zi EKS operatsion tizimlari parollarni himoya qilishni qiyinlashtiradi, chunki parol hajmi juda kichik va tizim har bir kirish darajasida alohida parollar emas, faqat guruh parollarini chiqaradi. Ba'zi sanoat protokollari (va Internet protokollari) parollarni oddiy matnda yuboradi, bu ularni xakerlik hujumiga qarshi himoyasiz qiladi. Ushbu amaliyotdan qochish mumkin bo'lmagan hollarda, foydalanuvchilarning shifrlangan va shifrlanmagan protokollar bilan ishlatish uchun turli (va bog'liq bo'lmagan) parollarga ega bo'lishi muhimdir. Quyida parollardan foydalanish bo'yicha umumiy tavsiyalar keltirilgan:

Parollarning uzunligi, qiyinligi va murakkabligi, tizim xavfsizligi va foydalanish qulayligi dasturiy ta'minot va u ishlaydigan operatsion tizim xususiyatlariga nisbatan muvozanatli bo'lishi kerak.
Parollar xavfsizlikning talab qilinadigan darajasi uchun mos uzunlik va murakkablikka ega bo'lishi kerak. Xususan, lug'atda topiladigan iboralar bashorat qilinadigan raqamlar yoki harflar qatoridan iborat bo'lmasligi kerak.
muhim jarayonlarda boshqaruv konsollari kabi operator interfeysi qurilmalarida ehtiyotkorlik bilan ishlatilishi kerak . Ushbu konsollarda parollardan foydalanish muhim voqealar paytida, operatorlar bloklangan yoki kechiktirilganda xavfsizlik muammolarini keltirib chiqarishi mumkin. Parol bilan himoya qilish mumkin bo'lmaganda, jismoniy xavfsizlik operator boshqaruv konsollarini to'ldirishi kerak.
Asosiy parollarni saqlash uchun mas'ul bo'lgan xodimlar favqulodda holatlarda mavjud va ishonchli bo'lishi kerak. Asosiy parollarning barcha nusxalari cheklangan kirish imkoniyati bo'lgan juda xavfsiz joyda saqlanishi kerak.
Imtiyozli foydalanuvchilar (tarmoq texniklari, elektr yoki elektronika bo'yicha texnik va boshqaruv, tarmoq dizaynerlari/operatorlari kabi) eng yuqori darajadagi xavfsizlik parollariga ega bo'lishi va tez-tez o'zgartirilishi kerak. Asosiy parollarni o'zgartirish vakolati faqat ishonchli xodimlarga berilishi kerak. Ayniqsa, asosiy parollar uchun parolni tekshirish jurnali boshqaruv tizimidan alohida yuritilishi kerak.
Interferentsiya yoki hujum xavfi yuqori bo'lgan muhitlarda (masalan, jismoniy xavfsizlikni boshqarish vositalariga ega bo'lmagan ob'ektdagi masofaviy operator interfeyslari) tashkilotlar parol autentifikatsiyasini boshqa autentifikatsiya shakllari bilan to'ldirishni ko'rib chiqishlari kerak, masalan, jismoniy tokenlar yoki biometriklar yordamida ko'p faktorli autentifikatsiya .
Foydalanuvchi autentifikatsiyasi uchun parollardan foydalanish keng tarqalgan va to'g'ridan-to'g'ri mahalliy qurilma yoki kompyuterga kirgan foydalanuvchilar uchun maqbuldir. Parollar FIPS tomonidan tasdiqlangan shifrlash yoki takroriy hujumlarning oldini olish uchun maxsus ishlab chiqilgan tuzli shifrlash xesh bilan himoyalanmagan bo'lsa, hech qanday tarmoq orqali yuborilmasligi kerak. Parolni kiritish uchun foydalaniladigan qurilma tarmoqqa xavfsiz ulangan deb hisoblanadi.
Tarmoqni autentifikatsiya qilish uchun parollar oddiy matnda uzatilmasligi kerak. So'rov/javob yoki ochiq kalit autentifikatsiyasi kabi xavfsizroq alternativalar mavjud.