CIA Kolmio ja Sen reaalimaailman Sovellus

Mikä on CIA-triad?

tietoturva perustuu kolmeen pääperiaatteeseen: luottamuksellisuuteen, eheyteen ja saatavuuteen (CIA). Ympäristö -, Sovellus -, asiayhteys-tai käyttötapauksesta riippuen yksi näistä periaatteista voi olla muita tärkeämpi., Esimerkiksi rahoituslaitos, tiedon luottamuksellisuus on ensiarvoisen tärkeää, niin se olisi todennäköisesti salata mitään luokiteltu asiakirja on sähköisesti siirtää, jotta voidaan estää luvaton ihmiset lukee sen sisällön. Toisaalta, organisaatiot, kuten internet-markkinapaikat olisi vakavasti vaurioitunut, jos heidän verkostonsa olivat poissa pitkään, joten he voivat keskittyä strategioita, joilla varmistetaan korkea käytettävyys yli huolia salattuja tietoja.,

Luottamuksellisuus

Luottamuksellisuus on huolissaan estää luvattoman pääsyn arkaluonteisia tietoja. Pääsy voi olla tarkoituksellista, kuten tunkeutuja murtautuu verkkoon ja lukea tietoja, tai se voi olla tahatonta, koska huolimattomuutta tai epäpätevyyttä yksilöiden tietojen käsittelystä. Kaksi tärkeintä tapaa varmistaa luottamuksellisuus ovat salaus ja kulunvalvonta.,

Salaus

Salaus auttaa organisaatiota vastaamaan tarpeeseen turvata tiedot sekä onnettomuuksista ilmoittaminen ja sisäinen ja ulkoinen hyökkäys yritykset. Kryptografisen järjestelmän tehokkuutta luvattoman salauksen estämisessä kutsutaan sen vahvuudeksi. Vahvaa kryptografista järjestelmää on vaikea murtaa. Vahvuus on myös ilmaistava työn tekijä, joka on arvio siitä, kuinka paljon aikaa ja vaivaa, että olisi tarpeen rikkoa järjestelmän.,

järjestelmää pidetään heikkona, jos se sallii heikot näppäimet, sen suunnittelussa on puutteita tai se puretaan helposti. Monet nykyisin käytössä olevat järjestelmät ovat enemmän kuin riittäviä liike-ja henkilökohtaiseen käyttöön, mutta ne eivät riitä arkaluonteisiin sotilaallisiin tai valtiollisiin sovelluksiin. Kryptografiassa on symmetrisiä ja epäsymmetrisiä algoritmeja.

Symmetrisiä Algoritmeja

Symmetrinen algoritmit vaativat sekä lähettäjän ja vastaanottajan salattu viesti on sama avain ja algoritmeja., Symmetrisiä algoritmeja tuottaa symmetrisen avaimen (joskus kutsutaan salaisen avaimen tai yksityinen avain), jota on suojeltava; jos avain on kadonnut tai varastettu, turvallisuus-järjestelmä on vaarantunut. Tässä muutamia symmetristen algoritmien yhteisiä standardeja:

  • tietojen salausstandardi (DES). DES on käytetty 1970-luvun puolivälistä lähtien. Vuosia, se oli ensisijainen standardi, jota käytetään hallituksen ja teollisuuden, mutta se on nyt pidetään epävarma, koska sen pieni avain koko — se tuottaa 64-bittinen avain, mutta kahdeksan bittiä ovat vain virheenkorjaus ja vain 56 bittiä ovat todellinen avain., Nyt AES on ensisijainen standardi.
  • Triple-DES (3DES). 3DES on tekninen päivitys DES. 3DES on edelleen käytössä, vaikka AES on ensisijainen valinta hallitus sovelluksia. 3DES on huomattavasti vaikeampi rikkoa kuin monet muut järjestelmät, ja se on turvallisempi kuin DES. Se nostaa avaimen pituuden 168 bittiin (käyttäen kolmea 56-bittistä DES-avainta).
  • Advanced Encryption Standard (AES). AES on korvannut DES: n Yhdysvaltain valtion virastojen käyttämänä standardina. Se käyttää Rijndael-algoritmia, joka on nimetty sen kehittäjien, Joan Daemen ja Vincent Rijmen.., AES tukee 128, 192 ja 256 bittiä, joiden oletusarvo on 128 bittiä.
  • Ronin salakirjoitus tai Ronin koodi (RC). RC on RSA Laboratoriesin tuottama salausperhe, joka on nimetty tekijänsä Ron Rivestin mukaan. Nykyiset tasot ovat RC4, RC5 ja RC6. RC5 käyttää jopa 2 048 bitin avainta; sitä pidetään vahvana järjestelmänä. RC4 on suosittu langattoman ja WEP / WPA-salauksen kanssa. Se on streaming nolla, joka toimii avain koot välillä 40 ja 2,048 bittiä, ja sitä käytetään SSL-ja TLS. Se on myös suosittu apuohjelmia; he käyttävät sitä lataamiseen torrent tiedostoja., Monet palveluntarjoajat rajoittavat ladata ne tiedostot, mutta käyttää RC4 hämätä ylä-ja virta vaikeuttaa palvelun tarjoaja ymmärtää, että se on torrent-tiedostoja, jotka siirretään noin.
  • Blowfish ja Twofish. Blowfish on Bruce Schneierin johtaman tiimin keksimä salausjärjestelmä, joka suorittaa 64-bittistä lohkosiipuria erittäin nopeilla nopeuksilla. Se on symmetrinen lohkokaavio, joka voi käyttää muuttujan pituisia avaimia (32 bittistä 448 bittiin). Twofish on melko samanlainen, mutta se toimii 128-bittisillä palikoilla. Sen erityispiirre on, että sillä on monimutkainen avainaikataulu.,
  • Kansainvälinen tiedon salausalgoritmi (IDEA). IDEA on sveitsiläisen konsortion kehittämä ja käyttää 128-bittistä avainta. Tämä tuote on samanlainen nopeus ja kyky DES, mutta se on turvallisempi. Ideaa käytetään Pretty Good Privacy (PGP), Public domain-salausjärjestelmä, jota monet ihmiset käyttävät sähköpostiin.
  • One-time pads. One-time pads ovat ainoat todella täysin turvalliset kryptografiset toteutukset. Ne ovat niin turvallisia kahdesta syystä. Ensinnäkin he käyttävät avainta, joka on yhtä pitkä kuin pelkkä tekstiviesti. Tämä tarkoittaa, että hyökkääjän käyttöön tarkoitetussa avainsovelluksessa ei ole kaavaa., Toiseksi kertakäyttöisiä pad-avaimia käytetään vain kerran, minkä jälkeen ne hylätään. Joten vaikka voisit rikkoa yhden pad-salakirjoituksen, samaa avainta ei enää koskaan käytettäisi, joten tieto avaimesta olisi hyödytöntä.

epäsymmetriset algoritmit

epäsymmetriset algoritmit käyttävät kahta avainta: julkista avainta ja yksityistä avainta. Lähettäjä käyttää julkista avainta viestin salaamiseen, ja vastaanottaja käyttää yksityistä avainta salauksen purkamiseen. Julkinen avain voi olla todella julkinen tai se voi olla salaisuus osapuolten välillä. Yksityinen avain pidetään kuitenkin yksityisenä; vain omistaja (vastaanottaja) tietää sen., Jos joku haluaa lähettää Sinulle salatun viestin, hän voi käyttää julkista avaintasi viestin salaamiseen ja lähettää sinulle viestin. Voit käyttää yksityistä avaintasi viestin purkamiseen. Jos molemmat avaimet tulevat kolmannen osapuolen saataville, salausjärjestelmä ei suojaa viestin yksityisyyttä. Näiden järjestelmien todellinen ”taika” on se, että julkista avainta ei voi käyttää viestin purkamiseen. Jos Bob lähettää Alicelle viestin, joka on salattu Alicen julkisella avaimella, sillä ei ole väliä, onko kaikilla muilla maapallolla Alicen julkinen avain, sillä kyseinen avain ei pysty purkamaan viestiä., Tässä muutamia yleisiä standardeja epäsymmetrisille algoritmeille:

  • RSA. RSA on nimetty keksijöidensä Ron Rivestin, Adi Shamirin ja Leonard Adlemanin mukaan. RSA-algoritmi on varhainen julkisen avaimen salausjärjestelmä, joka käyttää suuria kokonaislukuja prosessin pohjana. Se on laajalti toteutettu, ja siitä on tullut de facto-standardi. RSA toimii sekä salauksella että digitaalisilla allekirjoituksilla. RSA: ta käytetään monissa ympäristöissä, mukaan lukien SSL (Secure Sockets Layer), ja sitä voidaan käyttää avainten vaihtoon.
  • Diffie-Hellman., Whitfield Diffie ja Martin Hellman pidetään perustajat julkisen/yksityisen avaimen käsite. Niiden Diffie-Hellman-algoritmia käytetään ensisijaisesti yhteisen salaisen avaimen luomiseen julkisiin verkkoihin. Prosessia ei käytetä viestien salaamiseen tai salauksen purkamiseen; sitä käytetään pelkästään symmetrisen avaimen luomiseen kahden osapuolen välille.
  • elliptinen Käyräsalaus (ETY). ECC tarjoaa RSA: n kaltaisia toimintoja, mutta käyttää pienempiä avainkokoja saadakseen saman turvallisuustason., ECC-salausjärjestelmät perustuvat ajatukseen käyttää pisteitä käyrässä yhdistettynä pisteeseen äärettömyydessä ja vaikeuteen ratkaista diskreettejä logaritmiongelmia.

sisäänpääsy

Salaus on yksi tapa varmistaa luottamuksellisuus; toinen menetelmä on kulunvalvonta. Kulunvalvonnassa on useita lähestymistapoja, jotka auttavat luottamuksellisuuteen, joista jokaisella on omat vahvuutensa ja heikkoutensa:

  • pakollinen kulunvalvonta (MAC). MAC-ympäristössä kaikki käyttöoikeudet on määritelty ennalta., Käyttäjät eivät voi jakaa tietoja, elleivät järjestelmänvalvojat ole vahvistaneet heidän oikeuksiaan jakaa niitä. Näin ollen hallintovirkamiesten on tehtävä näihin oikeuksiin tarvittavat muutokset. Tällä menettelyllä pannaan täytäntöön jäykkä turvallisuusmalli. Sitä pidetään kuitenkin myös turvallisimpana kyberturvallisuusmallina.
  • harkinnanvarainen kulunvalvonta (DAC). DAC-mallissa käyttäjät voivat jakaa tietoa dynaamisesti muiden käyttäjien kanssa. Menetelmä mahdollistaa joustavamman ympäristön, mutta se lisää riskiä luvaton paljastaminen tietoa., Ylläpitäjät on vaikeaa varmistaa, että vain asianmukaiset käyttäjät voivat käyttää tietoja.
  • Rooliperusteinen kulunvalvonta (RBAC). Rooliperusteinen kulunvalvonta toteuttaa kulunvalvontaa, joka perustuu työtehtävään tai vastuuseen. Jokaisella työntekijällä on yksi tai useampi tehtävä, jotka mahdollistavat pääsyn tiettyihin tietoihin. Jos henkilö siirtyy roolista toiseen, pääsyä edelliselle roolille ei enää ole. RBAC-mallit tarjoavat enemmän joustavuutta kuin MAC-malli ja vähemmän joustavuutta kuin DAC-malli., Niiden etuna on kuitenkin se, että ne perustuvat tiukasti työtehtäviin yksilöllisten tarpeiden sijaan.
  • sääntöpohjainen kulunvalvonta (RBAC). Sääntöpohjainen kulunvalvonta käyttää esiasetettujen tietoturvakäytäntöjen asetuksia tehdäkseen päätöksiä pääsystä. Näitä sääntöjä voidaan perustaa:
    • Kieltää kaikki, mutta ne, jotka erityisesti näkyvät luettelossa (an avulla access list)
    • Kieltää vain ne, jotka erityisesti näkyvät luettelossa (todellinen deny access list)

– Merkintöjä lista voi olla käyttäjätunnukset, IP-osoitteista, isäntänimiä tai jopa verkkotunnuksia., Sääntöpohjaisia malleja käytetään usein yhdessä roolipohjaisten mallien kanssa turvallisuuden ja joustavuuden parhaan yhdistelmän saavuttamiseksi.

  • Attribuuttipohjainen kulunvalvonta (ABAC). ABAC on NIST 800-162: ssa määritelty suhteellisen uusi kulunvalvontamenetelmä, Attribuuttipohjainen kontrollin määritelmä ja näkökohdat., Se on looginen access control-menetelmää, jossa lupaa tehdä joukko-operaatioita määritetään arvioimalla liittyvät ominaisuudet subjekti, objekti, pyydetään toimintaa, ja, joissakin tapauksissa, ympäristöolosuhteet vastaan turvallisuuspolitiikan, säännöt ja suhteet, jotka kuvaavat sallitun toiminnan tietyn joukon ominaisuuksia.
  • älykortteja käytetään yleensä kulunvalvontaan ja tietoturvaan. Itse kortissa on yleensä pieni määrä muistia, jolla voi tallentaa käyttöoikeuksia ja käyttää tietoja.,
  • turvallisuus token oli alun perin laite vaaditaan saada, kuten langaton keycard tai avaimenperän. Nykyään on myös ohjelmistototeutuksia tokeneista. Poleteissa on usein digitaalinen varmenne, jota käytetään käyttäjän todentamiseen.,

Rehellisyys

Rehellisyys on kolme maalia, jotka auttavat saavuttamaan tietoturva:

  • Estää muuttaminen tietoja luvattomilta käyttäjiltä
  • Estää luvaton tai tahaton muuttaminen tietoja valtuutetuille käyttäjille
  • Säilyttää sisäinen ja ulkoinen johdonmukaisuus:
    • Sisäinen johdonmukaisuus — Varmistaa, että data on sisäisesti johdonmukainen., Esimerkiksi organisaation tietokannassa organisaation omistamien kohteiden kokonaismäärän on oltava yhtä suuri kuin kunkin organisaation osan hallussa olevien tietokannassa olevien samojen kohteiden summa.
    • ulkoinen johdonmukaisuus-varmistaa, että tietokantaan tallennetut tiedot ovat yhdenmukaisia reaalimaailman kanssa. Esimerkiksi hyllyllä fyysisesti istuvien tavaroiden kokonaismäärän on vastattava tietokannassa ilmoitettujen tavaroiden kokonaismäärää.,

erilaiset salausmenetelmät voivat auttaa varmistamaan eheyden tarjoamalla varmuuden siitä, ettei viestiä ole muutettu lähetyksen aikana. Muutos voisi tehdä viestistä käsittämättömän tai, mikä vielä pahempaa, epätarkan. Kuvitelkaa vakavat seuraukset, jos potilastietojen tai lääkemääräysten muutoksia ei löydettäisi. Jos viestiä peukaloidaan, salausjärjestelmässä pitäisi olla mekanismi, joka osoittaa, että viesti on vioittunut tai muuttunut.

Hajautus

Eheys voidaan todentaa käyttämällä hajautinalgoritmi., Pohjimmiltaan viestin hasis syntyy ja liitetään viestin loppuun. Vastaanottava osapuoli laskee saamansa viestin hasiksen ja vertaa sitä saamaansa hasikseen. Jos jokin muuttuu transitossa, hashit eivät täsmää.

Hashing on monissa tilanteissa hyväksyttävä eheystarkistus. Jos sieppaaja kuitenkin haluaa muuttaa viestiä tarkoituksellisesti eikä viestiä ole salattu, hasis on tehoton., Tunnistava osapuoli voi esimerkiksi nähdä, että siellä on 160-bittinen hash kiinnitetty viesti, joka viittaa siihen, että se on luotu käyttämällä SHA-1 (jota käsitellään jäljempänä). Sitten sieppaaja voi yksinkertaisesti muuttaa viestiä haluamallaan tavalla, poistaa alkuperäisen SHA-1 hash: n ja laskea hash: n uudelleen muutetusta viestistä.

Hajautus Algoritmeja

hash käytetään tallentaa tiedot ovat hyvin erilaisia tiivisteitä. Salaus, hash-funktio täytyy olla kolme ominaisuutta:

  1. Se on yksisuuntainen. Kun hash jotain, et voi purkaa sitä.,
  2. muuttujan pituinen tulo tuottaa kiinteän pituisen ulostulon. Olipa hasista kaksi merkkiä tai kaksi miljoonaa, hasiksen koko on sama.
  3. algoritmissa pitää olla vain vähän tai ei lainkaan törmäyksiä. Kahden eri panoksen Hashing ei anna samaa ulostuloa.

Tässä on hajautus algoritmit ja niihin liittyvät käsitteet, sinun pitäisi olla perehtynyt:

  • Secure Hash Algorithm (SHA). Alun perin nimeltään Keccak, SHA: n suunnittelivat Guido Bertoni, Joan Daimen, Michaël Peeters ja Gilles Van Assche., SHA-1 on yksisuuntainen hash, joka tuottaa 160-bittisen hash-arvo, joka voidaan käyttää salaus protokolla. Vuonna 2016 havaittiin ongelmia SHA-1: n kanssa; nyt suositellaan SHA-2: n käyttöä sen sijaan. SHA-2 voi tuottaa 224, 256, 334 ja 512 bittiviivoja. Tiedossa ei ole ongelmia SHA-2, joten se on edelleen yleisimmin käytetty ja suositeltava hajautusalgoritmin. SHA-3 julkaistiin vuonna 2012, ja se on laajalti sovellettavissa, mutta ei laajalti käytetty. Tämä ei johdu SHA-3: n ongelmista, vaan siitä, että SHA-2 on täysin kunnossa.
  • Message Digest Algorithm (MD)., MD on toinen yksisuuntainen hash, joka luo hash-arvon, jota käytetään eheyden ylläpitämiseen. MD: stä on useita versioita; yleisimmät ovat MD5, MD4 ja MD2. MD5 on algoritmin uusin versio; se tuottaa 128-bittistä hasista. Vaikka se on MD-edeltäjiään monimutkaisempi ja tarjoaa paremman turvallisuuden, sillä ei ole vahvaa törmäyskestävyyttä, joten sitä ei enää suositella käytettäväksi. Suositeltavat vaihtoehdot ovat SHA (2 tai 3).
  • RACE Integrity Primitives Evaluation Message Digest (RIPEMD). RIPEMD perustui MD4: ään., Sen turvallisuuteen liittyi kysymyksiä, ja sen on korvannut RIPEMD-160, joka käyttää 160 bittiä. On olemassa myös versioita, jotka käyttävät 256 ja 320 bittiä (RIPEMD-256 ja RIPEMD-320, vastaavasti).
  • GOST on vanhassa Neuvostoliitossa kehitetty symmetrinen salakirjoitus, joka on muunneltu toimimaan hash-funktiona. GOST käsittelee vaihtelevan pituisen viestin kiinteämittaiseksi 256 bitin ulostuloksi.
  • ennen Windows NT: n julkaisua Microsoftin käyttöjärjestelmät käyttivät Lanman-protokollaa tunnistautumiseen., Toimiessaan vain todentamisprotokollana LANMAN käytti lm Hash: ia ja kahta DES-avainta. Sen korvasi NT LAN Manager (NTLM) Windows NT: n julkaisulla.
  • Microsoft korvasi LANMAN-protokollan NTLM: llä (NT LAN Manager) Windows NT: n julkaisulla. NTLM käyttää MD4 / MD5-tiivistysalgoritmeja. Useita versioita tämä pöytäkirja on olemassa (NTLMv1-ja NTLMv2), ja se on edelleen yleisessä käytössä huolimatta siitä, että Microsoft on nimetty Kerberos sen ensisijainen authentication protocol., Vaikka LANMAN ja NTLM molemmat työllistävät hashing, niitä käytetään ensisijaisesti todentamiseen.
  • yleinen eheyden tarkastusmenetelmä sisältää viestin tunnistuskoodin (MAC) lisäämisen viestiin. MAC lasketaan käyttämällä symmetristä salakirjoitusta cipher-lohkoketjutilassa (CBC), jolloin tuotetaan vain viimeinen lohko. Pohjimmiltaan, ulostulo CBC Käytetään kuin lähtö hashing algoritmi. Toisin kuin hashing-algoritmi, salakirjoitus vaatii kuitenkin symmetrisen avaimen, joka vaihdetaan osapuolten välillä etukäteen.,
  • HMAC (hash-based message authentication code) käyttää hajautinalgoritmi yhdessä symmetrisen avaimen. Näin esimerkiksi kaksi osapuolta suostuu käyttämään MD5-hasista. Kun hash on laskettu, se on yksinomaan tai ’ D (XOR) digest, ja tämä tulosarvo on HMAC.

lähtötilanne

lähtötilanteen määrittäminen (kokoonpano, lähtötilanne, järjestelmien lähtötilanne, aktiivisuuden lähtötilanne) on tärkeä turvallisen verkottumisen strategia. Pohjimmiltaan löydät lähtötason, jonka pidät turvallisena tietylle järjestelmälle, tietokoneelle, sovellukselle tai palvelulle., Ehdottomasti ehdoton turvallisuus ei ole mahdollista — tavoite on riittävän varma, perustuen organisaatiosi turvallisuustarpeisiin ja riskinottohaluun. Kaikkia muutoksia voidaan verrata lähtötilanteeseen, jotta nähdään, onko muutos riittävän turvallinen. Kun lähtötilanne on määritelty, seuraava vaihe on seurata järjestelmää sen varmistamiseksi, ettei se ole poikennut kyseisestä lähtötilanteesta. Tämä prosessi määritellään eheyden mittaamiseksi.

Saatavuus

Saatavuus varmistaa, että järjestelmä on valtuutettujen käyttäjien on oikea-aikainen ja jatkuva mahdollisuus käyttää järjestelmän tietoja ja verkkoon., Tässä ovat käytettävyyden saavuttamismenetelmät:

  • Jakojako. Yleisesti tunnettu kuormituksen tasapainotus, kauppa jakaminen mahdollistaa jakaa kuorman (tiedoston pyyntöjä, tietojen reititys ja niin edelleen), niin ei ole laite on liian rasittaa.
  • korkea saatavuus (HA). Korkea saatavuus tarkoittaa toimenpiteitä, joilla palvelut ja tietojärjestelmät pidetään toimintakuntoisina sähkökatkon aikana. HA: n tavoitteena on usein saada keskeiset palvelut käyttöön 99,999 prosenttia ajasta (ns., HA-strategioihin kuuluvat irtisanomiset ja epäonnistumiset, joita käsitellään alla.
  • redundanssi. Redundanssilla tarkoitetaan järjestelmiä, jotka joko kahdentuvat tai pettävät muihin järjestelmiin toimintahäiriön sattuessa. Failover tarkoittaa järjestelmän rekonstruointiprosessia tai siirtymistä muihin järjestelmiin, kun vika havaitaan. Palvelimen tapauksessa palvelin siirtyy tarpeettomalle palvelimelle, kun vika havaitaan. Tämä strategia mahdollistaa palvelun jatkuvan keskeytyksettä, kunnes ensisijainen palvelin voidaan palauttaa., Kun kyseessä on verkko, tämä tarkoittaa, että käsittely siirtyy toiseen verkkoon polku, jos verkon vika ensisijainen polku.
    Failover-järjestelmät voivat olla kalliita toteuttaa. Suurten yritysten verkko-tai e-kaupankäynnin ympäristö, failover saattaa aiheuttaa kytkentä kaikki käsittely etäältä, kunnes ensisijainen laitos on toiminnassa. Ensisijainen sivusto ja etäsivusto synkronoisivat tiedot varmistaakseen, että tiedot ovat mahdollisimman ajan tasalla.,
    Monet käyttöjärjestelmiä, kuten Linux, Windows Server ja Novell Open Enterprise Server, pystyvät klusterointi antaa failover valmiuksia. Klusterointi liittyy useita järjestelmiä kytketty yhteen yhteistoiminnallisesti (joka tarjoaa kuormituksen tasapainotus) ja verkotettu siten, että jos jokin järjestelmät epäonnistuvat, muut järjestelmät, ottaa löysät pois ja jatkaa toimintaansa. Palvelinklusterin kokonaiskapasiteetti voi laskea, mutta verkko tai palvelu pysyy toiminnassa., Arvostaa kauneutta klusterointi, harkita sitä, että tämä on teknologiaa, joka Google on rakennettu. Ei vain klusterointi antaa sinulle mahdollisuuden irtisanomiseen, mutta se tarjoaa myös mahdollisuuden skaalata kysynnän kasvaessa.
    useimmilla Internet-palveluntarjoajilla ja verkon tarjoajilla on laaja sisäinen vikaantumisvalmius tarjota asiakkaille korkea saatavuus. Yritysasiakkaat ja työntekijät, jotka eivät pääse tietoihin tai palveluihin, menettävät yleensä luottamuksensa.
    luotettavuuteen ja luotettavuuteen liittyvä vaihtokauppa on tietysti kustannus: Varajärjestelmistä voi tulla kohtuuttoman kalliita., Sinun täytyy tutkia tarpeitasi huolellisesti, onko järjestelmä vaatii tätä kykyä. Jos esimerkiksi ympäristösi vaatii korkeaa saatavuustasoa, palvelimesi pitäisi klusteroida. Näin verkon muut palvelimet voivat ottaa kuorman vastaan, jos jokin klusterin palvelimista epäonnistuu.
  • Vikatoleranssi. Vikatoleranssi on järjestelmän kyky ylläpitää toimintaa komponenttivian sattuessa. Vikasietoiset järjestelmät voivat jatkaa toimintaansa, vaikka kriittinen komponentti, kuten levyasema, on epäonnistunut., Valmiuksiin kuuluu ylisuunnittelujärjestelmiä lisäämällä turhia osia ja osajärjestelmiä seisokkiriskin vähentämiseksi. Esimerkiksi vikatoleranssi voidaan rakentaa palvelimelle lisäämällä toinen virtalähde, toinen CPU ja muut keskeiset komponentit. Useimmat valmistajat (kuten HP, Sun ja IBM) tarjoavat vikasietoiset palvelimet; he tyypillisesti on useita prosessorit, jotka automaattisesti fail over, jos ilmenee toimintahäiriö.
    vikatoleranssissa on kaksi keskeistä komponenttia, joita ei pidä koskaan unohtaa: varaosat ja sähköteho., Varaosien pitäisi aina olla helposti saatavilla minkä tahansa järjestelmäkriittisen komponentin korjaamiseen, jos se epäonnistuu. Redundanssistrategia ”N + 1” tarkoittaa sitä, että sinulla on tarvittava määrä komponentteja sekä yksi kytkemään mihin tahansa järjestelmään, jos sitä tarvitaan. Koska tietokonejärjestelmät eivät voi toimia ilman sähkövoimaa, on välttämätöntä, että vikatoleranssi rakennetaan myös sähköinfrastruktuuriin. Jokaisella palvelimella ja työasemalla on oltava vähintään keskeytymätön virransyöttö (UPS), jossa on ylijännitesuoja., Että UPS pitäisi olla mitoitettu ladata sen odotetaan kuljettaa sähkökatkoksen sattuessa (factoring tietokone, monitori ja muut kytketyt laitteet) ja tarkistettava säännöllisesti osana ennaltaehkäisevä huolto rutiini, varmista, että akku on toimintakunnossa. Sinun täytyy vaihtaa akku muutaman vuoden välein pitää YLÄ-toiminnassa.
    UPS: n avulla voit jatkaa toimintaansa ilman virtaa vain lyhyen ajan. Vikatoleranssiin pidemmän ajan tilanteissa tarvitaan varageneraattori., Varageneraattorit toimivat bensiinillä, propaanilla, maakaasulla tai dieselillä ja tuottavat tasaiseen tehoon tarvittavaa sähköä. Vaikka jotkut varageneraattorit voivat tulla heti, jos sähkökatkos, useimmat kestää lyhyen aikaa lämmetä ennen kuin ne voivat tarjota johdonmukaista virtaa. Siksi huomaat, että sinun täytyy edelleen toteuttaa UPSs organisaatiossasi.
  • tarpeeton joukko itsenäisiä levyjä (RAID). RAID on tekniikka, joka käyttää useita levyjä, tarjota vikasietoisuutta., On olemassa useita RAID-tasot: RAID 0 (striped-levyt), RAID 1 (peilattu levyt), RAID 3 tai 4 (raidallinen levyt omistettu pariteetti), RAID 5 (raidallinen levyt hajautettu pariteetti), RAID 6 (raidallinen levyt dual pariteetti), RAID 1+0 (tai 10) ja RAID 0+1. Voit lukea niistä lisää tästä tietoturvan parhaiden käytäntöjen luettelosta.
  • katastrofien elvytyssuunnitelma (DR). Katastrofien elvytyssuunnitelma auttaa järjestöä reagoimaan tehokkaasti katastrofin sattuessa. Katastrofit ovat järjestelmän vikoja, verkon epäonnistumisia, infrastruktuurin häiriöt ja luonnonkatastrofit, kuten hirmumyrskyt ja maanjäristykset., DR-suunnitelma määrittelee menetelmät, joilla palvelut voidaan palauttaa mahdollisimman nopeasti ja suojella organisaatiota katastrofitilanteessa kohtuuttomilta menetyksiltä.
    pienemmässä organisaatiossa katastrofien elvytyssuunnitelma voi olla suhteellisen yksinkertainen ja suoraviivainen. Laajemmassa organisaatiossa siihen voisi kuulua useita tiloja, yritysten strategisia suunnitelmia ja kokonaisia osastoja.
    katastrofien elvytyssuunnitelmassa olisi käsiteltävä tietojen saatavuutta ja tallentamista. Varasuunnitelma arkaluontoisia tietoja on olennainen osa tätä prosessia.

F. A. Q.

Mitä ovat komponentteja CIA-triad?,

  • luottamuksellisuus: järjestelmät ja tiedot ovat vain valtuutettujen käyttäjien saatavilla.
  • eheys: järjestelmät ja tiedot ovat tarkkoja ja täydellisiä.
  • saatavuus: järjestelmät ja tiedot ovat saatavilla, kun niitä tarvitaan.

miksi CIA: n kolmikko on tärkeä tietoturvan kannalta?

tietoturvan perimmäinen tavoite on varmistaa kriittisten ja arkaluonteisten tietojen luottamuksellisuus, eheys ja saatavuus. Soveltamalla periaatteita CIA triad auttaa järjestöjä luomaan tehokas turvallisuusohjelma suojella arvokasta omaisuutta.,

miten CIA-Triadia voidaan soveltaa riskienhallinnassa?

Aikana riskinarvioinnit, organisaatiot mittaavat riskejä, uhkia ja haavoittuvuuksia, jotka voivat vaarantaa palvelujen luottamuksellisuuden, eheyden ja saatavuuden heidän järjestelmät ja tiedot. Toteuttamalla turvatarkastuksia näiden riskien vähentämiseksi, ne täyttävät yhden tai useamman CIA: n kolmikannan perusperiaatteista.

miten tietojen luottamuksellisuus voi vaarantua?

salassapitovelvollisuus edellyttää, että arkaluonteisten tietojen luvaton käyttö estetään., Pääsy voi olla tarkoituksellista, kuten tunkeutuja murtautuu verkkoon ja lukea tietoja, tai se voi olla tahatonta, koska huolimattomuutta tai epäpätevyyttä yksilöiden tietojen käsittelystä.

millä toimenpiteillä voidaan säilyttää tietojen luottamuksellisuus?

yksi parhaista tietosuojakäytännöistä on kaikkien arkaluonteisten ja säänneltyjen tietojen salaaminen. Kukaan ei voi lukea sisältöä salattu asiakirja, elleivät ne ole salauksenpurkuavain, joten salaus suojaa sekä haitallisen ja tahattoman vaarantaa tietojen luottamuksellisuuden.,

miten tietojen eheys voi vaarantua?

Tietojen eheys voi vaarantua sekä inhimillisiä virheitä ja cyberattacks kuten tuhoisa malware ja ransomware.

millä toimenpiteillä voidaan säilyttää tietojen eheys?,

tietojen eheyden säilyttämiseksi, sinun täytyy:

  • Estää muutoksia tietojen luvaton käyttäjät
  • Estää luvaton tai tahaton tietojen muutoksista, joita valtuutetut käyttäjät
  • Varmistaa tarkkuus ja johdonmukaisuus dataa prosessit, kuten virheiden tarkistus ja tietojen validointi

arvokas parhaat käytännöt varmistaa tietojen tarkkuus on tiedostojen eheyden valvonta (MK)., FIM auttaa organisaatioita havaitsemaan virheelliset muutokset järjestelmiensä kriittisiin tiedostoihin tarkastamalla kaikki yritykset käyttää tai muokata arkaluonteisia tietoja sisältäviä tiedostoja ja kansioita ja tarkistamalla, ovatko nämä toimet sallittuja.

miten tietojen saatavuus voi vaarantua?

Uhkia saatavuus ovat infrastruktuurin vikoja, kuten verkko-tai laitteisto-ongelmia; suunnittelemattomia ohjelmisto seisokkeja; infrastruktuuri ylikuormitus; sähkökatkoja, ja cyberattacks kuten DDoS tai ransomware hyökkäyksiä.

millä toimenpiteillä voidaan säilyttää tietojen saatavuus?,

on tärkeää ottaa käyttöön takeet keskeytyksiltä kaikkiin järjestelmiin, jotka vaativat jatkuvaa käyttöaikaa. Vaihtoehtoja ovat laitteistovähennykset, failover, klusterointi ja rutiininomaiset varmuuskopiot, jotka on tallennettu maantieteellisesti erilliseen paikkaan. Lisäksi on tärkeää kehittää ja testata kattava katastrofien elvytyssuunnitelma.

Tuotteen Evankelista at Netwrix Corporation, kirjailija ja juontaja. Ryan on erikoistunut evankelioimaan kyberturvallisuutta ja edistämään näkyvyyden merkitystä siihen muutoksiin ja tiedonsaantiin., Kirjailijana Ryan keskittyy TIETOTURVATRENDEIHIN, kyselyihin ja alan oivalluksiin.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Siirry työkalupalkkiin