a CIA háromszög és annak valós alkalmazása

mi a CIA triád?

az információbiztonság a három kulcsfontosságú elv körül forog: titoktartás, integritás és rendelkezésre állás (CIA). A környezettől, az alkalmazástól, a kontextustól vagy a használati esettől függően ezen elvek egyike fontosabb lehet, mint a többi., Például egy pénzügyi ügynökség számára az információk bizalmassága a legfontosabb, így valószínűleg titkosítja az elektronikusan átadott minősített dokumentumokat annak érdekében, hogy megakadályozzák az illetéktelen embereket abban, hogy elolvassák annak tartalmát. Másrészt az olyan szervezetek, mint az internetes piacterek, súlyosan megsérülnének, ha hálózatuk hosszabb ideig nem lenne megfelelő, így a titkosított adatokkal kapcsolatos aggodalmak magas rendelkezésre állásának biztosítására irányuló stratégiákra összpontosíthatnak.,


titoktartás

A titoktartás az érzékeny információkhoz való jogosulatlan hozzáférés megakadályozásával foglalkozik. A hozzáférés lehet szándékos, mint például egy betolakodó betörni a hálózatba, és olvasni az információkat, vagy lehet véletlen, mert a gondatlanság vagy hozzá nem értés az egyének kezelése az információkat. A titoktartás biztosításának két fő módja a kriptográfia és a hozzáférés-ellenőrzés.,

kriptográfia

a Titkosítás segít a szervezetnek megfelelni annak, hogy mind a véletlen nyilvánosságra hozatalból, mind a belső, mind a külső támadási kísérletekből származó információkat biztosítsa. A kriptográfiai rendszer hatékonyságát a jogosulatlan dekódolás megelőzésében erősségének nevezik. Egy erős kriptográfiai rendszert nehéz feltörni. Az erőt munka tényezőként is kifejezik, amely a rendszer megtöréséhez szükséges idő és erőfeszítés becslését jelenti.,

a rendszer gyengenek tekinthető, ha gyenge kulcsokat tesz lehetővé, tervezési hibái vannak, vagy könnyen visszafejthető. Számos ma elérhető Rendszer több mint alkalmas üzleti és személyes használatra, de nem megfelelő az érzékeny katonai vagy kormányzati alkalmazásokhoz. A kriptográfia szimmetrikus és aszimmetrikus algoritmusokkal rendelkezik.

szimmetrikus algoritmusok

szimmetrikus algoritmusok megkövetelik, hogy a titkosított üzenet küldője és fogadója azonos kulcsú és feldolgozási algoritmusokkal rendelkezzen., A szimmetrikus algoritmusok szimmetrikus kulcsot generálnak (néha titkos kulcsnak vagy privát kulcsnak nevezik), amelyet védeni kell; ha a kulcs elveszik vagy ellopják, a rendszer biztonsága veszélybe kerül. Íme néhány a közös szabványok szimmetrikus algoritmusok:

  • Data Encryption Standard (DES). A DES-t az 1970 — es évek közepe óta használják. évek óta ez volt az elsődleges szabvány, amelyet a kormányban és az iparban használtak, de kis kulcsmérete miatt most bizonytalannak tekintik-64 bites kulcsot generál, de ezek közül nyolc csak hibajavításra szolgál, és csak 56 bit a tényleges kulcs., Most az AES az elsődleges szabvány.
  • Triple-DES (3DES). A 3DES a DES technológiai fejlesztése. A 3DES-t továbbra is használják, annak ellenére, hogy az AES a kormányzati alkalmazások előnyben részesített választása. 3DES lényegesen nehezebb megtörni, mint sok más rendszerek, és ez sokkal biztonságosabb, mint a DES. Ez növeli a kulcs hosszát 168 bitre (három 56 bites DES billentyű használatával).
  • Advanced Encryption Standard (AES). Az AES felváltotta a DES-t, mint az amerikai kormányzati ügynökségek által használt szabványt. A Rijndael algoritmust használja, amelyet a fejlesztőiről, Joan Daemenről és Vincent Rijmenről neveztek el., Az AES 128, 192 és 256 bites kulcsméreteket támogat, az alapértelmezett 128 bit.
  • Ron kódja vagy Ron kódja (RC). Az RC egy titkosítási család, amelyet az RSA laboratories gyárt, és a szerzőjéről, Ron Rivestről nevezték el. A jelenlegi szintek RC4, RC5 és RC6. RC5 használ egy kulcs mérete akár 2,048 Bit; úgy vélik, hogy egy erős rendszer. Az RC4 népszerű a vezeték nélküli WEP/WPA titkosítással. Ez egy streaming rejtjel, ami 40 és 2048 bit közötti kulcsmérettel működik, és SSL-ben és TLS-ben használják. A segédprogramok is népszerűek; torrent fájlok letöltésére használják., Sok szolgáltató korlátozza ezeknek a fájloknak a letöltését, de az RC4 használatával tompítja a fejlécet, a patak pedig megnehezíti a Szolgáltató számára, hogy rájöjjön, hogy torrent fájlok kerülnek mozgatásra.
  • Blowfish és Twofish. A Blowfish egy olyan titkosítási rendszer, amelyet egy Bruce Schneier vezette csapat talált ki, amely nagyon gyors sebességgel hajt végre egy 64 bites blokk-rejtjelet. Ez egy szimmetrikus blokk rejtjel, amely változó hosszúságú kulcsokat használhat (32 bittől 448 bitig). A Twofish meglehetősen hasonló, de 128 bites blokkokon működik. Megkülönböztető jellemzője, hogy összetett kulcsfontosságú ütemtervvel rendelkezik.,
  • nemzetközi adattitkosítási algoritmus (IDEA). Az ötletet egy svájci konzorcium fejlesztette ki, és egy 128 bites kulcsot használ. Ez a termék hasonló a sebesség és a képesség, hogy DES, de ez sokkal biztonságosabb. IDEA használják elég jó Adatvédelmi (PGP), a public domain titkosítási rendszer sokan használják az e-mail.
  • egyszeri párna. Az egyszeri betétek az egyetlen valóban teljesen biztonságos kriptográfiai megvalósítás. Két okból annyira biztonságosak. Először is olyan kulcsot használnak, amely olyan hosszú, mint egy egyszerű szöveges üzenet. Ez azt jelenti,hogy a támadó számára a kulcsalkalmazásban nincs minta., Másodszor, az egyszeri pad kulcsokat csak egyszer használják, majd eldobják. Tehát akkor is, ha meg tudná törni egy egyszeri pad titkosítást, ugyanazt a kulcsot soha többé nem használják, így a kulcs ismerete haszontalan lenne.

aszimmetrikus algoritmusok

az aszimmetrikus algoritmusok két kulcsot használnak: egy nyilvános kulcsot és egy privát kulcsot. A feladó a nyilvános kulcsot használja az üzenet titkosításához, a vevő pedig a privát kulcsot használja annak dekódolásához. A nyilvános kulcs valóban nyilvános lehet, vagy titok lehet a két fél között. A privát kulcs azonban magántulajdonban van; csak a tulajdonos (vevő) tudja., Ha valaki titkosított üzenetet akar küldeni Önnek, akkor a nyilvános kulcs segítségével titkosíthatja az üzenetet, majd elküldheti Önnek az üzenetet. A privát kulcs segítségével visszafejtheti az üzenetet. Ha mindkét kulcs elérhetővé válik egy harmadik fél számára, a titkosítási rendszer nem védi az üzenet magánéletét. Ezeknek a rendszereknek az igazi “varázsa” az, hogy a nyilvános kulcs nem használható az üzenet visszafejtésére. Ha Bob Alice nyilvános kulcsával titkosított üzenetet küld Alice-nek, nem számít, hogy a földön mindenki más rendelkezik-e Alice nyilvános kulcsával, mivel ez a kulcs nem tudja visszafejteni az üzenetet., Íme néhány az aszimmetrikus algoritmusok közös szabványai közül:

  • RSA. Az RSA névadója feltalálói, Ron Rivest, Adi Shamir és Leonard Adleman. Az RSA algoritmus egy korai nyilvános kulcs titkosítási rendszer, amely nagy egészeket használ a folyamat alapjaként. Széles körben alkalmazzák, és de facto szabványsá vált. Az RSA mind a titkosítás, mind a digitális aláírások segítségével működik. Az RSA-t számos környezetben használják, beleértve a Secure Sockets Layer (SSL) alkalmazást, valamint kulcscserére is használható.
  • Diffie-Hellman., Whitfield Diffie-t és Martin Hellmant tartják a köz-és magánszféra kulcskoncepciójának alapítóinak. A Diffie-Hellman algoritmusukat elsősorban egy megosztott titkos kulcs létrehozására használják a nyilvános hálózatokon keresztül. A folyamatot nem az üzenetek titkosítására vagy dekódolására használják, hanem csupán egy szimmetrikus kulcs létrehozására két fél között.
  • elliptikus görbe kriptográfia (EGK). Az ECC az RSA-hoz hasonló funkciókat biztosít, de kisebb kulcsméreteket használ az azonos szintű biztonság eléréséhez., Az ECC titkosítási rendszerek azon az elképzelésen alapulnak, hogy egy görbe pontjait a végtelenben lévő ponttal kombinálják, valamint a diszkrét logaritmusproblémák megoldásának nehézségeit.

Access Control

a Titkosítás a titoktartás biztosításának egyik módja; a második módszer a hozzáférés-vezérlés. A hozzáférés-vezérlésnek számos módja van, amelyek segítenek a titoktartásban, mindegyiknek saját erősségei és gyengeségei vannak:

  • kötelező hozzáférés-vezérlés (MAC). MAC környezetben minden hozzáférési képesség előre definiált., A felhasználók csak akkor oszthatnak meg információkat, ha a megosztáshoz való jogukat a rendszergazdák állapítják meg. Következésképpen a rendszergazdáknak minden olyan változtatást meg kell tenniük, amelyet az ilyen jogokkal kapcsolatban meg kell tenni. Ez a folyamat a biztonság merev modelljét hajtja végre. Ugyanakkor a legbiztonságosabb kiberbiztonsági modellnek is tekintik.
  • diszkrecionális hozzáférés-vezérlés (DAC). A DAC modellben a felhasználók dinamikusan megoszthatják az információkat más felhasználókkal. A módszer rugalmasabb környezetet tesz lehetővé, de növeli az információk jogosulatlan nyilvánosságra hozatalának kockázatát., Az adminisztrátorok nehezebben tudják biztosítani, hogy csak a megfelelő felhasználók férhessenek hozzá az adatokhoz.
  • Role-Based Access Control (RBAC). A szerepkör-alapú hozzáférés-vezérlés a munka funkcióján vagy felelősségén alapuló hozzáférés-vezérlést valósít meg. Minden alkalmazottnak van egy vagy több szerepe, amely lehetővé teszi a konkrét információkhoz való hozzáférést. Ha egy személy egyik szerepről a másikra költözik, az előző szerephez való hozzáférés már nem lesz elérhető. Az RBAC modellek nagyobb rugalmasságot biztosítanak, mint a MAC modell, és kevésbé rugalmasak, mint a DAC modell., Ők, azonban, megvan az az előnye, hogy szigorúan alapuló munka funkció, szemben az egyéni igények.
  • szabályalapú hozzáférés-vezérlés (RBAC). A szabályalapú hozzáférés-vezérlés az előre konfigurált biztonsági irányelvek beállításait használja a hozzáféréssel kapcsolatos döntések meghozatalához. Ezek a szabályok a következőkre állíthatók:
    • tagadja meg mindazokat, akik kifejezetten megjelennek egy listában (engedélyező hozzáférési lista)
    • tagadja csak azokat, akik kifejezetten megjelennek a listában (valódi megtagadó hozzáférési lista)

a listában szereplő bejegyzések felhasználónevek, IP-címek, hostnevek vagy akár domainek is lehetnek., A szabályokon alapuló modelleket gyakran használják szerep – alapú modellekkel együtt a biztonság és a rugalmasság legjobb kombinációjának elérése érdekében.

  • attribútum alapú hozzáférés-vezérlés (ABAC). Az ABAC egy viszonylag új módszer a NIST 800-162-ben definiált hozzáférés-vezérlésre, attribútum alapú vezérlési definícióra és megfontolásokra., Ez egy logikai hozzáférés-ellenőrzési módszer, ahol a műveletek végrehajtásának engedélyezését a tárgyhoz, objektumhoz, kért műveletekhez kapcsolódó attribútumok értékelése határozza meg, és bizonyos esetekben a biztonsági politikával, szabályokkal vagy kapcsolatokkal szembeni környezeti feltételek, amelyek leírják az adott attribútumkészlet megengedett műveleteit.a
  • intelligens kártyákat általában hozzáférés-ellenőrzési és biztonsági célokra használják. Maga a kártya általában kis mennyiségű memóriát tartalmaz, amely az engedélyek és a hozzáférési információk tárolására használható.,
  • a biztonsági token eredetileg olyan hardvereszköz volt, amely a hozzáféréshez szükséges, például vezeték nélküli kulcskártya vagy kulcstartó. Jelenleg a tokenek szoftveres implementációi is vannak. A tokenek gyakran tartalmaznak egy digitális tanúsítványt, amelyet a felhasználó hitelesítésére használnak.,

Integritás

Integritás három gólt, hogy segítsen elérni a data security:

  • Megakadályozza, hogy a módosítás az adatokat a jogosulatlan felhasználók
  • Megakadályozza a jogosulatlan vagy nem szándékos adatainak módosítása az arra jogosult felhasználók
  • Megőrzése a belső, mind a külső állaga:
    • Belső konzisztencia — Biztosítja, hogy az adatok belsőleg következetes., Például egy szervezeti adatbázisban a szervezet tulajdonában lévő tételek teljes számának meg kell egyeznie az adatbázisban szereplő ugyanazon elemek összegével, mint amelyeket a szervezet minden eleme tart.
    • külső konzisztencia-biztosítja, hogy az adatbázisban tárolt adatok összhangban legyenek a való világgal. Például a polcon fizikailag ülő tételek teljes számának meg kell egyeznie az adatbázis által megjelölt tételek teljes számával.,

különböző titkosítási módszerek segíthetnek az integritás elérésében azáltal, hogy biztosítják, hogy az üzenet nem módosult az átvitel során. A módosítás értelmezhetetlenné, vagy ami még rosszabb, pontatlanná teheti az üzenetet. Képzelje el a súlyos következményeket, ha nem fedezték fel az orvosi feljegyzések vagy a kábítószer-előírások módosítását. Ha egy üzenetet manipulálnak, a titkosítási rendszernek rendelkeznie kell egy mechanizmussal, amely jelzi, hogy az üzenet sérült vagy megváltozott.

Hashing

integritás is ellenőrizhető egy hash algoritmus., Lényegében, egy hash az üzenet keletkezik, majd csatolni kell a végén az üzenet. A fogadó fél kiszámítja a kapott üzenet hash-ját, és összehasonlítja a kapott hash-val. Ha valami megváltozott a szállítás során, a hashok nem egyeznek meg.

hash egy elfogadható integritás ellenőrzés sok esetben. Ha azonban egy elfogó fél szándékosan meg akar változtatni egy üzenetet, és az üzenet nincs titkosítva, akkor a hash hatástalan., Az elfogó fél láthatja például, hogy van egy 160 bites hash csatolva az üzenethez, ami azt sugallja, hogy az SHA-1 használatával jött létre (amelyet az alábbiakban tárgyalunk). Ezután az interceptor egyszerűen megváltoztathatja az üzenetet, ahogy kívánja, törölheti az eredeti SHA-1 hash-t, majd újraszámíthatja a hash-t a megváltozott üzenetből.

hash algoritmusok

az adatok tárolására használt hashok nagyon különböznek a kriptográfiai hashoktól. A kriptográfiában a hash függvénynek három jellemzővel kell rendelkeznie:

  1. egyirányú. Ha egyszer hash valamit, nem lehet kioldani.,
  2. változó hosszúságú bemenet fix hosszúságú kimenetet eredményez. Akár hash két karakter vagy két millió, a hash mérete ugyanaz.
  3. az algoritmusnak kevés vagy semmilyen ütközéssel kell rendelkeznie. A két különböző bemenet kivonása nem adja ugyanazt a kimenetet.

itt vannak a hash algoritmusok és a kapcsolódó fogalmak, amelyeket ismernie kell:

  • biztonságos Hash algoritmus (Sha). Az eredetileg Keccak névre keresztelt SHA-t Guido Bertoni, Joan Daemen, Michaël Peeters és Gilles Van Assche tervezte., SHA-1 egyirányú hash, amely egy 160 bites hash értéket, hogy lehet használni egy titkosítási protokollt. 2016-ban felfedezték az SHA-1-vel kapcsolatos kérdéseket; most ajánlott az SHA-2 használata helyett. Az SHA-2 224, 256, 334 és 512 bites hashokat képes előállítani. Nincsenek ismert problémák SHA-2, így még mindig a legszélesebb körben használt, ajánlott hash algoritmus. Az SHA-3 2012-ben jelent meg, széles körben alkalmazható, de nem széles körben használt. Ez nem az SHA-3 problémáinak köszönhető, hanem az a tény, hogy az SHA-2 tökéletesen rendben van.
  • Message Digest algoritmus (MD)., Az MD egy másik egyirányú hash, amely létrehoz egy hash értéket, amely segít az integritás fenntartásában. Az MD számos változata létezik; a leggyakoribbak az MD5, az MD4 és az MD2. MD5 a legújabb változata az algoritmus; termel egy 128 bites hash. Bár összetettebb, mint az MD elődei, nagyobb biztonságot nyújt, Nincs erős ütközési ellenállása, ezért már nem ajánlott használni. SHA (2 vagy 3) az ajánlott alternatívák.
  • RACE Integrity Primitives Evaluation Message Digest (RIPEMD). A RIPEMD az MD4-en alapult., A biztonsággal kapcsolatban voltak kérdések, amelyeket a RIPEMD-160 váltotta fel, amely 160 bitet használ. Vannak olyan verziók is, amelyek 256, illetve 320 bitet használnak (RIPEMD-256, illetve RIPEMD-320).
  • a GOST egy szimmetrikus rejtjel, amelyet a régi Szovjetunióban fejlesztettek ki, hogy hash funkcióként működjön. A GOST változó hosszúságú üzenetet dolgoz fel 256 bites rögzített hosszúságú kimenetre.
  • A Windows NT kiadása előtt a Microsoft operációs rendszerei a LANMAN protokollt használták hitelesítésre., Miközben csak hitelesítési protokollként működött, LANMAN LM Hash-ot és két DES-kulcsot használt. Ezt az NT LAN Manager (NTLM) váltotta fel a Windows NT kiadásával.
  • a Microsoft a LANMAN protokollt NTLM-re (NT LAN Manager) cserélte a Windows NT kiadásával. Az NTLM MD4 / MD5 hash algoritmusokat használ. Ennek a protokollnak több változata létezik (NTLMv1 és NTLMv2), és még mindig széles körben használják annak ellenére, hogy a Microsoft a Kerberos-t nevezte meg az előnyben részesített hitelesítési protokollnak., Bár a LANMAN és az NTLM egyaránt hashing-ot alkalmaz, elsősorban hitelesítés céljából használják őket.
  • az integritás ellenőrzésének közös módja az üzenet hitelesítési kódjának (MAC) hozzáadása az üzenethez. A MAC-et úgy számítják ki, hogy egy szimmetrikus titkosítást használnak rejtjelblokk láncolás módban (CBC), csak a végső blokkot állítják elő. Lényegében a CBC kimenetét használják, mint egy hash algoritmus kimenetét. Azonban, ellentétben a hash algoritmussal, a titkosítás szimmetrikus kulcsot igényel, amelyet előre cserélnek a két fél között.,
  • HMAC (hash-alapú üzenet hitelesítési kód) egy hash algoritmust használ egy szimmetrikus kulcs mellett. Így például két fél beleegyezik abba, hogy MD5 hash-ot használ. Ha a hash számítjuk, ez kizárólag OR ‘ D (XOR) a digest, és ez a kapott érték a HMAC.

alapvonal

alapvonal (konfiguráció, alapvonal, rendszer alapvonal, tevékenység alapvonal) létrehozása fontos stratégia a biztonságos hálózatépítéshez. Lényegében olyan alapvonalat talál, amelyet biztonságosnak tart egy adott rendszer, Számítógép, alkalmazás vagy szolgáltatás számára., Természetesen az abszolút biztonság nem lehetséges — a cél elég biztonságos, a szervezet biztonsági igényei és kockázati étvágya alapján. Bármilyen változás összehasonlítható az alapvonal, hogy ha a változás elég biztonságos. Egy alapvonal meghatározása után a következő lépés a rendszer monitorozása annak biztosítása érdekében, hogy az ne térjen el az alapvonaltól. Ezt a folyamatot integritásmérésnek nevezzük.

elérhetőség

az elérhetőség biztosítja, hogy a rendszer jogosult felhasználói időben és megszakítás nélkül hozzáférhessenek a rendszerben és a hálózatban található információkhoz., Itt vannak a rendelkezésre állás elérésének módszerei:

  • disztributív allokáció. Közismert nevén terheléselosztás, elosztó allokáció lehetővé teszi a terhelés elosztását (fájlkérések, adatirányítás stb.), hogy egyetlen eszköz sem legyen túlságosan megterhelve.
  • magas rendelkezésre állás (HA). A magas rendelkezésre állás olyan intézkedésekre vonatkozik, amelyeket a szolgáltatások és az információs rendszerek üzemképességének fenntartására használnak áramkimaradás esetén. A HA célja gyakran az, hogy a legfontosabb szolgáltatások az idő 99.999% – ában rendelkezésre álljanak (az úgynevezett “öt kilences” elérhetőség)., HA stratégiák közé redundancia és failover, amelyek az alábbiakban tárgyaljuk.
  • redundancia. A redundancia olyan rendszerekre vonatkozik, amelyek meghibásodás esetén vagy más rendszerekbe kerülnek, vagy meghibásodnak. A feladatátvétel egy rendszer rekonstruálásának vagy más rendszerekre való átállásnak a folyamatára utal, amikor hibát észlelnek. Szerver esetén a kiszolgáló redundáns kiszolgálóra vált, amikor hibát észlel. Ez a stratégia lehetővé teszi a szolgáltatás megszakítás nélküli folytatását, amíg az elsődleges kiszolgáló vissza nem állítható., Hálózat esetén ez azt jelenti, hogy az elsődleges elérési út hálózati meghibásodása esetén a feldolgozás egy másik hálózati útvonalra vált.
    Failover rendszerek költséges lehet megvalósítani. Egy nagyvállalati hálózatban vagy e-kereskedelmi környezetben a feladatátvétel azt vonhatja maga után, hogy az összes feldolgozást távoli helyre kapcsolja, amíg az elsődleges létesítmény nem működik. Az elsődleges webhely és a távoli webhely szinkronizálná az adatokat annak érdekében, hogy az információ a lehető legfrissebb legyen.,
    számos operációs rendszer, mint például a Linux, A Windows Server vagy a Novell Open Enterprise Server, képes fürtözésre, hogy failover képességeket biztosítson. A klaszterezés több, egymással együttműködő (terheléselosztást biztosító) és hálózatba kapcsolt rendszert foglal magában oly módon, hogy ha valamelyik rendszer meghibásodik, a többi rendszer elveszi a laza működést és tovább működik. A szerver klaszter általános képessége csökkenhet, de a hálózat vagy a szolgáltatás továbbra is működőképes marad., A klaszterezés szépségének értékeléséhez fontolja meg azt a tényt, hogy ez a technológia, amelyre a Google épül. Nem csak a klaszterezés teszi lehetővé a redundanciát, hanem a kereslet növekedésével is képes skálázni.
    A legtöbb internetszolgáltató és hálózati szolgáltató kiterjedt belső feladatátvételi képességgel rendelkezik, hogy magas rendelkezésre állást biztosítson az ügyfelek számára. Azok az üzleti ügyfelek és alkalmazottak, akik nem férnek hozzá információkhoz vagy szolgáltatásokhoz, általában elveszítik a bizalmukat.
    a megbízhatóságra és a megbízhatóságra vonatkozó kompromisszum természetesen költség: a Feladatátvételi rendszerek megfizethetetlenül drágák lehetnek., Gondosan tanulmányoznia kell az Ön igényeit annak meghatározásához, hogy a rendszer megköveteli-e ezt a képességet. Például, ha a környezet magas szintű rendelkezésre állást igényel, a szervereket fürtözni kell. Ez lehetővé teszi, hogy a hálózat többi kiszolgálója felvegye a terhelést, ha a klaszter egyik kiszolgálója meghibásodik.
  • hibatűrés. A hibatűrés egy rendszer azon képessége, hogy komponens meghibásodása esetén fenntartsa a műveleteket. A hibatűrő rendszerek továbbra is működhetnek, annak ellenére, hogy egy kritikus összetevő, például egy lemezmeghajtó meghibásodott., Ez a képesség magában foglalja a túlzott mérnöki rendszerek hozzáadásával redundáns alkatrészek és alrendszerek kockázatának csökkentése leállás. Például a hibatűrés beépíthető egy szerverbe egy második tápegység, egy második CPU és más kulcskomponensek hozzáadásával. A legtöbb gyártó (például a HP, a Sun és az IBM) hibatűrő kiszolgálókat kínál; jellemzően több processzorral rendelkeznek, amelyek meghibásodás esetén automatikusan meghibásodnak.
    a hibatűrésnek két kulcsfontosságú eleme van, amelyeket soha nem szabad figyelmen kívül hagyni: pótalkatrészek és elektromos teljesítmény., A pótalkatrészeknek mindig rendelkezésre kell állniuk a rendszerkritikus alkatrészek javításához, ha azok meghibásodnak. Az “N+1” redundancia stratégia azt jelenti, hogy megvan a szükséges összetevők száma, plusz egy, hogy bármilyen rendszerbe csatlakoztasson, ha szükséges. Mivel a számítógépes rendszerek elektromos áram hiányában nem működhetnek, elengedhetetlen, hogy a hibatűrést beépítsék az elektromos infrastruktúrába is. Minimális szinten minden szerverhez és munkaállomáshoz szünetmentes tápegységet (UPS) kell biztosítani, amely túlfeszültség-védelemmel rendelkezik., Az UPS-t az áramkimaradás (faktoring a számítógépben, monitor és a hozzá csatlakoztatott egyéb eszközök) esetén várható terhelésre kell besorolni, és rendszeresen ellenőrizni kell a megelőző karbantartási rutin részeként, hogy megbizonyosodjon arról, hogy az akkumulátor működik-e. Az UPS működésének fenntartása érdekében néhány évente ki kell cserélnie az akkumulátort.
    A UPS lehetővé teszi, hogy a teljesítmény hiányában csak rövid ideig működjön. A hosszabb időtartamú helyzetekben fellépő hibatűréshez szükség lesz egy biztonsági generátorra., A tartalék generátorok benzinnel, propánnal, földgázzal vagy dízellel működnek, és generálják az állandó energia biztosításához szükséges villamos energiát. Bár egyes tartalék generátorok áramkimaradás esetén azonnal bekapcsolódhatnak, a legtöbb rövid időt vesz igénybe, hogy felmelegedjen, mielőtt következetes energiát tudnának biztosítani. Ezért meg fogja találni, hogy továbbra is be kell vezetnie az UPSs-t a szervezetébe.
  • független lemezek redundáns tömbje (RAID). A RAID egy olyan technológia, amely több lemezt használ a hibatűrés biztosítására., Több RAID szintek: RAID 0 (csíkos lemezek), RAID 1 (tükrözés esetén), RAID 3 vagy 4 (csíkos lemezek dedikált paritás), RAID 5 (csíkos lemezek elosztott paritás), RAID 6 (csíkos lemezek kettős paritás), RAID 1+0 (vagy 10), illetve a RAID 0+1. Az adatbiztonsági bevált gyakorlatok ezen listájában többet olvashat róluk.
  • katasztrófa-helyreállítási (DR) terv. A katasztrófa-helyreállítási terv segít a szervezetnek hatékonyan reagálni, ha katasztrófa történik. A katasztrófák közé tartoznak a rendszerhibák, a hálózati hibák, az infrastruktúra-meghibásodások, valamint a természeti katasztrófák, mint például a hurrikánok és a földrengések., A DR-terv meghatározza a szolgáltatások lehető leggyorsabb helyreállításának módszereit, valamint a szervezet katasztrófák esetén történő elfogadhatatlan veszteségektől való védelmét.
    egy kisebb szervezetnél a katasztrófaelhárítási terv viszonylag egyszerű és egyszerű lehet. Egy nagyobb szervezetnél több létesítményt, vállalati stratégiai terveket és egész részleget érinthet.
    a katasztrófaelhárítási tervnek foglalkoznia kell az információkhoz való hozzáféréssel és azok tárolásával. Az érzékeny adatokra vonatkozó biztonsági mentési terv szerves része ennek a folyamatnak.

F. A. Q.

melyek a CIA triád összetevői?,

  • titoktartás: a rendszerek és adatok csak a jogosult felhasználók számára érhetők el.
  • integritás: a rendszerek és az adatok pontosak és teljesek.
  • elérhetőség: szükség esetén a rendszerek és az adatok hozzáférhetőek.

miért fontos a CIA triád az adatbiztonság szempontjából?

az adatbiztonság végső célja a kritikus és érzékeny adatok titkosságának, integritásának és hozzáférhetőségének biztosítása. A CIA triad alapelveinek alkalmazása segít a szervezeteknek hatékony biztonsági program létrehozásában értékes eszközeik védelme érdekében.,

hogyan alkalmazható a CIA triád a kockázatkezelésben?

a kockázatértékelések során a szervezetek mérik azokat a kockázatokat, fenyegetéseket és sebezhetőségeket, amelyek veszélyeztethetik rendszereik és adataik bizalmas jellegét, integritását és elérhetőségét. A kockázatok enyhítésére szolgáló biztonsági ellenőrzések végrehajtásával eleget tesznek a CIA triád egyik vagy több alapelvének.

hogyan lehet az adatok titkosságát veszélyeztetni?

a titoktartás megköveteli az érzékeny információkhoz való jogosulatlan hozzáférés megakadályozását., A hozzáférés lehet szándékos, mint például egy betolakodó betörni a hálózatba, és olvasni az információkat, vagy lehet véletlen, mert a gondatlanság vagy hozzá nem értés az egyének kezelése az információkat.

milyen intézkedések segíthetnek az adatok titkosságának megőrzésében?

az adatok bizalmas kezelésének egyik legjobb gyakorlata az összes érzékeny és szabályozott adat titkosítása. Senki sem tudja elolvasni a titkosított dokumentum tartalmát, kivéve, ha rendelkezik a dekódoló kulccsal, így a titkosítás védi mind a rosszindulatú, mind a véletlen titoktartási kompromisszumokat.,

hogyan sérülhet az adatok integritása?

az adatok integritása veszélybe kerülhet mind az emberi hibák, mind a számítógépes támadások révén, mint például a pusztító rosszindulatú programok és a ransomware.

milyen intézkedések segíthetnek az adatok integritásának megőrzésében?,

megőrizni az adatok integritását, meg kell, hogy:

  • Megakadályozza a változásokat, hogy az adatok illetéktelen felhasználók
  • Megakadályozza a jogosulatlan, vagy a véletlen változás, hogy az adatokat az arra jogosult felhasználók
  • Biztosítja a pontosságot, valamint a következetesség adatok folyamatok révén, mint a hibaellenőrzés, valamint adat-ellenőrzési

Egy értékes legjobb gyakorlat biztosítása adatok pontossága fájl integritásának ellenőrzése (FIM)., Az FIM segít a szervezeteknek felismerni a rendszereik kritikus fájljainak nem megfelelő változásait az érzékeny információkat tartalmazó fájlok és mappák elérésére vagy módosítására tett kísérletek ellenőrzésével, valamint annak ellenőrzésével, hogy ezek a műveletek engedélyezettek-e.

hogyan lehet az adatok elérhetőségét veszélyeztetni?

a rendelkezésre állást fenyegető veszélyek közé tartoznak az olyan infrastrukturális hibák, mint a hálózati vagy hardverproblémák; nem tervezett szoftverleállás; infrastruktúra túlterhelés; áramkimaradások; valamint olyan kibertámadások, mint a DDoS vagy a ransomware támadások.

milyen intézkedések segíthetnek megőrizni az adatok elérhetőségét?,

fontos, hogy minden folyamatos üzemidőt igénylő rendszer megszakításai ellen biztosítékokat alkalmazzunk. A lehetőségek közé tartozik a hardver redundancia, failover, klaszterezés és rutin mentések tárolt földrajzilag külön helyen. Emellett elengedhetetlen egy átfogó katasztrófa-helyreállítási terv kidolgozása és tesztelése.

termék Evangelista a Netwrix Corporation-nél, író, műsorvezető. Ryan a kiberbiztonság evangelizálására és az informatikai változások és az adatokhoz való hozzáférés láthatóságának fontosságára specializálódott., Ryan szerzőként az informatikai biztonsági trendekre, felmérésekre és az iparági betekintésekre összpontosít.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Tovább az eszköztárra