Читаем Политики безопасности компании при работе в Интернет полностью

Суть политики

Общие положения. Для поддержания необходимого уровня безопасности доступ посредством программного обеспечения к базе данных должен разрешаться только после соответствующей аутентификации. Атрибуты, используемые для аутентификации, нельзя размещать в коде программы в незашифрованном виде. Атрибуты доступа к базе данных не должны быть доступны через Web-cepeep.

Специфические требования:

 хранение учетных записей и паролей:

– учетные записи и пароли для доступа к базе данных должны храниться в файле отдельно от кода программы. Доступ к этому файлу должен быть строго ограничен;

– учетные записи и пароли для доступа к базе данных могут храниться на сервере баз данных. В этом случае хеш от пароля может храниться в выполняемом теле программы;

– учетные записи и пароли для доступа к базе данных могут храниться как часть данных на сервере аутентификации, таком, как LDAP. Аутентификация доступа к базе данных может проходить как часть общей аутентификации в системе;

– учетные записи и пароли для доступа к базе данных нельзя размещать в дереве документов Web-cepeepa;

– прямой доступ через аутентификацию (например, ORACLE OPSS) не должен разрешать работу с базой данных, основываясь только на аутентификации удаленного пользователя на удаленном компьютере;

– пароли и ключевые фразы, используемые для доступа, должны соответствовать требованиям политики использования паролей;

 восстановление учетных записей и паролей:

– если учетная запись и пароль хранятся не в исходном коде программы, то они должны быть считаны из файла непосредственно перед использованием. Сразу после аутентификации область памяти, в которой они размещались, должна быть очищена;

– область, в которой хранятся учетная запись и пароль, должна быть физически отделена от других областей кода, то есть размещаться в отдельном файле;

– для языков программирования, которые выполняются непосредственно из исходного кода (интерпретируемые языки), файл, хранящий учетные записи и пароли, не должен размещаться в той же просматриваемой или выполняемой директории, в которой размещается код программы;

 доступ к учетным записям и паролям:

– каждая программа или несколько программ, выполняющих одну функциональную задачу, должны иметь уникальную базу учетных записей и паролей. Использование одной и той же базы учетных записей и паролей для нескольких программ запрещено;

– пароли доступа к базам данных в соответствии с политикой использования паролей считаются паролями системного уровня;

– разработчики должны определить процедуру, гарантирующую, что пароли управляются и изменяются в соответствии с политикой использования паролей. Эта процедура должна включать метод ограничения знания паролей для доступа к базе данных на основе правила «необходимо знать»;