인간의 문제와 관련해 컴퓨터 보안

Share

|

구현하는 컴퓨터 보안 컨트롤이 복잡하고 크기가 큰 조직 절차적 컨트롤이 자주되기 막연한이나 복잡합니다. 에 관계없이 강도의 기술적인 컨트롤, 자신의 구현 및 사용에 영향을 미칠 경우 nontechnical 고려에 영향을 미치는 보안 수있습니다 심각합니다. 또 잘못 사용되는 경우를 구성하거나, 심지어 최상의 보안을 제어는 쓸모없는시 우수와 위험한 언제 최악입니다. 따라서 디자이너, 한갓, 그리고 메인의 보안 컨트롤이 필수적를 올바른 작동을 사람을 제어합니다.

조직의 문제점

보안을 제공하지 않습니다이 사용자에게 직접적인 재정적 보상합니다. 이 한계를 손실, 그러나 또한 지출의 자원을 필요로하는 데 사용할 수있는 다른 곳에있습니다. 손해가 발생하지 않는 한, 조직을 자주 믿고 그들이 낭비적인 노력과 관련하여 보안을합니다. 후에 손실,의 값은 이러한 컨트롤이 갑자기 진입 감사합니다. 또한, 보안을 제어 자주 추 복잡도가 그렇지 않은 단순 작업입니다. 예를 들어, 어떤 체결하지 않고는 주식 거래 시간 2 분 3 분 보안 컨트롤과 함께 보안 컨트롤, 추가 이들을 제어 결과로 50 %가 손실의 생산성을합니다.

손해가 발생할 때 보안을 보호하는 위치에 있지만,이 같은 손실이 예상된다 미만 더라면 그들의 보안 메커니즘을하지 않고있습니다. 이 같은 손실의 주요 질문이 있는지 여부와 결합된 결과로 손실이 생산성을 것이보다 큰 재정 손실 또는 손해의 신뢰를해야한다 중 하나가 보안되지 않은 거래가 고난을 위반의 보안을합니다.

compounding이 문제는이 질문은 사람은이 회사의 컴퓨터에 대한 책임은 보안이됩니다. 의 전원을 구현하는 사람과 함께 적절한 컨트롤이 있어야합니다 책임을; 그렇게되지가있다는 사람들이 대부분을 명확하게 볼 수있는 사람의 필요성에 대한 보안 조치를, 그리고 사람이 책임을 구현하기, 이렇게 수 없게됩니다. 이것은 단순히 소리가 비즈니스 관행; 책임없이 전원으로 인해 문제는 어떤 조직, 하듯이하지 전원없이 책임입니다.

일단 취소한 사슬의 책임과 권력이 확립의 필요성에 대해 보안을 수가 경쟁에서 다른 사람들과 대등한 조직의 요구합니다. 가 장 일반적인 문제는 보안 관리자의 얼굴은 사람들이 훈련의 부족의 영역에서 컴퓨터 보안입니다. 또 다른 일반적인 문제는 아는 사람은 과부하로 작동합니다. 많은 조직에서, "보안 관리자"가도 관여 시스템 관리, 개발, 또는 일부 다른 보조 기능을합니다. 사실,이 보안 측면의 업무는 종종 보조합니다. 문제는 징후는 보안 문제가 자주 있지 분명하고 시간과 실력을 현물가 필요합니다. 를 공격하기위한 준비를 다루는 것이 덜 혼란하지만, 그러한 준비는 충분히 관심을 수 있도록 충분한 시간을 필요로하는 것이 치료에 보조적인 측면의 직업을 의미하는 것이이 수행되지 않습니다 글쎄요,있는 것으로 예상 결과입니다.

리소스 부족이 또 다른 일반적인 문제가있습니다. 확보하는 시스템이 필요 자원뿐만 아니라 사람들이있습니다. 시간을 디자인을 구성하는 것이 필요하면 적절한 수준의 보안을 제공하는 것입,를 구현하는 구성, 그리고 시스템을 관리합니다. 그것이 필요합니다 제품을 구매하는 데 필요한 자금을 작성하는 적절한 보안 시스템 또는를 지불 누군을 디자인하고 구현 보안 조치를합니다. 컴퓨터 리소스를 구현하는 것이 필요하고 보안 메커니즘과 절차를 실행합니다. 그것이 필요 교육을 보장하는 직원의 보안 도구를 사용하는 방법을 알고, 결과를 해석하는 방법 및 방법을 구현합니다 nontechnical 측면에서 보안 정책을합니다.

사람들은 문제가

심장의 모든 보안 시스템은 사람들이있습니다. 이것은 특히 사실은 컴퓨터 보안, 어떤 거래를 중심으로 기술적인 컨트롤이 될 수 대개 인간의 간섭에 의해 무시합니다. 예를 들면, 컴퓨터 시스템이 인증은 사용자에 의해 요구되는 사용자에 대한 비밀 번호; 올바른 비밀 코드가 제공된 경우, 컴퓨터에서는 사용자가 시스템을 사용하도록 승인합니다. 승인된 사용자를 알려면 다른 사람 자신의 비밀 번호를 무단으로 사용자의 선지자로 승인된 사용자로 상당히 적은 확률이 감지합니다.

사람들이 어떤 동기를 공격하는 단체와있는 권한이없습니다를 사용하는 조직의 시스템은 외부인라고 불리는이 심각한 위협을 초래할 수있습니다. 전문 것에 동의하지만,이 훨씬 더 위험한 위협에서 오는 불만을 직원 및 기타 내부 사람이 승인된를 사용하는 컴퓨터가있습니다. 내부 대개의 조직을 알고는 회사의 시스템과 어떤 절차은 연산자와 사용자가 다음과 자주 충분히 알고 암호를 우회하는 많은 보안을 제어하는 것이 감지를 공격 착수하여 외부입니다. 내부자의 오용 문제를 해결하기 위해 부여된 권한은 매우 어렵습니다.

사리 인사도 위협을 시스템 보안입니다. 예를 들어, 하나의 연산자 않았다 백업 테이프의 내용을 실현하는 데 필요한 테이프들이 저장하기 전에 확인할 수있습니다. 공격자가 삭제되면 몇가 지 중요한 시스템 파일, 그녀를 발견 백업 테이프가 없음을 의미합니다 읽을 수있다.

시스템 관리자에게 4.4의 출력의 보안 메커니즘, 또는하지 분석할 수있는 출력을 차지하는 확률은 성공적인 공격을 자신들의 시스템입니다. 이와 유사하게, 관리자에게 misconfigure 보안 - 관련 기능은 시스템을 약화의 사이트 보안을합니다. 사용자는 또한 약화 사이트 보안에 의해 매각한 보안 메커니즘 (예 : 비밀 번호가하는 선택은 쉽게 짐작).

훈련 부족에있을 필요가 없다는 기술 아레나. 대부분의 성공적인 브레이크 - 이민국이 제기에서 미술의 사회 공학. 운영자는 전화 요청에 따라 비밀 번호를 변경하면, 모든 공격자 필요가있는 사람의 이름을 확인하는 작업은 컴퓨터를 사용합니다. 를 선택하는 일반적인 수법은 위에있는 사람이 꽤 멀리 연산자 (예 : 부사장은이 회사) 및을 남기고 긴급 상황 (예 : 전화 야간 및라며 보고서를 노 대통령의이 회사는 이유는 다음 날 아침) 그래서 운영자는이 요청을 거부할 꺼리고있습니다. 한번의 비밀 번호가 변경되었습니다을 한 것으로는 공격자를 알고, 그는 간단하게 로그인할 수있습니다으로 일반 사용자입니다. 사회 공학 공격은 놀라운 성공과 자주 파괴합니다.

이 문제는 잘못된 구성이 악화으로의 복잡 다양한 보안 - 관련 구성 파일입니다. 예를 들어, 인쇄상의 오류가 키 보호 기능을 해제할 수있습니다. 더욱, 소프트웨어 보급으로 작동하지 않는 경우가있습니다.

하나의 널리 사용되는 시스템을 갖고있는 보안 문제가 발생하면 목록이있는 관리자가 만든 너무 긴 이름의 시스템에 접속하여 특정 파일입니다. 이 목록이 너무 오래 있기 때문에, 시스템 관리자는 뜻을 허용하는 것으로 추정 단순히 그 파일에 액세스할 수에 제한없이 액세스할 수 themexactly 그 반대의 사람은 무엇입니까? 의도입니다.