Menschlichen Fragen in Bezug auf Computer Security


  Share  
|

Implementieren Computer Sicherheitskontrollen ist komplex, und in einer großen Organisation Verfahrenskontrollen oft zu ungenau oder umständlich. Unabhängig von der Stärke der technischen Kontrollen, wenn nicht-technische Erwägungen beeinflussen deren Umsetzung und verwenden, können die Auswirkungen auf die Sicherheit schwerwiegend sein. Außerdem, wenn konfiguriert oder falsch verwendet, auch die beste Sicherheit Kontrolle ist nutzlos am besten und im schlimmsten Fall gefährlich. Somit sind die Designer, Implementierer und Betreuer von Sicherheitskontrollen für das ordnungsgemässe Funktionieren dieser Kontrollen.

Organisatorische Probleme

Security bietet keine direkte finanzielle Belohnungen für den Benutzer. Es begrenzt Verluste, aber es erfordert auch die Ausgaben von Ressourcen, die anderswo eingesetzt werden könnten. Sofern Verluste auftreten, Organisationen glauben oft, sie verschwenden Aufwand in Bezug auf Sicherheit. Nach einem Verlust, den Wert dieser Kontrollen wird plötzlich zu schätzen. Darüber hinaus kontrolliert die Sicherheit oft mehr Komplexität, anders zu einfachen Operationen. Zum Beispiel, wenn den Abschluss eines Handels-Lager dauert zwei Minuten ohne Sicherheitskontrollen und drei Minuten mit Sicherheitskontrollen, indem diese Kontrollen führt zu einer 50% Verlust an Produktivität.

Verluste auftreten, wenn Sicherheitsschutz vorhanden sind, aber solche Verluste werden voraussichtlich weniger sein, als sie ohne die Sicherheitsmechanismen gewesen wäre. Die entscheidende Frage ist, ob ein solcher Verlust, mit den daraus resultierenden Verlust an Produktivität kombiniert, wäre größer als ein finanzieller Verlust oder Verlust des Vertrauens sollte eine der nonsecured Transaktionen leiden einer Verletzung der Sicherheit.

Verschärft wird die Problematik ist die Frage, wer ist verantwortlich für die Sicherheit der Unternehmens-Computern. Die Befugnis, entsprechende Kontrollen durchführen müssen die Verantwortlichen zu wohnen; die Folge nicht dabei ist, dass die Menschen, die am deutlichsten sehen die Notwendigkeit für Maßnahmen zur Gefahrenabwehr kann und wer für deren Umsetzung verantwortlich sind, nicht in der Lage dies zu tun. Das ist einfach Geschäftspraktiken, die Verantwortung ohne Macht führt zu Problemen in einer Organisation, wie sich Macht ohne Verantwortung.

Sobald klar Ketten von Verantwortung und Macht wurden eingerichtet, das Bedürfnis nach Sicherheit kann auf Augenhöhe mit anderen Bedürfnisse der Organisation zu konkurrieren. Das häufigste Problem ein Sicherheitsmanager Gesichter ist der Mangel an Menschen im Bereich der Computer-Sicherheit geschult. Ein weiteres häufiges Problem ist, dass erfahrene Leute mit Arbeit überlastet sind. Bei vielen Organisationen, die "Security Administrator" ist auch in der Systemadministration, Entwicklung, oder eine andere sekundäre Funktion beteiligt. In der Tat ist der Aspekt der Sicherheit des Arbeitsplatzes häufig zweitrangig. Das Problem ist, dass Hinweise auf Sicherheitsprobleme sind oft nicht offensichtlich und erfordern Zeit und Geschick zu erkennen. Vorbereitung für einen Angriff macht mit ihm zu tun weniger chaotisch, aber eine solche Vorbereitung dauert genügend Zeit und erfordert wenig Aufmerksamkeit, so dass die Behandlung als Nebenaspekt des Arbeitsplatzes bedeutet, dass es nicht gut durchgeführt werden, mit der zu erwartenden Folgen.

Mangel an Ressourcen ist ein weiteres häufiges Problem. Sichern eines Systems erfordert Ressourcen sowie Menschen. Es braucht Zeit, um eine Konfiguration, die ein angemessenes Maß an Sicherheit bieten wird, um die Konfiguration zu implementieren und das System verwalten Design. Es erfordert Geld für Produkte, die nötig sind, um eine ausreichende Sicherheit System zu bauen oder jemand anders zu konzipieren und umzusetzen Sicherheitsmaßnahmen zahlen sind zu erwerben. Es erfordert Computer-Ressourcen zu implementieren und ausführen die Sicherheitsmechanismen und-verfahren. Es erfordert Übung, um sicherzustellen, dass die Mitarbeiter verstehen, wie die Sicherheits-Tools verwenden, wie die Ergebnisse zu interpretieren, und wie die nicht-technische Aspekte der Sicherheitspolitik umzusetzen.

Leute Probleme

Das Herz eines Sicherheitssystems sind die Menschen. Dies gilt insbesondere in EDV-Sicherheit, die sich hauptsächlich mit technologischen Regelungen, die üblicherweise durch menschliche Eingriffe umgangen werden können Angebote. Zum Beispiel, authentifiziert ein Computersystem eines Benutzers mit der Frage, dass Benutzer nach einem geheimen Code, wenn die richtige Geheimzahl geliefert wird, übernimmt der Computer, dass der Benutzer berechtigt ist, das System zu verwenden. Wenn ein berechtigter Benutzer einer anderen Person erzählt seine Geheimzahl kann der unbefugte Benutzer als autorisierter Benutzer mit deutlich weniger Wahrscheinlichkeit der Aufdeckung Maskerade.

Menschen, die ein Motiv für eine Organisation anzugreifen und sind nicht berechtigt, Nutzung dieser Organisation sind Außenseiter bezeichnet und kann eine ernste Bedrohung darstellen. Experten sind sich einig, jedoch, dass eine weitaus gefährlichere Bedrohung durch unzufriedene Mitarbeiter und andere Insider, die ermächtigt, die Computer nutzen, sind kommt. Insider wissen in der Regel die Organisation des Unternehmens Systeme und welche Verfahren die Betreiber und Nutzer zu verfolgen und oft genug wissen, Passwörter zu viele Sicherheits-Kontrollen, dass ein Angriff durch ein Außenseiter gestartet erkennen würde zu umgehen. Insider Missbrauch von autorisierten Privilegien ist ein sehr schwieriges Problem zu lösen.

Ungeschultes Personal auch eine Bedrohung für die Sicherheit des Systems. Als Beispiel hat ein Betreiber nicht erkennen, dass der Inhalt des Backup-Bänder nötig sind, um zu überprüfen, bevor die Bänder gelagert wurden. Wenn Angreifer mehrere wichtige Systemdateien gelöscht, entdeckte sie, dass keiner der Backup-Bänder gelesen werden konnte.

Systemadministratoren, die die Ausgabe von Security-Mechanismen falsch oder nicht, zu analysieren, die Leistung, dazu beitragen, die Wahrscheinlichkeit einer erfolgreichen Angriffe auf ihre Systeme. Auch Administratoren, die falsch konfigurieren sicherheitsrelevante Merkmale eines Systems kann die Website Sicherheit zu schwächen. Benutzer können auch schwächen Sicherheit der Website durch den Missbrauch von Security-Mechanismen (wie z. B. die Auswahl Passwörter, die leicht zu erraten sind).

Mangelnde Ausbildung nicht in den technischen Bereich sein. Viele erfolgreiche Einbrüche wurden von der Kunst des Social Engineering entstanden. Wenn Betreiber werden Passwörter auf telefonischen Anfragen ändern, braucht ein Angreifer zu tun ist, um den Namen von jemandem, der den Computer verwendet zu bestimmen. Eine gemeinsame Taktik ist es, jemand ziemlich weit oben holen die Betreiber (z. B. ein Vice President des Unternehmens) und auf einen Notfall vortäuschen (z. B. Aufruf in der Nacht und sagen, dass ein Bericht an den Präsidenten der Gesellschaft zurückzuführen ist am nächsten Morgen) so dass der Bediener zögern werden, um die Anforderung zu verweigern. Sobald das Passwort auf einen, dass der Angreifer weiß, geändert wurde, kann er einfach als normaler Benutzer anmelden. Social Engineering-Angriffe sind äußerst erfolgreich und oft verheerend.

Das Problem der Fehlkonfiguration ist durch die Komplexität der vielen sicherheitsrelevanten Konfigurationsdateien verschärft. Zum Beispiel kann ein Tippfehler deaktivieren Schlüssel Schutzfunktionen. Noch schlimmer ist, muss Software nicht immer wie angekündigt zu arbeiten.

Eine weit verbreitete System verwendet hatte eine Schwachstelle, wenn ein Administrator eine zu lange Liste, die genannten Systeme mit Zugriff auf bestimmte Dateien aus entstanden ist. Da die Liste zu lang war, das System einfach angenommen, dass der Administrator, damit diese Dateien ohne Beschränkung wer könnte themexactly Zugang das Gegenteil von dem, was beabsichtigt war zugegriffen werden soll.

Verfasst von Meden Reece

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions