DOKUMEN: DTMK-01-04-05
Majlis Teknologi Maklumat USM
1. Tujuan Garis Panduan
Garis panduan ini menyediakan dasar pengesahan yang
perlu dipatuhi oleh pengguna dan staf operasi. Pengguna perlu mematuhi dasar
pengesahan ini setiap kali mereka mencapai sumber-sumber teknologi maklumat
yang disediakan oleh USM. Manakala, staf operasi pula perlu mematuhi
langkah-langkah pengesahan keselamatan yang dinyatakan dalam dasar ini, apabila
mereka menyediakan perkhidmatan atau sumber teknologi maklumat yang memerlukan
pengenalan diri dan pengesahan.
2. Takrifan
Beberapa terma perlu dijelaskan pengunaan dan
maksudnya dalam dokumen ini. Terutamanya terma identiti pengguna dan terma
akauntabiliti. Kebolehan untuk menentukan identiti pengguna adalah kritikal
bagi berbagai jenis kawalan capaian dan seterusnya menentukan dari identiti
tersebut akauntabiliti pengguna. Berikut adalah takrifan terma-terma penting :
- Capaian: Bagi maksud dokumen ini,seseorang itu mendapat capaian kepada
mana-mana aturcara atau data yang disimpan dalam komputer apabila beliau
menyebabkan komputer tersebut melaksanakan sebarang fungsi untuk:
(a) mengubah, menambah atau memadamkan
aturcara/perisian atau data;
(b) menyalin atau mengalihnya ke mana-mana bahantara storan selain dari di mana
ia disimpan atau ke tempat lain dalam bahantara storan di mana ia disimpan;
(c)menggunakannya; atau
(d)
menyebabkan data dioutput daripada komputer di mana ia disimpan. Sebarang
rujukan terhadap capaian atau niat untuk mendapat capaian kepada aturcara atau
data akan ditafsirkan sewajarnya.
Capaian tanpa kuasa:
capaian dalam apa-apa bentuk oleh mana-mana orang kepada apa-apa
aturcara atau data yang disimpan dalam komputer adalah tanpa kuasa jika-
(a)
dia sendiri tidak berhak
untuk mendapat capaian kepada aturcara atau data dalam apa-apa bentuk atau
cara.
(b) dia tidak mempunyai keizinan untuk mencapai
aturcara atau data tersebut daripada mana-mana individu yang berhak.
-
Identiti pengguna merupakan
satu identiti unik yang diberikan kepada pengguna oleh sumber-sumber teknologi
maklumat, contohnya pelayan. Identiti ini digunakan untuk tujuan pengenalan
diri pengguna terhadap sistem atau sumber TM yang dicapai. Menerusi identiti
ini, proses kawalan capaian dikuatkuasakan iaitu pengguna diberikan kebenaran
mencapai beberapa sumber TM yang disediakan oleh sistem. Contoh identiti
pengguna dalam sistem pelayan UNIX adalah nama kemasukkan i.e. login name.
-
Pengesahan adalah proses yang
dilakukan oleh sistem atau sumber TM untuk menentukan samada pengguna (menerusi
identitinya), berhak mencapai sumber dan perkhidmatan teknologi maklumat yang
terdapat pada sistem pelayan. Proses pengesahan adalah penguatkuasaan kawalan
capaian terhadap sumber TM. Contoh pengesahan pengguna adalah menerusi
pengunaan kata laluan atau kata rahsia.
-
Akauntabiliti pengguna adalah
ciri yang membolehkan kegiatan pengguna semasa mencapai sumber TM dikesan
kepada seseorang individu, dan berkemungkinan akan dipertanggungjawabkan ke
atas segala kegiatan yang telah dilakukan oleh beliau. Contoh ciri akautabiliti
adalah arahan-arahan yang telah dilarikan oleh pengguna.
3. Pengesahan - Dasar
Pengguna
Sumber teknologi maklumat seperti sistem pelayan
mengenali pengguna menerusi identitinya - identiti ini ditentukan semasa proses
pendaftaran dengan staf operasi. Dan pengesahan dilakukan berdasarkan pasangan
identiti dan kata laluan pengguna.
Oleh itu pengguna harus mematuhi dasar berikut apabila
cuba mencapai sumber-sumber teknologi maklumat yang disediakan oleh USM :
-
Pengguna perlu memperolehi
identiti dan kata laluan yang sah untuk setiap sumber teknologi maklumat dari
staf operasi yang berkenaan.
-
Pengguna mesti menggunakan
identiti dan kata laluan yang diberikan kepadanya apabila mencapai
sumber-sumber teknologi maklumat yang disediakan oleh USM. Pengguna tidak
dibenarkan sama sekali mencapai sumber teknologi maklumat USM menggunakan
identiti/kata laluan pengguna lain. Kegiatan sebegini jika dikesan akan
dianggap mencuri atau menceroboh akauntabiliti pengguna sebenar.
-
Pengguna dilarang mencuba
berulangkali kombinasi identiti/kata laluan dengan niat untuk mencapai sumber
TM
4. Pengesahan - Dasar Staf
Operasi
Pengenalan adalah kaedah bagi pengguna memperkenalkan
diri kepada sistem. Manakala pengesahan pula adalah kaedah untuk menentukan
kesahihan pengguna melalui identiti yang diakui beliau.
Keadaan sebenar tidaklah semudah ini, kerana identiti
dan kata laluan pengguna mungkin telah dicuri, atau sessi data komunikasi
antara mesin pengguna dengan pelayan telah dipintas atau diculik (session
hijacking). Oleh itu, staf operasi sebagai kumpulan penyedia perkhidmatan yang
memerlukan pengenalan dan pengesahan perlu mematuhi langkah-langkah berikut:
-
Menyediakan kemudahan
pengenalan diri dan pengesahan sebagai perkhidmatan asas bagi semua sumber
teknologi maklumat. Contohnya kata kemasukkan dan kata laluan adalah dimestikan
untuk setiap sistem pelayan yang menyediakan kemudahan multi-pengguna seperti
sistem pelayan UNIX.
-
Jika proses pengesahan
dilakukan menerusi kata laluan, pastikan penggunaan kata laluan yang sukar
diagak untuk setiap pengguna. Contohnya, kata laluan kombinasi abjad, simbol,
dan nombor, panjangnya setiap kata laluan tidak kurang 8 abjad. Juga memastikan
setiap kata laluan ini mempunyai tarikh luput dan menasihati pengguna dari masa
kesemasa untuk menukarkan kata laluan mereka.
-
Sumber-sumber teknologi
maklumat yang difikirkan mengandungi data atau maklumat sulit, atau rahsia
perlu dilindungi menerusi mekanisma pengesahan contohnya penggunaan kata
laluan.
-
Seboleh mungkin, makenisma
pengesahan yang lebih mantap dan kalis-hidu perlu digunakan bersesuaian dengan
maklumat atau data yang dilindungi serta kemudahan memelihara infrastruktur
makenisma pengesah tersebut. Contohnya, pengunaan one-time password, cryptographics
keys, memory token, smart token dan sebagainya. Pengunaan mekanisma canggih
sebegini haruslah diimbangi dengan tahap kerahsiaan sumber maklumat yang
dilindungi dan kesesuaian serta kemudahan pengguna mempraktisnya.
-
Kaedah pengesahan kalis-hidu
seperti pengunaan teknologi enkripsi perlu dipertimbangkan.