10. Quản lý truy cập.
10.4.2. Xác thực người dùng cho các kết nối bên ngoà
Biện pháp quản lý
Các biện pháp xác thực thích hợp cần được sử dụng để quản lý truy cập bởi các người dùng từ xa.
Hướng dẫn triển khai
Việc xác thực người dùng từ xa có thể được thực hiện bằng, ví dụ, kỹ thuật mật mã, thẻ bài cứng, hoặc một giao thức thách thức/đáp ứng. Một số hình thức triển khai của các kỹ thuật như vậy có thể tìm thấy trong giải pháp mạng riêng ảo (VPN). Có thể sử dụng các đường truyền riêng chuyên dụng để đảm bảo nguồn của các kết nối.
Các thủ tục và các biện pháp quản lý quay số lại, ví dụ sử dụng các modem quay số lại, có thể cung cấp bảo vệ chống lại các kết nối trái phép và không mong muốn tới các phương tiện xử lý
thông tin của tổ chức. Biện pháp quản lý này sẽ xác thực những người dùng đang cố gắng thiết lập kết nối đến mạng của tổ chức từ các vị trí xa. Khi sử dụng biện pháp quản lý này, tổ chức không nên sử dụng các dịch vụ mạng bao gồm cả chuyển tiếp cuộc gọi, hoặc nếu họ có sử dụng thì họ cần khóa các tính năng đó để tránh những điểm yếu liên quan đến chuyển tiếp cuộc gọi. Thủ tục gọi lại cần đảm bảo rằng hiện phía tổ chức đã ngắt kết nối. Nếu không, người dùng ở xa có thể giữ đường kết nối mở giả như việc kiểm tra đối với cuộc gọi về đã được thực hiện. Các thủ tục và các biện pháp quản lý cuộc gọi lại cần được kiểm tra kỹ khả năng này.
Xác thực nút có thể đóng vai trò như một biện pháp khác thay thế xác thực nhóm những người dùng từ xa có kết nối tới một thiết bị máy tính dùng chung và an toàn. Các kỹ thuật mật mã, ví dụ dựa trên các chứng nhận máy móc, có thể được sử dụng để xác thực nút. Đây là một bộ phận của một số giải pháp dựa trên VPN.
Cần triển khai thêm các biện pháp quản lý bằng xác thực để quản lý truy cập tới các mạng không dây. Đặc biệt, cần quan tâm đặc biệt đến việc lựa chọn các biện pháp quản lý các mạng không dây vì chúng có nhiều khả năng bi xâm phạm và chèn thêm lưu lượng mạng mà không bị phát hiện.
Thông tin khác
Các kết nối bên ngoài tiềm tàng sự truy cập trái phép tới thông tin nghiệp vụ, ví dụ truy cập bằng các phương pháp quay số. Có nhiều phương pháp xác thực khác nhau, một số trong số chúng có mức bảo vệ cao hơn so với những phương pháp khác, ví dụ: phương pháp dựa trên các kỹ thuật mật mã có thể đạt được hiệu quả xác thực mạnh. Việc xác định mức độ bảo vệ qua đánh giá rủi ro là rất quan trọng. Điều này rất cần để có thể lựa chọn được một phương thức xác thực phù hợp.
Một phương tiện hỗ trợ kết nối tự động đến một máy tính từ xa cũng có thể là một cách để có thể có được truy cập trái phép tới một ứng dụng nghiệp vụ. Và càng đặc biệt quan trọng nếu kết nối sử dụng một mạng nằm ngoài sự quản lý của ban quản lý an toàn thông tin của tổ chức.