Sicherheit: Vergessen Sie nicht, die Grundlagen
Zwar lag der Schwerpunkt — und ein großer Teil der Finanzierung — geht auf fortschrittliche Sicherheitstechnologien, es lohnt sich, die Grundlagen nicht zu übersehen.
John Vacca
Adaptiert von "Computer and Information Security Handbook" (Elsevier Science & Technik Bücher).
Viele Unternehmen verbringen viel Zeit und Geld, die Adressierung Verteidigungsmaßnahmen des Perimeters. Während die wirklich wichtig sind, können Organisationen manchmal einige grundlegende Security Prozesse und Verfahren übersehen. Nur einfache Passwortverwaltung Taktiken und Tricks Konfiguration können einen langen Weg zur Erhöhung Ihrer Sicherheitslage gehen.
Standard-Account-Passwörter zu ändern
Fast alle neuen Netzwerkkarten kommen vorkonfiguriert mit einem Passwort/Benutzername-Kombination. Diese Kombination ist die Setup-Materialien enthalten und wird in zahlreichen Ländern mit Standorten dokumentiert. Sehr oft sind diese Geräte Gateways zum Internet oder anderen internen Netzwerken.
Wenn Sie diese Standardkennwörter konfigurationsabhängig nicht ändern, wird es eine triviale Angelegenheit für einen Angreifer in diese Systeme zu erhalten. Hacker können Passwort-Listen im Internet finden und Anbieter enthalten häufig Standardkennwörter in ihrer online-Handbücher.
Robuste Kennwörter verwenden
Mit der erhöhten Rechenleistung in jedem PC oder Laptop und Kennwörtern Software wie die Passware-Produkte und das AccessData Password Recovery Toolkit ist Passwörter zu knacken ziemlich einfach und unkompliziert. Aus diesem Grund ist es äußerst wichtig, robuste Passwörter zu erzeugen. Komplexe Kennwörter sind hart für Benutzer zu merken, obwohl, so ist die Herausforderung, Kennwörter erstellen sie sich erinnern können ohne aufschreiben.
Eine Lösung ist, verwenden Sie den ersten Buchstaben jedes Wortes in einem Satz wie "Ich mag Essen importierte Käse aus Holland." Dies wird IlteicfH, das ist eine acht Zeichen-Kennwort mit oberen und Kleinbuchstaben. Können Sie dies sogar noch komplexer, indem ersetzen ein Ausrufezeichen für den Buchstaben I und ersetzen die Zahl 3 für die Buchstaben e, so wird das Kennwort! lt3icfH. Dies ist eine ziemlich stabile Kennwort ein Benutzers leicht aus.
Enge nicht benötigten ports
Anschlüsse des Computers sind logische Kommunikation-Access-Points über ein Netzwerk. Zu wissen, was ports sind offen auf Ihren Computern wird Hilfe, die Sie verstehen die Zugriffsarten verweist Sie zur Verfügung haben. Die bekannte Portnummern sind 0 bis 1023.
Einige erkannt leicht, Häfen und ihre Verwendung sind hier aufgeführt:
- Port 21: FTP
- Port 23: Telnet
- Port 25: SMTP
- Port 53: DNS
- Port 80: HTTP
- Port 110: POP (Post Office Protocol)
- Port 119: NNTP (Network News Transfer Protocol)
Offene Ports, die erforderlich sind, kann einen Eingang in Ihre Systeme. Offene Ports, die geöffnet, unerwartet sind wäre ein Zeichen von bösartiger Software. Offene Ports zu identifizieren ist daher eine wichtige Sicherheits-Prozess. Es gibt verschiedene Tools, mit denen Sie offene Ports zu identifizieren. Der integrierte Befehlszeilenprogramm Netstat hilft Ihnen offene Ports zu identifizieren und Verarbeiten von IDs mithilfe von die folgenden Befehlszeilenoptionen:
- **a:**Zeigt alle Verbindungen und Überwachungsports
- **n:**Zeigt Adressen und Portnummern numerisch
- **o:**Zeigt die besitzenden Prozess-ID, die jede Verbindung zugeordnet
Andere hilfreiche Tools zur Verwaltung von gehören CurrPorts, ein GUI-Tool, mit dem Sie die Ergebnisse im durch Trennzeichen getrennte Format exportieren und TCPView, ein Tool von Microsoft.
Patch, Patch, patch
Fast alle Betriebssysteme haben einen Mechanismus automatisch nach Updates suchen. Sie sollten sicherstellen, dass diese Benachrichtigungssystem eingeschaltet bleibt. Zwar es einige Diskussionen gibt darüber, ob die Updates automatisch installiert werden sollte, sollten Sie mindestens Updates informiert werden. Sie möchten nicht automatisch installiert werden, da Patches und Updates bekannt, um mehr Probleme verursachen als sie lösen. Aber warten Sie nicht zu lange bevor Sie Updates installieren, da dies unnötig Ihre Systeme zum Angriff aussetzen kann. Ein einfaches Werkzeug, das hilft immer Überblick über System-Updates ist der Microsoft Baseline Security Analyzer, die auch andere grundlegende Sicherheitskonfigurationen geprüft wird.
Verwenden Sie keine Administrator-Accounts für persönliche Aufgaben
Eine gemeinsame Sicherheitslücke entsteht, wenn Sie, Verwaltungs- oder persönliche Aufgaben während Ihrer Computer mit Administratorrechten angemeldet als Systemadministrator durchführen. Aufgaben wie das Abrufen von e-Mails, Surfen im Internet und fragwürdige Prüfsoftware können den Computer auf bösartige Software verfügbar machen. Dies bedeutet auch, dass bösartiger Software möglicherweise in der Lage, mit Administratorrechten auszuführen, was zu ernsthafte Problemen führen kann. Um dies zu verhindern, sollten Sie in Ihre Systeme ein Standardbenutzerkonto verwenden, um zu verhindern, dass bösartigen Software gewinnt Kontrolle über Ihren Computer anmelden.
Beschränken Sie den physischen Zugriff
Mit derartigen Fokus auf Technologie ist es oft leicht, die technischen Aspekte der Sicherheit zu übersehen. Wenn ein Eindringling physischen Zugriff auf einen Server oder andere Infrastruktur-Sondervermögen erlangen kann, wird der Eindringling die Organisation besitzen. Kritische Systeme sollten in gesicherten Bereichen gehalten werden. Ein geschützten Bereich ist eine Anwendung, die die Fähigkeit zur Steuerung des Zugriffs auf jene, die Zugang zu den Systemen im Rahmen ihrer Tätigkeit benötigen.
Ein verschlossenen Raum ist ein guter Anfang. Nur der Serveradministrator sollte einen Schlüssel haben, und speichern Sie den Ersatzschlüssel an einem sicheren irgendwo in der executive-Suiten. Zimmer müssen keine Fenster, die geöffnet werden können. Der Raum sollte nicht sogar alle Etiketten oder Schilder als einem Server Zimmer oder Network Operations Center haben. Auf jeden Fall speichern Sie nicht die Serverausrüstung in einem Schrank wo andere Mitarbeiter, Verwalter oder Auftragnehmer zugreifen können. Überprüfen Sie die Gültigkeit Ihrer Sicherheitsmechanismen, während ein Dritter Schwachstellenanalyse.
Vergessen Sie nicht, Papier
Mit dem Aufkommen der digitalen Technologie haben einige Leute vergessen, wie die Informationen in der Vergangenheit gestohlen wurde: auf dem Papier. Verwaltung von Papierdokumenten ist relativ einfach. Verwenden Sie Sperren Aktenschränke, und stellen Sie sicher, dass sie konsequent gesperrt sind. Zusätzliche Kopien von proprietären Dokumenten, geparkten und abgelaufene interne Kommunikation sind nur einige der Materialien, die vernichtet werden sollten. Erstellen Sie eine Richtlinie informieren Mitarbeiter von was sie sollte und sollte nicht mit gedruckten Dokumenten.
In diesem Beispiel der Diebstahl von Betriebsgeheimnissen unterstreicht die Bedeutung des Schutzes von Papierdokumenten: Eine Firma-Überwachungs-Kamera fing Coca-Cola Mitarbeiter Joya Williams an ihrem Schreibtisch Dateien durchsehen und "Füllung von Dokumenten in Taschen," nach FBI-Beamten. Dann im Juni undercover FBI-Agent am Flughafen Atlanta stieß ein weiterer Täter, übergibt ihm $30.000 in einem gelben Feld Girl Scout Cookie im Tausch gegen ein Armani-Tasche mit vertraulichen Dokumenten der Coca-Cola und ein Beispiel für ein Produkt der Firma war in der Entwicklung.
Diese grundlegenden Schritte zur Sicherung Ihrer physischen und digitalen Umgebung sind nur der Anfang. Sie sollten einen Einblick wo Sie bauen eine sichere Organisation bieten.
.jpg)
John Vacca ist Informationen Technologieberater, professioneller Schriftsteller, Redakteur, Prüfer und international bekannten Bestseller-Autor, Sitz in Pomeroy, Ohio. Er verfasste mehr als 50 Titel in den Bereichen der erweiterten Speicher, Computersicherheit und Luft-und Raumfahrttechnik. Vacca war auch ein Configuration-Management-Spezialist, Computer-Spezialist und der Computer Sicherheit Beamte (CSO) für NASA Raumstation (Freiheit) und das internationale Raumstation Programm von 1988 bis zu seiner Emeritierung von der NASA im Jahr 1995.
Schauen Sie für weitere Informationen zu dieser und anderen Titeln von Elsevier, Elsevier Science & Technik Bücher.