人間のコンピュータセキュリティに関する問題


  Share  
|


コンピュータセキュリティを実装するコントロールは複雑でも、頻繁になる漠然とした大規模な組織や煩雑な手続きを制御します。 にかかわらず、技術的な強さを制御し、もし彼らに影響を及ぼす非技術の実装を考慮して使用すると、深刻な影響を及ぼす安全保障することができます。 また、誤って使用された場合や設定しても、最善のセキュリティコントロールはせいぜい役に立たないと危険で最悪の事態をします。 したがって、デザイナー、実装のメンテナは、必要不可欠なセキュリティのコントロールは、これらのコントロールが正しく動作しています。

組織の問題

セキュリティを提供しない直接金融しているユーザーの特典です。 損失を制限することが、それも必要なことができると支出のリソースを別の場所に使用されます。 損失が発生しない限り、組織を信じる彼らはしばしば安全保障に関連する努力を無駄にします。 後の損失は、これらのコントロールの値が突然よろしくお願いいたします。 また、セキュリティ管理の複雑さをしばしばそれ以外の簡単な操作を追加します。 たとえば、株式取引を締結する2分3分とせずにセキュリティ管理、セキュリティを制御し、それらのコントロールを追加し、 50 %の損失の結果を生産します。

損失が発生したときのセキュリティ保護が所定の位置に、しかし、そのような損失が予想される未満てきた彼らはせずに、セキュリティメカニズムです。 質問するかどうかの鍵は、このような損失は、結合され、その結果生じる生産性の損失だろう、それ以上の損失または金融への信頼の喪失に苦しむべき1つのnonsecuredトランザクションセキュリティの違反します。

配合この問題は、この問題は誰が責任を負うために、同社のコンピュータのセキュリティをします。 電源の適切なコントロールを実装する必要があり、居住者の責任;その結果は、そうしないことができた人はほとんどのセキュリティー対策の必要性を明確に参照して、それらを実現するための責任者は、これを行うにはされませんします。 これは、単に健全な商慣行;電源原因で問題が発生せず、いかなる責任組織と同様に、電源はせずに責任となります。

一度クリアチェーンの責任と電源が設立され、セキュリティを確保する必要があり、対等な立場で競争することができ、他の組織のニーズにします。 最も共通の問題に直面し、セキュリティマネージャには、訓練を受けた人たちの不足で、コンピュータセキュリティの分野でました。 共通の問題は、別の人が多すぎて仕事に精通します。 多くの団体である"セキュリティ管理者"は、システム管理者にも関与し、開発、または他の二次的な機能です。 実際のところ、セキュリティ面での仕事が多い二次します。 問題は、しばしばセキュリティ上の問題の兆候はありません明白な時間とスキルを必要とスポットがあります。 攻撃に対処するための準備をすることカオス少ない、しかし、そのような準備に十分な時間が必要なので、治療に十分な注目を集めて二次的な側面としての仕事をすることを意味し実行されませんうーん、結果を予想しています。

資源不足は、別の共通の問題だ。 必要なシステムリソースを確保するための人と同様です。 必要な時間を設定することを設計することが適切なレベルのセキュリティを提供する、を実装する設定、およびシステムを管理しています。 お金を必要とした製品を購入することが必要に応じて適切なセキュリティシステムを構築したり、誰かに支払う設計やセキュリティ対策を実施します。 コンピュータリソースを実装することを必要として実行すると、セキュリティメカニズムの手続きをした。 訓練を受けていることを確認して必要な従業員のセキュリティツールの使用方法を理解し、その結果を解釈する方法を、そしてどのように実装して非技術的側面のセキュリティポリシーをご覧ください。

人の問題

セキュリティシステムの心臓部は、どんな人です。 これは特に、真のコンピュータセキュリティは、主に技術的な取引をコントロールして人間が介入することができ、通常はバイパスされます。 たとえば、ユーザーのコンピュータシステムの認証を要求されると、ユーザーのための秘密のコード;秘密のコードが正しい場合は付属の場合は、コンピュータを前提として、ユーザーがシステムの使用を許可されます。 認証されたユーザ指示した場合は他の人に彼の秘密のコードは、不正利用者を装うことができ、ユーザーの権限を大幅に少なくする可能性を検出します。

動機がいくつかある人は、組織への攻撃を使用することは許可されていません組織のシステムは、部外者と呼ばれる深刻な脅威をもたらすことができます。 専門家らは、しかし、もっとはるかに危険な脅威から来る不満を抱いた従業員や他の関係者は、コンピュータの使用を許可されます。 通常、内部の組織を知っていると、会社のシステムの演算子とどのような手順に従ってユーザーとパスワードをよく知っている十分なバイパスを検出する多くのセキュリティコントロールをご希望される部外者の攻撃を開始します。 インサイダー認可の権限の乱用は、非常に困難な問題を解決します。

人事にも鍛えられていないシステムのセキュリティを脅かすます。 この例では、 1つの演算子を実感してませんでしたバックアップテープの内容を確認する必要があるの前にテープが保存されます。 攻撃いくつかの重要なシステムファイルを削除したとき、彼女なしのバックアップテープを発見した可能性がある読んでいます。

システム管理者のセキュリティメカニズムを読み違えるの出力は、出力するかどうかを分析して、成功の確率に貢献する彼らのシステムに攻撃します。 同様に、管理者misconfigureセキュリティ関連の機能は、システムのウェブサイトのセキュリティを弱めることができます。 ユーザーがサイトのセキュリティを弱めることも悪用されるセキュリティメカニズム(のようなパスワードを選択することが簡単に推測)します。

訓練の不足は必要ありませんが、技術的なアリーナです。 多くの成功を収め侵入が生じたから、アートのソーシャルエンジニアリングします。 演算子のパスワードを変更する場合は、電話でのリクエストに基づいて、すべてのアタッカーを決定しなければならないのは、人の名前を使用してコンピュータにします。 共通の戦術を選択するには、かなり上回っている演算子(のような会社の副社長)としたふりをする緊急(呼び出しなどと言って、夜に報告書を社長は、同社は次の日の朝のため)渋るので、演算子は、リクエストを拒否します。 一度に1つのパスワードが変更されたことを知って攻撃していますが、通常のユーザーとしてログインします。 ソーシャルエンジニアリングと頻繁に壊滅的な攻撃は非常に成功しました。

misconfigurationの問題を悪化されるのは、多くの複雑なセキュリティ関連の設定ファイルです。 たとえば、キーを無効にすることができ誤植の保護機能があります。 さらに悪化し、ソフトウェアはありません、いつもの仕事を宣伝します。

広く使われている脆弱性の1つは、システム管理者のことが起きたときにはあまりにも長すぎて、システムの名前をリストに追加した特定のファイルにアクセスできるようにします。 リストが長すぎたため、単に仮定して、システム管理者に許可することを意図してこれらのファイルにアクセス制限なしに誰にもアクセスできるthemexactlyの意図は正反対のことだったします。

これは、記事に追加されmedenリース

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions