访问管理

限制对某些控制功能的使用的过程

为防止对信息系统的未经授权的访问，应当有正规的程序来控制对信息系统和服务的访问权限分配，按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的过程就叫做访问管理。

定义

为防止未经授权的计算机访问，操作系统水平的安全设备应当用于限制对计算机资源的访问。这些设备应当能够做到以下事情：

(1)鉴别和验证身份，如果需要的话还能够鉴别和验证每个经授权用户的位置和终端。

(2)记录对系统的成功访问和失败访问。

(3)提供适当的授权方式；如果使用了密码管理系统，应当能够确保使用的是优质密码。

(4)在适当的地方，限制用户的连接次数。

访问是使信息在主体和对象间流动的一种交互方式。为防止对信息系统的未经授权的访问，应当有正规的程序来控制对信息系统和服务的访问权限分配，按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的过程就叫做访问管理。

内容

自动终端识别

为了鉴别连到特殊地点和便携设备的连接应当考虑自动终端识别技术。如果一个对话只能从特殊的地点或者计算机终端上启动这点很重要，那么自动终端识别就是一种可以考虑的方法。终端内或者贴到终端上的一个标识可以用来指示是否允许这个特定的计算机终端启动或者接收特殊事项。为保持终端标识的安全，可能需要对计算机终端进行物理保护。也可以用其他的技术鉴别计算机终端。

终端登录程序

一个安全的登录程序应当能够获得对信息服务的访问。这一登录到计算机系统的过程的设计应当把对系统未经授权的访问的机会降到最低限度。因此为了避免给未经授权的用户以不必要的帮助，该登录程序只会透露出最少的系统信息。一个好的登录程序应当做到：

(1)除非登录程序成功结束，否则不显示系统或者应用程序。

(2)显示一般性的警告，说明只有经过授权的用户才能够访问。

(3)在登录程序中不提供可能会帮助未经授权的用户的信息。

(4)只有完成所有数据的输入以后才开始验证。如果产生一个错误条件，则该系统不应当指示出哪对哪错。

(5)限制所允许失败登录次数(推荐使用3次)，并且考虑：①记录失败的尝试；②在重新登录之前强制等待一段时间或者拒绝任何没有特殊授权的进一步尝试；③断开数据连接。

(6)限制所允许的登录程序的最长和最短时间。如果超过了这个范围，则系统应当终止登录。

(7)当成功地完成登录以后，要显示以下信息：①上一次成功登录的日期和时间；②自从上次成功登录以来，历次失败登录尝试的细节。

用户识别和鉴定

所有的用户(包括技术支持人员，例如操作员、网络管理员、系统程序员和数据库管理员)应当有唯一的标识(用户ID)供他们个人并且只供他们个人使用。因此，可以追踪各种活动到负有责任的个人身上。用户ID不应当显示出用户的特权等级，例如，管理人员、监控人员。

在例外的情况之下，如果有明显的商业利用，则可能会让一个用户群或者特殊的工种共享一个用户ID。管理层对这种情况的批准应当记录在案。为保持可计量性，可能还需要其他管理措施。

有各种授权程序，可以用来证实所声称的用户身份。密码是一种非常通用的进行识别和鉴定(I&A)的方法。这一方法基于一个只有用户才知道的秘密。利用加密技术和鉴别协议也可以达到同样的目的。

像存储标识或者用户拥有的智能卡这类物品也可以用来进行识别和鉴定。利用个人的唯一的特征或者属性的生物鉴别技术也可以用来鉴别一个人的身份。将鉴别技术和管理机制妥善地结合到一起能够得到更为强大的鉴定能力。

密码口令管理系统

密码是验证用户访问计算机权限的主要形式之一。密码管理系统应当提供一个有效的、交互的设备。这样可以确保优质密码。一些应用程序需要有独立的职权来分配用户密码。在大多数情况下，密码是由用户选择和维护的。

一个好的密码管理系统应当：

(1)强制使用个人密码以保持可计量性；

(2)适当的时候，允许用户选择和更改他们自己的密码并包括一个确认程序，它允许出现输入错误；

(3)强制选择优质密码；

(4)用户维持他们自己的密码时，强制实行密码变更；

(5)当用户选择密码时，强制他们在第一次登录的时候更改临时密码；

(6)维持一份以前用户密码的记录，例如，在此之前12个月，并避免再次使用；

(7)输人密码时不要将其在屏幕上显示出来；

(8)把密码与应用软件系统的数据分开存放；

(9)以使用单向加密算法的加密形式存储密码口令；

(10)软件安装完毕后，改变默认的卖方密码。

系统实用程序的使用

大多数计算机安装有一个或者更多系统实用程序，它们可能有能力超越系统和应用程序的控制。限制并严格控制对它们的使用是十分重要的。应当考虑以下的控制措施：

(1)给系统实用程序使用认证程序；

(2)系统实用程序从应用软件分离出来；

(3)把使用系统实用程序的人限制在最少的值得信任的授权用户之内；

(4)为系统实用程序的特殊使用进行授权；

(5)限制系统实用程序的有效性，例如，在一个经授权的变更的持续时间之内；

(6)记录系统实用程序的所有使用；

(7)系统实用程序授权等级的定义和文件证明；

(8)所有基于软件的多余实用程序和多余系统软件的删除。

终端暂停

为了防止未经授权的人访问，在一段确定的休止期结束后，应当关闭在高风险地区例如在组织的安全管理之外的公共场所或外部地区的暂停终端或者是正在为高风险系统提供服务的终端。在一段确定的暂停期后，这一终端暂停手段应当清除终端屏幕内容并关闭应用程序和网络对话。该暂停应当反映出这个地区和终端用户的安全风险。

一些个人计算机可以得到有限的终端暂停手段，使其能够清楚屏幕内容并防止未经授权的访问但是不会关闭应用程序或者网络进程。

连接时间的限制

对连接时间的限制应当为高风险应用程序提供额外的安全保证。限制终端可以连接到计算机访问的时间缩小了未经授权访问的机会空间。对于敏感的计算机应用程序，特别是那些有终端安装在高风险地区例如在组织的安全管理范围之外的公共场所或外部地区的，应当考虑这样的管理措施。这样约束措施的例子包括：

(1)使用预先确定的时间段，例如，批量的文件发送，或者定期的短时交互式对话；

(2)如果没有超时或者延时业务，则限制连接到正常办公时间的次数。