3 Svarbūs įrankiai ir priemonės IT išteklių pažeidžiamumui kontroliuoti

Toliau pateikiamos kai kurios svarbios IT išteklių pažeidžiamumo kontrolės priemonės ir priemonės:

Žalos pobūdis skirtinguose IT infrastruktūros lygiuose skiriasi. Informacijos sugadinimas gali būti vertybių keitimas ar ištrynimas arba jo privatumo praradimas. Paslaugos ir tinklas paprastai yra sugadinti avarijos, kurią sukelia techninės ar programinės įrangos gedimas arba abu.

Image Courtesy: ipa.go.jp/files/000013242.png

Kadangi informacija generuojama ir saugoma naudojantis paslaugomis ir tinklais, informacijos šaltinis kyla iš aparatūros ar programinės įrangos gedimų. Kadangi šie trys elementai yra tarpusavyje susiję, bet kokia žala paslaugoms ar tinklui trukdo sistemos veikimui, o žala informacijai tampa mažiau naudinga paslaugoms ir tinklui. Todėl yra pagrįstas integruotas požiūris į IT infrastruktūros saugumą.

Naudojant įvairias kontrolės priemones ir priemones, galima kontroliuoti IT išteklių pažeidžiamumą. Jie klasifikuojami kaip:

a) Pagrindiniai valdymo įrankiai

b) Bendrosios kontrolės priemonės

c) taikymo kontrolės priemonės

1. Pagrindiniai valdymo įrankiai:

Toliau pateikiami kai kurie pagrindiniai valdymo įrankiai, kurie dažniausiai naudojami IT išteklių pažeidžiamumui kontroliuoti:

a) Atsarginė kopija:

Pagrindinė informacijos apsaugos priemonė yra visų duomenų kopijų saugojimas. Jis tarnauja dvejopam tikslui - atkūrimui ir piktnaudžiavimo nustatymui. Duomenų ir programų failų atsarginių kopijų išsaugojimo sistema gali skirtis nuo taikomųjų programų, tačiau sisteminė ir reguliari failų kopijavimo sistema laikoma absoliučiai būtina visose IT infrastruktūrose.

Atsarginės kopijos turi būti laikomasi religiškai, kad atsarginių kopijų sistema nepavyktų, kai ji buvo reikalinga. Dauguma duomenų bazių valdymo sistemų dabar apima automatinio duomenų atsargines kopijas. Be to, po kiekvieno pakeitimo programos failai turi būti padaryti atsarginiai. Svarbūs duomenys ir programos turi būti reguliariai tikrinami.

b) Padalinkite ir valdykite:

Ši laiko patikrinta saugumo taisyklė gali būti taikoma ir duomenų saugumui. Būtina užtikrinti ribotą prieigą prie kiekvieno naudotojo, kad būtų užtikrinta, jog niekas nepadarytų žalos visai sistemai. Piktnaudžiavimas vienoje vietoje nustatomas kitoje vietoje, kai vyksta normalus informacinės sistemos veikimas.

Prieiga prie IT išteklių turi būti apibrėžta taip, kad jie atitiktų skaičiavimo poreikius, susijusius su vartotojo atsakomybės vykdymu; ne mažiau ir ne daugiau, nei būtina. Taigi prieigos leidimas gali būti apribotas bet kuria operacija, pvz., Skaitymu, rašymu, keitimu ir vykdymu.

Prieigos leidimas gali būti nustatytas kiekvienam duomenų bazės duomenų elementui. Panašiai kiekvienam moduliui reikia nustatyti prieigos teises taikomojoje programinėje įrangoje ir kiekvienoje kompiuterinės įrangos dalyje. Vartotojo identifikavimas ir patvirtinimas naudojant slaptažodį ir kitus metodus yra būtini norint reguliuoti prieigą prie IT infrastruktūros.

c) Prieigos leidimas:

Galimybė susipažinti su informacija gali būti ribojama naudojant leidimo priemones. Šios priemonės leidžia susipažinti su informacija tik tinkamai identifikavus vartotojus. Kiekvienas vartotojas turi ribotą prieigą prie informacijos. Naudotojo tapatybės patikrinimas gali būti atliekamas naudojant slaptažodžius. Šiuolaikiniai kompiuterių įrenginiai turi pažangesnius tapatybės patvirtinimo įrankius, pagrįstus balso ar kitais fiziniais atributais, pvz., Naudotojų pirštų atspaudais.

d) Šifravimas:

Šifravimas - tai procesas, kai informacija paverčiama daugybe koduotų ir beprasmių simbolių derinių, kuriuos galima iššifruoti, kad duomenys būtų paversti pradine forma. Šis duomenų keitimas vyksta naudojant specialią techninę ir programinę įrangą.

Šifravimas ir iššifravimas grindžiamas vartotojo nurodytu kodu. Šis kodas yra įgalioto duomenų naudotojo išsaugojimas ir bet kokio kito kodo naudojimas nepakeis informacijos. Šifravimo įrankiai yra gana dažni, kai informacija perduodama toli nutolusiose vietose, naudojant bendrus duomenų laikmenas, pvz., Telefono linijas.

e) Palyginimai:

Palyginimas yra viena iš svarbių piktnaudžiavimo nustatymo priemonių. Reguliarus duomenų palyginimas su pirminiais dokumentais, dabartinėmis programos rinkmenomis su programos failų pagrindinėmis kopijomis, ankstesnės terminų vertybės su dabartinėmis terminų reikšmėmis yra naudinga priemonė laiku nustatyti piktnaudžiavimą. Šiuos palyginimus turi atlikti žmonės, kurie tiesiogiai nedalyvauja kuriant ir naudojant IT išteklius.

f) Atskaitomybė:

Siekiant užtikrinti, kad būtų laikomasi saugumo procedūros, yra gana sunku, nes nesant didelių piktnaudžiavimo, pasitenkinimas pradeda šliaužti. Todėl būtina nustatyti atskaitomybę už saugumo procedūrų laikymąsi.

(g) Vartotojo žurnalas:

IT infrastruktūros naudotojų veiklos stebėjimas yra svarbus atgrasymas nuo piktnaudžiavimo kompiuteriu. Kiekvieno naudotojo atliktų operacijų išsamių sąrašų priežiūra ir periodiškas tikrinimas daro didelį spaudimą naudotojams laikytis saugumo normų ir taip pat užtikrina ankstyvą piktnaudžiavimo nustatymą. Audito takai yra būtini perdirbimui rekonstruoti ir atsakomybės už piktnaudžiavimą nustatymui.

h) Rekomendacijos:

Daugelis kartų gali būti piktnaudžiaujama dėl nepakankamo mokymo, susijusio su saugumo priemonių tvarkymu. Turėtų būti sukurta internetinės pagalbos sistema visiems naudotojams, teikiant konsultacijas ir padedant suprasti grėsmę saugumui. Tokia sistema labai padeda plėtoti vartotojų pasitikėjimą saugumo sistemos stiprumu ir padeda anksti nustatyti grėsmes ir piktnaudžiavimus.

i) Auditas:

Informacinių sistemų auditas yra dar viena svarbi priemonė, užtikrinanti, kad informacinė sistema tinkamai atliktų paskirtas funkcijas. Informacinių sistemų audito ir kontrolės asociacija (ISACA) yra JAV įsikūrusi organizacija, kurios tikslas - parengti informacinės sistemos audito standartus, siekiant šiam tikslui mokyti ir akredituoti specialistus.

Mažesn ÷ s įmon ÷ s, kurios negali sau leisti įdiegti vidaus informacin ÷ s sistemos audito procedūras, gali samdyti praktin ÷ s informacijos paslaugas, sistemos auditorius. Toks auditas aptinka ir stabdo priežiūrą ir saugo įspėjimą apie saugumą.

Konkretus šių priemonių naudojimas ir tikslus kontrolės procedūrų pobūdis priklausytų nuo išteklių pobūdžio ir grėsmės rimtumo.

2. Bendrosios kontrolės priemonės:

Šios kontrolės priemonės taikomos visoms paraiškų ir duomenų ištekliams. Jie susideda iš fizinės ir programinės įrangos kontrolės, kuri gali būti naudojama IT infrastruktūroje.

a) Organizacinė kontrolė:

Svarbiausia informacinių sistemų kontrolės priemonė yra organizacijos organizacijos struktūra ir atsakomybė. Du pagrindiniai organizacijos kontrolės būdai yra susiję su pareigų atskyrimu vienoje darbo vietoje.

Pavyzdžiui, sandorio įrašymas gali būti atskirtas nuo operacijų leidimo. Programinės įrangos kūrimas ir programinės įrangos testavimas gali būti atskirti, siekiant užtikrinti, kad susidūrimas būtų reikalingas piktnaudžiavimui. Darbo rotacija ir privalomos atostogos yra kitos bendro pobūdžio organizacinės kontrolės priemonės, kurios, kaip nustatyta, yra naudingos nustatant piktnaudžiavimą.

b) Sistemos kūrimo ir įgyvendinimo kontrolė:

Tai apima kontrolę, pvz., Tinkamus sistemos specifikacijos leidimus (specifikacijų pasirašymas), esamos sistemos pakeitimų tikrinimą ir patvirtinimą ir kt. Pagrindinės programinės įrangos kopijų, įskaitant pradinį kodą, dokumentaciją ir kitą susijusį turtą, kontrolė yra esminės sistemos kūrimo dalys. ir įgyvendinimo kontrolę. Informacijos sistemos standartų nustatymas ir jų įgyvendinimas yra svarbūs saugumo požiūriu.

c) Fizinės kontrolės priemonės:

Ši kontrolė apima įrangos ir programinės įrangos apsaugą nuo gaisro, potvynių, vagysčių, riaušių ir kt., Naudojant įvairias saugumo priemones, pvz., Dūmų detektorius, apsaugos darbuotojus, atskirus užraktus, uždarymo grandines, identifikavimo sistemas ir kt. apsisaugoti nuo IT infrastruktūros fizinio gyvenimo grėsmės. Šios kontrolės priemonės lygiagrečiai kontroliuoja kitą fizinį turtą, pvz., Pinigus, atsargas ir kt.

d) Nelaimių atkūrimo kontrolė:

Nelaimių atkūrimo kontrolės priemonės tampa labai svarbios kritinių taikomųjų programų ir didelės apimties žalos informacinėms sistemoms atveju. Būtina sukurti alternatyvą, kad būtų užtikrinta, jog atsigavimas po nelaimės būtų kuo mažesnis ir minimalus laiko ir galimybių praradimas.

Kai kuriais atvejais tai pasiekiama palaikant lygiagrečią IT infrastruktūrą, kuri būtų naudojama nelaimės atveju. Jei vertybinių popierių biržos sandorių sistema arba kelionių rezervavimo sistema nesugeba, tai gali būti labai didelė, jei vėluojama susigrąžinti ar nesėkmingai.

Tokiais atvejais lygiagrečios IT infrastruktūros yra laikomos būtinomis. Tačiau yra ir alternatyvių atkūrimo sistemų. Kai kurie pardavėjai specializuojasi duomenų atkūrimo atvejais, kai įvyksta nelaimingi atsitikimai, pvz., Kietojo disko gedimai, virusų atakos ir pan.

e) Programinės įrangos valdymo priemonės:

Programinės įrangos kontrolės priemonės paprastai susijusios su duomenų prieigos kontrole ir duomenų patvirtinimu duomenų įvedimo metu. Galima pažymėti, kad dauguma kompiuterio piktnaudžiavimo yra paslėpta su duomenų įvedimu. Prieigos keliai programinėje įrangoje gali būti atliekami daugiasluoksnėmis ir jautriomis programomis, o duomenys gali būti tinkamai apsaugoti programinės įrangos valdikliais.

Paprastai šie valdymo elementai yra susiję su vartotojo autentifikavimu, kiekvieno vartotojo funkcijų apibrėžimu ir nepakeičiamo operacijų, atliktų konkrečiame terminale, sekos sukūrimu (audito seka).

Tai daroma norint išsiaiškinti įvykių, dėl kurių įvyko tam tikras piktnaudžiavimas, seką. Neteisėta prieiga turėtų paskatinti įspėjimą, o pakartotiniai bandymai dėl neteisėtos prieigos turėtų būti laikomi rimtu bandymu išeiti per saugumo sistemą. Taigi, pakartotiniai bandymai neteisėtai pasiekti gali būti susiję su apdorojimo nutraukimu, terminalo uždarymu ir audito sekos įrašymu į tolesnę analizę.

f) Duomenų perdavimo kontrolė:

Šios kontrolės priemonės tampa vis svarbesnės, nes duomenų srautas didėja geometrinėmis proporcijomis ir padidėja atstumas tarp siuntėjo ir imtuvo. Abu šie rezultatai padidina duomenų ekspozicijos riziką. Yra daug metodų, kuriais siekiama apsaugoti duomenis keliaujant į paskirties terminalą.

Apskritai, grėsmės perduodamiems duomenims gali būti trijų rūšių: a) neteisėtos prieigos grėsmė, b) grėsmė duomenų tikslumui ir išsamumui, ir c) grėsmė laiku pateikti duomenis.

i) Neteisėta prieiga prie duomenų:

Sunkieji laidiniai tinklai (naudojant koaksialinius laidus arba skaidulinės optikos laikmenas) yra mažiau linkę į bėgimą kaip elektroniniai kanalai. Saugumo modemai taip pat populiarėja tinkluose, naudojančiose telefono linijas. Naudotojo autentiškumui tikrinti naudojamas kitas metodas, vadinamas automatinio atgalinio ryšio sistema. Šioje sistemoje informacija skambina ir laukia.

Siuntėjas tikrina autentiškumą, įrašo informaciją, kurią naudoja skambintojas, ir skambina atgal. Šis dvigubas skambintojo tapatybės ir vietos patikrinimas yra labai naudingas nustatant radijo ryšį. Automatinė atsijungimo sistema taip pat yra labai populiari kontrolės sistema.

Didėjant vykdomosios valdžios atsakomybei, yra visokeriopos galimybės, kad vykdomoji valdžia pamirštų tinkamai atsijungti ar atsijungti. Tokios sistemos užtikrina, kad jei terminalas nenaudojamas tam tikrą laiką, terminalas automatiškai išeina iš serverio. Tolesnė prieiga prie informacijos įmanoma tik tada, kai pakartojama prisijungimo procedūra. Tokio tipo kontrolė sumažina įsivaizdavimo galimybę.

ii) Duomenų vientisumo kontrolė:

Duomenų tikslumo ir išsamumo kontrolė yra būtina norint užtikrinti perduotų duomenų vientisumą. Duomenų perdavimo klaidos gali atsirasti dėl duomenų perdavimo kanalo sutrikimų arba kai kurių duomenų perdavimo įrangos gedimų.

Siekiant patikrinti, ar tiksliai ir tiksliai pasiekti duomenys, gali būti naudojami paritetiniai bitai. Kitas populiarus metodas yra pranešimo padalijimas į paketus, kurių antraštės ir poraštės (priekabos), ir jų buvimo tikrinimas gavėjo pabaigoje.

g) Kompiuterio valdymo įtaisai:

Kompiuterinių sistemų ir terminalų veikimo kontrolė gali atlikti svarbų vaidmenį vengiant piktnaudžiavimo kompiuteriu. Kompiuterio veikimo grafiką planuojama suplanuoti reguliariams vartotojams, ypač žemesniems valdymo hierarchijos lygiams, kur veiklos reikalavimai yra nuspėjami ir gali būti tinkamai suplanuoti. Bet kokie nukrypimai nuo reguliarių operacijų gali būti tikrinami, kad kompiuterinės sistemos veikimas nebūtų naudojamas kitoms funkcijoms, nei nurodytos dienos.

Kompiuterinių sistemų veikimo kontrolė tampa sudėtingesnė bendrų terminalų ir su interaktyviu ryšiu susijusių įrenginių atveju. Tačiau, jei identifikavimas ir slaptažodžiai nėra bendrai naudojami, daugelis bendrų terminalų valdymo problemų gali būti prižiūrimos.

h) techninės įrangos kontrolė:

Kompiuterių aparatinės įrangos kontrolė - tai kompiuterinių aparatūros gamintojų patikrinimai, skirti patikrinti, ar sistema veikia netinkamai, ir įspėjimai gedimų atveju. Tai apima žinomus paritetų patikrinimus saugyklose, galiojimo patikras ir dvigubo perskaitymo patikrinimus. Šios kontrolės priemonės yra labai naudingos duomenų saugojimui ir paieškai bei duomenų aritmetinių funkcijų atlikimui.

Bendroji kontrolė turi būti peržiūrėta atsižvelgiant į jų veiksmingumą. Šios kontrolės priemonės yra visos informacinės sistemos saugumo priemonės pagrindas.

3. Programos valdymas:

Tam tikriems tikslams, atsižvelgiant į jų specifinius reikalavimus ir rizikos suvokimą, būtina atlikti specialias kontrolės priemones. Tokia kontrolė siekiama užtikrinti informacijos atsargų įvedimo ir priežiūros tikslumą, pagrįstumą ir išsamumą. Jie apima automatinį ir rankinį valdymą.

a) Įvesties kontrolė:

Įvesties valdikliai užtikrina, kad įvestis būtų tinkamai patvirtinta ir įrašyta pagal šaltinio dokumentą. Pradiniai dokumentai yra sunumeruoti, o įvestis tikrinama partijomis, kol jie daro įtaką duomenų bazei. Partijos kontrolės sumos ir redagavimo rutinos naudojamos siekiant užtikrinti, kad įvesties duomenys būtų tikslūs ir išsamūs, o dvigubas įvestis pašalinamas.

Ekrano įvesties užklausos ir ekrano meniu naudojami siekiant užtikrinti duomenų įvedimo tikslumą ir išsamumą. Duomenų tikrinimo kontrolė naudojama siekiant užtikrinti galiojančius duomenų tipus, lauko ilgį, sandorio identifikavimą ir patikrinti, ar įvesties reikšmės yra pagrįstos.

b) Apdorojimo kontrolė:

Šios kontrolės tikslas - užtikrinti tinkamą procedūrų, kurios turėtų būti atliktos, atlikimą. Vykdyti kontrolės sumas, kompiuterių suderinimą su pagrindiniais įrašais su pasirinktais duomenų elementais operacijose, pagrįstumo patikrinimus, formato patikrinimus, priklausomybės patikrinimus, vizualinį tikrinimą ir tt, yra keletas bendrų patikrinimų, kurie naudojami siekiant užtikrinti, kad įvesties apdorojimas būtų atliktas teisingai .

c) Išvesties kontrolė:

Šios kontrolės priemonės yra skirtos užtikrinti, kad taikymo eiga būtų tiksli ir išsami. Ši kontrolė apima išvesties sumų balansavimą su įvesties ir apdorojimo sumomis, išvestinių ataskaitų auditą ir produkcijos ataskaitų pateikimo įgaliotiems gavėjams tvarką.