Права вопросам компьютерной безопасности

Share

|

Внедрение компьютерного контроля безопасности является сложной, и в целом организации процедурного контроля часто становятся расплывчатыми или громоздкими. Независимо от численности технического контроля, если nontechnical соображения влияют на их внедрения и использования, влияние на безопасность могут быть серьезными. Кроме того, если в настройках или используются неправильно, даже самые контроля безопасности бесполезно, в лучшем и в худшем - опасными. Таким образом, дизайнеров, исполнителей, и Кураторы контроля безопасности имеют важное значение для правильного функционирования этих контроля.

Организационные проблемы

Безопасности не дает никакой прямой финансовой выгоды для пользователя. Она ограничивает потери, но и требует расходов ресурсов, которые могут быть использованы в других местах. Если убытки происходят, организации часто считаю, что они тратить усилия, связанные с обеспечением безопасности. После утраты, стоимость такого контроля неожиданно становится оценку. Кроме того, контроля безопасности часто добавить сложность иного простые операции. Например, если заключение торговых запасов занимает две минуты без контроля безопасности и трех минут с контроля безопасности, добавив, такого контроля приводит к 50% потери производительности.

Потери происходят, когда безопасность защита в место, но такие потери, как ожидается, будет меньше, чем они были бы без механизмов безопасности. Ключевой вопрос, является ли такая потеря, а также в результате потерь в производительности, будет больше, чем финансовые потери или утраты доверия следует один из nonsecured сделок страдают нарушением безопасности.

Усугубляя этой проблемы является вопрос о том, кто несет ответственность за обеспечение безопасности в компании компьютеров. Полномочия по осуществлению надлежащего контроля должны проживать с теми, кто несет ответственность; Следствием не делают этого заключается в том, что людей, которые могут наиболее четко видим необходимость мер безопасности, и кто отвечает за их выполнение, не сможет это сделать. Это просто безупречную деловую практику; Ответственность без власти создает проблемы в любой организации, как делает власть без ответственности.

После четкой цепочки ответственности и власти были созданы, потребность в безопасности могут конкурировать на равных с другими потребностями организации. Наиболее распространенной проблемой безопасности, менеджер сталкивается, является отсутствие квалифицированных специалистов в области компьютерной безопасности. Другой распространенной проблемой является то, что знающих людей перегружены работой. На многих организаций, "безопасность администратора" также участвует в системе управления, развития, или другие вторичные функции. По сути, аспект безопасности труда зачастую вторичных. Проблема в том, что признаки проблем безопасности зачастую не очевидны и требуют времени и мастерства месте. Подготовка нападения делает борьбы с ней менее хаотичным, но такая подготовка занимает достаточно времени и требует достаточного внимания, чтобы рассматривать его в качестве вторичных аспектов работы означает, что он не будет выполняться так, с ожидаемыми последствиями.

Нехватка ресурсов - это еще одна общая проблема. Обеспечение системы требует ресурсов, а также людей. Она требует времени для разработки конфигурации, что обеспечит достаточного уровня безопасности, осуществлять конфигурацию, и для управления системой. Она требует денег на покупку продуктов, которые необходимы для создания адекватной системы безопасности или оплатить кто-то другой в целях разработки и осуществления мер безопасности. Она требует компьютерных ресурсов для осуществления и выполнения защитных механизмов и процедур. Оно требует подготовки кадров для обеспечения того, чтобы работники понять, как использовать средства безопасности, как интерпретировать результаты, и каким образом можно осуществить nontechnical аспектам политики безопасности.

Люди Проблемы

Сердце любой системы безопасности является человек. Это особенно справедливо в отношении компьютерной безопасности, которая занимается главным образом технологического контроля, которые обычно можно обойти путем вмешательства человека. Например, компьютерная система идентифицирует пользователя, задавая пользователю для секретный код; Если правильный секретный код поставляется на компьютере предполагает, что пользователь имеет право использовать систему. Если зарегистрированный пользователь сообщает его другому лицу секретный код, несанкционированный пользователь может маскарадом, как зарегистрированный пользователь значительно меньше вероятность обнаружения.

Люди некоторых мотивов для нападения на организации, а не разрешение на использование этой организации систем называются аутсайдеров и могут представлять серьезную угрозу. Эксперты согласны с тем, что гораздо более опасная угроза исходит от недовольных работников и других инсайдеры, которые разрешено использовать компьютеры. Insiders, как правило, знают об организации компании, систем и процедур, что операторы и пользователи последующих и зачастую знаем пароли обойти многие контроля безопасности, что бы обнаружить нападения один внешнего. Использованием инсайдерской уполномоченного привилегий - это очень сложная проблема для решения.

Необученных, также представляют собой угрозу для безопасности системы. Например, один оператор не осознают, что содержание резервной ленты должны быть проверены до пленки хранятся. Когда нападавшие исключен ряд критических системных файлов, она обнаружила, что никто из резервной ленты можно читать.

Система администраторов, которые ошибки производства механизмов обеспечения безопасности, или не анализировать, что производства, вклад в вероятность успешного нападения их систем. Кроме того, администраторы, которые misconfigure связанных с безопасностью особенностей система может ослабить безопасность объекта. Пользователи также могут ослабить безопасность объекта путем злоупотребления механизмы безопасности (например, выбрав пароли, которые трудно угадать).

Отсутствие профессиональной подготовки нет необходимости в технической сфере. Многие успешных взломов возникших в связи с искусством социальной инженерии. Если операторов будет сменить пароли на основе телефонных запросов, все злоумышленнику необходимо сделать - это определить название кого-либо, кто использует компьютер. Общая тактика заключается в том, чтобы выбрать кого-то достаточно далеко выше оператора (например, вице-президента компании) и создания видимости чрезвычайной ситуации (например, призыв ночью и сказать, что доклад президента компании объясняется утром следующего дня) так, что оператор не хотят отказывать в просьбе. После того как пароль был изменен на один, что злоумышленник знает, то он может просто войти в качестве обычного пользователя. Социальной инженерии нападения весьма успешной и часто разрушительное.

Проблема Неправильная усугубляется сложностью многих, связанных с обеспечением безопасности конфигурационных файлов. Например, опечатка можете отключить основные функции защиты. Хуже того, программное обеспечение не всегда работает как реклама.

Один из широко используется система уязвимость, которая возникает, когда администратор сделал слишком длинный список, который называется систем доступа к некоторым файлам. Поскольку список был слишком долго, то система просто предположить, что администратору, чтобы разрешить эти файлы можно просматривать без каких-либо ограничений относительно того, кто может получить доступ themexactly противоположное тому было.