Mavzu: Axborot xavfsizligi
Xavfsizlik - bu mumkin bo'lgan shikastlanishdan himoya qilish holati, xavfli ta'sirlarni o'z ichiga olishi yoki yo'qligi, shuningdek etkazilgan zararni tezda qoplash imkoniyati. Xavfsizlik tizim barqarorlikni, barqarorlikni va o'z-o'zini rivojlantirish imkoniyatini ta'minlaydi. Muhokama qilinadigan eng mashhur mavzulardan biri bu elektron tijorat xavfsizligi.
Tizimlar xavfsiz tarzda o'rnatilishi mumkin. Tizimlarni faqat ma'lum tahdidlardan himoya qilish mumkin, bunda ular bilan bog'liq xavflar soni maqbul darajaga tushiriladi. Faqatgina siz xavfni kamaytirishning kerakli darajasi va echim narxi o'rtasidagi to'g'ri balansni aniqlashingiz mumkin. Umuman olganda xavfsizlik bu xatarlarni boshqarish jihatlaridan biridir. Axborot xavfsizligi - bu oqilona boshqarish, biznesni xatarlarini boshqarish va to'g'ri texnik nazorat qilish, ixtisoslashgan mahsulotlardan oqilona foydalanish, qobiliyat va tajriba va to'g'ri rivojlanish texnologiyalarining kombinatsiyasi. Shu bilan birga, veb-sayt faqat iste'molchiga ma'lumot etkazish vositasidir.
Veb-sayt xavfsizligi - bu faqat texnik muammo. Ko'pincha xavfsizlik ishlab chiqish jarayonini, operatsion tizimni to'g'ri sozlashni va umuman saytni doimiy boshqarish ustidan nazoratni talab qiladi. Haqiqiy xavfsizlik sizning bevosita nazoratingizda - ichki tizimlarni ishlab chiqishda maqbul bo'lgan narsa to'liq almashiladigan xizmatlarga mos kelmasligi mumkin. Korxona ichidagi faqat bir nechta ishonchli ishchilarga ta'sir qiladigan tizim muammolari umumiy muhitga o'tishda aniq bo'ladi.
Ommaviy axborot vositalari xavfsizlikning barcha zaifliklari va xavflari to'g'risida muntazam ravishda xabar berib turadi. Ko'pincha ommaviy axborot vositalari har kimning e'tiborini jalb qiladigan va asosiy muammoni tushunish uchun maxsus ko'nikmalarni talab qilmaydigan muammolar haqida xabar berishadi. Bunday xabarlar kamdan-kam hollarda xavfsizlik nuqtai nazaridan biznes uchun real tahdidlarni aks ettiradi va ko'pincha xavfsizlik bilan umuman aloqasi yo'q.
Kredit karta ma'lumotlari Internetda xavfsiz emas. Aslida, kredit karta ma'lumotlari yaqin atrofdagi do'kon yoki restorandan ko'ra Internet orqali uzatilganda o'g'irlikka kamroq moyil bo'ladi. Vijdonsiz biznes bunday ma'lumotlardan ruxsatsiz foydalanish bilan qiziqishi mumkin va siz u bilan qanday ishlashingiz kerak - Internet orqali yoki yo'q - bundan buyon muhim emas. Xavfsiz uzatish kanallari va ishonchli saytlar yordamida haqiqiy uzatilayotgan ma'lumotlarning xavfsizligini oshirish mumkin. Ko'pgina elektron tijorat tizimlarining ajralmas qismi iste'molchilarni ishonchli identifikatsiyalash zarurati hisoblanadi. Tanib olish usuli nafaqat xavf darajasiga, balki jinoiy javobgarlikka tortish turiga ham bevosita ta'sir qiladi.
Parollar odamlarni aniqlaydi. Parollar faqat asosiy tekshirishni ta'minlaydi - ma'lum bir tizimdan foydalanishga vakolatli shaxs ulanmoqda. Odamlar o'z parollarini boshqalardan, ayniqsa yaqin qarindoshlari va hamkasblaridan juda ko'p yashirishmaydi. Keyinchalik murakkab autentifikatsiya texnologiyasi ancha tejamkor bo'lishi mumkin. Amaldagi autentifikatsiya qilish darajasi, haqiqiy egasining roziligidan qat'i nazar, tasodifiy shaxslar tomonidan ma'lumotlarga kirish xavfini aks ettirishi kerak.
Bir marta sozlangan va o'rnatilgandan so'ng, xavfsizlik yechimi vaqt o'tishi bilan ishonchli bo'lib qoladi. Korxonalar har doim ham kutilganidek tizimlarni o'rnatmaydi, biznes o'zgaradi va tahdid ham qiladi. Tizimlar xavfsizlik rejimlarini saqlab turishini va sizning biznesingiz va atrof-muhitni rivojlantirish nuqtai nazaridan doimiy ravishda qayta ko'rib chiqilishini ta'minlashingiz kerak. Texnologiya bir xil darajada muhim, ammo uni xavfsizlikni boshqarishning keng spektrining bir qismi sifatida ko'rish kerak. Xavfsizlik devorlari odatda elektron tijorat saytlarining tarkibini himoya qilish uchun echim deb nomlanadi, ammo ularning hatto zaif tomonlari ham bor.
Xavfsizlik devori o'tib bo'lmaydi. Xavfsizlik devori yordamida siz o'zingizning muvaffaqiyatlaringizga tajovuzkorlar hech qachon kirmasligiga ishonch bilan ishonishingiz mumkin. Muammo shundaki, ularni sozlash kerak, shunda ba'zi trafik ular orqali va ikkala yo'nalishda ham oqadi. Himoya qilmoqchi bo'lgan narsalaringizni diqqat bilan ko'rib chiqishingiz kerak. Uy sahifangizga hujumning oldini olish veb-serveringizni server tizimlariga yo'l sifatida ishlatilishining oldini olishdan juda farq qiladi va ikkala holatda ham xavfsizlik devori talablari juda farq qiladi. Ko'pgina tizimlar nozik ma'lumotlarni faqat avtorizatsiya qilingan foydalanuvchilarga kirishini ta'minlash uchun murakkab ko'p qatlamli xavfsizlikni talab qiladi. Elektron pochta odatda har qanday elektron tijorat saytining kalitidir. Shu bilan birga, u ikkita asosiy toifaga kiradigan bir qator xavfsizlikka oid muammolarni keltirib chiqaradi:
Elektron pochta tarkibini himoya qilish - uni buzish yoki o'qish mumkin.
Tizimni kiruvchi elektron pochta hujumlaridan himoya qilish.
Agar siz pochta ma'lumotlari maxfiyligi yoki yaxlitligi bilan ishlamoqchi bo'lsangiz, uni himoya qiladigan ko'plab mahsulotlar mavjud.
Viruslar endi muammo emas. Viruslar hali ham jiddiy tahdid solmoqda. Viruslarni yaratuvchilarning so'nggi mashg'ulotlari bu ochilganda ochilgan, makroslarni ishga tushirgan va qabul qiluvchi tomonidan ruxsatsiz harakatlarni bajaradigan harflarga biriktirilgan fayllardir. Ammo viruslarni tarqatishning boshqa vositalari ham ishlab chiqilmoqda - masalan, HTML veb-sahifalari orqali. Antivirus mahsulotlaringizning yangilanganligiga ishonch hosil qiling. Agar ular viruslarni skanerlash uchun ishlab chiqilgan bo'lsa, ular faqat viruslarni aniqlay olishlari mumkin, ammo ularni yo'q qilmaydilar.
Hurmatli Sertifikatlash idorasi (CA) tomonidan ochiq kalit sertifikatiga ega bo'lgan kompaniya allaqachon o'z nomidan ishonchli. Sertifikat shunchaki bir narsani anglatadi: "Sertifikat so'ralganda, men, CA ushbu kompaniyaning identifikatorini tekshirish uchun ma'lum harakatlar qildim. Siz rozi bo'lishingiz yoki mumkin emas. Men ushbu kompaniya bilan tanish emasman va unga ishonishingiz mumkinligini bilmayman, va hattoki - uning biznesi nima o'zi. Menga ma'lum bo'lishicha, ochiq kalit obro'si to'kilgan, men uni, masalan, o'g'irlangan yoki boshqa birovga o'tkazganligini ham bilmayman va buni o'zingiz tekshirishingiz kerak. Mening javobgarligim ushbu kompaniya bilan bog'liq kalitlarni ishlatishdan oldin o'qishingiz kerak bo'lgan Siyosat Bayonotining qoidalari bilan cheklangan. "
Elektron raqamli imzolar - bu qo'lda yozilgan imzolarning elektron ekvivalenti. Ba'zi o'xshashliklar mavjud, ammo juda muhim farqlar mavjud, shuning uchun imzolarning ushbu ikki turini teng deb hisoblash mantiqiy emas. Ularning ishonchliligi, shuningdek, shaxsiy kalit aslida shaxsiy foydalanishda qanchalik qat'iy o'rnatilishiga bog'liq. Asosiy farqlar shuningdek quyidagilar:
- Qo'l bilan yozilgan imzolar butunlay imzolovchilarning nazorati ostidadir, raqamli imzolar ular bajaradigan amallarni bajarish uchun ishonchli tarzda ishlaydigan yoki ishlamaydigan kompyuter va dasturiy ta'minot yordamida yaratiladi.
- Qo'lda yozilgan imzolar, raqamli imzolardan farqli o'laroq, nusxa ko'chirish mumkin bo'lgan asl nusxasiga ega.
- Qo'l bilan yozilgan imzolar ular imzolagan narsalar bilan unchalik bog'liq emas, imzolangan hujjatlarning tarkibi imzolangandan keyin o'zgartirilishi mumkin. Raqamli imzolar ular imzolagan ma'lumotlarning o'ziga xos tarkibi bilan chambarchas bog'liqdir.
- Shaxsiy kalitdan farqli o'laroq, qo'lda yozilgan imzoni o'g'irlash mavzusi bo'lishi mumkin emas.
- Qo'l bilan yozilgan imzolar har xil o'xshashlik darajasida nusxalanishi mumkin va raqamli imzolar nusxalari faqat o'g'irlangan kalitlardan foydalangan holda yaratilishi mumkin va 100% kalit haqiqiy egasining imzosi bilan tasdiqlangan.
- Ba'zi autentifikatsiya protokollari sizning nomingizdan ma'lumotlarga raqamli imzo qo'yishingizni talab qiladi va siz nima imzolanganini hech qachon bilmaysiz. Siz raqamli imzo chekishingiz kerak, faqat biron bir narsa haqida.
Xavfsizlik mahsulotlari, biznes to'plamlari singari, ularning funktsional imkoniyatlariga ko'ra baholanishi mumkin. Shuningdek, ular amalga oshirilishining xavfsizligini va ular himoya qila olmaydigan (hujjatlashtirilmasligi mumkin) tahdidlarni baholashni talab qiladi. Umuman olganda, biznes-ilovalar ularning funktsionalligi va foydalanish qulayligiga qarab tanlanadi. Ko'pincha funktsiyalar kutilganidek bajarilganligi sababli qabul qilinadi (masalan, soliqni hisoblash to'plami soliqlarni to'g'ri hisoblab chiqadi). Ammo bu xavfsizlik mahsulotlari uchun adolatli emas. Bu erda eng katta savol - himoya funktsiyalari qanday amalga oshirilganligi. Masalan, paket foydalanuvchilar uchun kuchli parollarni autentifikatsiya qilishni taklif qilishi mumkin, ammo baribir parollarni deyarli har kim o'qiy oladigan oddiy matn faylida saqlaydi. Va bu aniq emas va noto'g'ri xavfsizlik hissi yaratishi mumkin.
Xavfsizlik mahsulotlarini o'rnatish oson. Aksariyat mahsulotlar standart sozlamalar bilan jo'natiladi. Biroq, tashkilotlar turli xil xavfsizlik siyosatiga ega va barcha tizimlar va ish stantsiyalarining konfiguratsiyasi kamdan-kam hollarda bir-biriga mos keladi. Amalda, o'rnatishni tashkilotning xavfsizlik siyosati va platformaning har bir konfiguratsiyasiga moslashtirish kerak. Tez o'sib borayotgan foydalanuvchilar soni va yuzlab mavjud foydalanuvchilar uchun xavfsiz muhitni yaratishning boshqa atributlariga texnik xizmat ko'rsatishni tekshirish murakkab va ko'p vaqt talab qiladigan jarayon bo'lishi mumkin.
PKI mahsulotlari elektron tijoratni qutidan tashqarida himoya qiladi. PKI mahsulotlari xavfsizlik echimlarini amalga oshirishga yordam beradigan asosiy vositalar to'plami bo'lib, faqat huquqiy, protsessual va boshqa texnik elementlarni o'z ichiga olgan to'liq paketning bir qismi sifatida. Amalda, bu ko'pincha asosiy PKI-ni o'rnatishga qaraganda ancha qiyin va qimmatroq.
Xavfsizlik bo'yicha maslahatchilar mutlaq ishonchga loyiqdir. Xavfsizlik bo'yicha maslahatchilar sizning barcha nozik jarayonlaringiz va ma'lumotlaringizga kirish huquqiga ega bo'lishlarini unutmang. Agar yollangan maslahatchilar nufuzli firma uchun ishlamasa, ularning malakasi va tajribasi haqida qiziqmagan manbadan ma'lumot olish kerak - masalan, oldingi mijozlar bilan suhbatlashish. Axborot xavfsizligi bo'yicha mutaxassis deb da'vo qiladigan ko'plab maslahatchilar bor, lekin aslida u nima ekanligini tushunishmaydi yoki umuman bilishmaydi. Ular hatto sizning tizimlaringiz haqiqatdan ham xavfsizroq ekanligiga ishontirish orqali soxta xavfsizlik hissi yaratishi mumkin.
Phishing - tajovuzkorning joriy moliyaviy yoki elektron tijorat provayderidan bo'lish uchun elektron pochta xabarini yuboradigan kiber hujumning bir turi . E-pochtada tez-tez ishlatib turilgan qurbonni firibgar veb-saytga kiritishga urinish uchun ko'pincha qo'rqish taktikasi ishlatiladi. Bir marta veb-saytida, odatda joriy elektron tijorat / bank saytiga o'xshab ko'rinadi va ularga o'xshashdir, jabrlanganlarga ularning hisob raqamiga kirish va ularning bank PIN raqamini, ularning ijtimoiy sug'urta raqamini, onaning qiz ismini va hokazo kabi nozik moliyaviy ma'lumotlarni kiritish topshiriladi. Ushbu ma'lumot keyinchalik shafqatsiz tarzda kredit kartochkasi va bankda firibgarlikda qatnashish uchun foydalanadigan tajovuzkorga yuboriladi - yoki aniq identifikator o'g'rilik.
Smishing, asosan, qisqa xabar xizmati ( SMS ) matnli xabarlari orqali yuborilgan fishing aldatmacalaridir .
"Albatta, men bunga hech qachon qulamasman", deysan. Ko'rinib turibdiki, agar kimdir vaqtni ishlamasa, kimdir bu ishni qilolmaydi.
Qo'rquvdan o'ynash
Fishing firibgarlarining aksariyati quyidagi qo'rquvlardan foydalanadi:
Pulingizni o'g'irlashdan qo'rqish
Siz qilmagan jinoyatlarda ayblanishdan qo'rqing
Sizga yoki o'zingizning oilangizga zarar etkazadigan kishidan qo'rqish
Siz haqingizda noz-ne'matlanadigan narsadan qo'rqish (haqiqatmi yoki yo'qmi)
Biz hammamiz insonmiz. Biz qo'rquvga duch kelganimizda, biz mantiqni tashlab, derazani o'ylab chiqaramiz va bunday narsalardan aldash uchun "juda aqlli" ekanligimizni bilsak ham, hiyla-nayrangga tushib qolamiz. Muvaffaqiyatli yakunlanadigan ko'p sonli fishing hujumlari noma'lum bo'lib qolmoqda, chunki qurbonlar odamlarni o'zlari bilib olish uchun etarlicha ishonchli deb o'ylashlarini istamaydilar.
Fischerlar vaqt o'tishi bilan ularning aldovlarini yaxshilashadi, qaysi biri ishlayotganlarini bilishmaydi. SMS-xabarlarning qisqa xarakterini hisobga olgan holda, phisherlar ishlaydigan juda cheklangan tuvali bor, shuning uchun ular xurujda qo'shimcha ijodkor bo'lishlari kerak.Phishing o suplantación de ident
Ushbu elektron pochta xabarlarining aksariyat qismida foydalanuvchi ushbu hisobni blokdan chiqarish va ma'lumotlarni olish uchun to'g'ridan-to'g'ri elektron pochtaning markaziy qismida joylashgan havoladan foydalanishi kerak. Biz deyarli aniq fishing hujumi yoki shaxsni o'g'irlash orqali hujum qilishdan oldin ko'proq og'zaki tarzda aytilgan.
Bugungi kunga qadar barcha internet foydalanuvchilari yoki deyarli barchamiz elektron pochta orqali elektron pochta xabarlarini olishgan, ular go'yoki bizning bankimiz, PayPal hisob raqamimiz, Amazon hisob qaydnomamiz, Netflix xizmati va boshqalar "bizning hisobimizni to'sib qo'ygan".
1 Fishing nima?
Biz buni oddiy tarzda tushuntirmoqchimiz, shunda ushbu hujumlardan birini olganlarning barchasi biz nima haqida gaplashayotganimizni tezda, to'g'ridan-to'g'ri va ko'p aylanmasdan bilishlari kerak: fishing - bu ma'lumotlarni o'g'irlashga urinish bank, parollar, oqim video va audio xizmatlari, App Store yoki Google Play kabi ilovalar do'koni hisoblari va boshqalar bo'lishi mumkin. Ushbu to'g'ridan-to'g'ri tushuntirish bilan bizda allaqachon bir narsa aniq, deb aytishimiz mumkin, fishing biz uchun yaxshi narsa emas.
Shaxsiy ma'lumotlarni, qanday bo'lishidan qat'iy nazar parollarni o'g'irlashga qaratilgan ochiqdan-ochiq urinishlar haqida gaplashamiz. Ba'zi bu hujumlar to'g'ridan-to'g'ri nuqtaga etib boradi va ular bizdan haqiqatan ham amalga oshirilmagan xaridni yoki biz amalga oshirmagan "X" evro, dollar yoki shunga o'xshash to'lovni bekor qilishni so'rashadi.
Barcha holatlarda ushbu elektron pochta xabarlarining maqsadi ushbu maxfiy ma'lumotlarni qo'lga oling va undan qandaydir tarzda foydalaning kontent / ko'ngil ochish hisobvarag'ida bizning hisob raqamlarimizni boshqa odamlarga sotish va boshqalarda bizning bank hisob raqamlarini o'g'irlash holatlarida bo'lgani kabi to'g'ridan-to'g'ri bo'shatish.
Do'stlaringiz bilan baham: |