home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / network / nia18 < prev    next >
Text File  |  1992-09-26  |  15KB  |  313 lines
  1.  ZDDDDDDDDDDDDDDDDDD? IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM; ZDDDDDDDDDDDDDDDDDD?
  2.  3   Founded By:    3 :  Network Information Access   : 3   Founded By:    3
  3.  3 Guardian Of Time 3D:            17APR90            :D3 Guardian Of Time 3
  4.  3   Judge Dredd    3 :          Judge Dredd          : 3   Judge Dredd    3
  5.  @DDDDDDDDBDDDDDDDDDY :            File 18            : @DDDDDDDDDBDDDDDDDDY
  6.           3           HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<           3
  7.           3  IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM; 3
  8.           @DD: Computers User's Guide/Protection of Information :DY
  9.              HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<
  10.  
  11. This is a follow-up to the VERY basic Computer Fraud Series that was done
  12. by Lord Kalkin. This series is comprised of three levels, the User's Guide,
  13. the Management Guide, and the Executive Guide. Use it to your advantage.
  14.  
  15. $_Introduction
  16.  
  17.  
  18. Today's computer technology, with microcomputers and on-line
  19. access, has placed the power of the computer where it belongs, in
  20. YOUR hands. YOU, the users, develop computer applications and
  21. perform other data processing functions which previously were
  22. only done by the computer operations personnel. These advances
  23. have greatly improved our efficiency and effectiveness but, also
  24. present a serious challenge in achieving adequate data security.
  25.  
  26. While excellent progress has been made in computer technology,
  27. very little has been done to inform users of the vulnerability of
  28. data and information to such threats as unauthorized
  29. modification, disclosure, and destruction, either deliberate or
  30. accidental. This guide will make you aware of some of the
  31. undesirable things that can happen to data and will provide some
  32. practical solutions for reducing your risks to these threats.
  33.  
  34. > WHO IS RESPONSIBLE FOR PROTECTING DATA AND INFORMATION?
  35. The statement that "security is everyone's responsibility" is
  36. absolutely true. Owners, developers, operators and users of
  37. information systems each has a personal responsibility to protect
  38. these resources. Functional managers have the responsibility to
  39. provide appropriate security controls for any information
  40. resources entrusted to them. These managers are personally
  41. responsible for understanding the sensitivity and criticality of
  42. their data and the extent of losses that could occur if the
  43. resources are not protected. Managers must ensure that all users
  44. of their data and systems are made aware of the practices and
  45. procedures used to protect the information resources. When you
  46. don't know what your security responsibilities are, ASK YOUR
  47. MANAGER OR SUPERVISOR.
  48.  
  49. > WHAT IS "SENSITIVE" DATA?
  50. All data is sensitive to some degree; exactly how sensitive is
  51. unique to each business environment. Within the Federal
  52. Government, personal information is sensitive to unauthorized
  53. disclosure under the Privacy Act of 1974.  In some cases, data is
  54. far more sensitive to accidental errors or omissions that
  55. compromise accuracy, integrity, or availability.  For example, in
  56. a Management Information System, inaccurate, incomplete, or
  57. obsolete information can result in erroneous management decisions
  58. which could cause serious damage and require time and money to
  59. rectify. Data and information which are critical to an agency's
  60. ability to perform its mission are sensitive to nonavailability.
  61.  
  62. Still other data are sensitive to fraudulent manipulation for
  63. personal gain. Systems that process electronic funds transfers,
  64. control inventories, issue checks, control accounts receivables
  65. and payables, etc., can be fraudulently exploited resulting in
  66. serious losses to an agency.
  67. One way to determine the sensitivity of data is to ask the
  68. questions "What will it cost if the data is wrong? Manipulated
  69. for fraudulent purposes? Not available? Given to the wrong
  70. person?" If the damage is more than you can tolerate, then the
  71. data is sensitive and should have adequate security controls to
  72. prevent or lessen the potential loss.
  73.  
  74. > WHAT RISKS ARE ASSOCIATED WITH THE USE OF COMPUTERS?
  75. Over the past several decades, computers have taken over
  76. virtually all of our major record-keeping functions. Recently,
  77. personal computers have made it cost-effective to automate many
  78. office functions. Computerization has many advantages and is here
  79. to stay; however, automated systems introduce new risks, and we
  80. should take steps to control those risks.
  81. We should be concerned with the same risks that existed when
  82. manual procedures were used, as well as some new risks created by
  83. the unique nature of computers themselves. One risk introduced by
  84. computers is the concentration of tremendous amounts of data in
  85. one location. The greater the concentration, the greater the
  86. consequences of loss or damage. Another example is that computer
  87. users access information from remote terminals. We must be able
  88. to positively identify the user, as well as ensure that the user
  89. is only able to access information and functions that have been
  90. authorized.  Newspaper accounts of computer "hackers," computer
  91. virus attacks, and other types of intruders underscore the
  92. reality of the threat to government and commercial computer
  93. systems.
  94.  
  95. > HOW MUCH SECURITY IS ENOUGH?
  96. No matter how many controls or safeguards we use, we can never
  97. achieve total security. We can, however, decrease the risk in
  98. proportion to the strength of the protective measures. The degree
  99. of protection is based on the value of the information; in other
  100. words, how serious would be the consequences if a certain type of
  101. information were to be wrongfully changed, disclosed, delayed, or
  102. destroyed?
  103.  
  104. $_General Responsibilities
  105.  
  106.  
  107. All Federal computer system users share certain general
  108. responsibilities for information resource protection. The
  109. following considerations should guide your actions.
  110.  
  111. Treat information as you would any valuable asset.
  112. You would not walk away from your desk leaving cash or other
  113. valuables unattended. You should take the same care to protect
  114. information. If you are not sure of the value or sensitivity of
  115. the various kinds of information you handle, ask your manager for
  116. guidance.
  117.  
  118. Use government computer systems only for lawful and authorized
  119. purposes.
  120. The computer systems you use in your daily work should be used
  121. only for authorized purposes and in a lawful manner. There are
  122. computer crime laws that prescribe criminal penalties for those
  123. who illegally access Federal computer systems or data.
  124. Additionally, the unauthorized use of Federal computer systems or
  125. use of authorized privileges for unauthorized purposes could
  126. result in disciplinary action.
  127.  
  128. Observe policies and procedures established by agency
  129. management.
  130. Specific requirements for the protection of information have been
  131. established by your agency. These requirements may be found in
  132. policy manuals, rules, or procedures. Ask your manager if you are
  133. unsure about your own responsibilities for protection of
  134. information.
  135.  
  136. Recognize that you are accountable for your activities on
  137. computer systems.
  138. After you receive authorization to use any Federal computer
  139. system, you become personally responsible and accountable for
  140. your activity on the system. Accordingly, your use should be
  141. restricted to those functions needed to carry out job
  142. responsibilities.
  143.  
  144. Report unusual occurrences to your manager.
  145. Many losses would be avoided if computer users would report any
  146. circumstances that seem unusual or irregular. Warning signals
  147. could include such things as unexplainable system activity that
  148. you did not perform, data that appears to be of questionable
  149. accuracy, and unexpected or incorrect processing results. If you
  150. should notice anything of a questionable nature, bring it to your
  151. manager's attention.
  152.  
  153. $_Security and Control Guidelines
  154.  
  155. Some common-sense protective measures can reduce the risk of
  156. loss, damage, or disclosure of information. Following are the
  157. most important areas of information systems controls that assure
  158. that the system is properly used, resistant to disruptions, and
  159. reliable.
  160.  
  161. Make certain no one can impersonate you.
  162. If a password is used to verify your identity, this is the key to
  163. system security. Do not disclose your password to anyone, or
  164. allow anyone to observe your password as you enter it during the
  165. sign-on process. If you choose your own password, avoid selecting
  166. a password with any personal associations, or one that is very
  167. simple or short. The aim is to select a password that would be
  168. difficult to guess or derive. "1REDDOG" would be a better
  169. password than "DUKE."
  170. If your system allows you to change your own password, do so
  171. regularly. Find out what your agency requires, and change
  172. passwords at least that frequently. Periodic password changes
  173. keep undetected intruders from continuously using the password of
  174. a legitimate user.
  175.  
  176. After you are logged on, the computer will attribute all activity
  177. to your user id. Therefore, never leave your terminal without
  178. logging off -- even for a few minutes. Always log off or
  179. otherwise inactivate your terminal so no one could perform any
  180. activity under your user id when you are away from the area.
  181.  
  182. Safeguard sensitive information from disclosure to others.
  183. People often forget to lock up sensitive reports and computer
  184. media containing sensitive data when they leave their work areas.
  185. Information carelessly left on top of desks and in unlocked
  186. storage can be casually observed, or deliberately stolen. Every
  187. employee who works with sensitive information should have
  188. lockable space available for storage when information is not in
  189. use. If you aren't sure what information should be locked up or
  190. what locked storage is available, ask your manager.
  191.  
  192. While working, be aware of the visibility of data on your
  193. personal computer or terminal display screen. You may need to
  194. reposition equipment or furniture to eliminate over-the-shoulder
  195. viewing. Be especially careful near windows and in public areas.
  196. Label all sensitive diskettes and other computer media to alert
  197. other employees of the need to be especially careful. When no
  198. longer needed, sensitive information should be deleted or
  199. discarded in such a way that unauthorized individuals cannot
  200. recover the data. Printed reports should be finely shredded,
  201. while data on magnetic media should be overwritten. Files that
  202. are merely deleted are not really erased and can still be
  203. recovered.
  204.  
  205. Install physical security devices or software on personal
  206. computers.
  207. The value and popularity of personal computers make theft a big
  208. problem, especially in low-security office areas. Relatively
  209. inexpensive hardware devices greatly reduce the risk of equipment
  210. loss. Such devices involve lock-down cables or enclosures that
  211. attach equipment to furniture. Another approach is to place
  212. equipment in lockable cabinets.
  213. When data is stored on a hard disk, take some steps to keep
  214. unauthorized individuals from accessing that data. A power lock
  215. device only allows key-holders to turn on power to the personal
  216. computer. Where there is a need to segregate information between
  217. multiple authorized users of a personal computer, additional
  218. security in the form of software is probably needed. Specific
  219. files could be encrypted to make them unintelligible to
  220. unauthorized staff, or access control software can divide storage
  221. space among authorized users, restricting each user to their own
  222. files.
  223.  
  224. Avoid costly disruptions caused by data or hardware loss.
  225. Disruptions and delays are expensive. No one enjoys working
  226. frantically to re-enter work, do the same job twice, or fix
  227. problems while new work piles up. Most disruptions can be
  228. prevented, and the impact of disruptions can be minimized by
  229. advance planning. Proper environmental conditions and power
  230. supplies minimize equipment outages and information loss. Many
  231. electrical circuits in office areas do not constitute an adequate
  232. power source, so dedicated circuits for computer systems should
  233. be considered. Make certain that your surroundings meet the
  234. essential requirements for correct equipment operation. Cover
  235. equipment when not in use to protect it from dust, water leaks,
  236. and other hazards.
  237.  
  238. For protection from accidental or deliberate destruction of data,
  239. regular data backups are essential. Complete system backups
  240. should be taken at intervals determined by how quickly
  241. information changes or by the volume of transactions. Backups
  242. should be stored in another location, to guard against the
  243. possibility of original and  backup copies being destroyed by the
  244. same fire or other disaster.
  245.  
  246. Maintain the authorized hardware/software configuration.
  247. Some organizations have been affected by computer "viruses"
  248. acquired through seemingly useful or innocent software obtained
  249. from public access bulletin boards or other sources; others have
  250. been liable for software illegally copied by employees. The
  251. installation of unauthorized hardware can cause damage,
  252. invalidate warranties, or have other negative consequences.
  253. Install only hardware or software that has been acquired through
  254. normal acquisition procedures and comply with all software
  255. licensing agreement requirements.
  256.  
  257. > SUMMARY
  258. Ultimately, computer security is the user's responsibility.  You,
  259. the user, must be alert to possible breaches in security and
  260. adhere to the security regulations that have been established
  261. within your agency. The security practices listed are not
  262. inclusive, but rather designed to remind you and raise your
  263. awareness towards securing your information resources:
  264.  
  265. > PROTECT YOUR EQUIPMENT
  266.  Keep it in a secure environment
  267.  Keep food, drink, and cigarettes AWAY from it
  268.  Know where the fire suppression equipment is located and know
  269.  how to use it
  270.  
  271. > PROTECT YOUR AREA
  272.  Keep unauthorized people AWAY from your equipment and data
  273.  Challenge strangers in your area
  274.  
  275. > PROTECT YOUR PASSWORD
  276.  Never write it down or give it to anyone
  277.  Don't use names, numbers or dates which are personally
  278. identified with you
  279.  Change it often, but change it immediately if you think it has
  280. been compromised
  281.  
  282. > PROTECT YOUR FILES
  283.  Don't allow unauthorized access to your files and data
  284.  NEVER leave your equipment unattended with your password
  285. activated - SIGN OFF!
  286.  
  287. > PROTECT AGAINST VIRUSES
  288.  Don't use unauthorized software
  289.  Back up your files before implementing ANY new software
  290.  
  291. > LOCK UP STORAGE MEDIA CONTAINING SENSITIVE DATA
  292.  If the data or information is sensitive or critical to your
  293. operation, lock it up!
  294.  
  295. > BACK UP YOUR DATA
  296.  Keep duplicates of your sensitive data in a safe place, out of
  297. your immediate area
  298.  Back it up as often as necessary
  299.  
  300. > REPORT SECURITY VIOLATIONS
  301.  Tell your manager if you see any unauthorized changes to your
  302. data
  303.  Immediately report any loss of data or programs, whether
  304. automated or hard copy.
  305.  
  306. -JUDGE DREDD/NIA
  307.  
  308. [OTHER WORLD BBS]
  309.  
  310.  
  311.  
  312. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  313.