3 BT Kaynaklarının Güvenlik Açığını Kontrol Etmek İçin Önemli Araçlar ve Önlemler

BT kaynaklarının kırılganlığını kontrol etmeye yönelik önemli araç ve önlemlerden bazıları aşağıda verilmiştir:

Hasarın niteliği, farklı BT altyapıları seviyelerinde farklıdır. Bilgilere verilen zarar, değerlerde değişiklik yapılması veya silinmesi veya mahremiyetinin kaybı olabilir. Servisler ve ağ genellikle donanım veya yazılımın veya her ikisinin de başarısız olmasından kaynaklanan kaza sonucu zarar görür.

Resim Nezaket: ipa.go.jp/files/000013242.png

Bilgi, hizmetler ve ağlar yardımıyla üretilip depolandığından, bilgiye maruz kalmak donanım veya yazılım hatalarından kaynaklanmaktadır. Üç unsur birbiriyle ilişkili olduğundan, servislere veya ağa verilen herhangi bir hasar sistemin işleyişini engeller ve bilgiye verilen zarar hizmetleri ve ağı daha az kullanışlı hale getirir. Bu nedenle, BT altyapısının güvenliğine entegre bir yaklaşım garanti edilmektedir.

Çeşitli kontrol araçlarını ve önlemlerini kullanarak BT kaynaklarının kırılganlığını kontrol etmek mümkündür. Bunlar şöyle sınıflandırılır:

(a) Temel Kontrol Araçları

(b) Genel Kontrol Önlemleri

(c) Uygulama Kontrol Önlemleri

1. Temel Kontrol Araçları:

BT kaynaklarının güvenlik açıklarını kontrol etmek için yaygın olarak kullanılan temel kontrol araçlarından bazıları şunlardır:

(Yedek:

Bilgi korumanın temel bir aracı, tüm verilerin kopyasını saklamaktır. Olağanüstü durum kurtarma ve kötüye kullanımı tespit etmenin ikili amacına hizmet eder. Verilerin ve program dosyalarının yedeklenmesi sistemi uygulamadan uygulamaya farklılık gösterebilir, ancak sistematik ve düzenli bir dosya yedekleme sistemi tüm BT altyapıları için kesinlikle gerekli kabul edilir.

Yedekleme rutinleri dinsel olarak izlenmelidir, aksi takdirde yedekleme sistemi en çok istendiğinde başarısız olur. Veri tabanı yönetim sistemlerinin çoğu, artık verilerin otomatik olarak yedeklenmesini sağlar. Ayrıca, program dosyalarının her değişiklikten sonra yedeklerini almaları gerekir. Hassasiyet için kritik veriler ve programlar düzenli olarak kontrol edilmelidir.

(b) Böl ve yönet:

Güvenlik için bu zaman test edilmiş kural veri güvenliğine de uygulanabilir. Her bir kullanıcıya sınırlı erişim sağlamak, hiç kimsenin tüm sisteme zarar vermemesini sağlamak için çok önemlidir. Bir yerdeki kötüye kullanım, bilgi sisteminin normal çalışması sırasında başka bir yerde tespit edilir.

BT kaynaklarına erişim, kullanıcının sorumluluklarının yerine getirilmesi için gerekli bilgisayar ihtiyaçları ile orantılı olacak şekilde tanımlanmalıdır; esas olandan daha az değil. Bu nedenle, erişim izni okuma, yazma, değiştirme ve yürütme gibi işlemlerin herhangi biri ile sınırlı olabilir.

Erişim izni, veritabanlarındaki her veri öğesi için tanımlanabilir. Benzer şekilde, uygulama yazılımındaki her modül ve bilgisayar donanımının her parçası için erişim izinlerinin tanımlanması gerekir. IT altyapısına erişimin düzenlenmesi için parola ve diğer tekniklerle kullanıcı tanımlama ve doğrulama çok önemlidir.

(c) Erişim yetkisi:

Bilgiye erişim, yetkilendirme araçları yardımıyla kısıtlanabilir. Bu araçlar, yalnızca kullanıcıların uygun şekilde tanımlanmasından sonra bilgilere erişime izin verir. Her kullanıcının bilgiye erişimi sınırlıdır. Kullanıcının kimliğinin doğrulanması şifrelerle yapılabilir. Modern bilgisayar kurulumlarında sese veya kullanıcıların parmak izleri gibi diğer fiziksel özelliklere dayanan daha gelişmiş kimlik doğrulama araçları bulunur.

(d) Şifreleme:

Şifreleme, bilgilerin orijinal forma dönüştürülmesi için şifresi çözülebilen şifreli ve anlamsız bir semboller kombinasyonunun bilgisinin bir yığınına dönüştürülmesi işlemidir. Veriler için bu dönüşüm, özel donanım ve yazılım kullanımı ile gerçekleşir.

Şifreleme ve şifre çözme, kullanıcı tarafından belirtilen koda dayanmaktadır. Bu kod yetkili kullanıcının verilerini korumaktadır ve başka herhangi bir kodun kullanılması bilgileri dönüştürmez. Şifreleme araçları, bilgi, telefon hatları gibi ortak veri taşıyıcılarını kullanarak uzak yerlere iletilmek durumunda oldukça yaygındır.

(e) Karşılaştırmalar:

Karşılaştırma kötüye kullanımı tespit etmenin önemli araçlarından biridir. Verilerin kaynak belgelerle düzenli olarak karşılaştırılması, program dosyalarının ana kopyaları ile mevcut program dosyaları, mevcut terim değerleri ile önceki terim değerleri, kötüye kullanımı zamanında tespit etmek için yararlı bir araç olarak işlev görür. Bu karşılaştırmalar, BT kaynaklarını oluşturmak ve kullanmakla doğrudan ilgili olmayan kişiler tarafından yapılmalıdır.

(f) Sorumluluk:

Güvenlik prosedürüne uyumu sağlamak oldukça zordur, çünkü büyük bir kötüye kullanımın tespit edilmemesi durumunda, uygunluk sürünmeye başlar. Bu nedenle, güvenlik prosedürlerine uymak için hesap verebilirliği düzeltmek gerekir.

(g) Kullanıcı günlüğü:

BT altyapısı kullanıcılarının faaliyetlerinin izlenmesi bilgisayar kullanımında önemli bir caydırıcı görevi görüyor. Her kullanıcı tarafından gerçekleştirilen işlemlerin ayrıntılı bir şekilde listelenmesinin bakımı ve periyodik incelemesi, kullanıcıların güvenlik normlarını izlemeleri için büyük baskılar uygulamaktadır ve ayrıca kötüye kullanımın erken tespitini sağlar. İşlemleri yeniden yapılandırmak ve kötüye kullanım sorumluluğunu gidermek için denetim izleri gereklidir.

(h) Rehberlik:

Güvenlik önlemlerinin ele alınması konusundaki yetersiz eğitim nedeniyle, çoğu zaman kötüye kullanma mümkündür. Güvenlik tehdidini anlamada tüm kullanıcılara rehberlik ve yardım şeklinde çevrimiçi yardım sistemi geliştirilmelidir. Böyle bir sistem, kullanıcıların güvenlik sisteminin gücüne olan güvenini geliştirme konusunda uzun bir yol kat eder ve tehditlerin ve kötüye kullanımların erken tespitine yardımcı olur.

(i) Denetim:

Bilgi sistemi denetimi, bilgi sisteminin belirtilen işlevleri doğru şekilde yerine getirmesini sağlamak için önemli bir araçtır. Bilgi Sistemi Denetim ve Kontrol Derneği (ISACA), bu amaçla profesyonelleri eğitmek ve aynı zamanda akredite etmek için bilgi sistemi denetimi için standartlar geliştirmeyi hedefleyen ABD merkezli bir kuruluştur.

Kurum içi bilgi sistemi denetim prosedürleri oluşturmayı göze alamayan küçük işletmeler, uygulama içi bilgi hizmetlerini, bu amaçla sistem denetçileri kiralayabilirler. Böyle bir denetim, gözetimi algılar ve engeller ve güvenlik uyarısını sürdürür.

Bu araçların spesifik kullanımı ve kontrol prosedürlerinin tam niteliği, kaynağın niteliğine ve tehdidin ciddiyetine bağlı olacaktır.

2. Genel Kontrol Önlemleri:

Bu kontrol önlemleri tüm uygulama ve veri kaynakları için geçerlidir. BT altyapısında kullanılabilecek fiziksel ve yazılım kontrollerinden oluşur.

(a) Organizasyonel kontroller:

Bilgi sistemleri üzerinde en önemli kontrol aracı organizasyon yapısı ve organizasyondaki kişilerin sorumluluklarıdır. İki temel örgüt kontrolü yolu, görevlerin tek bir işte ayrılması ile ilgilidir.

Örneğin, bir işlemin kaydedilmesi işlemlerin yetkilendirilmesinden ayrılabilir. İstismar için çarpışmanın gerekli olduğundan emin olmak için yazılım geliştirme ve yazılım testleri ayrılabilir. İş rotasyonu ve zorunlu izin, suiistimal tespitinde oldukça faydalı bulunan genel nitelikteki diğer organizasyonel kontrollerdir.

(b) Sistem geliştirme ve uygulama kontrolleri:

Bunlar, sistem spesifikasyonunun uygun şekilde yetkilendirilmesi (şartnamelerin imzalanması), mevcut sistemdeki değişikliklerin test edilmesi ve onaylanması, vb. Gibi kontrolleri kapsar. Kaynak kod, dokümantasyon ve diğer ilgili varlıklar dahil olmak üzere, yazılımın ana kopyaları üzerindeki kontroller, sistem geliştirmenin önemli parçalarıdır ve uygulama kontrolleri. Bilgi sistemi için standartların belirlenmesi ve bunların uygulanması güvenlik açısından önemlidir.

(c) Fiziksel kontroller:

Bu kontroller, donanım ve yazılım yerlerinin yangına, taşkınlara, hırsızlığa, isyanlara vb. Karşı güvenlik önlemlerini içerir; duman dedektörleri, güvenlik görevlileri, bireysel kilitler, kapalı devre kameralar, tanımlama sistemleri vb. Gibi çeşitli güvenlik araçlarını kullanarak. BT altyapısının fiziksel yaşam tehdidini engellemek. Bu kontroller nakit, hisse senedi vb. Diğer fiziksel varlıklar üzerindeki kontrole paraleldir.

(d) Afet kurtarma kontrolleri:

Olağanüstü durum kurtarma kontrol önlemleri, kritik uygulamalar ve bilgi sistemlerinde büyük çaplı hasar durumunda çok önemli hale geliyor. Afetten kurtarma işleminin asgari maliyet ve asgari zaman ve fırsat kaybı içerisinde mümkün olmasını sağlamak için bir alternatif kurulum yapılması gerekmektedir.

Bu, bazı durumlarda afet durumunda kullanılacak paralel BT altyapısının sürdürülmesiyle sağlanır. Borsa işlem sisteminin veya seyahat rezervasyon sisteminin arızalanması durumunda, iyileşmedeki gecikme ya da başarısızlığın gecikmesi çok yüksek olabilir.

Bu gibi durumlarda, paralel BT altyapısı kesinlikle çok önemlidir. Bununla birlikte, alternatif felaket kurtarma sistemleri de mevcuttur. Bazı satıcılar, sabit disk çökmeleri, virüs saldırıları, vb. Kazalar durumunda veri kurtarma konusunda uzmanlaşmıştır.

(e) Yazılım tabanlı kontroller:

Yazılım tabanlı kontrol önlemleri normalde veri girişi ve veri girişi sırasındaki veri doğrulama üzerinde kontrol ile ilgilidir. Çoğu bilgisayar suiistimalinin, veri girişiyle uğraşmak olduğu not edilebilir. Yazılımdaki erişim yolları çok katmanlı ve hassas yardımcı programlar haline getirilebilir ve veriler yazılım kontrolleri ile uygun şekilde korunabilir.

Bu kontroller, genel olarak, kullanıcı kimlik doğrulaması, her kullanıcı için fonksiyon tanımı ve belirli bir terminalde (denetim izi) gerçekleştirilen işlemlerin değiştirilemez işlem sırasının kaydedilmesi ile ilgilidir.

Bu, belirli bir istismara yol açan olayların sırasını bulmak için yapılır. Yetkisiz erişim uyarıyla sonuçlanmalı ve yetkisiz erişim için tekrarlanan girişimler güvenlik sisteminden kaçmak için ciddi bir girişim olarak alınmalıdır. Bu nedenle, yetkisiz erişime yönelik tekrarlanan girişimler, işlemin sona ermesi, terminalin kapatılması ve daha fazla analiz için denetim izinin kaydedilmesi ile sonuçlanabilir.

(f) Veri iletişim kontrolleri:

Bu kontroller daha da önem kazanmaktadır, çünkü veri trafiği, gönderici ile alıcı arasındaki mesafenin artmasıyla birlikte geometrik oranlarda artmaktadır. Her ikisi de, verilerin dokunma riskine daha fazla maruz kalmasına neden olur. Verileri hedef terminale giderken korumak için kullanılan birçok yöntem vardır.

Genel olarak, aktarım sırasında verilere yönelik tehditler üç tür olabilir, (a) yetkisiz erişim tehdidi, (b) veri doğruluğu ve eksiksizliği tehdidi ve (c) zamanında veri indirme tehdidi.

(i) Verilere yetkisiz erişim:

Sert kablolu ağlar (koaksiyel kablolar veya fiber optik ortamları kullanarak) elektronik kanallardan daha az dokunmaya meyillidir. Güvenlik modemleri ayrıca telefon hatlarını kullanan ağlarda popülerlik kazanmaktadır. Otomatik geri arama sistemi olarak adlandırılan başka bir yöntem, kullanıcının doğruluğunu kontrol etmek için kullanılıyor. Bu sistemde, bilginin arayanı arar ve bekler.

Gönderenin doğruluğu kontrol edilir, arayan tarafından kullanılan şifreyi kaydeder ve arayan kişiye geri çevirir. Arayan kişinin kimliği ve yeri üzerinde yapılan bu ikili kontrol, telefon dinlemenin tespitinde çok yararlıdır. Otomatik oturum kapatma sistemi de çok popüler bir kontrol sistemidir.

Yöneticinin sorumluluklarının artan baskısıyla, yöneticinin gerektiği gibi oturmayı ya da oturumu kapatmayı unutmayı her olasılığı vardır. Bu tür sistemler, terminal belirli bir süre kullanılmadığında, terminalin otomatik olarak sunucudan çıkış yapmasını sağlar. Bilgiye daha fazla erişim, sadece giriş prosedürü tekrarlandığında mümkündür. Bu kontrol türü, kimliğe bürünme olasılığını en aza indirir.

(ii) Veri bütünlüğü kontrolleri:

Veri doğruluğu ve eksiksizlik kontrolleri, iletilen verilerin bütünlüğünü sağlamak için esastır. Veri iletimindeki hatalar, veri iletim kanalındaki bozulma veya veri anahtarlama donanımındaki bir arızadan kaynaklanabilir.

Verilerin hedefe doğru ve tam olarak ulaşıp ulaşmadığını kontrol etmek için eşlik bitleri kullanılabilir. Bir başka popüler yöntem, mesajı başlıklarla ve altbilgilerle (römorklar) paketlere bölmek ve alıcının sonunda var olup olmadıklarını kontrol etmektir.

(g) Bilgisayar işletim kontrolleri:

Bilgisayar sistemlerinin ve terminallerin çalışması üzerindeki kontrol, bilgisayar suistimalinin önlenmesinde önemli bir rol oynayabilir. Düzenli kullanıcılar için, özellikle de, operasyonel gereksinimlerin tahmin edilebilir olduğu ve uygun şekilde planlanabileceği daha düşük yönetim hiyerarşisi seviyelerinde bilgisayar operasyon programını planlamakta fayda vardır. Zamanlanan işlemlerden herhangi bir sapma, bilgisayar sisteminin gün için belirtilenler dışındaki işlevler için çalışmasını engellemek için incelenebilir.

Paylaşılan terminaller ve etkileşimli iletişimi gerektiren durumlarda bilgisayar sistemlerinin işletimi üzerindeki kontrol daha da zorlaşır. Ancak, tanımlama ve şifreler paylaşılmıyorsa, paylaşılan terminaller üzerindeki kontrol sorunlarının çoğuna bakılabilir.

(h) Donanım kontrolleri:

Bilgisayar donanımı kontrolleri, sistemin arızalı olup olmadığını kontrol etmek ve arıza durumunda uyarı vermek için bilgisayar donanım üreticileri tarafından yapılan kontrollerdir. Bunlar, depolama cihazlarındaki ünlü parite kontrollerini, geçerlilik kontrollerini ve doğrulama için ikili okuma kontrollerini içerir. Bu kontroller verilerin depolanması ve alınması ve verilerde aritmetik işlemlerin gerçekleştirilmesinde çok yararlıdır.

Genel kontrollerin etkinlikleri açısından gözden geçirilmesi gerekir. Bu kontroller, bir bütün olarak bilgi sistemi için güvenlik önleminin çekirdeğini oluşturmaktadır.

3. Uygulama Kontrolleri:

Özel uygulamalar için, kendi özel gereksinimleri ve risk algıları göz önünde bulundurularak özel kontroller uygulamak zorunludur. Bu kontroller, bilgi stoklarının giriş ve bakımının doğruluğunu, geçerliliğini ve eksiksizliğini sağlamayı amaçlar. Manuel ve manuel kontrolleri içerirler.

(a) Giriş kontrolleri:

Giriş kontrolleri, girişin uygun şekilde yetkilendirilmesini ve kaynak belgeye göre kaydedilmesini sağlar. Kaynak belgeler seri olarak numaralandırılır ve girdiler veritabanını etkilemeden önce gruplar halinde doğrulanır. Toplu kontrol toplamları ve düzenleme rutinleri, giriş verilerinin doğru ve eksiksiz olmasını sağlamak için kullanılır ve çift girişler elimine edilir.

Ekran girişi komut istemleri ve ekran menüleri, veri girişinin doğruluğunu ve eksiksizliğini sağlamaya yardımcı olmak için kullanılır. Veri doğrulama kontrolleri geçerli veri tiplerini, alan uzunluğunu, işlemin tanımlanmasını sağlamak ve girdideki sayısal değerlerin makul olup olmadığını kontrol etmek için kullanılır.

(b) İşleme kontrolleri:

Bu kontroller girdi üzerinde yapılması gereken prosedürlerin uygun şekilde yürütülmesini sağlamayı amaçlar. Çalıştırma kontrol toplamları, işlemlerde seçilen veri elemanları ile ana kayıtların bilgisayarla eşleştirilmesi, uygunluk kontrolleri, format kontrolleri, bağımlılık kontrolleri, görsel kontrol, vb. Giriş işleminin doğru yapılmasını sağlamak için kullanılan genel kontrollerden bazılarıdır. .

(c) Çıkış Kontrolleri:

Bu kontroller, bir uygulama çalışmasının çıktısının doğru ve eksiksiz olmasını sağlamak içindir. Bu kontroller arasında çıktı toplamlarının girdi ve işlem toplamları ile dengelenmesi, çıktı raporlarının denetlenmesi ve çıktı raporlarının yetkili alıcılara iletilmesi prosedürü yer almaktadır.