Ya ku navenda çavdêriyê ya navenda daneya NORD-2 ya ku li Moskowê ye wiha xuya dike
We ji carekê zêdetir xwendiye ka çi tedbîr ji bo misogerkirina ewlehiya agahdariyê (DAIŞ) têne girtin. Her pisporê IT-ê yê ku ji xwe re rêzdar e dikare bi hêsanî 5-10 qaîdeyên ewlehiya agahdariyê nav bike. Cloud4Y pêşkêşî dike ku li ser ewlehiya agahdariya navendên daneyê biaxive.
Dema ku ewlehiya agahdariya navendek daneyê misoger dike, tiştên herî "parastî" ev in:
- çavkaniyên agahdariyê (dane);
- pêvajoyên berhevkirin, hilanîn, hilanîn û şandina agahiyan;
- bikarhênerên pergalê û karmendên lênêrînê;
- binesaziya agahdariyê, di nav de amûrên hardware û nermalavê yên ji bo pêvajoyê, veguheztin û nîşandana agahdarî, di nav de kanalên danûstendina agahdarî, pergalên ewlehiya agahdariyê û cîh.
Qada berpirsiyariya navenda daneyê bi modela karûbarên peydakirî ve girêdayî ye (IaaS / PaaS / SaaS). Çawa xuya dike, wêneyê jêrîn bibînin:
Qada polîtîkaya ewlehiya navenda daneyê li gorî modela karûbarên peydakirî ve girêdayî ye
Beşa herî girîng a pêşxistina polîtîkaya ewlehiya agahdariyê avakirina modela gef û binpêkeran e. Çi dikare bibe xeterek ji bo navendek daneyê?
- Bûyerên nebaş ên xwezayî, mirovî û civakî
- Terorîst, hêmanên sûc û hwd.
- Girêdana bi dabînker, pêşkêşker, hevkar, xerîdar
- Têkçûn, têkçûn, hilweşandin, zirara nermalavê û hardware
- Karkerên navenda daneyê ku gefên ewlehiya agahdariyê bi karanîna maf û hêzên qanûnî hatine dayîn pêk tînin (binpêkerên ewlehiya agahdariya hundurîn)
- Karkerên navenda daneyê ku gefên ewlehiya agahdariyê li derveyî maf û desthilatên bi qanûnî hatine dayîn bicîh dikin, û her weha saziyên ku bi personelên navenda daneyê re têkildar nînin, lê hewil didin gihîştinek bê destûr û kiryarên bê destûr (binpêkerên ewlehiya agahdariya derveyî)
- Pabendbûna bi daxwazên rayedarên çavdêrî û birêkûpêk, qanûnên heyî
Analîzkirina xetereyê - naskirina xetereyên potansiyel û nirxandina pîvana encamên pêkanîna wan - dê bibe alîkar ku hûn karên pêşîn ên ku pisporên ewlehiya agahdariya navenda daneyê divê çareser bikin rast hilbijêrin, û budceyên ji bo kirîna hardware û nermalavê plansaz bikin.
Dabînkirina ewlehiyê pêvajoyek berdewam e ku qonaxên plansazkirin, bicihanîn û xebitandinê, şopandin, analîzkirin û başkirina pergala ewlehiya agahdariyan vedihewîne. Ji bo afirandina pergalên rêveberiya ewlehiya agahdariyê, bi navê "".
Beşek girîng a polîtîkayên ewlehiyê dabeşkirina rol û berpirsiyariyên karmendan e ji bo pêkanîna wan. Siyaset divê bi berdewamî bêne vekolandin da ku guhertinên di zagonan de, metirsiyên nû, û berevaniyên ku derdikevin holê nîşan bidin. Û, bê guman, pêdiviyên ewlehiya agahdariyê ji karmendan re ragihînin û perwerdehiyê peyda bikin.
Tedbîrên rêxistinî
Hin pispor di derbarê ewlehiya "kaxez" de bi guman in, tiştê sereke jêhatîbûna pratîkî ya li hember hewildanên hackkirinê dihesibînin. Tecrûbeya rastîn di dabînkirina ewlehiya agahdariya li bankan de berevajî vê yekê pêşniyar dike. Dibe ku pisporên ewlehiya agahdarî di tespîtkirin û kêmkirina xetereyan de xwedan pisporiyek hêja bin, lê heke personelên navenda daneyê rêwerzên wan bişopînin, dê her tişt vala derkeve.
Ewlekarî, wekî qaîdeyek, drav nade, lê tenê xetereyan kêm dike. Ji ber vê yekê, ew pir caran wekî tiştek xemgîn û duyemîn tête kirin. Û gava ku pisporên ewlehiyê dest bi hêrsbûnê dikin (bi her mafî re), bi gelemperî bi karmend û serokên beşên operasyonê re nakokî derdikevin.
Hebûna standardên pîşesaziyê û hewcedariyên birêkûpêk ji pisporên ewlehiyê re dibe alîkar ku di danûstendinên bi rêveberiyê re pozîsyonên xwe biparêzin, û polîtîkayên ewlehiya agahdariyê, rêzikname û rêziknameyên pejirandî dihêle ku karmend bi daxwazên ku li wir hatine destnîşan kirin tevbigerin, û bingehek ji bo biryarên pir caran ne populer peyda dike.
Parastina avahiyan
Gava ku navendek daneyê karûbaran bi karanîna modela hevoksaziyê peyda dike, dabînkirina ewlehiya laşî û kontrola gihîştina alavên xerîdar derdikeve pêş. Ji bo vê armancê, dorhêl (beşên dorpêçkirî yên salonê) têne bikar anîn, ku di bin çavdêriya vîdyoyê ya xerîdar de ne û gihîştina wan bi personelên navenda daneyê re sînordar e.
Li navendên komputerên dewletê yên bi ewlekariya laşî, tişt di dawiya sedsala borî de ne xirab bûn. Kontrola gihîştinê, kontrola gihîştina cîhê, tewra bêyî komputer û kamerayên vîdyoyê, pergalek vemirandina agir hebû - di bûyera agir de, freon bixweber di odeya makîneyê de dihat berdan.
Naha, ewlehiya laşî hê çêtir tê peyda kirin. Pergalên Kontrolkirin û Rêvebirina Gihîştinê (ACS) aqilmend bûne, û rêbazên biyometrîkî yên sînorkirina gihîştinê têne destnîşan kirin.
Pergalên vemirandina agir ji bo personel û amûran ewletir bûne, di nav wan de sazûmanên ji bo astengkirin, veqetandin, sarbûn û bandorên hîpoksîkî yên li ser qada agir hene. Digel pergalên parastina agir ên mecbûrî, navendên daneyê bi gelemperî pergalek vedîtina agirê zû ya aspirasyonê bikar tînin.
Ji bo parastina navendên daneyê ji metirsiyên derve - şewat, teqîn, hilweşîna avahiyên avahiyê, lehiyê, gazên gemarî - odeyên ewlehiyê û ewleh dest bi karanîna kirin, ku tê de alavên serverê hema hema ji hemî faktorên zirarê yên derveyî têne parastin.
Xala qels mirov e
Pergalên çavdêriya vîdyoyê "aqilmend", senzorên şopandina volumetric (akustîk, infrasor, ultrasonic, mîkropêl), pergalên kontrolkirina gihîştinê xetere kêm kirine, lê hemî pirsgirêk çareser nekirine. Mînakî, dema ku mirovên ku bi amûrên rast di nav navenda daneyê de hatine pejirandin, bi tiştek re "girêdayî" bûne, ev navgîn dê ne alîkar bin. Û, wekî ku pir caran diqewime, kêşek bêkêmasî dê pirsgirêkên herî zêde bîne.
Dibe ku xebata navenda daneyê ji hêla karmendan ve ji hêla nebaş karanîna çavkaniyên wê ve were bandor kirin, mînakî, kanankirina neqanûnî. Pergalên rêveberiya binesaziya navenda daneyê (DCIM) dikarin di van rewşan de bibin alîkar.
Personel jî hewceyê parastinê ye, ji ber ku mirov bi gelemperî di pergala parastinê de girêdana herî xeternak tê gotin. Êrîşên armanckirî ji hêla sûcdarên pispor ve pir caran bi karanîna rêbazên endezyariya civakî dest pê dikin. Bi gelemperî pergalên herî ewledar piştî ku kesek tiştek bikirt / dakêşand / kir têk diçin an jî têne tawîz kirin. Metirsiyên weha dikarin bi perwerdekirina karmendan û pêkanîna pratîkên çêtirîn ên gerdûnî di warê ewlehiya agahdariyê de kêm bibin.
Parastina binesaziya endezyariyê
Metirsiyên kevneşopî yên li ser xebata navendek daneyê têkçûna hêzê û têkçûna pergalên sarbûnê ne. Jixwe em bi van tehdîdên bi vî rengî re adet bûne û hîn bûne ku bi wan re rûbirû bibin.
Meyleke nû bûye danasîna berbelav a alavên "aqilmend" ên ku bi torê ve girêdayî ne: UPS-yên kontrolkirî, pergalên sarbûn û hewayê jîr, kontrolker û senzorên cihêreng ên ku bi pergalên çavdêriyê ve girêdayî ne. Dema ku modelek xetereyê ji bo navendek daneyê ava dikin, îhtîmala êrîşek li ser tora binesaziyê (û, dibe ku, li ser tora IT-ya têkildar a navenda daneyê) ji bîr nekin. Tevlihevkirina rewşê ev e ku hin amûr (mînak, çîler) dikarin li derveyî navenda daneyê werin veguheztin, bibêjin, li ser banê avahiyek kirêkirî.
Parastina kanalên ragihandinê
Ger navenda daneyê ne tenê li gorî modela hevoksaziyê karûbaran peyda bike, wê hingê ew ê neçar bimîne ku bi parastina ewr re mijûl bibe. Li gorî Check Point, tenê sala borî, 51% ji rêxistinên li çaraliyê cîhanê rastî êrişên li ser strukturên ewr ên wan hatin. Êrîşên DDoS karsaziyan rawestîne, vîrusên şîfrekirinê fîdyeyê dixwazin, êrişên armanckirî yên li ser pergalên bankingê dibe sedema dizîna drav ji hesabên peyamberan.
Gefên destdirêjiyên derveyî pisporên ewlehiya agahdariya navenda daneyê jî ditirsin. Ya herî girîng ji bo navendên daneyê êrîşên belavkirî ne ku bi mebesta qutkirina peydakirina karûbaran, û her weha gefên hackkirin, dizîn an guheztina daneyên ku di binesaziya virtual an pergalên hilanînê de ne.
Ji bo parastina derûdora derveyî ya navenda daneyê, pergalên nûjen bi fonksiyonên ji bo nasandin û bêbandorkirina kodê xirab, kontrolkirina serîlêdanê û şiyana îtxalkirina teknolojiya parastina proaktîf a Threat Intelligence têne bikar anîn. Di hin rewşan de, pergalên bi fonksiyona IPS (pêşîlêgirtina destwerdanê) bi verastkirina otomatîkî ya îmzeyê li ser pîvanên jîngeha parastî têne bicîh kirin.
Ji bo parastina li dijî êrîşên DDoS, pargîdaniyên rûsî, wekî qaîdeyek, karûbarên pispor ên derveyî bikar tînin ku seyrûseferê berbi nokên din ve vedigerînin û wê di ewr de fîlter dikin. Parastina li alîyê operator ji hêla xerîdar ve pir bi bandortir e, û navendên daneyê wekî navbeynkar ji bo firotana karûbaran tevdigerin.
Êrîşên DDoS yên navxweyî di navendên daneyê de jî mimkun in: êrîşkar derbasî serverên qels ên parastî yên yek pargîdanî dibe ku amûrên xwe bi karanîna modelek hevoksaziyê mêvandar dike, û ji wir bi riya tora navxweyî êrişek redkirina karûbarê li ser xerîdarên din ên vê navenda daneyê pêk tîne. .
Li ser hawîrdorên virtual bisekinin
Pêdivî ye ku meriv taybetmendiyên tiştê parastî li ber çavan bigire - karanîna amûrên virtualîzasyonê, dînamîkên guheztina binesaziyên IT-ê, pêwendiya karûbaran, dema ku êrîşek serketî li ser yek xerîdar dikare ewlehiya cîranan tehdîd bike. Mînakî, dema ku di PaaS-ya Kubernetes-ê de dixebitî, bi hackkirina dokera pêşîn re, êrîşkar dikare tavilê hemî agahdariya şîfreyê bigire û tewra xwe bigihîne pergala orkestrasyonê.
Berhemên ku di binê modela karûbarê de têne peyda kirin xwedan astek bilind a otomatîkî ne. Ji bo ku destwerdana karsaziyê neke, pêdivî ye ku tedbîrên ewlehiya agahdarî bi astek ne kêmî otomatîkî û pîvandina horizontî were sepandin. Pêdivî ye ku pîvandin di hemî astên ewlehiya agahdariyê de, di nav de otomasyona kontrolkirina gihîştinê û zivirîna bişkojkên gihîştinê, were misoger kirin. Karûbarek taybetî mezinkirina modulên fonksiyonel e ku seyrûsefera torê kontrol dike.
Mînakî, fîlterkirina seyrûsefera torê di astên serîlêdanê, torê û danişînê de li navendên daneya pir virtualîzekirî divê di asta modulên torê yên hîpervisor de (mînak, Firewall-a Dabeşkirî ya VMware) an bi afirandina zincîreyên karûbarê (dîwarên agir ên virtual ji Tora Palo Alto) were kirin. .
Ger qelsî di asta virtualkirina çavkaniyên komputerê de hebin, dê hewildanên ji bo afirandina pergalek ewlehiya agahdariya berfireh di asta platformê de bêbandor bin.
Asta parastina agahdariyê di navenda daneyê de
Nêzîkatiya giştî ya parastinê karanîna pergalên ewlehiya agahdariya yekbûyî, pir-astî ye, di nav de makro-segmentkirina di asta dîwarê agir de (veqetandina beşan ji bo deverên cihêreng ên fonksiyonel ên karsaziyê), mîkro-segmentasyona li ser bingeha dîwarên pêvek virtual an nîşankirina seyrûsefera koman. (rol an karûbarên bikarhêner) ku ji hêla polîtîkayên gihîştinê ve hatine destnîşankirin.
Asta din tespîtkirina anomalî di nav û di navbera beşan de ye. Dînamîkên seyrûseferê têne analîz kirin, ku dibe ku hebûna çalakiyên xirab nîşan bide, wek şanoya torê, hewildanên êrîşên DDoS, dakêşana daneyan, mînakî, bi perçekirina pelên databasê û derxistina wan di danişînên periyodîk de ku di navberên dirêj de têne xuyang kirin. Gelek seyrûsefer di nav navenda daneyê re derbas dibe, ji ber vê yekê ji bo tespîtkirina anomaliyan, hûn hewce ne ku algorîtmayên lêgerîna pêşkeftî, û bêyî analîza pakêtê bikar bînin. Girîng e ku ne tenê nîşanên çalakiya xerab û anormal bêne nas kirin, lê di heman demê de xebata malware jî di seyrûsefera şîfrekirî de bêyî şîfrekirina wê, wekî ku di çareseriyên Cisco (Stealthwatch) de tê pêşniyar kirin, bêne nas kirin.
Sînorê paşîn parastina cîhazên dawiya tora herêmî ye: pêşkêşker û makîneyên virtual, mînakî, bi alîkariya ajanên ku li ser cîhazên paşîn (makîneyên virtual) hatine saz kirin, ku operasyonên I/O, jêbirin, kopî û çalakiyên torê analîz dikin. daneyan bişînin , li ku derê hesabên ku hewceyê hêzek mezin a hesabkirinê hewce dike têne kirin. Li wir, analîz bi karanîna algorîtmayên Daneyên Mezin têne kirin, darên mantiqa makîneyê têne çêkirin û anomalî têne nas kirin. Algorîtma li ser bingeha jimarek mezin a daneyan ku ji hêla torgilokek gerdûnî ya senzor ve hatî peyda kirin bixwe fêr dibin.
Hûn dikarin bêyî sazkirina ajanan bikin. Amûrên ewlehiya agahdariya nûjen pêdivî ye ku di asta hypervisor de bê agent û di pergalên xebitandinê de werin yek kirin.
Tedbîrên navnîşkirî xetereyên ewlehiya agahdariyê bi girîngî kêm dikin, lê dibe ku ev ji bo navendên daneyê yên ku otomasyona pêvajoyên hilberîna xeternak peyda dikin, wek nimûne, santralên nukleerî têrê neke.
Pêdiviyên birêkûpêk
Bi agahdariya ku têne hilberandin ve girêdayî ye, binesaziyên navenda daneya laşî û virtual divê hewcedariyên ewlehiyê yên cihêreng ên ku di qanûn û standardên pîşesaziyê de hatine destnîşan kirin bicîh bînin.
Zagonên weha di nav de qanûna "Li ser Daneyên Kesane" (152-FZ) û qanûna "Li ser Ewlehiya Tesîsên KII yên Federasyona Rûsyayê" (187-FZ), ku îsal ket meriyetê - dozger jixwe eleqedar bûye. di pêşveçûna pêkanîna wê de. Nakokiyên di derbarê ka navendên daneyê yên mijarên CII-ê de ne hîn jî berdewam in, lê bi îhtîmalek mezin, navendên daneyê yên ku dixwazin karûbaran ji mijarên CII re peyda bikin dê neçar bin ku daxwazên qanûnên nû bicîh bînin.
Dê ji bo navendên daneyê yên ku pergalên agahdariya hukûmetê mêvandar dikin ne hêsan be. Li gorî biryarnameya Hikûmeta Federasyona Rûsyayê ya di 11.05.2017ê Gulana 555an de jimara XNUMX, divê pirsgirêkên ewlehiya agahdariyê berî ku GIS bikeve nav xebata bazirganî were çareser kirin. Û navendek danûstendinê ya ku dixwaze GIS-ê mêvandar bike divê pêşî daxwazên rêziknameyê bicîh bîne.
Di van 30 salên çûyî de, pergalên ewlehiya navenda daneyê rêyek dirêj derbas bûne: ji pergalên parastina laşî yên hêsan û tedbîrên rêxistinî, yên ku, lêbelê, girîngiya xwe winda nekirine, heya pergalên aqilmend ên tevlihev, ku her ku diçe hêmanên îstîxbarata sûnî bikar tînin. Lê cewherê nêzîkatiyê nehatiye guhertin. Teknolojiyên herî nûjen bêyî tedbîrên rêxistinî û perwerdehiya karmendan dê we xilas neke, û kaxez dê we bêyî nermalava û çareseriyên teknîkî xilas neke. Ewlehiya navenda daneyê yek carî û ji bo her tiştî nayê dabîn kirin; ew hewldanek rojane ya domdar e ji bo destnîşankirina xetereyên pêşîn û bi berfirehî çareserkirina pirsgirêkên derketine.
Ma hûn dikarin li ser blogê çi bixwînin?
→
→
→
→
→
Aboneya me bibin -kanal da ku hûn gotara din ji bîr nekin! Em heftê du caran û tenê li ser karsaziyê dinivîsin. Em jî bi bîr tînin ku hûn dikarin çareseriyên ewr Cloud4Y.
Source: www.habr.com