ProHoster > Blog > Administrasyon an > Sant done enfòmasyon sekirite

Sant done enfòmasyon sekirite

Sant done enfòmasyon sekirite
Men ki jan sant siveyans nan sant done NORD-2 ki sitiye nan Moskou sanble

Ou te li plis pase yon fwa sou ki mezi yo te pran pou asire sekirite enfòmasyon (IS). Nenpòt espesyalis IT ki respekte tèt yo ka fasilman nonmen 5-10 IS règ. Cloud4Y ofri pou pale sou sekirite enfòmasyon nan sant done yo.

Lè w asire sekirite enfòmasyon sant done a, objè ki pi "pwoteje" yo se:

  • resous enfòmasyon (done);
  • pwosesis pou kolekte, trete, estoke ak transmisyon enfòmasyon;
  • itilizatè sistèm ak pèsonèl antretyen;
  • enfrastrikti enfòmasyon, ki gen ladan pyès ki nan konpitè ak lojisyèl pou trete, transmèt ak montre enfòmasyon, ki gen ladan chanèl echanj enfòmasyon, sistèm sekirite enfòmasyon ak lokal.

Zòn responsablite sant done a depann de modèl sèvis yo bay (IaaS/PaaS/SaaS). Ki jan li sanble, gade foto ki anba a:

Sant done enfòmasyon sekirite
Dimansyon politik sekirite sant done depann sou modèl sèvis yo bay yo

Pati ki pi enpòtan nan devlope yon politik sekirite enfòmasyon se bati yon modèl menas ak vyolatè. Ki sa ki ka vin yon menas pou sant done a?

  1. Evènman negatif natirèl, moun fè ak sosyal
  2. Teworis, eleman kriminèl, elatriye.
  3. Depandans sou founisè, founisè, patnè, kliyan
  4. Echèk, echèk, destriksyon, domaj nan lojisyèl ak pyès ki nan konpitè
  5. Anplwaye sant done ki aplike menas IS lè l sèvi avèk dwa ak pouvwa yo ba yo legalman (vyolatè IS entèn yo)
  6. Anplwaye sant done ki aplike menas IS deyò dwa ak pouvwa legalman akòde yo, osi byen ke antite ki pa gen rapò ak pèsonèl sant done a, men eseye aksè san otorizasyon ak aksyon san otorizasyon (vyolatè IS ekstèn)
  7. Ki pa respekte egzijans otorite sipèvizyon ak regilasyon, lejislasyon aktyèl la

Analiz risk - idantifye menas potansyèl yo ak evalye limit konsekans aplikasyon yo - pral ede w chwazi bon priyorite ke espesyalis sekirite enfòmasyon sant done yo ta dwe rezoud, planifye bidjè pou achte pyès ki nan konpitè ak lojisyèl.

Asire sekirite se yon pwosesis kontinyèl ki gen ladan etap yo nan planifikasyon, aplikasyon ak operasyon, siveyans, analiz ak amelyorasyon nan sistèm nan sekirite enfòmasyon. Pou kreye sistèm jesyon sekirite enfòmasyon, sa yo rele "Deming sik'.

Yon pati enpòtan nan politik sekirite se distribisyon wòl ak responsablite pèsonèl yo pou aplikasyon yo. Politik yo ta dwe toujou ap revize pou reflete chanjman nan lejislasyon, nouvo menas, ak defans kap parèt. Epi, nan kou, pote kondisyon sekirite enfòmasyon bay anplwaye yo epi fè fòmasyon yo.

Aranjman òganizasyon

Gen kèk ekspè yo ensèten sou sekirite "papye", konsidere prensipal kapasite pratik yo reziste yon tantativ Hacking. Eksperyans reyèl nan travay sou asire sekirite enfòmasyon nan bank sijere opoze an. Espesyalis sekirite enfòmasyon yo ka gen ekspètiz ekselan nan idantifye ak diminye risk, men si pèsonèl sant done pa swiv enstriksyon yo, tout bagay pral anven.

Sekirite, kòm yon règ, pa pote lajan, men sèlman minimize risk. Se poutèt sa, li souvan trete kòm yon bagay entèfere ak segondè. Men, lè espesyalis sekirite yo kòmanse rankin (avèk tout dwa pou yo fè sa), konfli souvan parèt ak pèsonèl ak chèf depatman operasyonèl yo.

Prezans estanda endistri yo ak egzijans regilasyon yo ede pwofesyonèl sekirite yo defann pozisyon yo nan negosyasyon ak jesyon, epi règleman sekirite enfòmasyon ki apwouve yo, règleman ak règleman yo pèmèt anplwaye yo konfòme yo ak egzijans ki tabli yo, sa ki mete fondasyon pou desizyon souvan enpopilè.

Pwoteksyon lokal yo

Lè yon sant done bay sèvis dapre modèl kolokasyon an, asire sekirite fizik ak kontwòl aksè nan ekipman kliyan an vin pi devan. Pou sa, yo itilize patiraj (pati ki kloure nan sal la), ki anba siveyans videyo kliyan an epi ki gen aksè a pèsonèl sant done yo limite.

Nan fen dènye syèk la, bagay yo pa t mal nan sant òdinatè leta yo ak sekirite fizik. Te gen kontwòl aksè, kontwòl aksè nan lokal la, byenke san òdinatè ak kamera videyo, sistèm etenn dife - nan ka ta gen yon dife, freon te otomatikman lage nan chanm nan motè.

Sèjousi, sekirite fizik se menm pi bon. Aksè kontwòl ak sistèm jesyon (ACS) te vin entèlijan, metòd byometrik restriksyon aksè yo te prezante.

Sistèm etenn dife yo te vin pi an sekirite pou pèsonèl ak ekipman, pami yo se enstalasyon pou anpèchman, izolasyon, refwadisman ak efè ipoksik sou zòn dife a. Ansanm ak sistèm pwoteksyon dife obligatwa nan sant done yo, yo souvan itilize yon sistèm deteksyon dife bonè ki kalite aspirasyon.

Pou pwoteje sant done kont menas ekstèn - dife, eksplozyon, efondreman nan estrikti bilding, inondasyon, gaz korozif - chanm sekirite ak kofr yo te kòmanse itilize, nan ki ekipman sèvè yo pwoteje kont prèske tout faktè domaj ekstèn.

Lyen ki fèb la se moun

"Smart" sistèm siveyans videyo, detèktè Suivi volumetrik (acoustic, enfrawouj, ultrasons, mikwo ond), sistèm kontwòl aksè redwi risk, men pa t 'rezoud tout pwoblèm. Lajan sa yo pa pral ede, pou egzanp, lè moun kòrèkteman admèt nan sant done a ak yon zouti kòrèkteman pote "kwòk" yon bagay. Epi, kòm se souvan ka a, yon zen o aza pral pote pwoblèm maksimòm.

Travay sant done a ka afekte pa move itilizasyon resous li yo pa pèsonèl, tankou min ilegal. Sistèm jesyon enfrastrikti sant done (DCIM) ka ede nan ka sa yo.

Pèsonèl yo bezwen pwoteksyon tou, paske yo souvan rele yon moun lyen ki pi vilnerab nan sistèm pwoteksyon an. Atak vize pa kriminèl pwofesyonèl yo pi souvan kòmanse ak itilizasyon teknik jeni sosyal. Li pa estraòdinè pou sistèm ki pi an sekirite yo aksidan oswa konpwomèt apre yon moun klike / telechaje / fè yon kote. Risk sa yo ka minimize pa fòmasyon pèsonèl yo ak aplike pi bon pratik mondyal yo nan domèn sekirite enfòmasyon.

Pwoteksyon enfrastrikti jeni

Menas tradisyonèl nan fonksyone sant done a se echèk kouran elektrik ak echèk sistèm refwadisman. Nou vin abitye ak menas sa yo e nou aprann fè fas ak yo.

Yon nouvo tandans te entwodiksyon toupatou nan ekipman rezo "entelijan": UPS jere, sistèm refwadisman entelijan ak vantilasyon, divès kalite contrôleur ak detèktè ki konekte ak sistèm siveyans. Lè w ap bati yon modèl menas sant done, pa bliye sou chans pou yon atak sou rezo enfrastrikti a (e, pètèt, sou rezo IT sant done ki asosye ak li). Konplike sitiyasyon an se lefèt ke kèk nan ekipman yo (pa egzanp, chillers) ka pran soti nan sant done a, di, sou do kay la nan yon bilding lwe.

Pwoteksyon chanèl kominikasyon yo

Si sant done a bay sèvis pa sèlman sou modèl kolokasyon an, Lè sa a, w ap gen fè fas ak pwoteksyon nwaj yo. Dapre Check Point, nan ane ki sot pase a sèlman, 51% nan òganizasyon atravè mond lan te fè eksperyans atak sou estrikti nwaj yo. Atak DDoS sispann biznis, viris chifreman mande yon ranson, atak vize sou sistèm bankè yo mennen nan vòl lajan nan kont korespondan.

Menas entrizyon ekstèn yo tou yon enkyetid pou espesyalis sekirite enfòmasyon sant done yo. Ki pi enpòtan pou sant done yo se atak distribye ki vize pou mete fen nan dispozisyon sèvis yo, ansanm ak menas piratage, vòl oswa modifikasyon done ki genyen nan enfrastrikti vityèl oswa sistèm depo.

Pou pwoteje perimèt ekstèn sant done a, yo itilize sistèm modèn ki gen fonksyon detekte ak netralize kòd move, kontwòl aplikasyon ak kapasite pou enpòte teknoloji pwoteksyon proactive menas entèlijans. Nan kèk ka, sistèm ak fonksyonalite IPS (prevansyon entrizyon) yo deplwaye ak ajisteman otomatik nan siyati a mete nan paramèt yo nan anviwònman an pwoteje.

Pou pwoteje kont atak DDoS, konpayi Ris yo, kòm yon règ, sèvi ak sèvis ekstèn espesyalize ki detounen trafik nan lòt nœuds ak filtre li nan nwaj la. Pwoteksyon sou bò operatè a pi efikas pase sou bò kliyan an, ak sant done yo aji kòm entèmedyè pou vann sèvis yo.

Nan sant done yo, atak DDoS entèn yo posib tou: yon atakè penetre sèvè yo fèb pwoteje nan yon konpayi ki òganize ekipman li yo dapre modèl kolokasyon an, epi nan men yo, atravè rezo entèn la, fè yon refi sèvis atak sou lòt kliyan yo. sant done sa a.

Atansyon nan anviwònman vityèl

Li nesesè pran an kont spesifik yo nan objè a pwoteje - itilizasyon zouti Virtualization, dinamis chanjman nan enfrastrikti IT, entèrkonèksyon nan sèvis, lè yon atak siksè sou yon sèl kliyan ka menase sekirite vwazen an. Pou egzanp, pa pirate docker a entèfas pandan y ap travay nan PaaS ki baze sou Kubernetes, yon atakè ka imedyatman jwenn tout enfòmasyon sou modpas la e menm aksè nan sistèm òkestrasyon an.

Pwodwi yo bay anba modèl sèvis la gen yon wo degre de automatisation. Yo nan lòd yo pa entèfere ak biznis, pa gen mwens degre nan automatisation ak dekale orizontal yo ta dwe enpoze zouti pwoteksyon enfòmasyon. Yo ta dwe bay echèl nan tout nivo sekirite enfòmasyon, ki gen ladan automatisation kontwòl aksè ak wotasyon kle aksè. Travay la nan dekale modil fonksyonèl ki enspekte trafik rezo a se espesyalman enpòtan.

Pou egzanp, filtraj trafik rezo nan nivo aplikasyon an, rezo ak sesyon nan sant done ak yon wo degre de Virtualization ta dwe fèt nan nivo a nan modil rezo hypervisor (pa egzanp, Firewall distribiye VMware a) oswa pa kreye chèn nan sèvis (pare-feu vityèl). soti nan Palo Alto Networks).

Si gen feblès nan nivo Virtualization nan resous enfòmatik, efò yo kreye yon sistèm sekirite enfòmasyon konplè nan nivo platfòm la pral inefikas.

Nivo pwoteksyon enfòmasyon nan sant done yo

Apwòch jeneral nan pwoteksyon se itilizasyon sistèm sekirite enfòmasyon entegre, milti-nivo, ki gen ladan macro-segmentasyon nan nivo firewall (alokasyon segman pou divès domèn fonksyonèl nan biznis), mikwo-segmentasyon ki baze sou firewall vityèl oswa etikèt nan gwoup trafik. (wòl itilizatè oswa sèvis) defini nan règleman aksè.

Nivo nan pwochen se deteksyon an nan anomali nan ak ant segman. Se dinamik trafik yo analize, ki ka endike prezans nan aktivite move, tankou optik rezo, tantativ nan atak DDoS, telechaje done, pou egzanp, pa koupe fichye baz done epi montre yo nan sesyon detanzantan parèt nan entèval long. Komèsan gwo trafik pase andedan sant done a, kidonk yo dwe itilize algoritm rechèch avanse pou detekte anomali, epi san analiz pake. Li enpòtan ke se pa sèlman siy aktivite move ak anomal yo rekonèt, men tou, operasyon an nan malveyan menm nan trafik chiffres san yo pa dechifre li, jan yo pwopoze nan solisyon Cisco (Stealthwatch).

Dènye fwontyè a se pwoteksyon aparèy final rezo lokal yo: sèvè ak machin vityèl, pou egzanp, avèk èd ajan enstale sou aparèy final (machin vityèl) ki analize I / O, efase, kopye ak aktivite rezo, transfere done nan nwaj la, kote kalkil ki mande gwo pouvwa informatique yo te pote soti. La, analiz yo te pote lè l sèvi avèk algoritm Big Data, pye bwa lojik machin yo bati ak anomali yo detekte. Algoritm yo aprann tèt yo ki baze sou yon gwo kantite done yon rezo mondyal detèktè apwovizyone.

Ou ka fè san yo pa enstale ajan. Zouti modèn sekirite enfòmasyon yo ta dwe san ajan ak entegre nan sistèm operasyon yo nan nivo hypervisor.
Mezi ki anwo yo siyifikativman diminye risk sekirite enfòmasyon yo, men sa ka pa ase pou sant done ki otomatize pwosesis pwodiksyon ki gen gwo risk, tankou plant nikleyè.

Kondisyon regilasyon

Tou depan de enfòmasyon yo ap trete, enfrastrikti fizik ak virtualize nan sant done a dwe satisfè kondisyon sekirite diferan ki fòmile nan lwa ak estanda endistri yo.

Lwa sa yo enkli lwa "Sou Done Pèsonèl" (152-FZ) ak lwa "Sou Sekirite Objè CIS RF" (187-FZ), ki te vin anvigè ane sa a - biwo pwosekitè a te deja vin enterese nan pwogrè nan aplikasyon li. Diskisyon sou fè pati sant done yo nan sijè CII yo toujou ap kontinye, men, gen plis chans, sant done ki vle bay sèvis pou sijè CII yo pral oblije konfòme yo ak kondisyon ki nan nouvo lejislasyon an.

Li pa pral fasil pou sant done ki òganize sistèm enfòmasyon leta yo. Dapre Dekrè Gouvènman an nan Federasyon Larisi la nan 11.05.2017 me 555 nimewo XNUMX, pwoblèm sekirite enfòmasyon yo ta dwe rezoud anvan GIS la yo mete nan operasyon komèsyal yo. Ak yon sant done ki vle òganize yon GIS dwe konfòme yo ak kondisyon ki nan regilatè yo davans.

Pandan 30 ane ki sot pase yo, sistèm sekirite sant done yo te vini yon fason lontan: soti nan sistèm pwoteksyon fizik senp ak mezi òganizasyon, ki, sepandan, pa te pèdi enpòtans yo, nan sistèm entèlijan konplèks ki de pli zan pli sèvi ak eleman nan entèlijans atifisyèl. Men, sans nan apwòch la pa te chanje. Teknoloji ki pi modèn yo pa pral sove san mezi òganizasyonèl ak fòmasyon anplwaye yo, ak papye - san lojisyèl ak solisyon teknik. Sekirite nan sant done yo pa ka asire yon fwa pou tout, li se yon travay konstan chak jou pou idantifye menas ki pi enpòtan yo epi rezoud pwoblèm émergentes yo.

Ki lòt bagay ou ka li sou blog la? Cloud4Y

Konfigirasyon tèt nan GNU/Linux
Pentesters nan forefront de cybersecurity
Chemen entèlijans atifisyèl soti nan yon lide kokenn nan yon endistri syantifik
4 fason pou sove sou sovgad nwaj yo
Mutt istwa

Abònman ak nou Telegram-channel, pou pa rate pwochen atik la! Nou ekri pa plis pase de fwa pa semèn epi sèlman sou biznis. Nou raple ou tou ke ou kapab gratis pou teste solisyon nwaj Cloud4Y.

Sous: www.habr.com

Add nouvo kòmantè