Edizioni umane per quanto riguarda sicurezza del calcolatore


  Share  
|

Effettuare i comandi di sicurezza del calcolatore è complesso ed in una grande organizzazione i comandi procedurali diventano spesso vaghi o ingombranti. Senza riguardo alla resistenza dei comandi tecnici, se le considerazioni non tecniche interessano la loro esecuzione ed uso, l'effetto su sicurezza può essere severo. Inoltre, se configurato o usato in modo errato, persino il controllo di sicurezza migliore è inutile nel migliore dei casi e pericoloso a più difettoso. Quindi, i progettisti, i implementers ed i mantenitori dei comandi di sicurezza sono essenziali al funzionamento corretto di quei comandi.

Problemi Organizzativi

La sicurezza non fornisce ricompense finanziarie dirette all'utente. Limita le perdite, ma inoltre richiede il dispendio delle risorse che potrebbero essere usate altrove. A meno che le perdite accadano, le organizzazioni credono spesso che stiano sprecando lo sforzo relativo a sicurezza. Dopo una perdita, il valore di questi comandi è improvvisamente apprezzato. Ancora, i comandi di sicurezza aggiungono spesso la complessità ai funzionamenti al contrario semplici. Per esempio, se concludere un commercio di riserva occorre due minuti senza comandi di sicurezza e tre minuti con i comandi di sicurezza, aggiungere quei comandi provoca una perdita di 50% di rendimento.

Le perdite accadono quando le protezioni di sicurezza sono sul posto, ma tali perdite si pensano che siano di meno che sarebbero state senza i meccanismi di sicurezza. La domanda chiave è se una tal perdita, unita con la perdita risultante nel rendimento, sarebbe più grande di una perdita finanziaria o la perdita di riservatezza una del nonsecured le transazioni soffre una frattura di sicurezza.

Complicare questo problema è la domanda di chi è responsabile della sicurezza dei calcolatori dell'azienda. L'alimentazione effettuare i comandi adatti deve risedere con coloro che è responsabile; la conseguenza di non fare così è che la gente che può vedere il più chiaro l'esigenza delle misure di sicurezza e che è responsabile dell'effettuarle, non potrà fare così. Ciò è pratica semplicemente sana di affari; la responsabilità senza alimentazione causa i problemi in tutta l'organizzazione, appena come alimenta senza responsabilità.

Una volta che le catene libere della responsabilità e dell'alimentazione sono state stabilite, l'esigenza di sicurezza può competere su un basamento di parità ad altri bisogni dell'organizzazione. Il problema che più comune le facce del responsabile di sicurezza è la mancanza di gente ha addestrato nella zona di sicurezza del calcolatore. Un altro problema comune è che la gente informata è sovraccaricata di lavoro. A molte organizzazioni, "il coordinatore di sicurezza" inoltre è coinvolgere nella gestione del sistema, nello sviluppo, o in una certa altra funzione secondaria. Infatti, la funzione di sicurezza del lavoro è spesso secondaria. Il problema è che le indicazioni dei problemi di sicurezza spesso non sono evidenti e non richiedono il tempo e l'abilità di macchiare. La preparazione per un attacco rende occupandosi di esso meno caotico, ma tale preparazione occorre abbastanza tempo e richiede abbastanza attenzione in modo che trattandola mentre una funzione secondaria di un lavoro significa che non sarà effettuata bene, con le conseguenze previste.

La mancanza di risorse è un altro problema comune. L'assicurazione del sistema richiede le risorse così come la gente. Richiede il tempo di progettare una configurazione che fornirà un livello sufficiente di sicurezza, allo strumento la configurazione ed amministrerà il sistema. Richiede i soldi comprare i prodotti che sono necessari sviluppare un sistema sufficiente di sicurezza o pagare qualcun'altro per progettare ed effettuare le misure di sicurezza. Richiede le risorse del calcolatore effettuare ed eseguire i meccanismi e le procedure di sicurezza. Richiede l'addestramento accertarsi che gli impiegati capiscano come utilizzare gli attrezzi di sicurezza, come interpretare i risultati e come effettuare le funzioni non tecniche della politica di sicurezza.

Problemi Della Gente

Il cuore di tutto il sistema di sicurezza è la gente. Ciò è particolarmente allineare nella sicurezza del calcolatore, che si occupa pricipalmente dei comandi tecnologici che possono essere esclusi solitamente tramite intervento umano. Per esempio, un sistema di elaborazione autentica un utente chiedendo che utente un codice segreto; se il codice segreto corretto è fornito, il calcolatore suppone che l'utente è autorizzato ad usare il sistema. Se un utente autorizzato dice ad un'altra persona al suo codice segreto, il masquerade non autorizzato della latta dell'utente come l'utente autorizzato con significativamente meno probabilità di rilevazione.

La gente che ha certo motivo per attacare un'organizzazione e non è autorizzata per usare che i sistemi dell'organizzazione sono denominati stranieri e possono proporre una minaccia seria. Gli esperti accosentono, tuttavia, che una minaccia molto più pericolosa viene dagli impiegati disgruntled e da altri membri che sono autorizzati ad utilizzare i calcolatori. I membri conoscono tipicamente l'organizzazione dei sistemi dell'azienda e che procedure gli operatori e gli utenti seguono e conoscono spesso abbastanza parole d'accesso per escludere molti comandi di sicurezza che rileverebbero un attacco lanciato da uno straniero. L'abuso del membro dei privilegi autorizzati è un problema molto difficile da risolvere.

I personali non addestrati inoltre propongono una minaccia a sicurezza del sistema. Come esempio, un operatore non si è reso conto che il contenuto dei nastri di riserva ha dovuto essere verificato prima che i nastri fossero immagazzinati. Quando i attackers hanno cancellato parecchie lime di sistema critiche, ha scoperto che nessun dei nastri di riserva potrebbero essere letti.

I coordinatori di sistema che misread l'uscita dei meccanismi di sicurezza, o non analizzano quell'uscita, contribuiscono alla probabilità degli attacchi riusciti contro i loro sistemi. Similmente, coordinatori che le caratteristiche sicurezza-relative di misconfigure di un sistema possono indebolire la sicurezza del luogo. Gli utenti possono anche indebolire la sicurezza del luogo abusando dei meccanismi di sicurezza (come selezione delle parole d'accesso che sono facili da indovinare).

Mancanza di bisogno di addestramento essere nell'arena tecnica. Molte irruzioni riuscite sono risultato dall'arte di ingegneria sociale. Se gli operatori cambieranno le parole d'accesso basate sulle richieste del telefono, tutte un attacker deve fare deve determinare il nome di qualcuno che utilizzi il calcolatore. Una tattica comune deve selezionare qualcuno ragionevolmente lontano sopra l'operatore (quale un vice presidente dell'azienda) e fingere un'emergenza (come la chiamata alla notte e dire che un rapporto al presidente dell'azienda è previsto la mattina prossima) in modo che l'operatore sia riluttante a rifiutare la richiesta. Una volta che la parola d'accesso è stata cambiata ad una che il attacker conosce, può entrare semplicemente come utente normale. Gli attacchi sociali di ingegneria sono notevolmente riusciti e spesso devastating.

Il problema del misconfiguration si aggrava dalla complessità di molte lime sicurezza-relative di configurazione. Per esempio, un errore tipografico può inabilitare le caratteristiche chiave di protezione. Più difettoso ancora, software non funziona sempre come fatto pubblicità a.

Un sistema ampiamente usato ha avuto una vulnerabilità che ha presentato quando un coordinatore ha reso ad una lista troppo lunga quei i sistemi chiamati con accesso a determinate lime. Poiché la lista era troppo lunga, il sistema ha supposto semplicemente che il coordinatore ha significato permettere che quelle lime siano raggiunte senza limitazione su chi potrebbe accedere themexactly all'opposto di che cosa è stato inteso.

ciò è un articolo aggiunto da Meden Reece


Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions