Information Security Awareness & Training
Informasjonssikkerhet er et omfattende felt som omfatter risiko- og trusselvurdering, utslippsreduksjoner og kontroll og data backup og gjenoppretting. Informasjonssikkerhet er kritisk til den moderne organisasjon og de enkelte brukerne. Informasjon sikkerhetspolitikk må ta informasjonssystemer og kommunikasjon miljø sikkerhet, for eksempel operativsystemer, databaseservere, webservere, IT-systemer og interne og eksterne nettverk. I en organisasjon, brukerinformasjon, kundeinformasjon og finansielle databaser, etc., skal forvaltes og sikres ordentlig på grunn av høyt potensial for avsløring av informasjon og tap av data.
Information Security Viktig
Trusler fra Internett og sårbarheter innenfor Operativsystemet kan føre til datamaskinen sammenbrudd og gjøre informasjonen utilgjengelig. Disse trusler eller sårbarheter omfatter: sårbarheter fra svakt utviklet for IT-systemer, nylig nye Internett-baserte trusler og uautorisert tilgang.
Nettverks Risiko og trusselvurdering
Risikoer og trusler som potensielt utgjør risiko for angrep og inntrenging til IT-systemer og eiendeler må identifiseres. En risiko eller trussel bordet og starter med en liste over kjente risikoer eller trusler gruppert etter nettverk, vert og søknad kan utnyttes. De mest vanlige nettverkstrusler er illustrert som følger:
Webservere sårbarhet for DoS-angrep
Uautorisert tilgang til nettverket
Destruktive innbrudd og angrep
avsløring av informasjon
Smurf angrep
Buffer overflow inntrenging i DNS-serverne
Host og Application risikoanalyse
Ved hjelp Nmap, netcat og andre sikkerhet penetrasjons verktøy identifiserer et bredt spekter av trusler, for eksempel etterligning, tukling og sårbarheter. For eksempel Windows-servere har følgende sikkerhetsproblemer:
sårbarhet IIS WebDAV
sårbarhet buffer overflow
Sikkerhetsproblemer knyttet til databasesystemer og IT-systemer er som følger:
Svak krypteringsnøkkel
sårbarhet Ekstern kjøring av kode
SQL-injeksjon eller cross-site scripting
Brukernavn opplisting
parameter manipulering
Session og Cookie
Mottiltak Angående de risikoer og trusler
For å beskytte informasjon og redusere nettverk sikkerhetstrusler, vil følgende tiltak være avgjørende:
Beskyttelse av informasjonssystemer og nettverk fra identifiserte risikoene
Administrator tilsyn av nettverket, ved hjelp av nettverk avlytting programvare
Distribusjon av sikker design av database og andre informasjonssystemer
Distribusjon av SSL encrption
Implementering IPSec for å hindre at noen jukser og øktkapring
Implementering av adgangskontroll på rutere
Distribusjon av hardware og software brannmurer
Implementering av e-post sikkerhet apparater
Information Security Awareness
I en organisasjon miljø, vil informasjonen deles inn i følgende kategorier: finansielle data, kundedata, produktdesign og brukerinformasjon. Ulike sikkerhets enforcements bør iverksettes på grunn av konfidensialitet, tilgjengelighet og integritet for opplysningene.
Informasjonen eierskap bør defineres, samt tilgangsrettigheter. En informasjonssikkerhet divisjon bør være på plass for gjennomføring av sikkerhetspolitikk. Brukerne bør være godt klar av informasjon taushetsplikt og er i samsvar med den eksplisitte sikkerhetspolitikk. De ansatte har ansvar for å lære informasjonssikkerhetspolicy og rapportering til den tilsvarende inndeling i tilfelle brudd.