home *** CD-ROM | disk | FTP | other *** search

---

/ AOL File Library: 2,401 to 2,500 / aol-file-protocol-4400-2401-to-2500.zip / AOLDLs / PC Business Library / Information Security Checklis / ISCHKLST.txt

< prev

Wrap

Text File  |  2014-09-23  |  14KB  |  372 lines

---

1. INFORMATION SYSTEM SECURITY CHECKLIST    
2.  
3. (C) 1994  QUALITY RESOURCE GROUP
4.  
5.  
6.  
7.  
8.  
9.  
10.  
11. The security of computer systems is unique. No other man made
12. devices have vulnerability from such a wide assortment of
13. sources. These are the reasons for the constant interest in the
14. subject. No one solution solves everything and many potential
15. solutions create additional levels of vulnerability just by
16. being put in place.
17.  
18. Here is a review of the basic security factors governing the
19. safety and reliability of the computer system and the integrity
20. and discretion of its data bases.
21.  
22. The physical and environmental safety of the hardware.
23.  
24.  a). Theft prevention.
25.  
26. Computer hardware systems are easy to steal and the thief can
27. usually sell the stolen goods without sharing proceeds with a
28. 'Fence'. Computer hardware should be installed and protected
29. like any other valuable organizational equipment.
30.  
31.  b). Hardware tampering or unauthorized modification.
32.  
33. Computer hardware systems can be modified or tampered with
34. allowing unauthorized access to files and programs or stealing
35. RAM memory or other valuable internal circuitry. Hard disk
36. portable tape backup systems can be used to back up system or
37. network files and remove the copy from the area. Thereafter, the
38. thief can search for passwords or other critical data and nobody
39. at the organization will be any the wiser.
40.  
41. Simply changing the passwords on a regular or irregular basis
42. will not provide any protection. The thief is looking more for
43. the location of the password file rather than its contents. A
44. simple 'Latch' program can be put on a bootable floppy disk
45. allowing immediate access to current passwords with just a few
46. moments of preparation.
47.  
48.  c). Work area hazards including food, drink and smoking
49. materials.
50.  
51. Great care should be taken to keep hazardous materials away from
52. the computer, its disk drives, keyboard and other devices.
53. Liquids can be extremely hazardous to both the user and the
54. equipment. Food or smoking residue can reduce productivity
55. substantially by causing keyboards or disk drives to malfunction
56. etc. It should be noted that the most harmful damage to disk
57. drives have been cosmetics, especially powders.
58.  
59.  d). Environmental factors including heating, cooling and water
60. damage.
61.  
62. Computer hardware installation should be in areas with
63. temperature ranges that do not exceed manufacturers
64. recommendations. In addition, in areas where sprinkler equipment
65. is required, care should be taken to protect the equipment from
66. direct damage by the sprinklers.
67.  
68. 2). The power sources used for system operation.
69.  
70.  a). Electrical spike protection, brown-outs and power surge
71. protection.
72.  
73. Modest protection from these electrical problems are available
74. at low cost. For proper protection, a UPS (Uninterrupted power
75. supply) should power the system. Systems can suffer severe chip
76. damage and hard disk problems with anything less than a UPS.
77.  
78.  b). Total power loss.
79.  
80. Total power loss can only be covered by a UPS. Most UPS systems
81. allow for continued use of the system for ten to fifteen
82. minutes. This should allow adequate time to shut down operations
83. safely without hardware or disk file damage or loss.
84.  
85.  c). Loss of electrical 'ground.'
86.  
87. This is the most under-rated problem affecting computer
88. hardware. It is usually evidenced by unpredictable computer
89. activity, mysterious freezing of system operations and no
90. apparent reason detected once diagnostics are run. Grounding
91. problems can also cause chip damage and disk malfunctioning. A
92. test for good electrical ground should be made frequently,
93. especially during extended dry periods of weather.
94.  
95. 3). The physical safety of the data bases.
96.  
97.  a). Protection from damage by magnetic fields.
98.  
99. Most data media currently is stored magnetically on iron oxide
100. based material. This must be strictly protected from magnetic
101. fields. Common culprits are desk fans and vacuum cleaners. Of
102. course, there are also innocent boy scouts carrying magnets in
103. their pockets and disgruntled employees who wish to damage
104. company property.
105.  
106.  b). Security, timeliness and location of backup data base
107. copies.
108.  
109. For super security, most banks have storage facilities suitable
110. for magnetic data media. This is a good location to place
111. archival copies of data. A data vault or safe should be used for
112. day to day operational backup copies. This should be positioned
113. near the computer systems but preferably on another floor.
114. Another strategy which can be employed on a network system is
115. the multiple recording of data. It should be kept on widely
116. separated hardware locations for the best security.
117.  
118.  c). Operating problems caused by equipment malfunction or
119. accident.
120.  
121. The location of floppy disks, their drives and hard disks should
122. be carefully chosen to minimize potential damage from accidents
123. or malfunction of other equipment.
124.  
125. 4). Potential interference from computer 'virus' programs.
126.  
127.  a). Protection from Boot block viruses.
128.  
129. Boot block viruses are the easiest virus to detect, but also
130. spread faster than other viral program types. The worst case is
131. the booting of a system using an infected floppy disk which
132. immediately plants the virus on any system hard disk drives.
133. Protection is very simple. Each new floppy should be tested for
134. a boot block virus before it is used to boot up the system.
135.  
136.  b). Protection from program implanted viruses.
137.  
138. This type of virus is usually carried on popularly used system
139. software such as file Copy and Delete. Sometimes, it can be
140. hidden on less popular software with less chance of being
141. detected. The virus usually is passed on to non-infected
142. versions of the same program where ever the virus finds them.
143. They spread in much slower fashion than boot block viruses, but
144. are also harder to detect.
145.  
146.  c). Protection from a 'Bomb' program.
147.  
148. A Bomb program is not unlike a virus program but may be planted
149. in a system and does not attempt to infect other files or
150. systems. It sits there quietly until it is used after some
151. pre-programmed time or when some desired situation occurs. The
152. program will be piggy backed onto any program file on the system
153. which is used in regular enough fashion that the bomb has a good
154. chance of working. When the bomb explodes, it is usually
155. designed to destroy as much and as many data files as it can
156. before being detected.
157.  
158. 5). On-line and Network system operations.
159.  
160.  a). Modem/phone line interface damage protection.
161.  
162. All the publicity accorded 'Hackers' has arisen from this type
163. of activity. A 'Hacker' is an individual who tries repeatedly to
164. gain access to any systems he can find by phone. The computer
165. used can be set to call numbers continuously until a modem
166. responds at the other end of the line. Thereafter, the hacker
167. attempts to worm his way onto the system. They have been
168. successful in the past but protection can be put in place that
169. is 100% hacker proof.
170.  
171.  b). Local and Wide Area Network protection.
172.  
173. Network protection is required for many areas of business.
174. Monies stolen from organizations by computer are nearly all
175. traceable back to the accounts payable process. Accounts Payable
176. files should never be directly on-line in a network with
177. potential file access from a number of different computers.
178. Password protection and some kind of file utilization protection
179. are simply not sufficient methods to prevent a determined thief.
180.  
181.  c). Protection from downloaded information or software.
182.  
183. Many of the famous viruses were originally downloaded. Great
184. care should be taken to segregate and test down loaded programs
185. before they are executed on the local computer system. If the
186. system is used to communicate with another remote system, in no
187. event should there be the ability of the remote user to download
188. and then execute a program. Such techniques, while on occasion
189. very useful, are like a six lane highway for a hacker to have a
190. fling with your system.
191.  
192. 6). Unauthorized system use.
193.  
194.  a). Protection by password.
195.  
196. Password protection is the minimal level for protecting a
197. system. Passwords can be given away, discovered or bypassed
198. almost at will by any competent programmer. Passwords, to be in
199. the least bit effective, must carry software which shuts the
200. system off after a given amount of time and require the user to
201. sign back on again. All very cumbersome, and really not very
202. effective.
203.  
204.  b). Protection by 'Time' clock.
205.  
206. If a Time clock is installed in conjunction with a password
207. system, this becomes a much more effective means for system
208. protection. The Time clock is set so that access for a given
209. password is denied except during regular working hours.
210.  
211.  c). Protection by access log.
212.  
213. The Time clock, password and access log file combination takes
214. on proportions of a good security system when combined. The
215. access log is preferably maintained on a separate system with
216. possible physical oversight by building security personnel. The
217. system which is being accessed should at some point determine
218. the type of access. If the access is illegal, the system should
219. NOT indicate that fact to the system being used. Rather, all
220. activity should be logged verbatim to a log file so that what
221. the user is attempting to do becomes apparent. Of course, no
222. files should be updated during this period.
223.  
224.  d). Protection of privileged or critical data bases.
225.  
226. Privileged data can be protected by programs using it. Coupled
227. with password access, transaction operations can be coded to
228. shut off unauthorized access. This type of data should be kept
229. on line in coded file form so that an adventurous user does not
230. stumble on it by using some kind of disk storage utility to
231. research file data outside of normal transaction processing.
232.  
233.  e). Accounting software transaction code access protection.
234.  
235. Accounting transaction code access can be limited to given users
236. preventing not only unauthorized use of expense codes, for
237. example, but preventing ordinary accounting mistakes.
238.  
239. 7). Application and system program tampering.
240.  
241.  a). Software modified for monetary theft.
242.  
243. Software has been modified in the past to allow an individual to
244. profit without detection, or to steal from accounts payable. For
245. example, a system which prints checks and then prints a separate
246. check register is prone to have the check printed with one
247. address and the register with another. This should be trivial to
248. prevent, but often is not even contemplated.
249.  
250.  b). Software modified to destroy business operations.
251.  
252. Individuals have received payment for destroying business
253. records in much the same fashion as burning down a building. If
254. the 'Job' is handled properly, by the time the disruptions start
255. to impact day to day business, recovery may be almost impossible.
256.  
257.  c). Software modified for mischievous destruction of data.
258.  
259. This is really the same as item (b) above except that it may be
260. harder to detect in that the purpose is not total disruption of
261. business. The worst of these schemes are not detected even
262. during file backup and archiving.
263.  
264.  d). Software inadvertently damaged and now causing problems.
265.  
266. Software on occasion or hardware problems can cause programs to
267. malfunction. When a program mysteriously malfunctions, it should
268. be check against an archival copy to make sure that it is whole
269. and complete. If it is not, the altered portions of the program
270. file should be checked to see if the type of malfunction can be
271. identified.
272.  
273.  e). Software modified to gain access to privileged information.
274.  
275. These schemes can be as simple as permitting a special password
276. access to all programs and files. Without knowledge of the
277. password, others would not recognize the existence of the scheme.
278.  
279. 8). Unauthorized modification of data files.
280.  
281.  a). Data modified to disrupt proper audit trails.
282.  
283. Data is modified to mislead auditors or create auditing problems
284. which, in a large organization, may cause types of auditing to
285. be temporarily abandoned because of excessive cost. This can
286. often be disguised as a system design 'defect'.
287.  
288.  b). Data modified to hide wrong doing.
289.  
290. This data modification is used to write a check to individual
291. 'A' but modify all records so that it appears to be paid to
292. individual 'B'. In large organizations, this simple scheme can
293. be successful because access to original documents can be
294. difficult and if originals are copied to micro film or some
295. other archival storage method, it may appear that the archival
296. copy is the one in error.
297.  
298.  c). Data modified for mischievous purposes.
299.  
300. File integrity monitors should be run on all critical data files
301. on a regular basis. The best of these schemes performs the file
302. scan when the system is temporarily inactive.
303.  
304.  
305.  
306.  
307.  
308.  
309.  
310.  
311.  
312. QUALITY RESOURCE GROUP is a Management and Information System
313. consulting firm offering integrated business solutions in the
314. following areas: Total Quality Management, Information Systems
315. and Computer Security, Mission Statement and Business Plan
316. Development, Customer Satisfaction Systems, Reengineering
317. Defense Contractors for the Private Sector, Employee Selection,
318. Development and Training and Marketing and Communications. We
319. are experienced in the design and installation of secure
320. business information systems. Our proprietary Fund Accounting
321. system has successfully been employed to pay out over 150
322. billion dollars. Our Fund Accounting systems typically return
323. their cost to the user with improved money management in less
324. that 120 days. 
325.  
326.  
327.  
328.  
329.  
330. INTERNET: QualityRGr@aol.com
331.  
332.  
333.  
334.  
335.  
336.  
337.  
338. SMAIL:
339.  
340.  
341.  
342. QUALITY RESOURCE GROUP
343.  
344. 721 NORTH MCKENZIE STREET SUITE 2
345.  
346. FOLEY, ALABAMA 36535
347.  
348.  
349.  
350. 426 16TH AVENUE
351.  
352. SAN FRANCISCO, CALIFORNIA 94118
353.  
354.  
355.  
356. 421 SEVILLE WAY
357.  
358. SAN MATEO, CALIFORNIA 94402
359.  
360.  
361.  
362. VOICE: 205/986-2050
363.  
364. FAX    : 205/943-5672
365.  
366.  
367.  
368. James McKinley, Principal
369.  
370. Member of The Association For Quality And Participation
371.  
372.