3 Vigtige værktøjer og foranstaltninger til at kontrollere sårbarheden af ​​it-ressourcer

Nogle af de vigtige værktøjer og foranstaltninger til at kontrollere sårbarheden af ​​it-ressourcer er angivet nedenfor:

Skades karakter er forskellig på forskellige niveauer af it-infrastruktur. Skader på oplysninger kan være i form af ændring eller sletning i værdier eller tab af privatlivets fred. Tjenestene og netværket beskadiges generelt af et uheld som følge af manglende hardware eller software eller begge dele.

Image Courtesy: ipa.go.jp/files/000013242.png

Da oplysningerne genereres og opbevares ved hjælp af tjenester og netværk, er eksponeringen for information stammer fra hardware- eller softwarefejl. Da de tre elementer er indbyrdes forbundne, ødelægger ethvert skader på tjenester eller netværk systemets funktionsmåde, og skader på information gør tjenester og netværk mindre nyttige. Derfor er en integreret tilgang til IT-infrastrukturens sikkerhed berettiget.

Det er muligt at kontrollere sårbarheden af ​​it-ressourcer ved hjælp af forskellige kontrolværktøjer og -foranstaltninger. Disse er klassificeret som:

(a) Grundlæggende kontrolværktøjer

b) generelle kontrolforanstaltninger

(c) Anvendelseskontrolforanstaltninger

1. Grundlæggende kontrolværktøjer:

Nedenstående er nogle af de grundlæggende kontrolværktøjer, der almindeligvis bruges til at kontrollere sårbarheden af ​​it-ressourcer:

(a) Sikkerhedskopiering:

Et grundlæggende redskab til informationsbeskyttelse er at holde sikkerhedskopi af alle dataene. Det tjener det dobbelte formål med katastrofeinddrivelse og afsløring af misbrug. Systemet til sikkerhedskopiering af data og programfiler kan variere fra applikation til applikation, men et systematisk og regelmæssigt system af filbackup anses for absolut nødvendigt i alle it-infrastrukturer.

Back-up-rutinerne skal følges religiøst, så systemet for sikkerhedskopiering fejler, når det kræves mest. De fleste databasestyringssystemer indeholder nu funktioner til automatisk sikkerhedskopiering af data. Desuden skal programfiler have deres sikkerhedskopi lavet efter hver ændring. De kritiske data og programmer skal regelmæssigt kontrolleres for nøjagtighed.

(b) Opdele og styre:

Denne tidsprøvede regel for sikkerhed kan også anvendes til datasikkerhed. At give begrænset adgang til hver bruger er afgørende for at sikre, at ingen spiller kaos med hele systemet. Mishandlingen på et sted opdages på et andet sted under informationssystemets normale funktion.

Adgangen til it-ressourcer skal defineres på en sådan måde, at de svarer til computerens behov for at udføre brugerens ansvar ikke mindre og ikke mere end hvad der er vigtigt. Adgangstilladelsen kan således være begrænset til nogen af ​​operationerne som læse, skrive, ændre og udføre.

Adgangstilladelsen kan defineres for hvert dataelement i databaserne. Tilsvarende skal adgangsrettigheder defineres for hvert modul i applikationssoftwaren og hver del af computerens hardware. Brugeridentifikation og validering via adgangskode og andre teknikker er afgørende for at regulere adgangen til it-infrastruktur.

c) Adgangstilladelse:

Adgangen til oplysninger kan begrænses ved hjælp af autorisationsværktøjer. Disse værktøjer tillader kun adgang til information efter korrekt brug af brugerne. Hver bruger har begrænset adgang til oplysningerne. Verifikationen af ​​brugerens identitet kan ske med adgangskoder. Moderne computerinstallationer har mere avancerede identifikationsværktøjer, der er baseret på stemme eller andre fysiske attributter som fingeraftryk fra brugerne.

d) kryptering:

Kryptering er en proces til at omdanne informationen til en stor del af krypteret og meningsløs kombination af symboler, som kan dekrypteres for at konvertere dataene til den oprindelige form. Denne transformation for data foregår ved brug af special hardware og software.

Kryptering og dekryptering er baseret på den kode, som brugeren angiver. Denne kode er bevaret af den autoriserede bruger af data, og brugen af ​​en anden kode ville ikke omdanne oplysningerne. Krypteringsværktøjerne er ret almindelige, når oplysningerne skal overføres til fjerntliggende steder ved hjælp af fælles bærere af data såsom telefonlinjer.

(e) Sammenligninger:

Sammenligning er et af de vigtige værktøjer til at opdage misbrug. Regelmæssig sammenligning af data med kildedokumenter, aktuelle programfiler med masterkopier af programfiler, tidligere termværdier med nuværende termværdier fungerer som et nyttigt værktøj til rettidig registrering af misbrug. Disse sammenligninger skal udføres af personer, der ikke er direkte involveret i at oprette og bruge it-ressourcerne.

(f) Ansvarlighed:

For at sikre overholdelsen af ​​sikkerhedsproceduren er det ganske vanskeligt, fordi der ikke opdages et stort misbrug, begynder selvtilfredshed at snige sig ind. Det er derfor nødvendigt at fastsætte ansvar for overholdelse af sikkerhedsprocedurerne.

(g) Brugerlog:

Sporing af aktiviteter hos brugere af it-infrastruktur tjener som en vigtig afskrækkende faktor i computermisbrug. Vedligeholdelse og periodisk undersøgelse af detaljeret oversigt over operationer udført af hver bruger sætter store krav på brugerne til at følge sikkerhedsnormerne og sikrer også tidlig påvisning af misbrug. Revisionsspor er nødvendige for at rekonstruere behandlingen og fastsætte ansvaret for misbrug.

(h) Vejledning:

Mange gange er misbrug mulige på grund af utilstrækkelig træning i håndteringen af ​​sikkerhedsforanstaltninger. Der bør udvikles et system med onlinehjælp til alle brugere i form af vejledning og assistance til forståelse af sikkerhedstruslen. Et sådant system går langt i at udvikle brugernes tillid i styrken af ​​sikkerhedssystemet og hjælper med tidlig opdagelse af trusler og misbrug.

(i) Revision:

Informationssystemrevision er et andet vigtigt redskab til at sikre, at informationssystemet udfører sine udpegede funktioner korrekt. Information System Audit and Control Association (ISACA) er en amerikansk baseret organisation, der har til formål at udvikle standarder for informationssystemrevision til at træne samt akkreditere fagfolk til dette formål.

Mindre virksomheder, der ikke har råd til at oprette interne revisionsprocedurer for informationssystemer, kan ansætte tjenester af praktiske oplysninger, systemrevisorer til dette formål. En sådan revision registrerer og afskrækker tilsyn og opretholder sikkerhedsalarm.

Den specifikke brug af disse værktøjer og den nøjagtige karakter af kontrolprocedurer vil afhænge af ressourcens art og trusselens alvor.

2. Generelle kontrolforanstaltninger:

Disse kontrolforanstaltninger gælder for alle ansøgnings- og datafiler. De består af fysiske og softwarekontroller, der kan udnyttes på it-infrastrukturen.

(a) Organisatoriske kontroller:

Det vigtigste styringssystem for informationssystemer er organisationsstrukturen og ansvaret for folk i organisationen. To grundlæggende måder at organisere kontrol på vedrører adskillelse af pligter i et enkelt job.

For eksempel kan optagelse af en transaktion adskilles fra godkendelse af transaktioner. Softwareudvikling og software test kan adskilles for at sikre, at kollision er nødvendig for misbrug. Jobrotation og obligatorisk orlov er andre organisatoriske kontroller af generel art, der er fundet ret nyttige til at opdage misbrug.

b) Systemudvikling og implementeringskontrol:

Disse omfatter kontroller som korrekt godkendelse af systemspecifikation (underskrivelse af specifikationer), afprøvning og godkendelse af ændringer i det eksisterende system mv. Kontrol over master kopier af software, herunder kildekode, dokumentation og andre relaterede aktiver er væsentlige dele af systemudvikling og implementeringskontroller. Fastsættelse af standarder for informationssystemet og deres gennemførelse er vigtige ud fra sikkerhedssynspunktet.

c) fysiske kontroller:

Disse kontroller omfatter sikring af hardware og software placeringer mod brand, oversvømmelser, tyveri, opløber mv. Ved hjælp af forskellige sikkerhedsværktøjer som røgdetektorer, sikkerhedsvagter, individuelle låse, kameraer med tætningskredsløb, identifikationssystemer osv. Disse kontroller er beregnet til afværge truslen mod IT-infrastrukturens fysiske liv. Disse kontroller løber parallelt med kontrollen over andre fysiske aktiver såsom kontanter, aktier osv.

d) kontrol af katastrofeinddrivelse:

Bekæmpelsesbekæmpelsesforanstaltningerne bliver meget vigtige i tilfælde af kritiske applikationer og storskala beskadigelse af informationssystemer. Det er nødvendigt at opbygge et alternativt oprettet for at sikre, at opsvinget fra katastrofe er muligt til minimal pris og inden for mindst tab af tid og mulighed.

Dette opnås i nogle tilfælde ved at opretholde parallel IT-infrastruktur til brug i tilfælde af katastrofe. I tilfælde af manglende børshandelssystem eller rejsebestemmelsessystem kan omkostningerne ved forsinkelse ved inddrivelse eller svigt i forbindelse hermed være yderst høje.

I sådanne tilfælde betragtes parallel IT-infrastruktur som absolut nødvendig. Imidlertid er alternative katastrofeinddrivningssystemer også tilgængelige. Nogle leverandører specialiserer sig i dataudvinding i tilfælde af ulykker som f.eks. Harddiskkrascher, virusangreb osv.

(e) Softwarebaserede kontroller:

Softwarebaserede kontrolforanstaltninger relaterer normalt til kontrol over dataadgang og data validering på tidspunktet for dataindgangen. Det kan bemærkes, at det meste computermishandling er ved at svinge med dataindgangen. Adgangsstier i software kan laves i flere lag og følsomme forsyningsværker, og data kan sikres ordentligt ved hjælp af softwarekontroller.

Disse kontroller vedrører generelt brugergodkendelse, funktionsdefinition for hver bruger og oprettelse af uforanderlig rekord af rækkefølge af operationer udført på en given terminal (revisionsspor).

Dette er gjort for at finde ud af rækkefølgen af ​​begivenheder, der fører til et bestemt misbrug. Uautoriseret adgang bør resultere i advarsel, og gentagne forsøg på uautoriseret adgang skal tages som et seriøst forsøg på at bryde gennem sikkerhedssystemet. Således kan gentagne forsøg på uautoriseret adgang være bestemt til at resultere i afslutning af behandling, afslutning af terminal og registrering af revisionsspor til yderligere analyse.

(f) Datakommunikationskontrol:

Disse kontroller bliver vigtigere, fordi datatrafikken vokser i geometriske proportioner sammen med stigningen i afstanden mellem afsenderen og modtageren. Begge disse resulterer i øget eksponering af data for risikoen for aflytning. Der er mange metoder til beskyttelse af data på vej til destinationsterminalen.

Overordnet set kan truslerne mod data i transmission være af tre typer, (a) trussel om uautoriseret adgang, (b) trussel mod data nøjagtighed og fuldstændighed, og (c) trussel mod rettidig dataoverførsel.

(i) Uautoriseret adgang til data:

Hårdt kablede netværk (ved hjælp af koaksiale ledninger eller fiberoptiske medier) er mindre tilbøjelige til at tappe på vej end de elektroniske kanaler. Sikkerhedsmodemer er også ved at blive mere populære i netværk, der bruger telefonlinjer. En anden metode kaldet automatisk tilbagekaldesystem bruges til at kontrollere ægtheden af ​​brugeren. I dette system ringer opkald og venter.

Afsenderen kontrollerer ægtheden, registrerer det kodeord, der bruges af den, der ringer op, og ringer ryggen til opkalderen. Denne type dobbelttjek på identiteten og placeringen af ​​den, der ringer op, er meget nyttig til at opdage wiretapping. Automatisk log-out system er også et meget populært kontrolsystem.

Med det stigende pres af chefens ansvar er der enhver mulighed for, at lederen glemmer at logge ud ordentligt eller logge overhovedet. Sådanne systemer sikrer, at hvis terminalen ikke bruges i en bestemt tidsperiode, logger terminalen automatisk ud af serveren. Yderligere adgang til oplysninger er kun mulig, når proceduren for log-in gentages. Denne type kontrol minimerer muligheden for efterligning.

(ii) Data integritet kontrol:

Data-nøjagtighed og fuldstændighedskontrol er afgørende for at sikre de transmitterede dataes integritet. Fejl i dataoverførsel kan skyldes forstyrrelser i datatransmissionskanalen eller en fejl i dataomskifteren.

For at kontrollere, om data har nået destinationen nøjagtigt og fuldstændigt, kan paritetsbits anvendes. En anden populær metode er at dele meddelelsen i pakker med headers og footers (trailere) og kontrollere deres eksistens ved modtagerens ende.

g) Betjening af computerdrift:

Kontrol af driften af ​​computersystemer og terminaler kan spille en vigtig rolle for at undgå computer misbrug. Det betaler sig at planlægge computerens tidsplan for almindelige brugere, især på de lavere niveauer af ledelseshierarki, hvor de operationelle krav er forudsigelige og kan ordnes ordentligt. Enhver afvigelse fra de planlagte operationer kan undersøges for at modvirke driften af ​​computersystemet til andre funktioner end angivet for dagen.

Kontrol af driften af ​​edb-systemer bliver vanskeligere i tilfælde af delte terminaler og dem, der involverer interaktiv kommunikation. Men hvis identifikation og adgangskoder ikke deles, kan de fleste af problemerne med kontrol over delte terminaler efterses.

h) Hardwarekontroller:

Computer hardware kontroller er de kontroller, der er indarbejdet af computer hardware producenter for at tjekke for funktionsfejl i systemet og udstede advarsler i tilfælde af fejl. Disse omfatter de berømte paritetskontroller i lagerenheder, validitetskontrollerne og dobbeltlæste checks til verifikation. Disse kontroller er meget nyttige til lagring og hentning af data og udførelse af aritmetiske funktioner på data.

De generelle kontroller skal revideres for deres effektivitet. Disse kontroller udgør kernen i sikkerhedsforanstaltningen for informationssystemet som helhed.

3. Programkontrol:

For specifikke applikationer er det vigtigt at udøve specielle kontroller i lyset af deres særlige krav og risikoprocesser. Sådanne kontroller tager sigte på at sikre nøjagtighed, validitet og fuldstændighed af input og vedligeholdelse af informationslagre. De omfatter både automatiske og manuelle betjeningselementer.

(a) Indgangskontrol:

Indgangskontrollerne sikrer, at input er korrekt godkendt og registreret som i kildedokumentet. Kildedokumenterne er serielt nummererede, og input er verificeret i satser, før de påvirker databasen. Batch kontrol totals og redigere rutiner bruges til at sikre, at input data er nøjagtige og komplette, og duplikat input er elimineret.

Skærmindstillinger og skærmmenuer bruges til at sikre, at dataindtastningen er nøjagtig og fuldstændig. Data verifikationskontroller bruges til at sikre gyldige datatyper, feltlængde, identifikation af transaktionen og kontrollere rimeligheden af ​​numeriske værdier i input.

b) Behandlingskontrol:

Disse kontroller sigter mod at sikre korrekt gennemførelse af de procedurer, der skal udføres på input. Kør kontrol totaler, computer matching af master records med udvalgte data elementer i transaktioner, rimelighedskontrol, format kontrol, afhængighedskontrol, visuel kontrol osv. Er nogle af de fælles checks, der bruges til at sikre, at behandlingen af ​​input er blevet udført korrekt .

(c) Output Controls:

Disse kontroller er beregnet til at sikre, at udgangen af ​​en applikationsrække er nøjagtig og fuldstændig. Disse kontroller omfatter balance af output totals med input og behandling totals, revision af output rapporter og procedure for levering af output rapporter til autoriserede modtagere.