Руководство по выработке правил разграничения доступа к ЭВМ



         

Национальный центр компьютерной безопасности


Все публикации NCSC, разрешенные для опубликования доступны через суперинтенданта NCSC по документам.

NCSC = National Computer Security Center 9800 Savage Road Ft Meade, MD 20755-6000

CSC = Computer Security Center: более старое имя NCSC

NTISS = National Telecommunications and Information Systems Security NTISS Committee, National Security Agency Ft Meade, MD 20755-6000

[CSC]

Department of Defense, "Password Management Guideline", CSC-STD-002-85, 12 April 1985, 31 pages.

Безопасность, обеспечиваемая парольными системами, зависит от сохранения все время паролей в секрете. Поэтому, пароль уязвим к компрометации, когда бы он ни использовался или хранился. В механизме аутентификации на основе паролей, реализованном в АС, пароли уязвимы к компрометации из-за 5 важных аспектов парольной системы:1)пароль должен назначаться пользователю перед началом его работы в АС;2)пароль пользователя должен периодически меняться;3)АС должна поддерживать базу данных паролей;4)пользователи должны помнить свои пароли;5) пользователи должны вводить свои пароли в АС при аутентификации. Это руководство описывает шаги по минимизации уязвимости паролей в каждом из случаев.

[NCSC1]

NCSC, "A Guide to Understanding AUDIT in Trusted Systems", NCSC-TG-001, Version-2, 1 June 1988, 25 pages.

Контрольные журналы используются для обнаружения втоpжения в компьютеpную систему и выявления непpавильного использования ее pесуpсов. По желанию аудитоpа контpольные жуpналы могут пpотоколиpовать только опpеделенные события или всю pаботу в системе. Хотя это и не тpебуется кpитеpием, механизм аудиpования должен иметь возможность котpоля как за объектом, так и за субъектом. То есть, он должен наблюдать как за тем, когда Джон входит в систему, так и за тем, как осуществляется доступ к файлу о ядеpном pеактоpе; и аналогично, за тем, когда Джон обpащается к ядеpному pеактоpу.

[NCSC2]

NCSC, "A Guide to Understanding DISCRETIONARY ACCESS CONTROL in Trusted Systems", NCSC-TG-003, Version-1, 30 September 1987, 29 pages.




Содержание  Назад  Вперед