Grunnleggende datasikkerhet for dummies. Informasjonssikkerhet for dummies informasjonsspesialist
Internett er mangefasettert og utrygt. Jo flere muligheter det gir oss, jo flere farer og risikoer skjuler det. Tyveri via Internett har lenge vært en realitet.
Tyverier skjer fra et kort eller elektronisk lommebok. Og hvis dette ikke har skjedd med deg ennå, betyr det at du enten er et ess på å beskytte informasjonen din, eller heldig, eller at du ikke har brukt det globale nettet lenge nok.
De første kan klare det selv, men de andre og tredje vil ha nytte av å lære vår oppsummering av nyttige tips. Tross alt sparer metalldører deg ikke på Internett. Her avhenger din sikkerhet av andre faktorer og, viktigst av alt, av dine handlinger i visse situasjoner.
Du bør ikke bare ha et antivirusprogram med en daglig oppdatert database, men også beskyttelse mot spionprogrammer. Mange tror at ved å installere ett antivirus kan de beskytte informasjon, og dette blir til slutt en fatal feil.
Ikke klikk på alle lenkene på rad. Spesielt hvis de ble sendt til deg via post eller via ICQ. Selv om det er sendt av en pålitelig mottaker. Internettsurfing er den mest populære måten å fange et virus på, som betyr å gi en angriper en sjanse til å få verdifull informasjon. Ikke last ned merkelige, ukjente programmer, langt mindre installer dem.
Hvis det oppstår en merkelig situasjon når du likevel klikker på en ukjent lenke, kobler du fra Internett. Sikkerhetsprogrammer kan gi en advarsel i dette tilfellet, eller datamaskinen kan slutte å svare. Ring en spesialist med ansvar for datasikkerhet - han vil finne ut hva problemet er.
Hvis du har installert en elektronisk lommebok eller andre programmer som du foretar online betalinger med, er det enda mer nødvendig for å sikre sikkerheten til datamaskinen din. I tilfelle inkompetanse, inviter en spesialist som vil installere og konfigurere alle nødvendige programmer og deres parametere. Tross alt forlater vi i økende grad ikke stolene våre for å betale for tjenester og foreta innkjøp.
Når du går gjennom registreringsprosedyren, må du aldri lagre passordet ditt. Bruk forskjellige passord hver gang du registrerer deg et sted. Passord som brukes bør være lange, gjerne med tall. Det er bedre å endre passord så ofte som mulig, minst en gang i måneden. Selv om du velger ett ord og skriver det med store og små bokstaver, vil dette allerede være et utmerket passordalternativ.
Vær forsiktig med hvor du skriver inn passordet og brukernavnet ditt. Ofte lager svindlere dupliserte nettsteder som er nøyaktig de samme som originalen – den eneste forskjellen kan ligge i domenet. Men ved et raskt blikk er det vanskelig å legge merke til, spesielt for en nybegynner. Svindlere bruker duplikater for å stjele brukerlogger og passord. Etter at du har skrevet inn dataene dine, vil svindlere automatisk gjenkjenne dem og kan bruke dem til sine egne formål, men på et ekte nettsted.
Disse enkle sannhetene vil garantert hjelpe noen med å beskytte seg selv på nettet. Med unntak av kanskje erfarne brukere og datasikkerhetseksperter, fordi de allerede vet alt veldig godt.
Kommentarer og anmeldelser
Hvis du følger markedet for periferiutstyr for spill, vet du at HyperX har vært et veldig sterkt selskap i ganske lang tid...
Dells nye alt-i-ett-PCer vil motta et spesielt webkamera som glir inn i dekselet og blir...
Mange moderne brukere klager over at bærbare datamaskiner har blitt for kompakte og at de noen ganger vil...
Store produsenter har sluppet ferdige personlige datamaskiner på markedet i ganske lang tid, siden...
Fra 16. til 18. august ble den viktigste elektroniske musikkfestivalen Alfa Future People 2 holdt nær Nizhny Novgorod...
Informasjonssikkerhet for dummies
Til og med for 10 år siden stengte mange selskaper som mistet tilgangen til databasene sine ganske enkelt, som rapportert i en rapport fra University of Minnesota, som forsket på dette området. Nå er det selvfølgelig mange måter å gjenopprette informasjon for å fortsette å fungere, men en lekkasje av konfidensiell informasjon kan forårsake alvorlige tap. Samtidig snakker vi ikke bare om selskaper, men også om vanlige internettbrukere.
Utviklingen av informasjonsteknologi har brakt samfunnet til et nytt utviklingsnivå, når mange problemer kan løses ved hjelp av en personlig datamaskin og internett: gjøre kjøp, bestille hotell og ganske enkelt kommunisere, for ikke å snakke om de nye mulighetene for profesjonelle aktiviteter. Men enkelheten, bekvemmeligheten og hastigheten til å håndtere informasjon er full av fare - dens tilgjengelighet for tredjeparter.
Nylig har begrepet nettkriminalitet kommet i bruk. Tidligere fantes et slikt ord bare blant science fiction-forfattere, men nå har det blitt en del av den moderne virkeligheten. Vi snakker om hackere, eller nettmobbere, som stjeler data for å få tilgang til bankkort, kontoer på spesielle ressurser osv., hacker personlige datamaskiner ved hjelp av ulike virus og trojanere.
Hvordan beskytte deg mot kriminelle? Den enkleste løsningen er å installere et antivirusprogram. Men, dessverre, selv dette er ikke alltid i stand til å beskytte mot hacking. Et annet alternativ er å prøve å studere den enorme mengden litteratur om informasjonssikkerhet som er skrevet i dag. Riktignok er standardene og programmene som presenteres i dem tilgjengelige og forståelige for det meste for spesialister på dette feltet, mens trusselen om å tape penger fra et bankkort henger over nesten alle Internett-brukere.
Imidlertid er ikke alt så ille som det ser ut ved første øyekast. Ved hjelp av sunn fornuft og ved å følge enkle regler for arbeid på Internett kan du øke beskyttelsesnivået for dataene dine betydelig mot eksterne trusler. Dette er som en grunnleggende bekymring for sikkerheten til eiendom ved å beskytte leiligheten. Du kan ganske enkelt installere en dør og en kinesisk lås, men du kan også lytte til anbefalingene fra spesialister som er involvert i sikkerhetsaktiviteter. Og de vil definitivt anbefale å installere pålitelige dørlåser med ikke-standardnøkler og oppgradere vinduer slik at de er vanskelige å åpne fra utsiden; installere videoovervåking og alarmsystemer; og også inngå avtale med en organisasjon som yter hurtigresponstjenester ved uautorisert inntreden i huset. Og kanskje en like viktig regel, som du definitivt vil bli minnet om, fordi vi ofte glemmer det, er å ikke åpne dører for fremmede, og spesielt ikke å fortelle noen hvor verdisakene dine er.
Alle disse aktivitetene krever selvfølgelig investeringer. Imidlertid bør de brukes omfattende. Ikke stol på deg selv at gode låser vil beskytte hjemmet ditt mot tyver. Enhver mekanisme vil før eller siden bli åpnet. Og hvis det for eksempel ikke er noe alarmsystem som sender et alarmsignal til sikkerhetskonsollen, vil hele videoovervåkingssystemet være helt ubrukelig.
Fra teori til praksis
Ethvert sikkerhetssystem er et system som består av mange forsvarslinjer som hele tiden er i prosess og i aksjon. Du kan ikke roe ned umiddelbart etter installasjon av tekniske sikkerhetstiltak - reglene for sikker oppførsel på nettverket og drift av utstyr må følges regelmessig. Ellers vil sikkerhetssystemet bli ubrukelig, og bare etterlate en skadelig illusjon av sikkerhet.
Hvordan ivareta informasjonssikkerhet i praksis? La oss se på de grunnleggende reglene.
Nullregel:Ikke stol på noen.
Som Andrew Grove, styreleder i Intel, sa: "Bare de paranoide overlever." Når du legger inn konfidensiell informasjon, må du være 200 % sikker på at personen du stoler på med den faktisk har rett til å disponere disse dataene. For eksempel, på en banks nettsted kan du bli bedt om passinformasjonen din for å åpne en konto - dette er en standardprosedyre, men en nettbutikk har absolutt ingen bruk for denne informasjonen. Du vil ikke vise passet ditt til selgeren du kjøper poteter fra på markedet! Denne gangen. For det andre, aldri, til noen og under noen omstendigheter ikke send passordet. Alle sikkerhetssystemer er utformet på en slik måte at kun én person skal kunne passordet. Hvis du er pålagt å sende passordet ditt på e-post eller fortelle det over telefon under et hvilket som helst, selv det mest tilsynelatende plausible påskuddet, bør du vite at dette er 100 % bedrag.
Første regel: Sørg for å sette opp datamaskinen din slik at du alltid oppgir brukernavn og passord før du starter arbeidet.
Det viktigste programmet for enhver datamaskinbruker er operativsystemet. Hva den vil lagre bør bare være kjent for deg, så angi et passord som må angis når du slår på datamaskinen. Prosedyren er enkel, men det er mange fordeler. Hver gang du legger inn en kombinasjon av tegn på en linje, vil du bekrefte din rett til å disponere all informasjon som er lagret på datamaskinen. Eliminer situasjonen der en uautorisert person kan få gratis tilgang til skrivebordet ditt og alle filer. "Lås" informasjonen slik at den ikke ser ut som en leilighet uten dører med et skilt "Kom inn hvis du vil."
Andre regel: Arbeid aldri under en konto med administratorrettigheter.
For en datamaskin er alle brukere delt inn i to typer: administratorer og vanlige brukere. Administratorer- dette er de brukerne som kan konfigurere driften av alle datatjenester, installere og fjerne programmer og endre driften av systemet. Vanlige brukere har ingen rett til å endre eller installere noe, men de kan fritt kjøre programmer, bruke Internett og jobbe. La oss nå forestille oss en situasjon der en bruker som bruker en administratorkonto får tilgang til en angripers nettsted. Ondsinnede programmer kan enkelt slette data eller kryptere dem slik at kriminelle deretter kan svindle penger for datagjenoppretting. Samtidig vil verken operativsystemet eller antivirusene redde brukeren fra en slik ulykke, siden alt som "administratoren" gjør for datamaskinen - og han vil tro at dette er dine kommandoer - er loven er upraktisk å jobbe under kontoen til en vanlig bruker , siden du fra tid til annen må installere nye programmer. Men hvis du tenker på det, er det ikke hver dag du må installere programvare. Fordelene er åpenbare. Når du går inn på angripernes nettsted med rettighetene til en enkel bruker, utsetter du dermed det ondsinnede programmet for en beskyttende barriere som er vanskeligere for den å overvinne. Den kan ikke lenger raskt skjule seg og blir sårbar for antivirus. Derfor er det fornuftig å ta fra deg administratorrettighetene i tilfelle. Hvis det oppstår behov for å ty til funksjonaliteten, kan du alltid endre kontoen din midlertidig.
Tredje regel:Passordene dine bør være lange, komplekse og helst varierte. Alle passord må endres regelmessig.
Passord– Dette er en enorm hodepine for alleer. Dette er fordi brukere ikke liker lange passord, da de enten glemmer dem eller rett og slett er for late til å skrive dem. Og det er bra når de finnes. Alt her er som med en leilighet: Den enkleste måten å komme inn i den er å hente nøkkelen til låsen. En lignende metode fungerer i datafeltet. Den enkleste måten å få tilgang til data på er å velge et passord. Det var først i de første tiårene med datautvikling at en passordlengde på 8 tegn var tilstrekkelig. Imidlertid, med utviklingen av teknologi, har metoden for å telle opp alle kombinasjoner blitt enkel å beregne slike koder. Det er noe slikt som Passordstyrke- en indikator på tiden en angriper velger et passord ved hjelp av brute force-metoder. Det viser seg at kombinasjoner som består av bare åtte tall eller bokstaver kan gjettes på mindre enn et sekund. Derfor risikerer du å gi tilgang til en angriper ved å bruke passord på opptil 8 tegn i løpet av kort tid. Selv om du bruker både tall og bokstaver i et kort passord og i forskjellige registre, må du bruke et par dager på å finne det med brute force. Dette er ikke lenger dårlig, men selvfølgelig ikke nok. Du kan oppnå tilfredsstillende passordstyrke ved å øke lengden ved å bruke en kombinasjon av ikke bare bokstaver og tall, men også tegn ('$','%',&'','#'). Men hvordan lage et langt og komplekst passord uten å umiddelbart glemme det? Veldig enkelt. Bruk passordfraser. For eksempel: "$Green_Cactus01". Et slikt passord finnes ikke i ordboken (selv om det er separate ord "grønn" og "kaktus"), så det kan ikke knekkes ved å søke gjennom ordboken. Passordet viste seg å være mer enn 12 tegn langt, og det vil ta mer enn 10-20 forsøk å gjette det. Selv om én milliard søk utføres på ett sekund, vil det ta ~10 11 sekunder, som er mer enn tusen år, å knekke et slikt passord.
Fjerde regel:Bruk moderne betalte antivirus med oppdateringsmodus aktivert minst to ganger om dagen.
Et installert antivirus i seg selv er ubrukelig uten muligheten til å oppdatere antivirusdatabaser. Han vil se ut som en sovende vakthund. Det ser ut til å være der, men det gir ingen mening. Så sørg for at antivirusprogramdatabasene dine oppdateres regelmessig.
Femte regel:Slå på automatiske programvareoppdateringer.
Oppdater alltid programvaren. Dette gjelder spesielt for operativsystemet og nettleseren. For eksempel aktiverer Microsoft automatisk oppdateringsmodus som standard i systemene sine. Andre programvareprodukter må konfigureres. Hva er alt dette for noe? Veldig enkelt. Moderne programmer er svært komplekse og har et stort antall feil som kan påvirke sikkerheten til dataene dine. Produsenter, som slipper oppdateringer, eliminerer gradvis feil som angripere kan komme inn i systemet ditt.
Sjette regel:Ikke lagre passord på datamaskinen eller husk passord i nettleseren.
Når en hacker får tilgang til hvilken som helst del av datamaskinen din, når han finner passordfilen, trenger han ikke engang å prøve å knekke sikkerhetssystemet. Hvorfor skulle en tyv bryte ned en dør hvis det er nøkler under dørmatten? Hold derfor passordene dine på en flash-stasjon i lommen og alltid i kryptert form.
Syvende regel:Bruk krypteringssystemer for kritiske data.
Du bør alltid være forberedt på at en angriper kan få fysisk tilgang til datamaskinen din (for eksempel banalt tyveri av en bærbar datamaskin). For å hindre ham i å bruke informasjonen som er lagret i den, må du først angi et brukerpassord for oppføring (se den første regelen), og for det andre bruk et datakrypteringssystem. I dette tilfellet vil hackeren måtte fikle med maskinen din i mange, mange år.
Åttende regel:Bruk aldri Internett eller e-post til å overføre konfidensiell informasjon.
All informasjon overføres via Internett i klart format. Ved å samarbeide med det tekniske personalet til teleoperatøren er det ikke vanskelig å få tilgang til meldingene dine. Beskytt deg derfor enten ved å bruke sikre tilkoblinger (https), eller datakrypteringssystemer og elektroniske digitale signatursystemer.
Den niende regelen:Installer programmer hvis formål eller opprinnelse du vet sikkert.
Alle kjenner historien om Trojas fall. Den mest lumske oppfinnelsen i den krigen var den trojanske hesten. Og selv om denne oppfinnelsen er flere tusen år gammel, har denne erobringsmetoden ikke mistet sin relevans. Men beskyttelse mot det har lenge vært tilgjengelig: ikke installer ukjente programmer, verken på egen hånd eller etter forslag fra tredjeparter. De viktigste risikoområdene: nettsteder som forårsaker mistillit, og det er ingen absolutt tillit til lovligheten av ressursen, svindlere på ICQ, spammere. Hver av disse skuespillerne streber etter å slippe inn en "unik" seer, skrivebordsbakgrunn og andre applikasjoner, og sammen med dem kode som vil gjøre datamaskinen din til en lydig zombie.
Tiende regel:Sørg for å følge spesifikke sikkerhetsinstruksjoner. Bruk alltid sunn fornuft.
Oversettelse: Olga Alifanova
Hvordan det hele begynte
For ikke så lenge siden var sikkerhetstesting (og dens like skumle bror, penetrasjonstesting) en stor, skummel feil som ble temmet av de som forsto det. De fikk veldig, veldig godt betalt for dette. Så endret livet seg og jeg fant meg plutselig snublet over ting som ville ha kostet arbeidsgiveren min dyrt hvis jeg ikke hadde tatt dem.
Plutselig lærte jeg mer om begynnelsen av sikkerhetstesting – kunnskap jeg aldri trodde jeg skulle trenge – og det var utmattende, fantastisk og skremmende (omtrent like deler).
Slik følte jeg det:
Da jeg begynte å lære mer om sikkerhetstesting, lærte jeg at det ikke er så skremmende og uendelig som jeg trodde. Jeg begynte å forstå hva folk snakket om når de nevnte eskalering av privilegier, servere som ble kompromittert, eller...
Det blir mye å lære. Men det er ikke så vanskelig å komme i gang, og med litt lesing og tenkning kan du fange en sårbarhet (en kodebit som noen med dårlige intensjoner kan bruke for å få programvaren til å fungere på en måte den ikke burde) før programvaren har modnet til nok til å falle i hendene på dyre sikkerhetseksperter (noe som betyr at det er billigere å fikse – en fin bonus, virkelig?) og lenge før det lekker inn i de enorme vidder av Wild Wild West... ahem, World Wide Web.
Jeg trenger å vite dette, seriøst?
Mange vil si at alle testere trenger å vite om nettsikkerhetstesting. Å vite mer om dette er en god idé for alle som bruker tid på nettet, men jeg tror det er situasjoner der du ikke vil ha nytte av å lære om nettsikkerhetstesting.
Du trenger kanskje ikke å vite om testingWeb- sikkerhet hvis...
- Du er en del av et stort team som inkluderer sikkerhetseksperter. Dette er deres ekspertiseområde, og hvis de gjør jobben sin godt, samarbeider de med deg og utviklerne dine for å sørge for at alt er på riktig sikkerhetsnivå i deres område. De hjelper deg også med å teste programvaren for sikkerhetsproblemer.
- Du tester programvare som rulles ut til brukerne, og da bryr ingen seg om det: den får ikke tilgang til serverne dine og håndterer ikke konfidensiell informasjon. En offline Sudoku-app ville være et godt eksempel - og hvis et selskap ikke bryr seg om det oppnår høye poengsummer rettferdig og/eller beskytter serverne sine godt - kan et online uformelt spill også være et eksempel.
- Dette er et visningsnettsted og du administrerer ikke hostingen.
- Du jobber ikke på nettet i det hele tatt.
Du må vite om testing Web- Sikkerhet hvis...
- Firmaets programvare lagrer alle typer personlig identifiserbar informasjon (dette er definert ved lov, men generelt kan det brukes til å finne deg eller din familie)
Eksempler: adresser, post (vanligvis i kombinasjon med annen informasjon), offentlig utstedt identifikasjon (personnummer, førerkortnummer, pass)
- Firmaets programvare bruker eller lagrer alle typer betalingsinformasjon. Hvis du lagrer kredittkortinformasjon, har de fleste land svært strenge regler for lagring og tilgang til slike data – og svært høye straffer for å ikke beskytte disse dataene. Lagrer du bankkontoinformasjon er ikke standardene like strenge, men du må likevel holde øynene åpne.
- Bedriften din må følge loven eller prosedyrene for datasikkerhet. Noen eksempler kjent for meg:
Helseselskaper i USA må følge en rekke føderale lover.
Ethvert børsnotert selskap i USA må følge føderale lover angående standarder. Hvis et selskap ikke overholder dem, kan det ikke akseptere kredittkortbetalinger og er underlagt bøter og andre straffer.
- Bedriften din har personvernkrav for dataene den lagrer.
Hvis du tror du trenger å lære mer om testing av nettsikkerhet, så trenger du kanskje det.
Hvor du skal begynne
Det er ganske enkelt å komme i gang med å lære nettsikkerhetstesting - det er gode lenker og verktøy der ute, og det vil bare koste deg tid. Du kan gjøre mye med bare en nettleser!
Forsiktig! Fare foran!
Før du begynner å gjøre noe destruktivt, sørg for at du er helt sikker på at du har tillatelse til å gjøre det. Ja, selv på en testserver – andre kan bruke den til andre formål, din bedrift kan overvåke nettverket for mistenkelig oppførsel – og generelt spiller en haug med faktorer en rolle her som du kanskje ikke har den minste anelse om. Alltid, Alltid sørg for at du har tillatelse til å spille hacker.
Gratis verktøy
Alle verktøyene jeg bruker er laget for Windows, fordi jeg jobber i et Windows-miljø. Noen av dem er på tvers av plattformer, noen er det ikke. De er alle ganske enkle å bruke for en nybegynner som tester sikkerhetsvannet på jakt etter feil.
- Nettleserutviklerverktøy. Med mindre de er blokkert av bedriften din, lar de fleste moderne nettlesere deg undersøke sidekoden, undersøke JavaScript og se nettverkstrafikken mellom nettleseren og serveren. Du kan også redigere og kjøre tilfeldig JavaScript i dem, prøve å endre koden og gjenta nettverksforespørsler.
- Postbud. Selv om det er en Chrome-utvidelse, kjører Postman også som en frittstående applikasjon. Du kan bruke den til å sende forskjellige forespørsler og undersøke svarene (her er kickeren: nesten alt innen sikkerhetstesting kan gjøres på mange forskjellige måter. Eksperimenter for å finne dine favoritter).
- Spelemann. Telerik Fiddler er for tiden mitt favorittverktøy for utforskning og manipulering av nettforespørsel. Det er på tvers av nettlesere, fungerer på flere operativsystemer, og det er enkelt å komme i gang med sikkerhetstesting.
- IronWASP. En av minoriteten av gratis sikkerhetsskannere laget for Windows. Det er ganske enkelt å jobbe med og gir vanligvis gode resultater.
- Og videre… Det er mange verktøy tilgjengelig. Jeg begynte akkurat å lære om sikkerhet, og begynte bare å snuse rundt.
Jeg kommer til å fokusere på Fiddler fremover fordi jeg tror det er det enkleste av gratisverktøyene, og det raskeste å gå fra å rote rundt i grensesnittet til faktisk nyttige resultater.
Bruker Fiddler
Da jeg kom over denne enorme, og potensielt svært kostbare sårbarheten som jeg beskrev ovenfor, lekte jeg bare med Fiddler. Det er bra at jeg fant det akkurat da: hvis det hadde blitt solgt, kunne det ha skjedd store problemer.
Innstillinger
Jeg installerte Fiddler med standardinnstillinger. På Windows får du også en plugin for Internet Explorer som lar deg kjøre direkte gjennom IE (og å sette den opp til kun å overvåke IE-trafikk er mye enklere enn for andre nettlesere). Avhengig av hva du gjør, kan noen av disse pluginene være svært nyttige: her er mine favoritter
- SyntaksUtsikt/Fremheve. Gir syntaksutheving for å forberede tilpassede skript og vise HTML, Javascript, CSS og XML. Gjør det mye mindre smertefullt å fikle med nettkode ved å fremheve alle tagger og nøkkelord. Jeg er en stor fan av ting som gjør det lettere å fokusere på det som er viktig, og dette er en av dem.
- PDF - visning. Veldig viktig hvis applikasjonen din bygger PDF-filer i farten. Du kan klikke på fanen og se PDF-gjengivelsen. Hvis du for eksempel tester en PDF av en kontoutskrift for å sikre at det er umulig å åpne en annen brukers kontoutskrift, er dette verktøyet din venn.
Lignende artikler
De beste amulettene mot det onde øyet og skade Amuletten mot det onde øyet med hender for barn
Hvordan lese Salteret riktig
Deilige retter med pølser
Et glimt av Bella. Romantisk kronikk. Et glimt av genialitet. Messerer om Akhmadulina Boris Messerer glimt av Bella romantiske kronikk
Jeg drømte at jeg seilte på en båt på elven
Hvordan tilberede biff entrecote i en stekepanne
Om selskapet Fremmedspråkkurs ved Moscow State University
Hvilken by og hvorfor ble den viktigste i det gamle Mesopotamia?
Hvorfor Bukhsoft Online er bedre enn et vanlig regnskapsprogram!
Hvilket år er et skuddår og hvordan beregnes det