Урок по предметам «Информационная безопасность» и «Объектно-ориентированное программирование» Организация парольной защиты на предприятии

Скачать 222.31 Kb.

Название	Урок по предметам «Информационная безопасность» и «Объектно-ориентированное программирование» Организация парольной защиты на предприятии
Дата публикации	15.07.2013
Размер	222.31 Kb.
Тип	Решение

100-bal.ru > Информатика > Решение

Мазур Татьяна Викторовна

преподаватель информационных дисциплин

Краевое государственное бюджетное образовательное учреждение

среднего профессионального образования

Дальневосточный государственный межрегиональный

индустриально-экономический колледж

г. Хабаровск, Хабаровский край
Бинарный урок

по предметам «Информационная безопасность» и

«Объектно-ориентированное программирование»
Организация парольной защиты на предприятии
Цели:

образовательная:

рассмотреть разные политики паролей, применяемые в организациях и выбрать приемлемую для нашей организации;
разработать инструкции по работе с паролем в соответствие с выбранной политикой;
научиться применять средства Windows для работы с паролями и блокировкой учётных записей
применить знание языка и методы программирования для создания вспомогательной программы, помогающей работать с паролями;

воспитательная:

способствовать воспитанию ответственности за работу группы, активной позиции в обучении;

развивающая:

расширение кругозора путём рассмотрения профессиональных ситуаций, решения профессиональных задач,
развитие умения работать в команде.

План занятия

Мотивационный аспект, постановка целей, постановка проблемы (5 минут).
Актуализация знаний (5 минут).
Объяснение нового материала, обсуждение (15 минут).
Выполнение задания в малых группах (15 минут).
Представление результатов своей работы (15 минут).
Постановка задачи программирования, обсуждение алгоритма (10 минут).
Решение задачи (20 минут).
Подведение итогов занятия (5 минут).

Необходимое оборудование и программы: ПК с ОС Windows, среда программирования Delphi, проектор.

Применяемые методы занятия:

беседа;
работа в малых группах;
частично-поисковый метод.

Ход занятия

Ставится вопрос: «Пароль – иллюзия или защита?». Обсуждение. Постановка проблемы: «Что нужно сделать, чтобы пароль был именно защитой, а не её иллюзией?»

Мотивационный аспект

В настоящее время проблема защиты информации в компьютере от несанкционированного доступа приобретает все более серьезное значение, особенно когда информация в компьютерах становится важной для организации. Причем, не стоят на месте ни разработчики систем защиты, ни взломщики. О проникновении в компьютерные системы банков, страховых компаний и даже в закрытые военные сети сегодня можно узнать из регулярных газетных сообщений. Количество компьютерных преступлений, не смотря на принимаемые специалистами меры, отнюдь не уменьшается год от года, а даже напротив - растет. При этом практически во всех вскрытых системах один из применяемых элементов защиты - пароль (а в некоторых он единственный), который многие пользователи и руководители считают непреодолимым препятствием.

Прежде всего, напомним, что защиту информации в компьютерах обязательно следует рассматривать как комплекс мер, включающих организационные, технические, юридические, программные, оперативные, страховые и даже морально-этические меры. Не парадоксально ли, что воровство вещей из квартиры рассматривается как преступление, а воровство информации из компьютера зачастую как показатель высоких интеллектуальных возможностей? И ни какой пароль, как, впрочем, и любая другая система безопасности, не поможет, если каждый пользователь системы лично не заинтересован в соблюдении режима безопасности, не понимает, для чего нужен режим безопасности, и что этот пользователь лично потеряет в случае вскрытия его пароля или любого другого пароля в его организации.

Итак, что такое пароль?

Военные говорят: "пароль - это секретное слово, позволяющее определить кто 'свой', а кто нет". С точки зрения компьютерной безопасности это определение можно немного добавить и расширить: "пароль - это секретный набор различных символов, позволяющий определить законного пользователя и его права на работу в компьютерной системе".

Пароль может применяться для различных целей:

определения "свой - чужой"
подтверждение личности владельца ключевого элемента (например, кредитной или магнитной карточки);
прав работы в системе и допуска к информации;
получения специальных прав на выполнение особо важных операций;
ключ для системы шифрования или электронной подписи и т.д.

Он может быть в виде текстового набора символов, цифрового кода (например, PIN-код при работе с электронными карточками), электронного файла, последовательности определенных действий и т.п.

Но любой, даже самый надежный элемент, не обеспечит защиты, если он один, а не в системе. Значит, и пароль должен быть в системе - в парольной системе, которая является составной частью системы разграничения доступа, а в итоге - в общей системе безопасности.

Парольная система состоит из:

собственно пароля (набор символов),
правил подбора пароля, принятой в организации,
хранения (как в компьютерной системе, так и пользователем),
распространения,
смены,
обеспечения секретности,
проверки на правильность.

Парольная система включает в себя не только программные, но и организационные, юридические, технические вопросы, и, как и вся система безопасности информации, обязательно должна разрабатываться еще на этапе проектирования компьютерной системы

Создание пароля

Вначале пароль надо придумать. И это один из самых важных и сложных вопросов. Какие слова в качестве пароля возьмет обычный пользователь? Скорее всего, те, какие не сразу забываются. Но ведь чем легче пароль для запоминания, тем легче его подобрать!

Способы подбора пароля:

Подбор по словарю - Словари тоже бывают разные.
Слепой подбор всевозможных комбинаций - BruteForce - метод Грубой Силы.
Социальная инженерия. Узнавание пароля. Этот метод заключается в подглядывании за процессом набора пароля, использовании разнообразных клавиатурных шпионов или же простое разгильдяйство, к примеру – бумажка с паролем, оставленная на видном месте.

Небезызвестный вирус "Мориса" использовал чуть меньше 400 слов в качестве пароля и поразил около 6000 компьютерных систем. И, конечно, не бедность английского языка, а слабое воображение пользователей открыло двери вирусу. Вдумайтесь в эти цифры: 6000 и 400, то есть, в среднем каждые 15 систем имели одинаковые пароли!

По данным одного из исследований по безопасности компьютерных систем при анализе списка паролей, используемых пользователями, лишь каждый двадцатый был таким, что его было трудно угадать. Исследование специалистов по компьютерной безопасности и опыт эксплуатации компьютерных систем говорят о том, что большинство паролей это знаменитые: 111111, 123456, ааа и т.п. 5% компьютеров используют пароль для входа в компьютерную сеть такой же, как и имя пользователя. Например, если имя PUPKIN, значит и пароль PUPKIN. Примерно 35% компьютеров используют пароль, вторичный от имени. Например, имя - PUPKIN, пароль VasilPupkin, PupkinVasil или задом наперед NIKPUK.

Таблица 1 – Правильные и неправильные пароли.

Неправильный пароль

Правильный пароль

имена, фамилии, даты рождения детей, близких, знакомых, их комбинации, номера телефонов и любую другую личную;

названия городов, стран, фирм, организаций, учреждений, специфических компьютерных слов, термины из своей предметной области;

слова из заставок задач или названия самих компьютерных систем (например, netware, windows, msdos);

широко распространенные слова, названия фильмов, книг, имена любимых литературных героев и пр.;

повторяющиеся символы (например, пароль типа "аббббб" раскрыть значительно легче, чем "алугыс");

набор символов, расположенных на клавиатуре рядом (“знаменитые” пароли: 111111, 12345, йцукен, qwerty и т.д.) или по простому закону (например, через клавишу - йуегщх; по две в ряду - йцфыяч и т.п.);

нельзя использовать один и тот же пароль одновременно в разных системах. Это прекрасная возможность для хакера проникнуть в систему.

Переключения различных регистров (рус., англ.). Попробуйте набрать русское слово на английском регистре или наоборот, получите бессмысленный набор, вполне подходящий для пароля. Можно, например, взять слово из любого (желательно не английского) языка и его звучание на русском языке набрать на английском регистре. Например, если грузинское слово "камарджоба" набрать русскими буквами на английском регистре, то получится "rfvfhl;j,f" - попробуйте такой пароль подобрать.

Использовать при формировании пароля как можно большее количество символов, конечно, если это допускает система (ведь компьютер позволяет использовать 256 символов). Например, сочетания букв и цифр, а также больших и маленьких букв в одном пароле (например, "ащночс" и "АщНоЧс" для компьютера - две большие разницы) значительно усложняет его подбор;

Если с фантазией «напряженка» попробуйте просто связать два слова вместе, например: «ЯГений», «МояЖенаУмница», «ЛюблюВасю»

Если мы хотим не только сложный пароль, но и что бы его легко можно было запомнить.Предвижу возражения типа: "Бессмысленный набор символов очень трудно запомнить!". Что ж, это действительно так, но в этом случае можно рекомендовать еще одну маленькую хитрость. Составляйте пароль из первых (вторых и т.п.) букв запомнившейся фразы, четверостишья, песни, поговорки. Например, возьмем знакомое всем (или почти всем) стихотворение Некрасова:

Однажды, в студеную, зимнюю пору, я из лесу вышел, был сильный мороз.

Составляем пароли: "осзпяилвбсм" (из первых букв слов), "дтиозеыыио" (из вторых букв слов, хотя это и сложнее при наборе – сообразить какая буква вторая) и т.п. Получились бессмысленные наборы символов, которые, однако, очень просто запомнить.

Приведите примеры правильных и неправильных паролей.

Сколько символов может быть в пароле. Разные версии. Обоснование?

А обоснованием для какого-либо количества символов может быть время раскрытия паролей.

Каково время раскрытия пароля? От чего оно зависит???

Теперь, что касается конкретной организации…

Кто должен подбирать пароль? Это отнюдь не праздный вопрос. Существует две основных точки зрения: администратор компьютерной системы (ответственный специалист службы безопасности) или сам пользователь. Выбор схемы должен определяется исходя из конкретной компьютерной системы и самой организации, в которой она эксплуатируется.

При этом должны учитываться многие вопросы, такие как:

Количество пользователей в системе. Согласитесь, если в организации больше сотни человек и выдавать всем пароль на вход в компьютерную сеть становится нереально просто организационно, да и незачем это, в случае непредвиденной ситуации гораздо легче блокировать работу пользователя в сети. Однако, вполне вероятно, что для администратора сети (сегмента сети) или для наиболее важных пользователей, способных выполнять критические для организации действия пароль должен выдаваться службой безопасности (руководством фирмы).
Важность эксплуатируемых задач. Например, есть пароль на вход в компьютерную сеть организации для обычного менеджера, выполняющего стандартный набор служебных обязанностей, а есть начальник отдела, который в сети может запускать аналитические задачи, содержащие коммерческую тайну фирмы. Возможно, что пароль на вход в сеть начальник отдела может придумать и сам, а вот пароль на запуск аналитической задачи ему должен дать сотрудник службы безопасности.

Основные две системы:Пароль придумывается администратором и самим пользователей самостоятельно.

Таблица 2 – Системы создания паролей.

Вид системы	Самостоятельно	Выдаётся администратором
Плюсы	Легко запомнить.	Гарантированная сложность.
Минусы	Обычно лёгкие. Нет контроля в случае экстремальной ситуации	Трудно запомнить, поэтому большое желание записать. Недоверие администратору.

Директор Норвежского национального центра языка и культуры занимается поиском хакеров-добровольцев для взлома зашифрованных архивов, содержащих данные о важных государственных документах, книгах и многом другом. В настоящее время доступ к базе данных закрыт, так как пароль доступа был известен только программисту, отвечавшему за работу с электронным архивом, и умершему несколько лет тому назад.

Комментарии в форуме:

Я бы рекомендовал составить парольные правила и давать возможность пользователям, самим придумать себе пароль, согласно этим правилам, с подтверждением АБ. Иначе в реальности, Вы начисто убиваете политику "чистого стола", все эти FdT3!4M будут лежать на бумажках на столе или в лучшем случае в ящике. После сожжения конверта, пароль просто перейдёт на другой бумажный носитель.
Нужно постараться привить привычку у людей, если забыл пароль — зови админа, он напомнит и ничего тебе не будет... А не переписывай его и доставай из-под клавы.
Спроси у того же администратора, будет он бегать по 5 раз в день к надоедливым юзерам? А если объект - завод, где по 20 минут нужно добираться из 1 конца в другой?
Вот по этому поводу совещались с людьми... после первого варианта инструкции, когда пользователи сами должны были придумывать пароль, Администратор очень долго надо мной смеялся) И сказал, что это нереально
Вы забываете один недостаток такого подхода. Админ знает все пароли, а следовательно:
1. Он может зайти на любую машину под логином пользователя и провести несанкционированные операции - именно от имени пользователя, а не от себя.
2. Пользователь у которого что-то будет случаться сразу будет показывать на админа и говорить: "у него есть пароль - наверное он что-то сделал". Нужен Вам такой головняк - оставляйте такую систему. В противном случае настраиваете параметры системы идентификации и аутентификации и не паритесь.

Выполнение задания в малых группах

Условия:

Госучреждение.
Пользователей до 10.
Администратор безопасности - с высочайшим уровнем доверия.
Поток посетителей небольшой (в основном это иные сотрудники).
Пользователи входят в систему по паролю и персональному идентификатору.

Работа 1, 2 и 4 группы.

Вы будете отстаивать право пользователя придумать пароль самостоятельно и право администратора настроить параметры Windows таким образом, чтобы проконтролировать пользователя, минимизировать риски. Также в этом случае нужно разработать инструкцию пользователя по разработке пароля.

Работа 3 группы.

Вы будите отстаивать позицию, что пароли сотрудникам организации придумывает администратор, и кроме пароля он должен для пользователя донести инструкцию по применению пароля в организации (рассмотреть вопросы потери, компрометации, регистрации, хранения паролей и др.) Помним, что чаще всего инструкция содержит ответы на вопросы: Как правильно делать, Что нельзя делать, Что будет тому, кто сделал неправильно.

Работа 5 и 6 группы.

Правила смены и хранения паролей. Эти правила необходимы при любой системе.

Теоретический материал (для контроля правильности выполнения задания в группах).

Политика паролей и блокировки учётных записей в Windows

Для настройки политики паролей на компьютере с Windows служат оснастки GroupPolicy (Групповая политика) и LocalSecurityPolicy (Локальная политика безопасности). Для настройки политики паролей в консоли Групповые политики необходимо:

Создать в ММС (MicrosoftManagementConsole) дополнительную оснастку GroupPolicy.
Последовательно развернуть папки LocalComputerPolicy (Локальная
политика безопасности), ComputerConfiguration (Управление компьютером), WindowsSettings (Параметры Windows), SecuritySettings (Параметры безопасности), AccountPolicies (Политики учетных записей), а затем щелкнуть PasswordPolicy (Политика паролей).
Выбрать параметры, которые необходимо задать, и затем в меню
Action (Действие) щелкнуть Security (Безопасность).

В правой области окна показаны текущие значения параметров политики паролей.

Таблица 3 - Параметры политики паролей.

Параметр	Описание
EnforcePasswordHistory (Включить ведение истории паролей)	Задает число паролей, хранимых в истории, и принимает значения в диапазоне от 0 до 24. Значение 0 (по умолчанию) указывает, что ведение истории паролей отключено. Значения, отличные от 0, указывают, сколько новых паролей должен выбрать пользователь, прежде чем повторно использовать старый.
MaximumPasswordAge (Максимальный срок Действия пароля)	Указывает, сколько дней можно пользоваться паролем, не меняя его. Значение этого параметра по умолчанию — 42, а диапазон допустимых значений — от 0 до 999. 0 указывает, что пароль менять не обязательно.
MinimumPasswordAge (Минимальный срок Действия пароля)	Указывает, сколько дней пользователь может вводить пароль, прежде чем получит право снова его сменить. Это нужно для того, чтобы после обновления пароля пользователь не мог тут же заменить его старым. Диапазон допустимых значений — от 0 до 999. Значение 0 (по умолчанию) указывает, что пароль можно сменить немедленно. Если история паролей не ведется, задавать значение 0 нельзя. Минимальный срок действия пароля должен быть меньше максимального срока действия.
MinimumPasswordLength (Минимальная длина пароля)	Задает минимальное количество знаков в пароле.Допустимые значения — от 0 до 14 включительно.Значение 0 (по умолчанию) указывает, что пароль не требуется.
PasswordsMustMeetComplexityRequirements (Пароли должны отвечать требованиям сложности)	Принимает одно из двух значений: включен (по умолчанию) или отключен. Если параметр включен, длина пароля должна быть равна или больше минимальной длины, а сам пароль — соответствовать конфигурации истории паролей и состоять из заглавных букв, цифр или знаков пунктуации. Кроме того, пароль не может содержать имен учетной записи и пользователя.
StorePasswordUsingReversibleEncryptionForAllUsersInTheDomain (Хранить пароли всех пользователей в домене, используя обратимое шифрование	Принимает одно из двух значений: включен или отключен (по умолчанию). Хранение паролей с применением обратимого шифрования для всех пользователей домена позволяет Windowsиспользовать их, например в протоколе CHAP(ChallengeHandshakeAuthenticationProtocol), обратимое шифрование) Возможность существует только на компьютерах с WindowsProfessional, включенных в состав домена.

Для выбранного параметра откроется диалоговое окно LocalSecurityPolicySetting (Параметры локальной политики безопасности).

Настройка политики блокировки учетных записей

Повысить безопасность системы позволяет также политика блокировки учетных записей, которая закрывает пользователю доступ к учетной записи при наступлении определенных условий.

Эту политику можно настраивать из оснастки Групповая политика, либо в окне LocalSecurityPolicySettings — как при настройке политики паролей.

Таблица 3- Параметры политики блокировки учетных записей

Параметр	Описание
AccountLockoutDuration (Продолжительность блокировки учетной записи)	Указывает, сколько минут учетная запись будет блокирована. Если значение равно 0, учетная запись пользователя будет блокирована в течение неопределенного времени, пока администратор не разблокирует ее. Допустимые значения — от 0 до 99999 мин. (максимальной значение, равное 99999 мин., что составляет примерно 69,4 дня).
AccountLockoutThreshold (Максимальное число неудачных попыток)	Количество неудачных попыток, по достижении которого все дальнейшие попытки будут отклоняться. Значение 0 отключает механизм блокировки, то есть учетная запись никогда не блокируется, независимо от числа неудачных попыток войти в систему.
ResetAccountLockoutCounterAfter (Частота сброса счетчика неудачных попыток)	Задает срок (в мин.), по истечении которого сбрасывается счетчик неудачных попыток. Допустимые значения — от 1 до 99999.

Постановка задачи программирования, построение алгоритма

Теперь вспоминаем, что урок у нас бинарный.А значит средствами объектно-ориентированного программирования мы будем создавать вспомогательную программу для работы с паролями.Какие программы можно создать:

включить в любую программу возможность входа под паролем, блокировки, выключения программы при повторном неправильном вводе пароля;
программу с паролем «с фокусом»;

Мы рассматриваем варианты, когда в качестве пароля используют набор символов. Но ведь еще с древних времен паролем могли служить и некоторые вещи (кольцо, брелок, разорванная пополам бумажная купюра и т.д.), а иногда и действия (определенный жест).

Такой подход можно применять и к компьютерным системам. Например, к традиционному паролю добавить еще и определенную последовательность действий. Например, после появления на экране основного меню задачи пробежать по нему курсором слева направо или нажать разные клавиши, щелкнуть мышкой в определенной зоне заставки (в зависимости от ситуации – обычная работа или «работа под контролем») для того, чтобы убрать заставку задачи с экрана. Со стороны это покажется обычными действиями и не вызовет никаких подозрений, но для компьютерной системы - это сигнал, позволяющий распознать истинного пользователя или укравшего пароль "гангстера".

Есть еще один вариант. Пароль с "фокусом" - когда он набирается не сразу, а, например, с временным интервалом между набором каких-либо символов (реализация этого способа будет зависеть и от артистичности пользователя). Можно сделать и систему смены таких "паролей". Чем хороши эти "фокусы"? Не страшно случайное подсматривание пароля со стороны. Ведь важна теперь не только сама комбинация, но и порядок ее набора.

программу подбора паролей;
программа генерации паролей.

Я предлагаю создать программу генерации сложных паролей (каких? что это значит?), которые состоят из букв (строчных и заглавных, русских и английских), цифр.

Обсуждение алгоритмов (подведение к строкам, ASCII-коду).

Как сделать, чтобы в пароле обязательно присутствовали и различные буквы, и цифры. Как сгенерировать букву, как сгенерировать цифру?

У каждого символа на клавиатуре есть цифровой ASCII-код. И вот у цифр ASCII-код начинается с 48 (это цифра 0) и до 57 (цифра 9). Так же и у букв. Но здесь приведена генерация только из английского алфавита. Если надо из русского, то их диапазон 195-255.

Алгоритм:

очищаем поле ввода;
подключаем функцию генерации случайных чисел;
задаём или вводим длину пароля;
создаём цикл по длине пароля и генерируем случайную букву (строчную и заглавную, русскую и английскую), цифру (для каждого элемента отводится отдельная переменная);
а затем генерируем случайное число и в соответствие с ним берём либо букву, либо цифру. Например, если сгенерировался 0, то берём цифру, если 1, то маленькую английскую букву, если 2, то большую и т.д.
Добавляем полученный символ к паролю.

procedure TForm1.Button1Click(Sender:TObject);
var
number, small, big, tmp:Char;
length, i, gen: integer;
begin
Edit1.Clear; //Очищаем edit
Randomize; //делаем 'качественный' рэндом
length := 10; //Задаем длину пароля
for i := 0 to length-1 dobegin //цикл по длине пароля
number := char(48+random(10)); //в переменной number хранится цифра
small := Char(65+Random(25));//в переменной small хранится заглавная буква
big := Char(97+Random(25));//в переменной big хранится строчная буква
gen := Random(3);
casegenof //выбираем рэндомно, какой символ будет: цифра, или строчная/заглавная буква
0: tmp := number;
1: tmp := small;
2: tmp := big;
end;
Edit1.text := Edit1.Text + tmp; //добавляем к паролю символ
end;
end;

Самостоятельное написание программы.

Домашнее задание (на выбор):

На предприятии N сотрудников. Администратор хочет за раз сгенерировать всем пароли, записать из в файл, распечатать, разрезать, раздать. Доработайте программу для выполнения таких действий.
Реферат «Хранение паролей в вычислительной системе».

Используемые источники

Тодуров А. Статья «Пароль – иллюзия или защита».

Приложения

Задание для группы № 1

Зайдите на виртуальном компьютере в консоль Локальные политики безопасности, просмотрите (Пуск\Все программы\Администрирование)

Рассмотрите Политику паролей, её параметры, порекомендуйте значение параметров для организации.

Политика	Рекомендуемое значение параметра	Комментарий

Задание для группы № 2

Зайдите на виртуальном компьютере в консоль Локальные политики безопасности, просмотрите (Пуск\Все программы\Администрирование)

Рассмотрите Политику блокировки учётной записи, её параметры, порекомендуйте значение параметров для организации.

Политика	Рекомендуемое значение параметра	Комментарий

Задание для группы № 3

В организации пароль выдаётся администратором. Пароль состоит из цифр, русских, английских строчных и заглавных букв, то есть сложен в запоминании. Напишите инструкцию для пользователя при использовании пароля.

1.

2.

3.

4.

5.

Задание для группы № 4

В организации пароль придумывается сотрудником самостоятельно. Напишите инструкцию для составления пароля.

1.

2.

3.

4.

5.

Задание для группы № 5

В организации пароль придумывается сотрудником самостоятельно. Ответьте на вопросы.

Может ли пользователь самостоятельно, без уведомления администратора сменить пароль?

Может ли администратор сменить пароль пользователя?

Как часто нужно менять пароль?

По результатам ответов напишите инструкцию для смены пароля.

1.

2.

3.

4.

5.

Задание для группы № 6.

Правила хранения паролей.

Копия пароля пользователя обязательно должна храниться у администратора. Где она будет храниться и при каких обстоятельствах вскрываться, на каких условиях? Допишите эти пункты в инструкцию.

1.

2.

3.

4.
Инструкция по организации парольной защиты

Источник: Журнал "Справочник руководителя дошкольного учреждения" №6 2011 года

1. Общие положения

1.1. Инструкция по организации парольной защиты (далее – Инструкция) призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в информационных системах дошкольного образовательного учреждения (далее – ДОУ), а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

1.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах информационной системы (далее – ИС) ДОУ и контроль за действиями исполнителей и обслуживающего персонала при работе с паролями возлагается на системного администратора ДОУ.

2. Правила формирования паролей

2.1. Личные пароли генерируются и распределяются централизованно либо выбираются пользователями информационной системы самостоятельно с учетом следующих требований:

пароль должен состоять не менее чем из восьми символов;
в пароле обязательно должны присутствовать буквы из верхнего и нижнего регистров, цифры и специальные символы (@, #, $, & , *, % и т. п.);
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, известные названия, словарные и жаргонные слова и т. д.), последовательности символов и знаков (111, qwerty, abcd и т. д.), общепринятые сокращения (ЭВМ, ЛВС, USER и т. п.), аббревиатуры, клички домашних животных, номера автомобилей, телефонов и другие значимые сочетания букв и знаков, которые можно угадать, основываясь на информации опользователе;
при смене пароля новый пароль должен отличаться от старого не менее чем
в шести позициях.

2.2. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников центра дистанционного образования.

2.3. При технологической необходимости использования имен и паролей некоторых работников (исполнителей) в их отсутствие (в случае возникновения нештатных ситуаций, форс-мажорных обстоятельств и т. п.) такие работники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для их опечатывания рекомендуется использовать печать отдела кадров.

3. Ввод пароля

При вводе пароля пользователю необходимо исключить произнесение его вслух, возможность его подсматривания посторонними лицами и техническими средствами (стационарными и встроенными в мобильные телефоны видеокамерами и т. п.).

4. Порядок смены личных паролей

4.1. Смена паролей проводится регулярно, не реже одного раза в три месяца.

4.2. В случае прекращения полномочий пользователя (увольнение, переход на другую работу и т. п.) системный администратор должен немедленно удалить его учетную запись сразу после окончания последнего сеанса работы данного пользователя с системой.

4.3. Срочная (внеплановая) полная смена паролей производится в случае прекращения полномочий (увольнение, переход на другую работу и т. п.) администраторов информационной системы и других работников, которым по роду работы были предоставлены полномочия по управлению системой парольной защиты.

4.4. Смена пароля производится самостоятельно каждым пользователем в соответствии с п. 2.1 Инструкции и/или в соответствии с указанием в системном баннере-предупреждении (при наличии технической возможности).

4.5. Временный пароль, заданный системным администратором при регистрации нового пользователя, следует изменить при первом входе в систему.

5. Хранение пароля

5.1. Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе либо в сейфе у системного администратора или руководителя подразделения в опечатанном пенале.

5.2. Запрещается записывать пароли на бумаге, в файле, электронной записной книжке и других носителях информации.

5.3. Запрещается сообщать другим пользователям личный пароль и регистрировать их в системе под своим паролем.

6. Действия в случае утери и компрометации пароля

В случае утери или компрометации пароля пользователя должны быть немедленно предприняты меры в соответствии с п. 4.3 или п. 4.4 Инструкции в зависимости от полномочий владельца скомпрометированного пароля.

7. Ответственность при организации парольной защиты

7.1. Владельцы паролей должны быть ознакомлены под расписку с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение информации о пароле.

7.2. Ответственность за организацию парольной защиты в структурных подразделениях ДОУ возлагается на системного администратора.

7.3. Работники ДОУ и лица, имеющие отношение к обработке персональных данных в информационных системах ДОУ, должны быть ознакомлены с Инструкцией под расписку.

Добавить документ в свой блог или на сайт

	Урок №4 Тема: Введение в объектно -ориентированное программирование Познакомить учащихся с базовыми понятиями объектно-ориентированного программирования		Объектно-ориентированное программирование на примере размножения и развития живых организмов Данная работа представляет собой методическую разработку четырёх уроков информатики, посвящённых объектно-ориентированному программированию....
	Урок №6 Тема урока: Объектно-ориентированное программирование Умение работать в коллективе, умение делать самоанализ, взаимоконтроль, развитие дисциплины		«Объектно-ориентированное программирование» в 10 – 11 классе Икт: Практикум по программированию, 10-11 класс. Он содержит поурочные разработки по данному учебнику и диск с готовыми проектами...
	Пояснительная записка к курсовому проекту по дисциплине «Объектно-ориентированное... Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования		Интегрированная среда разработки языка Visual Basic ...
	Пояснительная записка к курсовому проекту по дисциплине «Объектно-ориентированное... Моделирование работы лифтов, wpf, варианты использования, uml диаграммы, пользовательский интерфейс, алгоритмы передвижений		Пояснительная записка к курсовому проекту по дисциплине «Объектно-ориентированное... Моделирование работы лифтов, wpf, варианты использования, uml диаграммы, пользовательский интерфейс, алгоритмы передвижений
	Программа дисциплины Web системы для направления 080700. 62 Бизнес-информатика Требования к студентам: для качественного усвоения материала необходимо знание курсов «Сетевые коммуникационные технологии», «Объектно-ориентированное...		Темы вашего учебного проекта Инструментальной системой будем называть совокупность программного продукта, обеспечивающего разработку информационно-программного...
	Курсовая работа выполняется на основании 'Задания на курсовую работу'... Целью курсовой работы является закрепление практических навыков самостоятельной постановки и решения задачи обработки данных с помощью...		Программа по формированию навыков безопасного поведения на дорогах... «Алгоритмизация и объектно-ориентированное программирование» учебно-методического пособия «Профильное обучение. Образовательная область...
	Программа учебной дисциплины «web-технологии» Изучение данной дисциплины базируется на успешно усвоенных понятиях программирования и базовых понятиях информатики дисциплины «Алгоритмизация...		Авторская программа учебной дисциплины история (для 1 курса) Спо 230113 Компьютерные системы и комплексы, 210723 Сети связи и системы коммутации, 210709 Многоканальные системы, 280703 Пожарная...
	Рабочая программа дисциплины объектно-ориентированное программирование... Фгос впо к структуре и результатам освоения основных образовательных программ бакалавриата по Профессиональному циклу по направлению...		Основная образовательная программа по направлению подготовки 090900 Информационная безопасность «Информационная безопасность», утвержденного 28 октября 2009 г. Приказом Министерства образования и науки Российской Федерации n...

Урок по предметам «Информационная безопасность» и «Объектно-ориентированное программирование» Организация парольной защиты на предприятии

Похожие: