د معلوماتو مرکز معلوماتو امنیت

دا هغه څه دي چې په مسکو کې د NORD-2 معلوماتو مرکز د څارنې مرکز داسې ښکاري

تاسو یو ځل بیا لوستلی دی چې د معلوماتو امنیت (IS) ډاډمن کولو لپاره کوم اقدامات ترسره کیږي. هر ځان ته درناوي لرونکی IT متخصص کولی شي په اسانۍ سره د 5-10 معلوماتو امنیت قواعد نوم کړي. Cloud4Y وړاندیز کوي چې د معلوماتو مرکزونو د معلوماتو امنیت په اړه خبرې وکړي.

کله چې د معلوماتو مرکز د معلوماتو امنیت ډاډمن کړئ، ترټولو "محفوظ" توکي دا دي:

• د معلوماتو سرچینې (ډاټا)؛
• د معلوماتو راټولولو، پروسس کولو، ذخیره کولو او لیږدولو پروسې؛
• د سیسټم کارونکي او د ساتنې پرسونل؛
• د معلوماتو زیربنا، د معلوماتو پروسس، لیږد او ښودلو لپاره د هارډویر او سافټویر وسیلو په شمول، د معلوماتو تبادلې چینلونه، د معلوماتو امنیت سیسټمونه او ودانۍ شامل دي.

د معلوماتو مرکز د مسؤلیت ساحه د چمتو شوي خدماتو ماډل پورې اړه لري (IaaS/PaaS/SaaS). دا څنګه ښکاري، لاندې انځور وګورئ:

د معلوماتو مرکز امنیت پالیسۍ ساحه د چمتو شوي خدماتو ماډل پورې اړه لري

د معلوماتو د خوندیتوب پالیسۍ جوړولو ترټولو مهمه برخه د ګواښونو او سرغړونکو ماډل جوړول دي. څه شی د معلوماتو مرکز ته ګواښ کیدی شي؟

1. د طبیعي، انسان جوړ شوي او ټولنیز طبیعت ناوړه پیښې
2. ترهګر، جنایتکار عناصر او داسې نور.
3. په عرضه کوونکو، برابرونکو، شریکانو، مشتریانو تکیه
4. ناکامۍ، ناکامۍ، ویجاړول، سافټویر او هارډویر ته زیان
5. د معلوماتو مرکز کارمندان د معلوماتو امنیت ګواښونه پلي کوي چې په قانوني ډول ورکړل شوي حقونه او واکونه کاروي (د داخلي معلوماتو امنیت سرغړونکي)
6. د ډیټا مرکز کارمندان چې د معلوماتو امنیت تهدیدونه د قانوني ورکړل شوي حقونو او واکونو څخه بهر پلي کوي ، په بیله بیا هغه ادارې چې د معلوماتو مرکز پرسونل پورې اړه نلري ، مګر د غیر مجاز لاسرسي او غیر مجاز عملونو هڅه کوي (د بهرني معلوماتو امنیت سرغړونکي)
7. د نظارت کونکي او تنظیمي چارواکو اړتیاو سره نه اطاعت ، اوسني قانون

د خطر تحلیل - د احتمالي ګواښونو پیژندل او د دوی پلي کولو پایلو اندازه کول - به د لومړیتوب دندو په سمه توګه غوره کولو کې مرسته وکړي چې د معلوماتو مرکز معلوماتو امنیت متخصصین باید حل کړي ، او د هارډویر او سافټویر پیرود لپاره بودیجه پلان کړي.

د امنیت تامین یوه دوامداره پروسه ده چې د پلان جوړولو، پلي کولو او عملیاتو، څارنې، تحلیل او د معلوماتو د امنیت د سیستم د ښه والي مرحلې پکې شاملې دي. د معلوماتو امنیت مدیریت سیسټمونو رامینځته کولو لپاره ، په نوم یادیږي "د ډیمینګ دوره".

د امنیتي پالیسیو یوه مهمه برخه د دوی د پلي کولو لپاره د پرسونل د رول او مسؤلیتونو ویش دی. پالیسۍ باید په دوامداره توګه وڅیړل شي ترڅو په قانون کې بدلونونه، نوي ګواښونه، او راپورته کیدونکي دفاع منعکس کړي. او البته، کارمندانو ته د معلوماتو امنیت اړتیاوې خبر کړئ او روزنه چمتو کړئ.

تنظیمي اقدامات

ځینې ​​​​کارپوهان د "کاغذ" امنیت په اړه شکمن دي، د اصلي شی په پام کې نیولو سره د هیک کولو هڅو په وړاندې د مقاومت لپاره عملي مهارتونه دي. په بانکونو کې د معلوماتو امنیت ډاډمن کولو کې ریښتینې تجربه برعکس وړاندیز کوي. د معلوماتو امنیت متخصصین ممکن د خطرونو پیژندلو او کمولو کې عالي مهارت ولري ، مګر که د معلوماتو مرکز پرسونل د دوی لارښوونې تعقیب نه کړي ، هرڅه به بې ګټې وي.

امنیت، د یوې قاعدې په توګه، پیسې نه راوړي، مګر یوازې خطرونه کموي. نو ځکه، دا اکثرا د یو څه ګډوډ او ثانوي په توګه چلند کیږي. او کله چې امنیتي متخصصین په غوسه شي (د دې کولو هر حق سره)، ډیری وختونه د کارمندانو او عملیاتي څانګو له رییسانو سره شخړې رامنځ ته کیږي.

د صنعت معیارونو او تنظیمي اړتیاو شتون د امنیت متخصصینو سره مرسته کوي چې د مدیریت سره په خبرو اترو کې د دوی دریځونه دفاع وکړي، او د معلوماتو امنیتي پالیسۍ، مقررات او مقررات تصویب شوي کارمندانو ته اجازه ورکوي چې هلته ټاکل شوي اړتیاوې پوره کړي، د ډیری غیر مشهورو پریکړو لپاره اساس چمتو کوي.

د ودانۍ ساتنه

کله چې د ډیټا مرکز د کولیشن ماډل په کارولو سره خدمات وړاندې کوي، د فزیکي امنیت ډاډمن کول او د پیرودونکي تجهیزاتو ته د لاسرسي کنټرول مخ په وړاندې راځي. د دې هدف لپاره ، احاطې (د تالار کټ شوي برخې) کارول کیږي ، کوم چې د پیرودونکي ویډیو نظارت لاندې دي او د معلوماتو مرکز پرسونل ته لاسرسی محدود دی.

د فزیکي امنیت سره د دولتي کمپیوټر مرکزونو کې ، د تیرې پیړۍ په پای کې شیان خراب نه و. د لاسرسي کنټرول شتون درلود ، ودانۍ ته د لاسرسي کنټرول ، حتی د کمپیوټر او ویډیو کیمرې پرته ، د اور وژونکي سیسټم - د اور په حالت کې ، فریون په اتوماتيک ډول د ماشین خونې ته خوشې شو.

نن ورځ، فزیکي امنیت حتی ښه تضمین شوی. د لاسرسي کنټرول او مدیریت سیسټمونه (ACS) هوښیار شوي او د لاسرسي محدودیت بایومیټریک میتودونه معرفي شوي.

د اور وژونکي سیسټمونه د پرسونل او تجهیزاتو لپاره خوندي شوي، چې په منځ کې یې د اور په زون کې د مخنیوی، جلا کولو، یخولو او هایپوکسیک اغیزو لپاره تاسیسات دي. د اور وژنې لازمي سیسټمونو سره سره، د معلوماتو مرکزونه ډیری وختونه د اور وژنې ابتدايي کشف سیسټم کاروي.

د بهرنیو ګواښونو څخه د معلوماتو د مرکزونو د ساتنې لپاره - اورونه، چاودنې، د ودانیو جوړښتونو سقوط، سیلابونه، کنسرونکي ګازونه - د امنیت خونې او سیفونه کارول پیل شوي، په کوم کې چې د سرور تجهیزات د نږدې ټولو بهرنیو زیان رسوونکو فاکتورونو څخه خوندي دي.

کمزوری اړیکه سړی دی

د "سمارټ" ویډیو سرویلانس سیسټمونه، د حجمیتریک تعقیب سینسرونه (اکوسټیک، انفراریډ، الټراسونک، مایکروویو)، د لاسرسي کنټرول سیسټمونو خطرونه کم کړي، مګر ټولې ستونزې یې ندي حل کړي. دا وسیلې به مرسته ونکړي ، د مثال په توګه ، کله چې هغه خلک چې په سمه توګه د معلوماتو مرکز ته د سمو وسیلو سره داخل شوي وو په یو څه "هک شوي" وو. او، لکه څنګه چې ډیری وختونه پیښیږي، یو ناڅاپي ناڅاپي به ډیرې ستونزې راولي.

د معلوماتو مرکز کار ممکن د پرسونل لخوا د سرچینو څخه د ناوړه ګټې اخیستنې له امله اغیزمن شي، د بیلګې په توګه، غیرقانوني کان کیندنې. د معلوماتو مرکز زیربنا مدیریت (DCIM) سیسټمونه پدې قضیو کې مرسته کولی شي.

پرسونل هم محافظت ته اړتیا لري، ځکه چې خلک اکثرا د محافظت سیسټم کې ترټولو زیان منونکي لینک بلل کیږي. د مسلکي مجرمینو لخوا هدفي بریدونه اکثرا د ټولنیز انجینرۍ میتودونو په کارولو سره پیل کیږي. ډیری وختونه خورا خوندي سیسټمونه خرابیږي یا د یو چا کلیک / ډاونلوډ / ترسره کولو وروسته موافقت کیږي. دا ډول خطرونه د کارکونکو د روزنې او د معلوماتو د خوندیتوب په برخه کې د نړیوالو غوره کړنو پلي کولو سره کم کیدی شي.

د انجینرۍ زیربنا ساتنه

د ډیټا مرکز فعالیت ته دودیز ګواښونه د بریښنا ناکامي او د یخولو سیسټمونو ناکامي دي. موږ لا دمخه له دې ډول ګواښونو سره عادت شوي یو او د هغوی سره چلند کول مو زده کړي دي.

یو نوی رجحان د شبکې سره وصل د "سمارټ" تجهیزاتو پراخه پیژندنه بدله شوې: کنټرول شوي UPSs، هوښیار کولنګ او وینټیلیشن سیسټمونه، مختلف کنټرولرونه او سینسرونه چې د څارنې سیسټمونو سره وصل دي. کله چې د ډیټا سنټر ګواښ ماډل رامینځته کړئ ، تاسو باید د زیربنا شبکې (او احتمالا د ډیټا مرکز اړوند IT شبکې باندې) باندې د برید احتمال هیر نکړئ. د وضعیت پیچلی کول دا حقیقت دی چې ځینې تجهیزات (د بیلګې په توګه، چلر) د معلوماتو مرکز څخه بهر لیږدول کیدی شي، ووایه، د کرایه شوي ودانۍ چت ته.

د مخابراتي چینلونو ساتنه

که چیرې د ډیټا مرکز نه یوازې د کولویشن ماډل سره سم خدمات وړاندې کړي ، نو دا به د بادل محافظت سره معامله وکړي. د چیک پوائنټ په وینا، یوازې تیر کال، په ټوله نړۍ کې 51٪ سازمانونو د دوی په بادل جوړښتونو بریدونه تجربه کړل. د DDoS بریدونه سوداګرۍ بندوي، د کوډ کولو ویروسونه د تاوان غوښتنه کوي، په بانکي سیسټمونو باندې هدفي بریدونه د اړوندو حسابونو څخه د پیسو د غلا لامل کیږي.

د بهرنۍ لاسوهنې ګواښونه د معلوماتو مرکز معلوماتو امنیت متخصصین هم اندیښمن کړي. د ډیټا مرکزونو لپاره ترټولو اړونده توزیع شوي بریدونه دي چې هدف یې د خدماتو چمتو کولو کې مداخله کول دي ، په بیله بیا د مجازی زیربنا یا ذخیره کولو سیسټمونو کې د معلوماتو د هیک کولو ، غلا یا ترمیم کولو ګواښونه.

د ډیټا مرکز بهرنۍ محیط د ساتنې لپاره، عصري سیسټمونه د ناوړه کوډ پیژندلو او بې طرفه کولو لپاره د دندو سره کارول کیږي، د غوښتنلیک کنټرول او د ګواښ استخباراتو فعال محافظت ټیکنالوژۍ واردولو وړتیا. په ځینو مواردو کې، د IPS (د مداخلې مخنیوي) فعالیت سره سیسټمونه د خوندي چاپیریال پیرامیټونو ته د لاسلیک شوي اتوماتیک تنظیم سره ځای په ځای شوي.

د DDoS بریدونو په وړاندې د ساتنې لپاره، روسی شرکتونه، د یوې قاعدې په توګه، بهرني ځانګړي خدمتونه کاروي چې ټرافيک نورو نوډونو ته واړوي او په بادل کې یې فلټر کوي. د آپریټر اړخ محافظت د پیرودونکي اړخ په پرتله خورا مؤثر دی ، او د معلوماتو مرکزونه د خدماتو پلور لپاره د مینځګړیتوب په توګه عمل کوي.

د ډیټا مرکزونو کې داخلي DDoS بریدونه هم ممکن دي: یو برید کونکی د یوې شرکت ضعیف خوندي شوي سرورونو ته ننوځي چې خپل تجهیزات یې د کولیکیشن ماډل په کارولو سره کوربه کوي ، او له هغه ځایه د داخلي شبکې له لارې د دې ډیټا مرکز نورو پیرودونکو باندې د خدماتو برید څخه انکار ترسره کوي. .

په مجازی چاپیریال تمرکز وکړئ

دا اړینه ده چې د خوندي شوي څیز ځانګړتیاوې په پام کې ونیسئ - د مجازی کولو وسیلو کارول، د معلوماتي ټیکنالوژۍ په زیربنا کې د بدلونونو متحرکات، د خدماتو یو بل سره نښلول، کله چې په یو پیرودونکي بریالي برید کولی شي د ګاونډیو امنیت ګواښي. د مثال په توګه ، د فرنټ اینډ ډاکر هیک کولو سره پداسې حال کې چې په کوبرنیټس میشته PaaS کې کار کوي ، برید کونکی کولی شي سمدلاسه ټول پټنوم معلومات ترلاسه کړي او حتی د آرکیسټریشن سیسټم ته لاسرسی ومومي.

د خدماتو ماډل لاندې چمتو شوي محصولات د لوړې درجې اتومات لري. د دې لپاره چې په سوداګرۍ کې مداخله ونه شي، د معلوماتو خوندیتوب اقدامات باید د اتوماتیک او افقی پیمانه لږې درجې کې پلي شي. اندازه کول باید د معلوماتو امنیت په ټولو کچو کې تضمین شي ، پشمول د لاسرسي کنټرول اتومات کول او د لاسرسي کیلي گردش. یو ځانګړی دنده د فعال ماډلونو اندازه کول دي چې د شبکې ترافیک معاینه کوي.

د مثال په توګه ، په غوښتنلیک کې د شبکې ترافیک فلټر کول ، په خورا مجازی ډیټا مرکزونو کې د شبکې او سیشن کچه باید د هایپروایسر شبکې ماډلونو په کچه ترسره شي (د مثال په توګه ، د VMware ویشل شوي فایر وال) یا د خدماتو زنځیرونو رامینځته کولو سره (د پالو الټو شبکې مجازی فایر وال) .

که چیرې د کمپیوټري سرچینو د مجازی کولو په کچه کې ضعف شتون ولري ، نو د پلیټ فارم په کچه د معلوماتو جامع امنیت سیسټم رامینځته کولو هڅې به بې اغیزې وي.

د معلوماتو په مرکز کې د معلوماتو د ساتنې کچه

د ساتنې لپاره عمومي تګلاره د مدغم ، څو کچې معلوماتو امنیت سیسټمونو کارول دي ، پشمول د اور وژنې په کچه د میکرو سیګمینټیشن (د سوداګرۍ مختلف فعال برخو لپاره د برخو تخصیص) ، د مجازی فایر والونو یا د ګروپونو ټګ کولو ترافیک پراساس مایکرو سیګمینټیشن. (د کارونکي رول یا خدمات) د لاسرسي پالیسیو لخوا تعریف شوي.

بله کچه د برخو دننه او تر مینځ د ګډوډۍ پیژندل دي. د ترافیک متحرکات تحلیل شوي ، کوم چې ممکن د ناوړه فعالیتونو شتون په ګوته کړي ، لکه د شبکې سکین کول ، د DDoS بریدونو هڅې ، د ډیټا ډاونلوډ کول ، د مثال په توګه ، د ډیټابیس فایلونو ټوټې کول او په اوږده وقفه کې د وخت په تیریدو سره په غونډو کې د دوی تولید کول. د ټرافیک خورا لوی مقدار د ډیټا مرکز څخه تیریږي ، نو د ګډوډۍ پیژندلو لپاره ، تاسو اړتیا لرئ د پرمختللي لټون الګوریتمونو کارولو ته اړتیا ولرئ ، او د پیکټ تحلیل پرته. دا مهمه ده چې نه یوازې د ناوړه او نامناسب فعالیت نښې پیژندل شوي ، بلکه د مالویر عملیات حتی په کوډ شوي ترافیک کې هم پرته له دې چې کوډ کړي ، لکه څنګه چې په سیسکو حلونو (Stealthwatch) کې وړاندیز شوی.

وروستی سرحد د محلي شبکې د پای وسیلو ساتنه ده: سرورونه او مجازی ماشینونه، د بیلګې په توګه، د اجنټانو په مرسته چې په پای وسیلو کې نصب شوي (مجازی ماشینونه)، کوم چې د I/O عملیات، حذف کول، کاپي او د شبکې فعالیتونه تحلیلوي، ته ډاټا لیږدوي وريځ، چیرې چې محاسبې لوی کمپیوټري ځواک ته اړتیا لري ترسره کیږي. هلته، تحلیل د لوی ډیټا الګوریتمونو په کارولو سره ترسره کیږي، د ماشین منطق ونې جوړیږي او ګډوډي پیژندل کیږي. الګوریتمونه د سینسرونو نړیوالې شبکې لخوا چمتو شوي ډیری ډیټا پراساس پخپله زده کړه ده.

تاسو کولی شئ د ایجنټانو نصبولو پرته ترسره کړئ. د معلوماتو عصري امنیتي وسیلې باید بې اجنټ وي او د هایپروایزر په کچه په عملیاتي سیسټمونو کې مدغم شي.
لیست شوي اقدامات د پام وړ د معلوماتو امنیت خطرونه کموي، مګر دا ممکن د ډیټا مرکزونو لپاره کافي نه وي چې د لوړ خطر تولید پروسې اتومات چمتو کوي، د بیلګې په توګه، د اټومي بریښنا فابریکې.

تنظیمي اړتیاوې

د پروسس شوي معلوماتو پورې اړه لري، فزیکي او مجازی ډیټا مرکز زیربناوې باید مختلف امنیتي اړتیاوې پوره کړي چې په قوانینو او صنعت معیارونو کې ټاکل شوي.

په دې قوانینو کې د "شخصي معلوماتو په اړه" قانون (152-FZ) او "د روسیې فدراسیون د KII تاسیساتو امنیت" قانون (187-FZ) شامل دي، چې سږکال نافذ شوی - د څارنوالۍ دفتر لا دمخه علاقه لري. د هغې د پلي کولو په پرمختګ کې. د دې په اړه شخړې چې ایا د معلوماتو مرکزونه د CII مضامینو پورې اړه لري لاهم دوام لري، مګر ډیری احتمال، د معلوماتو مرکزونه چې غواړي د CII مضامینو ته خدمات وړاندې کړي باید د نوي قانون اړتیاوې پوره کړي.

دا به د معلوماتو مرکزونو لپاره اسانه نه وي چې د حکومتي معلوماتو سیسټمونو کوربه وي. د 11.05.2017 کال د می 555 نیټې د XNUMX شمیرې د روسیې فدراسیون د حکومت د فرمان له مخې، د معلوماتو امنیت مسلې باید مخکې له دې چې د GIS تجارتي عملیاتو ته واچول شي حل شي. او د معلوماتو مرکز چې غواړي د GIS کوربه توب وکړي باید لومړی تنظیمي اړتیاوې پوره کړي.

په تیرو 30 کلونو کې ، د معلوماتو مرکز امنیت سیسټمونو اوږده لاره موندلې: د ساده فزیکي محافظت سیسټمونو او تنظیمي اقداماتو څخه ، کوم چې په هرصورت ، پیچلي هوښیار سیسټمونو ته خپل تړاو له لاسه نه ورکوي ، کوم چې په زیاتیدونکي ډول د مصنوعي استخباراتو عناصر کاروي. خو د روش اصل نه دی بدل شوی. خورا عصري ټیکنالوژي به تاسو د تنظیمي اقداماتو او کارمندانو روزنې پرته ونه سپموي ، او کاغذي کار به تاسو د سافټویر او تخنیکي حلونو پرته ونه سپموي. د ډیټا مرکز امنیت یو ځل او د تل لپاره نشي تضمین کیدی؛ دا د لومړیتوب ګواښونو پیژندلو او د راپورته کیدونکو ستونزو په هر اړخیزه توګه حل کولو لپاره دوامداره ورځنۍ هڅې دي.

تاسو په بلاګ کې نور څه لوستلی شئ؟ Cloud4Y

→ په GNU/Linux کې د سر ترتیب کول
→ پینټیسټران د سایبر امنیت په سر کې دي
→ د مصنوعي استخباراتو لاره د یو په زړه پوري نظر څخه ساینسي صنعت ته
→ په کلاوډ بیک اپ کې د خوندي کولو 4 لارې
→ د مټ کیسه

زموږ سره ګډون وکړئ Telegram- چینل، ترڅو راتلونکې مقاله له لاسه ورنکړي! موږ په اونۍ کې له دوه ځله څخه ډیر نه لیکو او یوازې په سوداګرۍ کې. موږ تاسو ته هم یادونه کوو چې تاسو کولی شئ د ازموینې لپاره وړیا کلاوډ حلونه Cloud4Y.

سرچینه: www.habr.com