Способы снижения рисков

Подробнее

Размер

21.14K

Добавлен

23.01.2021

Скачиваний

9

Добавил

Максим
5+
Текстовая версия:

Эссе «Способы снижения рисков»

Введение

В этом проекте мы собираемся выявить и проанализировать потенциальные лазейки и угрозы безопасности, связанные с работой небольшой аптеки, расположенной в местном торговом центре, которая оснащена сервером брандмауэра, файловым сервером контроллера домена Windows 2008 Active Directory (DC) и четырьмя настольными компьютерами с выделенным соединением T1. Кроме того, для каждой из выявленных физических и логических уязвимостей и угроз в этой статье будут разработаны стратегии борьбы с рисками.

Угрозы безопасности, называемые методами контроля доступа, участвующими в этом бизнесе, делятся на две категории и будут обсуждаться и анализироваться по мере продолжения работы. Эти категории-физические уязвимости и логические уязвимости.

Физические уязвимости - это проблемы безопасности, связанные с физическим доступом к зданию, средствам, лекарствам и информации, находящейся в фармацевтическом магазине. Получение доступа к объектам или оборудованию является первоначальной угрозой, которую необходимо контролировать, поскольку, если несанкционированные лица получат доступ к объектам, они могут уничтожить или отредактировать их, украсть их или получить информацию, которую они не должны были получить. Логические уязвимости и угрозы-это проблемы безопасности, связанные с получением физического доступа к сети, в отличие от физического контроля доступа. что препятствует доступу в здание и другие помещения аптеки.

Физический Контроль Доступа

Для контроля доступа в помещения аптечного магазина вся сетевая проводка и коммуникационное оборудование, включая маршрутизаторы, коммутаторы, компьютеры, файловые серверы, брандмауэр и т.д., должны храниться в недоступном для посторонних лиц месте с использованием необходимых методов контроля доступа. Следующие меры, которые должны быть приняты, делятся на следующие категории:

Человеческая форма физического контроля доступа: в этом типе физического контроля доступа люди контролируют вход/выход в фармацевтический магазин или помещение в виде охранников, регистратора и т. д.

Электронная / механическая форма: в этой форме физического контроля доступа замки и ключи используются для управления доступом в магазин. Все информационные ресурсы, лекарства и оборудование должны храниться в закрытых помещениях или шкафах (Hattersley, Perkins, & Dolph, n.d.).

Электронная / технологическая форма физического контроля доступа: в электрической форме физического контроля доступа к аптеке должны быть установлены системы сигнализации, проверки выхода и системы обнаружения вторжений, включая карточки физического доступа с ключом, для лиц, основанных на их роли или функции, например кассиров продаж, покупателей и т.д. Системы видеонаблюдения также должны быть установлены таким образом, чтобы каждое движение, ремонт и техническое обслуживание в аптеке и вокруг нее отслеживались и регистрировались.

Логическое Управление Доступом

Как уже упоминалось ранее, логическое управление доступом связано с управлением доступом к сети или программам в фармацевтическом магазине, который был оснащен сетью из четырех настольных компьютеров, брандмауэром, файловым сервером, выделенным соединением T1 и файловым сервером Windows 2008 Active Directory Domain Controller (DC). Есть три этапа в достижении этой цели, которые обсуждаются ниже:

Идентификация: это деятельность пользователя по предоставлению своей личности для того, чтобы получить доступ к сети в качестве авторизованного пользователя. Некоторые механизмы, используемые в процессе идентификации: имя пользователядостоверение личности, пароль, номер счета и т. д.

Аутентификация: это означает проверку личности пользователей, чтобы узнать, являются ли они авторизованными пользователями или нет, используя криптографический ключ, PIN-код и т. д. Как пользователь, вы должны доказать одну из трех основных характеристик аутентификации или комбинации, которые таковы: вам нужно доказать, что у вас есть (например, карта), что вы знаете (например, имя пользователя) и что вы есть, например, отпечаток пальца (Аллен, н. д.). Существует так много механизмов аутентификации, которые имеют различные уровни силы и слабости, которые обсуждаются ниже.

Пароль: пароль - это комбинация символов, которые образуют уникальную строку для каждого пользователя, используемого для аутентификации. Это самый распространенный и самый небезопасный метод по сравнению с другими методами аутентификации. Существует два основных типа атак на пароли. Первый-это атака грубой силы, где используется инструмент, чтобы попробовать все возможные последовательности и символы, пока пароль не будет раскрыт. Второй тип - это атака по словарю, когда злоумышленник захватывает хэшированное значение файла пароля и сравнивает его с каждым словом, предварительно загруженным в инструмент, пока не найдет совпадение. Следующие действия должны быть реализованы в рамках общей политики безопасности для всех авторизованных пользователей сети и оборудования:

Пароли не должны быть общими.

Они не должны быть словарными словами и не должны быть легко угаданы.

Пароли должны быть изменены через короткий промежуток времени.

Все пароли должны иметь не менее восьми символов, которые должны представлять собой комбинацию буквенно-цифровых клавиш и символов с комбинацией верхнего и нижнего регистра.

Должно быть установлено ограничение на количество неудачных попыток входа в систему и запись всех попыток.

Пользователи не должны повторять одни и те же пароли.

Пароли должны быть зашифрованы с помощью алгоритмов шифрования.

Для обнаружения атак должны быть установлены системы обнаружения вторжений.

Файлы паролей должны быть надлежащим образом сохранены и защищены (Harris, 2002).

Криптографические ключи: это может быть альтернативой использованию паролей, поскольку это закрытый ключ, доступный только одному авторизованному пользователю для целей аутентификации. Эти закрытые ключи также используются для создания цифровых подписей для аутентификации пользователей.

Биометрия: биометрия также может быть использована для аутентификации авторизованных пользователей, хотя эти системы обычно более дороги по сравнению с другими методами, но более надежны. Некоторые примеры биометрии-отпечатки пальцев, отпечатки голоса, сканирование ладоней, сканирование сетчатки и т. д. Точность биометрических систем оценивается с помощью двух измерений: погрешности типа 1 и погрешности типа 2. Ошибка типа 1 означает ложное отклонение, и она должна отклонить пользователя, которому должен быть разрешен доступ. Ошибка типа 2-это ложное принятие; она допускает доступ к неавторизованным пользователям. Комбинация этих двух типов ошибок называется скоростью пересечения, которая является точкой, в которой ошибка типа 1 равна ошибке типа 2. Чем меньше значение, тем выше точность системы (Harris, 2002).

Авторизация: авторизация означает предоставление доступа аутентифицированным пользователям и

Разрешение на выполнение некоторых задач на основе установленных прав доступа (Harris, 2002). Это помогает определить, что именно разрешено делать аутентифицированным пользователям и к какой информации они могут иметь доступ. После авторизации пользователей следует рассмотреть важную концепцию, которая заключается в предоставлении наименьших привилегий авторизованным пользователям. Применение этих принципов означает, что минимальный доступ должен быть предоставлен для авторизации пользователей, чтобы заставить их выполнять только те задачи, которые им назначены.

Поскольку у нас есть общие знания о логических уязвимостях и угрозах, связанных с этим фармацевтическим магазином, а также общие способы контроля логического доступа к магазину, мы должны затем рассмотреть значение устройств контроля доступа, уже доступных в магазине, по отношению к уже обсужденным механизмам контроля доступа. При этом мы могли бы применить концепцию списка управления доступом (ACL) к устройствам сетевого доступа, разделив его на список управления доступом к файлам и список управления доступом к сети.

Файловый сервер Windows 2008 Active Directory Domain Controller (DC) - это операционная система, предназначенная для интерфейса между пользователями и компьютерами, она может быть настроена так, чтобы обеспечить как Список управления доступом к файлам, так и список управления доступом к сети, но не предоставляет расширенных мер управления. В результате устанавливается специальное устройство контроля доступа к файлам (файловый сервер), а в аптеке устанавливаются специальные устройства контроля доступа к сети (маршрутизатор и сервер брандмауэра).

Список управления доступом к файлам-это управление доступом, реализованное на файловом сервере, которое управляет доступом к файлам и файловым системам. В большинстве файловых систем всегда есть три разрешения, которые могут быть предоставлены: чтение, запись или выполнение. Это означает, что пользователю может быть разрешено только читать файлы, записывать их в файлы или каталоги или выполнять исполняемые файлы.

Брандмауэр и установленный маршрутизатор должны быть сконфигурированы для обеспечения контроля доступа к сети путем реализации списка контроля доступа к сети. Разрешение в этом типе списка управления доступом имеет двоичный характер, и одной из наиболее распространенных форм списка управления доступом к сети является фильтрация MAC-адресов. MAC-адрес-это уникальный идентификатор сетевого устройства, и фильтрация сетевых устройств, используя их MAC-адреса, очень важна для контроля доступа к сети. Кроме того, мы можем реализовать фильтрацию портов, поскольку некоторые службы и порты приложений используются для связи через сеть. Таким образом, отказ в доступе к тем портам, которые кажутся уязвимыми, очень важен (Andress, 2012).

Злоумышленники также чрезвычайно изобретательны в попытках получить доступ к полезной информации и ресурсам, и они всегда придумывают способы получить доступ к средствам контроля безопасности. Некоторые из специальных способов, которыми они атакуют или угрожают организациям, упомянуты ниже, а также способы избежать того же эффекта в случае фармацевтического магазина.

Обнюхивание: это пассивная форма атаки, когда злоумышленник пытается контролировать сеть, чтобы получить некоторую информацию, которая может помочь в планировании атаки. Этого можно избежать, зашифровав передаваемые данные с помощью специальных алгоритмов.

Атака "человек посередине": злоумышленник пытается получить доступ к разговору между авторизованными пользователями из удаленного места, чтобы прочитать передаваемые сообщения. Этого можно избежать, используя порядковые номера и цифровые подписи при передаче информации.

DOS-атака, при которой большие пакеты отправляются на хост-компьютеры, которые могут перезагрузить или заморозить их. Этого типа атаки можно избежать, исправив системы и настроив входную фильтрацию для обнаружения негабаритных пакетов (Kissoon, 2006).

Поддельный экран входав систему: поддельные экраны входа в систему могут быть установлены на компьютере жертвы, и пользователь затем раскрывает учетные данные, пытаясь войти в систему. Для обнаружения таких атак должны быть установлены системы обнаружения вторжений на базе хостов.

Эманационная атака: в этой форме атаки злоумышленники пытаются перехватить электрические сигналы, которые излучаются из сети и терминальных устройств, используя специальные средства извлечения информации из них. В случае аптеки эта атака может быть предотвращена путем излучения однородного спектра случайных электрических сигналов в окружающую среду для глушения других высвобождаемых сигналов, а также зоны управления могут быть использованы для остановки сигналов, когда они покидают оборудование (Harris, 2002).

Вывод

В заключение, одна из самых важных вещей, которые следует учитывать в каждом бизнесе или организации, - это безопасность. В этом проекте мы проанализировали угрозы безопасности и уязвимости, связанные с работой небольшой аптеки, а также способы предотвращения или контроля несанкционированного доступа с учетом стоимости и необходимого уровня безопасности.