وفيما يتعلق بقضايا حقوق الحاسوب الامن

Share

|

تنفيذ الضوابط الامنية هو الحاسوب المعقده ، وفي منظمة كبيرة الضوابط الاجراءيه وكثيرا ما تصبح مبهمه او مرهقه. بغض النظر عن قوة التقنيه الضوابط ، واذا اعتبارات غير تقني يؤثر على تنفيذها واستخدامها ، وأثر ذلك على الامن ويمكن ان يكون شديدا. وعلاوة على ذلك ، اذا استخدم بشكل خاطئ او تكوينها ، وحتى افضل للسيطره الامنية لا طائل منه في أحسن الأحوال ، وخطير في أسوئها. وهكذا ، المصممون ، ومنفذين ، ومشرفون من ضوابط أمنية ضروريه لتصحيح تشغيل تلك الضوابط.

المشاكل التنظيمية

الامن لا ينص على مكافآت مالية مباشرة الى المستعمل. فهو يحد من الخسائر ، لكنه يتطلب ايضا انفاق الموارد التي يمكن استخدامها في أماكن اخرى. ما لم تحدث خسائر ، والمنظمات غالبا ما نعتقد انهم يضيعون جهد المتصله بالامن. بعد الخسارة ، وبلغت قيمة هذه الضوابط فجاه يصبح موضع تقدير. علاوة على ذلك ، فان عمليات المراقبة الامنية في كثير من الاحيان إضافة إلى تعقيد عمليات خلاف بسيط. فعلى سبيل المثال ، اذا كان ابرام المخزون التجاري يأخذ دقيقتين دون ضوابط امنية وثلاث دقائق مع الضوابط الأمنية ، مضيفا ضوابط تلك النتائج في 50 ٪ خسارة في الانتاجية.

الخسائر التي تحدث عندما تكون الحمايه الامنية في مكان ، ولكن هذه الخسائر ومن المتوقع ان تكون أقل مما لو كانت بدون اليات امنية. والسؤال الرئيسي هو ما اذا كانت مثل هذه الخسارة ، مجتمعة مع ما ينجم عنه من خسائر في الانتاجية ، وسيكون أكبر مما هو خسارة مالية او فقدان الثقة ينبغي ان احدا من nonsecured المعاملات تعاني خرق للامن.

مما يضاعف من هذه المشكلة هو مسألة من هو المسؤول عن امن الشركة الحواسيب. سلطة تنفيذ الضوابط المناسبه وجوب ان يقيم مع اولئك الذين يتحملون المسؤولية ؛ عاقبة عدم القيام بذلك هو ان معظم الناس الذين يمكن ان نرى بوضوح الحاجة الى تدابير امنية ، ويكونون مسؤولين عن تنفيذها ، لن تكون قادرة على القيام بذلك. هذا هو ببساطة الممارسات التجارية السليمه ؛ مسؤولية السلطة من دون ان يسبب المشاكل في أي منظمة ، تماما مثلما يفعل السلطة دون مسؤولية.

مرة واحدة واضحة سلاسل من المسؤولية والسلطة وقد انشئت ، والحاجة الى الامن قادرة على المنافسة على قدم المساواة مع غيرها من احتياجات المنظمه. الاكثر شيوعا مشكلة امنية مدير يواجه هو عدم وجود اشخاص مدربين في مجال امن الحواسيب. آخر مشكلة مشتركة هي ان ادرى الناس مثقله العمل. وفي العديد من المنظمات ، "مدير الامن" كما تشترك فى نظام الادارة ، والتنمية ، او بعض الثانويه وظيفة اخرى. في الواقع ، على الجانب الامني للعمل في كثير من الاحيان هو ثانوي. المشكلة هي انه ليس ثمة دلائل على المشاكل الامنية في كثير من الاحيان ليست واضحة وتحتاج الى وقت ومهاره الى البقعه. استعدادا لهجوم يجعل التعامل معها أقل فوضويه ، ولكن مثل هذا التحضير يأخذ ما يكفي من الوقت ويتطلب اهتماما كافيا حتى ان معاملتها بوصفها الثانويه جانبا وظيفة يعني انه لن يكون اداء جيدا ، مع العواقب المتوقعة.

الافتقار الى موارد اخرى هي مشكلة شاءعه. ويقتضي وجود نظام تامين الموارد وكذلك الشعب. انه يتطلب وقتا لوضع التشكيل التي ستقدم مستوى كاف من الامن ، لتنفيذ التشكيل ، وادارة النظام. انه يتطلب المال اللازم لشراء المنتجات التي هي بحاجة الى بناء نظام أمني ملائم أو دفع شخص اخر لتصميم وتنفيذ التدابير الأمنية. فهو يتطلب الحاسوب الموارد اللازمة لتنفيذ وتنفيذ الآليات والاجراءات الامنية. فهو يتطلب تدريب العاملين لضمان أن يفهم كيفية استخدام الادوات الامنية ، وكيفية تفسير النتائج ، وكيفية تنفيذ الجوانب غير تقني للسياسة الامنية.

مشاكل الناس

قلب أي نظام أمني هو الشعب. ويصدق هذا بوجه خاص في الكمبيوتر الامن ، الذي يتعامل اساسا مع التكنولوجيه الضوابط التي يمكن في العادة يتجنب التدخل البشري. على سبيل المثال ، نظام حاسوبي يصدق أحد المستخدمين بطرح هذا المستخدم لشفره سرية ؛ واذا كان صحيحا شفره سرية وتزود ، والحاسب الآلي ويفترض أن المستخدم هو اذن لاستخدام النظام. اذا إذن المستخدم يروي شخص آخر له شفره سرية ، وغير المرخص به ويستطيع المستخدم مهزله كما إذن المستخدم مع اقل بكثير من احتمال الكشف.

بعض الناس الذين الدافع الى الهجوم ومنظمة غير مرخص لاستخدام نظم المنظمه ان يطلق عليهم اسم الغرباء ويمكن ان يشكل تهديدا خطيرا. ويتفق خبراء ، بيد انه الآن اكثر خطورة التهديد يأتي من الساخطين وغيرهم من الموظفين المطلعين الذين هم اذن لاستخدام اجهزة الكومبيوتر. العالمين ببواطن الامور يعرفون عادة تنظيم الشركة ما نظم واجراءات المشغلين والمستخدمين ، وغالبا ما يتبع في معرفة ما يكفي من كلمات السر لتخطي الكثير من الضوابط الامنية التي من شأنها ان اكتشاف الهجوم الذي شنه احد الخارج. من المطلعين على بواطن الأمور إساءة استخدام امتيازات إذن هي مشكلة صعبة للغاية للحل.

أفراد غير مدربين تشكل ايضا تهديدا لامن النظام. وكمثال على ذلك ، مشغل واحد لم تدرك ان محتويات الاشرطه الاحتياطيه تحتاج إلى التحقق منها قبل الاشرطه كانت مخزونة. عندما المهاجمين حذف عدة ملفات النظام الحرجه ، وقالت انها اكتشفت ان ايا من الاشرطه الاحتياطيه يمكن ان تقرأ.

مديري النظام الذين تفهم خطأ ناتج من الآليات الأمنية ، أو لا نحلل ذلك الناتج ، والمساهمة في احتمال نجاح الهجمات ضد انظمتها. وبالمثل ، والاداريين الذين misconfigure المتصله بالامن ملامح النظام يمكن ان يضعف موقع آمن. كما انه بامكان المستخدمين اضعاف موقع آمن به سوء استخدام آليات الأمن (مثل اختيار كلمات السر التي هي من السهل تخمين).

الافتقار الى التدريب وليس من الضروري ان يكون في الساحة الفنية. كثير ناجحه اقتحام نشأت من فن الهندسه الاجتماعية. اذا مشغلي سيتغير كلمات السر على اساس الطلبات الهاتفية ، وهو مهاجم جميع الاحتياجات الى القيام به هو تحديد اسم شخص يستخدم الحاسوب. مشترك هو تكتيك لاختيار أحدهم الى حد الان فوق المشغل (مثل نائب رئيس الشركة) واختلق لطارئ (مثل الدعوة ليلا وقوله ان تقريرا الى رئيس الشركة ويعود في الصباح التالي) ذلك ان المشغل سوف تحجم يرفض هذا الطلب. متى تم تغيير كلمة السر لأحد ان المهاجم يعرف ، وقال انه يمكن ببساطة سجل في بوصفه مستخدم العادي. الهندسه الاجتماعية الهجمات نجاحا ملحوظا في كثير من الاحيان ومدمره.

مشكلة misconfiguration قد تفاقمت بسبب تعقيد الكثير المتصله بالامن ترتيب الملفات. على سبيل المثال ، خطأ مطبعي يمكن تعطيل الملامح الاساسية لحمايه المدنيين. الأسوأ من ذلك ، أن البرمجيات لا يؤدي دائما الى العمل كما اعلن.

يستخدم على نطاق واسع في منظومة واحدة لمواطن الضعف التي قد تنشأ عندما ادلى مسؤول اداري طويل جدا ان اسمه على قائمة مع نظم الوصول الى ملفات معينة. لأن القائمة طويلة جدا ، هذا النظام ببساطة يفترض ان مدير البرنامج يعني السماح لهؤلاء الوصول الى الملفات دون فرض قيود على الذين يمكنهم الوصول themexactly بعكس ما هو المقصود.