Безопасность регистрации
Приглашенные и прочие пользователи
Необходимо назначить имена для приглашенных пользователей и прочих, таких как подрядчики и обслуживающий персонал, чтобы они тоже могли получить доступ в сеть. Несмотря на то, что они обслуживают организацию, они все равно являются аутсайдерами. В правила назначения пользовательских имен для этих сторонних пользователей можно включить предписание, с которыми пользователи должны ознакомиться и следовать им. Также нужно включить в правила требования контроля, предназначенные для поручителя этих аутсайдеров.
Одно общее требование правил заключается в определении условий присваивания пользовательских имен приглашенным пользователям. Одно простое требование, общее для всех правил, в разработке которых приходилось участвовать автору книги, заключается в разрешении поручителю организации запрашивать доступ к администратору. Поручитель и администратор будут вместе отвечать за обследование объекта и его соответствие установленным правилам. Проведение такой политики делает процесс обследования объекта более коротким, чем тогда, когда в правилах записано, что для осуществления обследования требуется создание специальной комиссии. Это намного выгодней потому, что для обслуживающего персонала требуется срочный доступ к системе.
Если принято решение использовать эти рекомендации, то можно записать в правила набор формулировок следующего характера.
Приглашенные пользователи и прочие пользователи, не являющиеся сотрудниками организации, получают доступ к сети и ее ресурсам у поручителя организации и назначенного системного или сетевого администратора. Администратор разрабатывает процедуры для предоставления, отмены и пересмотра права доступа приглашенным пользователям и прочим пользователям, не являющимся сотрудниками организации.
Поручитель предоставляет пользователям право доступа к правилам безопасности организации и процедурам и разъясняет им, что они обязаны соблюдать эти правила. Поручитель и администратор отвечают за контроль соблюдения правил приглашенными пользователями.
Пользовательские имена должны присваиваться приглашенным пользователям только на то время, пока им необходим доступ в систему. Имена пользователей должны быть аннулированы, как только доступ им станет ненужным.
Регистрационные баннеры
После назначения имен пользователей в правила безопасности можно включить условия и инструкции для регистрации и аутентификации пользователей. Во-первых, в рабочих инструкциях полезно иметь регистрационные баннеры. Регистрационные баннеры представляют собой важнейшую часть информации, которая сопровождает на экране появление предложения зарегистрироваться. Баннеры могут содержать информацию о системе, включая тип операционной системы, или информацию о компании. Независимо от того, какая информация содержится в баннере, кто-нибудь, желающий взломать систему, может использовать эти сведения. Информация о типе операционной среды может помочь квакеру найти уязвимые места в системе. Если система или сеть является внутренней или для организации это не имеет значения, то нет и необходимости регламентировать правилами использование регистрационных баннеров. В противном случае формулировка правил может быть следующей.
Все регистрационные экранные сообщения, отображения данных и другие экранные формы, появляющиеся во время регистрации или аутентификации и сопровождаемые баннерами, не должны содержать никакой информации об операционной среде.
Баннеры существуют не только для регистрации
Тем, кто разрабатывает правила применения регистрационных баннеров, важно помнить, что баннеры применяются не только при регистрации. Солидный баннер может быть строкой приветствия при отправлении электронной почты с помощью протокола SMTP (Simple Mail Transfer Protocol – упрощенный протокол электронной почты). Большинство программ, отвечающих на запросы SMTP, выводят регистрационные баннеры, которые идентифицирует систему и даже версию используемого программного обеспечения. Хакер может использовать эту информацию, чтобы найти способ "протестировать" конфигурацию на предмет уязвимых мест. Несмотря на то, что какая-нибудь рабочая программа может быть предметом вашей гордости (особенно та, которая упаковала и отправила электронную почту), все-таки лучше ее спрятать от широкой публики.
Одним из видов информации, который можно включить в регистрационный баннер, является сообщение о том, кто может использовать систему. Это простые неразглашаемые формулировки о том, кому' разрешено пользоваться системой. Они могут варьироваться от полноэкранных формулировок до простой одиночной строки, наподобие следующей.
Использование этой системы разрешено при условии соблюдения правил и методик компании.
Если одно из нечасто выполняемых действий выходит за рамки предписаний, то будет нелишне отразить это соответствующим пунктом правил. Обязательно нужно рассмотреть, желательно с привлечением юриста, возможные изменения существующих правил. Таким образом, мы можем модернизировать предыдущую формулировку правил, включив в нее предписание о неразглашении:
Баннеры, которые выводятся на экран при регистрации и аутентификации, должны содержать следующее сообщение: "Использование этой системы разрешено при условии соблюдения правил и методик компании."