Suggested answers to discussion questions
Download 0.51 Mb.
|
- Navigate this page:
- Preventive
| Detective and corrective: Anti-spyware software that automatically checks and cleans all detected spyware on an employee's computer as part of the logon process for accessing a company's information system.
Một nhân viên đã nhận được một email có mục đích là từ sếp của cô ấy để thông báo cho cô ấy về một chính sách tham dự mới quan trọng. Khi nhấp vào một liên kết được nhúng trong email để xem chính sách mới, cô ấy đã lây nhiễm cho máy tính xách tay của mình trình ghi nhật ký gõ phím. Phòng ngừa: Đào tạo nâng cao nhận thức về an ninh là cách tốt nhất để ngăn chặn những vấn đề như vậy. Nhân viên nên được dạy rằng đây là một ví dụ phổ biến của một trò lừa đảo lừa đảo tinh vi. Thám tử và khắc phục: Phần mềm chống phần mềm gián điệp tự động kiểm tra và làm sạch tất cả phần mềm gián điệp được phát hiện trên máy tính của nhân viên như một phần của quy trình đăng nhập để truy cập hệ thống thông tin của công ty A company’s programming staff wrote custom code for the shopping cart feature on its web site. The code contained a buffer overflow vulnerability that could be exploited when the customer typed in the ship-to address. Preventive: Teach programmers secure programming practices, including the need to carefully check all user input. Management must support the commitment to secure coding practices, even if that means a delay in completing, testing, and deploying new programs. Detective: Make sure programs are thoroughly tested before being put into use Have internal auditors routinely test in-house developed software. Nhân viên lập trình của một công ty đã viết mã tùy chỉnh cho tính năng giỏ hàng trên trang web của họ. Mã chứa lỗ hổng tràn bộ đệm có thể bị khai thác khi khách hàng nhập địa chỉ nhận hàng. Phòng ngừa: Hướng dẫn các lập trình viên các phương pháp lập trình an toàn, bao gồm cả việc phải kiểm tra cẩn thận tất cả các thông tin đầu vào của người dùng. Ban quản lý phải hỗ trợ cam kết thực hành mã hóa an toàn, ngay cả khi điều đó có nghĩa là sự chậm trễ trong việc hoàn thành, thử nghiệm và triển khai các chương trình mới. Thám tử: Đảm bảo các chương trình được kiểm tra kỹ lưỡng trước khi đưa vào sử dụng Yêu cầu đánh giá viên nội bộ kiểm tra thường xuyên phần mềm do công ty phát triển. A company purchased the leading “off-the-shelf” e-commerce software for linking its electronic storefront to its inventory database. A customer discovered a way to directly access the back-end database by entering appropriate SQL code. Preventive: Insist on secure code as part of the specifications for purchasing any 3rd party software. Thoroughly test the software prior to use. Employ a patch management program so that any vendor provided fixes and patches are immediately implemented. Một công ty đã mua phần mềm thương mại điện tử “bán sẵn” hàng đầu để liên kết mặt tiền cửa hàng điện tử với cơ sở dữ liệu hàng tồn kho. Một khách hàng đã khám phá ra cách truy cập trực tiếp vào cơ sở dữ liệu phía sau bằng cách nhập mã SQL thích hợp. Phòng ngừa: Nhấn vào mã bảo mật như một phần của thông số kỹ thuật để mua bất kỳ phần mềm nào của bên thứ ba. Kiểm tra kỹ lưỡng phần mềm trước khi sử dụng. Sử dụng một chương trình quản lý bản vá để bất kỳ nhà cung cấp nào cung cấp các bản sửa lỗi và bản vá sẽ được triển khai ngay lập tức. Attackers broke into the company’s information system through a wireless access point located in one of its retail stores. The wireless access point had been purchased and installed by the store manager without informing central IT or security. Download 0.51 Mb. Share with your friends:
|