IDPS การรักษาความปลอดภัยตรวจจับการบุกรุกเทคโนโลยี
การตรวจสอบเพื่อความปลอดภัยของข้อมูล เป็นการตรวจสอบในระดับการรักษาความปลอดภัยข้อมูลในองค์กรภายในขอบเขตของการ รักษาความปลอดภัยข้อมูลการตรวจสอบมีหลายประเภทของการตรวจสอบวัตถุประสงค์การ ตรวจสอบแตกต่างกันหลายเป็นต้นส่วนใหญ่มักถูกควบคุมตรวจสอบสามารถแบ่งการ เทคนิคทางกายภาพและการบริหาร ตรวจสอบความปลอดภัยของข้อมูลครอบคลุมหัวข้อจากการตรวจสอบความปลอดภัยทาง กายภาพของศูนย์ข้อมูลการตรวจสอบความปลอดภัยของฐานข้อมูลเชิงตรรกะและไฮไลท์ ส่วนประกอบสำคัญในการหาและวิธีการที่แตกต่างกันสำหรับการตรวจสอบพื้นที่ เหล่านี้
Uses of IDPS Technologies การใช้เทคโนโลยี IDPS
IDPSs จะเน้นหลักในการระบุเหตุการณ์ที่เป็นไปได้ ตัวอย่างเช่น IDPS อาจจะตรวจสอบเมื่อมีการโจมตีการบุกรุกประสบความสำเร็จในระบบโดยช่องโหว่ในระบบ IDPSสามารถ รายงานเหตุการณ์ที่เกิดขึ้นกับผู้ดูแลระบบการรักษาความปลอดภัยที่เริ่มต้น ได้อย่างรวดเร็วสามารถตอบสนองต่อเหตุการณ์การกระทำเพื่อลดความเสียหายที่ เกิดขึ้นจากเหตุการณ์ที่ไม่ได้คาดฝัน IDPS ยังสามารถบันทึกข้อมูลที่สามารถใช้โดย IDPSs หลายเหตุการณ์ที่เกิดขึ้น ยังสามารถกำหนดค่า ได้ตระหนักถึงการละเมิดนโยบายการรักษาความปลอดภัย ตัวอย่างเช่นบาง IDPSs สามารถกำหนดค่าด้วยการตั้งค่าไฟร์วอลล์ เหมือนช่วยให้พวกเขาเพื่อระบุเครือข่ายการจราจรที่ละเมิดการรักษาความ ปลอดภัยขององค์กรหรือนโยบายการใช้งานที่ยอมรับได้ นอกจากนี้บาง IDPSs สามารถตรวจสอบการถ่ายโอนแฟ้มและระบุคนที่อาจจะมีที่น่าสงสัยเช่นการคัดลอกฐานข้อมูลขนาดใหญ่ไปยังแล็ปท็อปของผู้ใช้
IDPSs หลายคนยังสามารถระบุกิจกรรมการลาดตระเวนซึ่งอาจบ่งชี้ว่าการโจมตีเป็นใกล้ ตัวอย่างเช่นบางเครื่องมือโจมตีและรูปแบบของมัลแวร์โดยเฉพาะอย่างยิ่งเวิร์ม, การทำกิจกรรมการลาดตระเวนเช่นโฮสต์และสแกนพอร์ตการกำหนดเป้าหมายสำหรับการโจมตีครั้งต่อไป IDPS อาจ จะสามารถป้องกันการลาดตระเวนและแจ้งให้ผู้ดูแลการรักษาความปลอดภัยที่สามารถ ดำเนินการได้ถ้าจำเป็นในการปรับเปลี่ยนการควบคุมความปลอดภัยอื่น ๆ เพื่อป้องกันเหตุการณ์ที่เกี่ยวข้องกับ เนื่องจากกิจกรรมการลาดตระเวนเป็นบ่อยดังนั้นบนอินเทอร์เน็ต, การตรวจสอบการลาดตระเวนมักจะแสดงหลักในการป้องกันเครือข่ายภายใน
Key Functions of IDPS Technologiesการทำงานที่สำคัญของเทคโนโลยีIDPS
เทคโนโลยี IDPS มี หลายประเภท ซึ่งมีความแตกต่างหลักตามประเภทของเหตุการณ์ที่พวกเขาสามารถรับรู้และวิธี การที่พวกเขาใช้ในการระบุเหตุการณ์ที่เกิดขึ้นมี นอกจากนี้ในการตรวจสอบและวิเคราะห์เหตุการณ์เพื่อระบุกิจกรรมที่ไม่พึง ปรารถนาทุกชนิดของเทคโนโลยีที่ผู้พลัดถิ่นมักจะทำหน้าที่ดังต่อไปนี้
• Recording information related to observed events. บันทึก ข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่สังเกต ข้อมูลจะถูกบันทึกไว้โดยปกติในประเทศและอาจถูกส่งไปยังระบบแยกเช่น เซิร์ฟเวอร์เข้าสู่ระบบรวมศูนย์ข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) โซลูชั่นและระบบการจัดการองค์กร
• Notifying security administrators of important observed events. แจ้ง ผู้ดูแลระบบการรักษาความปลอดภัยของกิจกรรมการสังเกตที่สำคัญ ประกาศนี้เรียกว่าการแจ้งเตือนเกิดขึ้นผ่านวิธีการใด ๆ หลายแห่งรวมถึงต่อไปนี้ : อีเมลเพจข้อความบนอินเตอร์เฟซผู้พลัดถิ่น, การจัดการเครือข่าย Protocol (SNMP) ดัก syslog ข้อความและผู้ใช้กำหนดโปรแกรมและ สคริปต์ ข้อความแจ้งเตือนโดยปกติจะมีเพียงข้อมูลพื้นฐานเกี่ยวกับเหตุการณ์; ผู้ดูแลระบบจำเป็นต้องเข้าถึงผู้พลัดถิ่นสำหรับข้อมูลเพิ่มเติม
IDPSs ยังสามารถที่จะเปลี่ยนแปลงรายละเอียดการรักษาความปลอดภัยของพวกเขาเมื่อภัย คุกคามใหม่ที่ตรวจพบ ตัวอย่างเช่นผู้พลัดถิ่นอาจจะสามารถเก็บรวบรวมข้อมูลรายละเอียดเพิ่มเติม สำหรับการใช้งานโดยเฉพาะอย่างยิ่งหลังจากที่กิจกรรมที่เป็นอันตรายถูกตรวจพบ ภายในระยะเวลาที่ ผู้พลัดถิ่นอาจเปลี่ยนแปลงการตั้งค่าสำหรับการแจ้งเตือนเมื่อบางอย่างจะถูก เรียกหรือสิ่งที่มีความสำคัญควรจะกำหนดให้แจ้งเตือนที่ตามมาหลังจากที่เป็น ภัยคุกคามโดยเฉพาะอย่างยิ่งมีการตรวจพบ
เมื่อศูนย์กลางด้านไอทีของความปลอดภัยของข้อมูลก็สามารถเห็นได้เป็นส่วน หนึ่งของการตรวจสอบเทคโนโลยีสารสนเทศมันมักจะอ้างแล้วว่าเทคโนโลยีสารสนเทศ ตรวจสอบความปลอดภัยหรือตรวจสอบความปลอดภัยคอมพิวเตอร์ อย่างไรก็ตามการรักษาความปลอดภัยข้อมูลครอบคลุมมากกว่า IT
การตรวจสอบ
การวางแผนการตรวจสอบและจัดเตรียม
ระบบตรวจสอบ
ช่องโหว่เครือข่าย
บทความหลัก : ตรวจสอบความปลอดภัยคอมพิวเตอร์
•การตัด : ข้อมูลที่จะถูกส่งผ่านเครือข่ายเป็นความเสี่ยงที่จะถูกลักลอบโดยบุคคลอื่นที่ไม่ได้ตั้งใจที่จะนำข้อมูลไปใช้ที่เป็นอันตราย
•Availability : เครือข่ายได้กลายเป็นกว้างครอบคลุม, ข้ามหลายร้อยหรือหลายพันไมล์ซึ่งหลายพึ่งพาการเข้าถึงข้อมูลของ บริษัท และสูญเสียการเชื่อมต่ออาจทำให้เกิดการหยุดชะงักทางธุรกิจ
•Access point รายการ : เครือข่ายมีความเสี่ยงที่จะเข้าที่ไม่พึงประสงค์ จุดบกพร่องในเครือข่ายสามารถทำให้ข้อมูลที่มีให้ผู้บุกรุก นอกจากนี้ยังสามารถให้จุดเข้าไวรัสและม้าโทรจัน
การควบคุม
•ควบ คุมการตัด : การสกัดกั้นสามารถ deterred บางส่วนโดยการควบคุมการเข้าถึงทางกายภาพที่ศูนย์ข้อมูลและสำนักงานรวมทั้ง เชื่อมโยงการสื่อสารที่ยุติและที่เดินสายเครือข่ายและกระจายอยู่ การเข้ารหัสยังช่วยรักษาความปลอดภัยเครือข่ายไร้สาย
•ควบคุม Availability : การควบคุมที่ดีที่สุดคือการมีสถาปัตยกรรมเครือข่ายที่ดีและตรวจสอบเครือข่าย ควรมีเส้นทางสำรองระหว่างทรัพยากรทุกจุดเชื่อมอัตโนมัติและเปลี่ยนเส้นทาง การจราจรในเส้นทางได้โดยไม่ต้องสูญเสียข้อมูลหรือเวลา
•Access / ควบคุมจุดรายการ : ส่วนควบคุมเครือข่ายที่วางที่จุดที่เครือข่ายที่เชื่อมต่อกับเครือข่ายภาย นอก ควบคุมเหล่านี้ จำกัด การจราจรที่ผ่านเครือข่าย เหล่านี้รวมถึง firewalls, ระบบตรวจจับการบุกรุกและซอฟต์แวร์ป้องกันไวรัส
ตรวจสอบการเข้ารหัสและ IT
ใน การประเมินความต้องการลูกค้าให้ดำเนินการตามนโยบายการเข้ารหัสสำหรับองค์กร ของตน Auditor ควรดำเนินการวิเคราะห์ความเสี่ยงของลูกค้าและค่าข้อมูล งาน บริษัท กับผู้ใช้ภายนอกหลายอีคอมเมิร์ซและลูกค้าที่สำคัญข้อมูลพนักงาน / ควรรักษานโยบายเข้มงวดการเข้ารหัสเพื่อเข้ารหัสข้อมูลที่ถูกต้องในระยะที่ เหมาะสมในการเก็บรวบรวมข้อมูล
ผู้สอบบัญชีอย่างต่อเนื่องควรประเมิน นโยบายการเข้ารหัสของลูกค้าและวิธีการ บริษัท ที่มีมากพึ่งพาอีคอมเมิร์ซและระบบเครือข่ายไร้สายมีมากเสี่ยงต่อการถูกขโมย และการสูญเสียข้อมูลที่สำคัญในการส่ง นโยบายและกระบวนการควรเป็นเอกสารและดำเนินการเพื่อให้มั่นใจว่าข้อมูลทั้ง หมดที่ส่งมีการป้องกัน บริษัท สามารถฐานนโยบายในการวัตถุประสงค์สำหรับข้อมูลที่เกี่ยวข้อง Technology (COBIT) แนวทางการจัดตั้งขึ้นตาม IT Governance Institute (ITGI) และระบบสารสนเทศตรวจสอบและควบคุม Association (ISACA) ผู้สอบบัญชีควรทราบเพียงพอเกี่ยวกับแนวทาง COBIT
ผู้สอบบัญชีควรตรวจ สอบว่าการจัดการมีการควบคุมในสถานที่มากกว่าการเข้ารหัสข้อมูลขั้นตอนการ จัดการ เข้าถึงปุ่มควรต้องควบคุม dual คีย์ควรจะประกอบด้วยสองส่วนแยกและควรเก็บในคอมพิวเตอร์ที่ไม่สามารถเข้าถึง โปรแกรมเมอร์หรือผู้ใช้ภายนอก นอกจากการจัดการควรยืนยันว่านโยบายการเข้ารหัสข้อมูลให้อยู่ในระดับที่ต้อง การการป้องกันและตรวจสอบว่าค่าใช้จ่ายในการเข้ารหัสข้อมูลที่ไม่เกินค่าของ ข้อมูลตัวที่ ข้อมูลที่จำเป็นทั้งหมดจะคงปริมาณครอบคลุมเวลาที่ควรได้รับการเข้ารหัสและ การขนส่งไปยังสถานที่ห่างไกล ขั้นตอนควรอยู่ในสถานที่ที่จะรับประกันว่าการเข้ารหัสข้อมูลที่สำคัญมาถึง สถานที่และจัดเก็บอย่างถูกต้อง ในที่สุดผู้สอบบัญชีจะต้องสำเร็จการยืนยันจากการจัดการที่เป็นระบบการเข้า รหัสที่แข็งแกร่งไม่ attackable และสอดคล้องกับกฎหมายท้องถิ่นและระหว่างประเทศและระเบียบ
ตรวจสอบความปลอดภัย Logical
ขั้น ตอนแรกในการตรวจสอบของระบบใด ๆ เพื่อขอให้เข้าใจองค์ประกอบและโครงสร้างของเมื่อตรวจสอบความปลอดภัยตรรกะผู้ สอบบัญชีควรตรวจสอบสิ่งที่ควบคุมการรักษาความปลอดภัยอยู่ในสถานที่และวิธี การทำงาน โดยเฉพาะพื้นที่ตามจุดสำคัญในการตรวจสอบมีความปลอดภัยตรรกะ :
•รหัส ผ่าน : ทุก บริษัท ควรมีนโยบายเกี่ยวกับการเขียนรหัสผ่านและใช้พนักงานของพวกเขา รหัสผ่านไม่ควรใช้ร่วมกันและพนักงานควรจะมีการเปลี่ยนแปลงกำหนดการบังคับ พนักงานควรมีสิทธิ์ผู้ใช้ที่สอดคล้องกับการทำงานงานของพวกเขา พวกเขายังควรทราบ log เหมาะสมใน / log off การ ยังเป็นประโยชน์สัญญาณรักษาความปลอดภัยอุปกรณ์ขนาดเล็กที่ผู้ใช้โปรแกรม คอมพิวเตอร์หรือเครือข่ายที่ดำเนินการเพื่อช่วยในการยืนยันตัวตน นอกจากนี้ยังสามารถเก็บกุญแจเข้ารหัสลับและ Biometric ข้อมูล ที่นิยมมากที่สุดของความปลอดภัย token (RSA ของ SecurID) แสดงหมายเลขที่เปลี่ยนแปลงทุกนาที ผู้ใช้สิทธิ์โดยการใส่หมายเลขประจำตัวบุคคลและจำนวนที่ token
•ขั้นตอน การบอกเลิกสัญญา : เหมาะสมการยกเลิกเพื่อให้พนักงานเก่าไม่สามารถเข้าถึงเครือข่ายซึ่งสามารถทำ ได้โดยการเปลี่ยนรหัสผ่านและรหัส นอกจากนี้ทุก cards id และป้ายที่อยู่ในการหมุนเวียนควรจะบันทึกและคิด
•พิเศษบัญชีผู้ใช้ : Special บัญชีผู้ใช้และบัญชีสิทธิพิเศษอื่น ๆ ควรจะตรวจสอบและมีการควบคุมที่เหมาะสมในสถานที่
•Remote Access : การเข้าถึงระยะไกลมักจะเป็นจุดที่ผู้บุกรุกสามารถเข้าสู่ระบบ เครื่องมือรักษาความปลอดภัยตรรกะที่ใช้ในการเข้าถึงระยะไกลควรจะเข้มงวดมาก การเข้าถึงระยะไกลควรจะเข้าสู่ระบบ
สรุป
โดยและขนาดใหญ่สองแนว คิดของการรักษาความปลอดภัยของโปรแกรมประยุกต์และแยกหน้าที่ทั้งในหลายเชื่อม ต่อและพวกเขาทั้งสองมีเป้าหมายเดียวกันเพื่อป้องกันความสมบูรณ์ของข้อมูล บริษัท ที่'และการป้องกันการโกง เพื่อความปลอดภัยโปรแกรมประยุกต์ได้จะทำอย่างไรกับการป้องกันการเข้าถึง ฮาร์ดแวร์และซอฟต์แวร์โดยมีมาตรการรักษาความปลอดภัยที่เหมาะสมทั้งทางกายภาพ และทางอิเล็กทรอนิกส์ในสถานที่ ด้วยการแยกหน้าที่เป็นหลักพิจารณาทางกายภาพของการเข้าถึงบุคคล'ระบบและการ ประมวลผลและตรวจสอบว่ามีไม่มีการทับซ้อนที่อาจนำไปสู่การฉ้อโกง
ผู้ สอบบัญชีควรมีการศึกษาอย่างเพียงพอเกี่ยวกับ บริษัท ฯ และกิจกรรมทางธุรกิจที่สำคัญในครั้งก่อนการตรวจสอบศูนย์ข้อมูล วัตถุประสงค์ของศูนย์ข้อมูลคือการจัดกิจกรรมศูนย์ข้อมูลกับเป้าหมายของ ธุรกิจในขณะที่รักษาความปลอดภัยและความสมบูรณ์ของข้อมูลที่สำคัญและกระบวน การ เพื่อพิจารณาว่าเพียงพอหรือไม่เป้าหมายของลูกค้าจะถูกความ, ผู้สอบบัญชีจะต้องดำเนินการดังต่อไปนี้ก่อนการตรวจสอบ :
•พบกับ IT การจัดการเพื่อกำหนดพื้นที่ที่เป็นไปได้ของความกังวล
•ทบทวนปัจจุบันแผนผังองค์กรไอที
•ตรวจสอบรายละเอียดการทำงานของพนักงานศูนย์ข้อมูล
•การวิจัยทุกระบบปฏิบัติการและโปรแกรมซอฟต์แวร์ข้อมูลศูนย์ปฏิบัติการอุปกรณ์ภายในศูนย์ข้อมูล
•ทบทวนนโยบายของ บริษัท ไอทีและวิธีการ
•ประเมินงบประมาณ IT ของ บริษัท และระบบการวางแผนเอกสาร
•ศูนย์ตรวจสอบข้อมูลของแผนกู้คืนระบบ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น