人的问题，关于计算机安全

实施计算机安全管制，是复杂的，在一个大的组织程序上的管制往往变得模糊或累赘。无论实力的技术控制，如果非技术因素影响其实施和使用，其效果就安全就能够得到严厉。此外，如果配置或用错了，即使是最好的安全控制权，是没有用在最危险的，在最坏的情况。因此，设计者，实施者，和维护者的安全控制是必不可少的，以正确的运作，这些管制措施。

组织问题

安全规定，没有直接的经济回报给用户。它限制了损失，但它也需要支出的资源可用于其他地方。除非损失发生时，组织往往认为他们是浪费的努力，与安全相关的。经过损失时，这些项目的总价值管制突然变得赞赏。此外，安全控制，往往添加复杂性，否则简单的业务。举例来说，如果缔结一项证券交易需时两分钟，如果没有安全控制和3分钟与安全管制，加上这些管制措施的结果，在50 ％的生产力损失。

损失发生时的安全保护措施已到位，但这种损失是预料不到，他们将被无安全机制。关键问题是，是否这种损失，再加上由此造成的损失，生产力的提高，会大于财政损失或丧失信心，应是其中的nonsecured交易中遭受破坏的安全。

复利这个问题，这个问题是谁的安全负责，该公司的电脑。权力，实行适当的管制一定要住那些负责;后果，如果不这样做，是这样说的人才能最清楚地看出，有必要的保安措施，并负责实施，将不能这样做。这只不过是良好的营商惯例;责任，没有权力的根源问题，在任何组织，正如是否有权无责任。

一旦明确链的责任和权力已经建立，安全需要，可以平等竞争，与其他联合国组织的需要。最常见的问题有一个安全经理面临的是缺乏训练有素的人在该地区的计算机安全。另一个常见的问题是，知识的人都超负荷工作。在许多组织中， "安全管理员" ，也参与了系统管理，开发，或其他一些次要功能。事实上，在安全方面的工作，往往是次要的。问题是，迹象显示，安全问题往往并不明显，需要时间和技能，以现场。筹备一次攻击，使处理，减少混乱，但这些准备工作需要足够的时间，需要足够的重视，使治疗，它作为次要方面的工作，意味着它不会表现不错，与预期的后果。

由于缺乏资源，是另一种较常见的问题。保障制度规定，资源以及人。它需要时间来设计一个配置，将提供足够的安全水平，为落实配置，并以管理制度。它需要这些钱来购买产品，还需要建立一个足够的保安系统或支付他人，以设计和实施保障措施。它需要的计算机资源，以落实和执行的安全机制和程序。它需要培训，以确保员工了解如何使用安全工具，又如何去解释的结果，以及如何执行的非技术方面的安全政策。

人的问题

心脏的任何保障体系，是人民。这一点尤其是在计算机安全，其中主要涉及的技术控制，通常可以绕过任何人为干预。举例来说，一个电脑系统，认证用户，要求用户提供了一个秘密码;如果正确的秘密代号是供应，电脑假设条件是，该用户被授权使用该系统。若经授权的用户告诉另一个人自己的秘密代码，未经授权的用户可以伪装为授权用户大幅减少的可能性检测。

人，有一些动机攻击的一个组织并没有获得授权使用该组织的系统是所谓的外人，并能构成严重威胁。专家们同意，然而，一个更危险的威胁来自心怀不满的雇员和其他内行的人都有权使用电脑。知情者通常知道该组织的，该公司的系统和哪些程序经营者和使用者的后续，而且往往所知不多，密码绕过许多安全管制，将侦测攻击发起，由一个外人。内幕滥用授权特权，是一个十分棘手的问题要解决。

未受过训练的人员，也威胁到系统安全。作为一个例子，其中一个经营者没有认识到的内容备份磁带需要加以核实之前磁带储存。当攻击者删除了几个关键的系统文件，她发现没有备份磁带，可以阅读。

系统管理员谁误读输出的安全机制，或者说没有分析认为，产量，有助于概率的成功攻击他们的系统。同样，管理员misconfigure安全相关的功能的一个制度可以削弱工地保安。用户还可以削弱工地保安滥用安全机制（如选拔密码易猜）。

缺乏训练不必在技术舞台。许多成功打破插件出现从艺术的社会工程。如果运营商将改变密码，基于电话的要求，所有攻击者需要做的是确定的名字，有人用电脑。一个共同的策略，也是财税相当远高于经营者（如副总裁，该公司），并假装紧急措施（如要求在晚间说，一份报告，向立法会主席，该公司是因为第二天早上）所以，如果操作者将不愿意拒绝了这项要求。一旦密码已更改为一个攻击者知道，他可以简单地登录作为普通用户。社会工程攻击是成功的，而且往往是毁灭性的。

问题是配置不当而加剧的复杂性，很多与安全相关的配置文件。举例来说，一个打字错误可以禁用关键的保护功能。更有什者，软件并不总是工作作为标榜。

一个被广泛使用的系统的一个漏洞出现时，管理员取得了太长的名单被点名的系统访问某些文件。因为名单太长了，该系统简单地假定该系统管理员的意思，让这些文件能够被存取不受任何限制谁可进入themexactly相反的是什么用意。

这是一篇文章说，由梅登奥reece