Information Security Awareness & Training

Information Security Awareness & Training


Informasjonssikkerhet er et omfattende felt som omfatter risiko- og trusselvurdering, utslippsreduksjoner og kontroll og data backup og gjenoppretting. Informasjonssikkerhet er kritisk til den moderne organisasjon og de enkelte brukerne. Informasjon sikkerhetspolitikk må ta informasjonssystemer og kommunikasjon miljø sikkerhet, for eksempel operativsystemer, databaseservere, webservere, IT-systemer og interne og eksterne nettverk. I en organisasjon, brukerinformasjon, kundeinformasjon og finansielle databaser, etc., skal forvaltes og sikres ordentlig på grunn av høyt potensial for avsløring av informasjon og tap av data.

Information Security Viktig

Information Security Awareness & Training

Trusler fra Internett og sårbarheter innenfor Operativsystemet kan føre til datamaskinen sammenbrudd og gjøre informasjonen utilgjengelig. Disse trusler eller sårbarheter omfatter: sårbarheter fra svakt utviklet for IT-systemer, nylig nye Internett-baserte trusler og uautorisert tilgang.

Nettverks Risiko og trusselvurdering

Risikoer og trusler som potensielt utgjør risiko for angrep og inntrenging til IT-systemer og eiendeler må identifiseres. En risiko eller trussel bordet og starter med en liste over kjente risikoer eller trusler gruppert etter nettverk, vert og søknad kan utnyttes. De mest vanlige nettverkstrusler er illustrert som følger:

Webservere sårbarhet for DoS-angrep

Uautorisert tilgang til nettverket

Destruktive innbrudd og angrep

avsløring av informasjon

Smurf angrep

Buffer overflow inntrenging i DNS-serverne

Host og Application risikoanalyse

Ved hjelp Nmap, netcat og andre sikkerhet penetrasjons verktøy identifiserer et bredt spekter av trusler, for eksempel etterligning, tukling og sårbarheter. For eksempel Windows-servere har følgende sikkerhetsproblemer:

sårbarhet IIS WebDAV

sårbarhet buffer overflow

Sikkerhetsproblemer knyttet til databasesystemer og IT-systemer er som følger:

Svak krypteringsnøkkel

sårbarhet Ekstern kjøring av kode

SQL-injeksjon eller cross-site scripting

Brukernavn opplisting

parameter manipulering

Session og Cookie

Mottiltak Angående de risikoer og trusler

For å beskytte informasjon og redusere nettverk sikkerhetstrusler, vil følgende tiltak være avgjørende:

Beskyttelse av informasjonssystemer og nettverk fra identifiserte risikoene

Administrator tilsyn av nettverket, ved hjelp av nettverk avlytting programvare

Distribusjon av sikker design av database og andre informasjonssystemer

Distribusjon av SSL encrption

Implementering IPSec for å hindre at noen jukser og øktkapring

Implementering av adgangskontroll på rutere

Distribusjon av hardware og software brannmurer

Implementering av e-post sikkerhet apparater

Information Security Awareness

I en organisasjon miljø, vil informasjonen deles inn i følgende kategorier: finansielle data, kundedata, produktdesign og brukerinformasjon. Ulike sikkerhets enforcements bør iverksettes på grunn av konfidensialitet, tilgjengelighet og integritet for opplysningene.

Informasjonen eierskap bør defineres, samt tilgangsrettigheter. En informasjonssikkerhet divisjon bør være på plass for gjennomføring av sikkerhetspolitikk. Brukerne bør være godt klar av informasjon taushetsplikt og er i samsvar med den eksplisitte sikkerhetspolitikk. De ansatte har ansvar for å lære informasjonssikkerhetspolicy og rapportering til den tilsvarende inndeling i tilfelle brudd.