de CIA-driehoek en zijn toepassing in de echte wereld

Wat is de CIA-triade?

informatiebeveiliging draait om de drie belangrijkste principes: vertrouwelijkheid, integriteit en beschikbaarheid (CIA). Afhankelijk van de omgeving, toepassing, context of use case, kan een van deze principes belangrijker zijn dan de andere., Bijvoorbeeld, voor een financieel agentschap, vertrouwelijkheid van informatie is van het grootste belang, dus het zou waarschijnlijk versleutelen elk geclassificeerd document elektronisch worden overgedragen om te voorkomen dat onbevoegde mensen van het lezen van de inhoud. Aan de andere kant, organisaties zoals internet marktplaatsen zou ernstig worden beschadigd als hun netwerk waren uit de Commissie voor een langere periode, dus ze kunnen zich richten op strategieën voor het waarborgen van hoge beschikbaarheid Over zorgen over versleutelde gegevens.,

vertrouwelijkheid

vertrouwelijkheid houdt zich bezig met het voorkomen van ongeoorloofde toegang tot gevoelige informatie. De toegang kan opzettelijk zijn, zoals een indringer die inbreekt in het netwerk en de informatie leest, of het kan onbedoeld zijn, als gevolg van de onzorgvuldigheid of incompetentie van individuen die met de informatie omgaan. De twee belangrijkste manieren om vertrouwelijkheid te waarborgen zijn cryptografie en toegangscontrole.,

cryptografie

versleuteling helpt de organisatie te voldoen aan de behoefte om informatie te beveiligen tegen zowel onbedoelde openbaarmaking als interne en externe aanvalspogingen. De effectiviteit van een cryptografisch systeem bij het voorkomen van ongeautoriseerde decryptie wordt aangeduid als de sterkte. Een sterk cryptografisch systeem is moeilijk te kraken. Sterkte wordt ook uitgedrukt als arbeidsfactor, dat is een schatting van de hoeveelheid tijd en inspanning die nodig zou zijn om een systeem te breken.,

een systeem wordt als zwak beschouwd als het zwakke sleutels toestaat, defecten in het ontwerp heeft of gemakkelijk kan worden ontcijferd. Veel systemen die momenteel beschikbaar zijn, zijn meer dan toereikend voor zakelijk en persoonlijk gebruik, maar ze zijn ontoereikend voor gevoelige militaire of overheidstoepassingen. Cryptografie heeft symmetrische en asymmetrische algoritmen.

symmetrische algoritmen

symmetrische algoritmen vereisen dat zowel de afzender als de ontvanger van een versleuteld bericht dezelfde sleutel-en verwerkingsalgoritmen hebben., Symmetrische algoritmen genereren een symmetrische sleutel (soms een geheime sleutel of privé sleutel genoemd) die moet worden beschermd; als de sleutel verloren of gestolen wordt, wordt de beveiliging van het systeem in gevaar gebracht. Hier zijn enkele gemeenschappelijke standaarden voor symmetrische algoritmen:

  • Data Encryption Standard (DES). DES wordt al sinds het midden van de jaren 1970 gebruikt. jarenlang was het de primaire standaard die in de overheid en de industrie wordt gebruikt, maar het wordt nu beschouwd als onveilig vanwege de kleine sleutelgrootte — het genereert een 64-bits sleutel, maar acht van die bits zijn alleen voor foutcorrectie en slechts 56 bits zijn de werkelijke sleutel., Nu is AES de primaire standaard.
  • Triple-DES (3DES). 3DES is een technologische upgrade van DES. 3DES wordt nog steeds gebruikt, hoewel AES de voorkeur heeft voor overheidstoepassingen. 3DES is aanzienlijk moeilijker te breken dan veel andere systemen, en het is veiliger dan DES. Het verhoogt de sleutellengte tot 168 bits (met drie 56-bits DES-toetsen).
  • Advanced Encryption Standard (AES). AES heeft DES vervangen als de standaard die wordt gebruikt door Amerikaanse overheidsinstellingen. Het maakt gebruik van het Rijndael-algoritme, vernoemd naar de ontwikkelaars Joan Daemen en Vincent Rijmen., AES ondersteunt sleutelgroottes van 128, 192 en 256 bits, waarbij 128 bits de standaard zijn.
  • Ron ’s Cipher of Ron’ S Code (RC). RC is een encryptie familie geproduceerd door RSA laboratoria en vernoemd naar de auteur, Ron Rivest. De huidige niveaus zijn RC4, RC5 en RC6. RC5 gebruikt een sleutelgrootte van maximaal 2.048 bits; het wordt beschouwd als een sterk systeem. RC4 is populair met draadloze en WEP / WPA-encryptie. Het is een streaming cipher die werkt met sleutelgroottes tussen 40 en 2.048 bits, en het wordt gebruikt in SSL en TLS. Het is ook populair bij hulpprogramma ‘ s; ze gebruiken het voor het downloaden van torrent-bestanden., Veel providers beperken het downloaden van deze bestanden, maar het gebruik van RC4 om de header en de stream te verdoezelen maakt het moeilijker voor de serviceprovider om te beseffen dat het torrent-bestanden die worden verplaatst over.
  • Blowfish en Twofish. Blowfish is een encryptie-systeem uitgevonden door een team onder leiding van Bruce Schneier dat een 64-bit blok cipher uitvoert op zeer hoge snelheden. Het is een symmetrische blok cipher die variabele lengte toetsen kan gebruiken (van 32 bits tot 448 bits). Twofish is vrij vergelijkbaar, maar het werkt op 128-bit blokken. Het onderscheidende kenmerk is dat het een complex sleutelschema heeft.,
  • Internationaal Data-encryptie-algoritme (IDEA). IDEA is ontwikkeld door een Zwitsers consortium en gebruikt een 128-bit sleutel. Dit product is vergelijkbaar in snelheid en vermogen aan DES, maar het is veiliger. IDEA wordt gebruikt in Pretty Good Privacy (PGP), een publiek domein encryptie systeem veel mensen gebruiken voor e-mail.
  • eenmalige pads. Eenmalige pads zijn de enige echt volledig veilige cryptografische implementaties. Ze zijn zo veilig om twee redenen. Ten eerste gebruiken ze een sleutel die net zo lang is als een tekstbericht. Dit betekent dat er geen patroon in de key applicatie voor een aanvaller te gebruiken., Ten tweede worden eenmalige pad-toetsen slechts één keer gebruikt en vervolgens weggegooid. Dus zelfs als je een eenmalige code kon breken, zou diezelfde sleutel nooit meer gebruikt worden, dus kennis van de sleutel zou nutteloos zijn.

Asymmetrische algoritmen

Asymmetrische algoritmen gebruiken twee sleutels: een publieke sleutel en een private sleutel. De afzender gebruikt de publieke sleutel om een bericht te versleutelen, en de ontvanger gebruikt de private sleutel om het te ontcijferen. De publieke sleutel kan echt openbaar zijn of het kan een geheim zijn tussen de twee partijen. De private sleutel wordt echter privé gehouden; alleen de eigenaar (ontvanger) weet het., Als iemand u een versleuteld bericht wil sturen, kan hij uw publieke sleutel gebruiken om het bericht te versleutelen en u het bericht vervolgens te sturen. U kunt uw persoonlijke sleutel gebruiken om het bericht te decoderen. Als beide sleutels beschikbaar komen voor een derde partij, zal het coderingssysteem de privacy van het bericht niet beschermen. De echte “magie” van deze systemen is dat de publieke sleutel niet kan worden gebruikt om een bericht te ontcijferen. Als Bob Alice een bericht stuurt versleuteld met Alice ’s publieke sleutel, maakt het niet uit of iedereen op aarde Alice’ s publieke sleutel heeft, omdat die sleutel het bericht niet kan ontcijferen., Hier zijn enkele gemeenschappelijke standaarden voor asymmetrische algoritmen:

  • RSA. RSA is vernoemd naar zijn uitvinders, Ron Rivest, Adi Shamir en Leonard Adleman. Het RSA-algoritme is een vroeg public key-encryptie-systeem dat grote gehele getallen gebruikt als basis voor het proces. Het is op grote schaal geïmplementeerd, en het is een de facto standaard geworden. RSA werkt met zowel encryptie en digitale handtekeningen. RSA wordt gebruikt in veel omgevingen, waaronder Secure Sockets Layer (SSL), en het kan worden gebruikt voor sleuteluitwisseling.
  • Diffie-Hellman., Whitfield Diffie en Martin Hellman worden beschouwd als de grondleggers van het publieke/private sleutelconcept. Hun Diffie-Hellman algoritme wordt voornamelijk gebruikt om een gedeelde geheime sleutel te genereren over openbare netwerken. Het proces wordt niet gebruikt om berichten te versleutelen of te decoderen; het wordt alleen gebruikt voor het creëren van een symmetrische sleutel tussen twee partijen.
  • elliptische kromme cryptografie (EEC). ECC biedt functionaliteit vergelijkbaar met RSA, maar gebruikt kleinere sleutelgroottes om hetzelfde beveiligingsniveau te verkrijgen., ECC encryptie systemen zijn gebaseerd op het idee van het gebruik van punten op een curve gecombineerd met een punt op oneindigheid en de moeilijkheid van het oplossen van discrete logaritme problemen.

Toegangscontrole

versleuteling is een manier om vertrouwelijkheid te garanderen; een tweede methode is Toegangscontrole. Er zijn verschillende benaderingen van toegangscontrole die de vertrouwelijkheid bevorderen, elk met zijn eigen sterke en zwakke punten:

  • verplichte Toegangscontrole (Mac). In een MAC-omgeving zijn alle toegangsmogelijkheden vooraf gedefinieerd., Gebruikers kunnen geen informatie delen tenzij hun rechten om deze te delen zijn vastgesteld door beheerders. Daarom moeten beheerders alle wijzigingen aanbrengen die in dergelijke rechten moeten worden aangebracht. Dit proces dwingt een Star beveiligingsmodel af. Echter, het wordt ook beschouwd als de meest veilige cybersecurity model.
  • Discretionary Access Control (DAC). In een DAC-model kunnen gebruikers informatie dynamisch delen met andere gebruikers. De methode zorgt voor een meer flexibele omgeving, maar het verhoogt het risico van ongeoorloofde openbaarmaking van informatie., Beheerders hebben het moeilijker om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben tot gegevens.
  • Role-Based Access Control (RBAC). Rolgebaseerde Toegangscontrole implementeert toegangscontrole op basis van functie of verantwoordelijkheid. Elke medewerker heeft een of meer rollen die toegang geven tot specifieke informatie. Als een persoon van de ene rol naar de andere gaat, zal de toegang voor de vorige rol niet langer beschikbaar zijn. RBAC-modellen bieden meer flexibiliteit dan het MAC-model en minder flexibiliteit dan het DAC-model., Ze hebben echter wel het voordeel dat ze strikt gebaseerd zijn op functie in plaats van op individuele behoeften.
  • Rule-Based Access Control (RBAC). Op regels gebaseerde toegangscontrole maakt gebruik van de instellingen in vooraf geconfigureerd beveiligingsbeleid om beslissingen te nemen over toegang. Deze regels kunnen worden ingesteld op:
    • alles weigeren, maar degenen die specifiek in een lijst voorkomen (een lijst met toegang toestaan)
    • alleen degenen die specifiek in de lijst voorkomen (een echte Lijst met toegang weigeren)
  • items in de lijst kunnen gebruikersnamen, IP-adressen, hostnamen of zelfs domeinen zijn., Regelgebaseerde modellen worden vaak gebruikt in combinatie met rolgebaseerde modellen om de beste combinatie van veiligheid en flexibiliteit te bereiken.

    • attribuut-based access control (ABAC). ABAC is een relatief nieuwe methode voor toegangscontrole gedefinieerd in NIST 800-162, attribuut gebaseerde controle definitie en overwegingen., Het is een logische methode voor toegangscontrole waarbij de autorisatie om een reeks bewerkingen uit te voeren wordt bepaald door attributen die zijn gekoppeld aan de subject, het object, de gevraagde bewerkingen en, in sommige gevallen, de omgevingsomstandigheden te evalueren aan de hand van beveiligingsbeleid, – regels of-relaties die de toegestane bewerkingen voor een bepaalde reeks kenmerken beschrijven.
    • Smartcards worden over het algemeen gebruikt voor toegangscontrole en beveiliging. De kaart zelf bevat meestal een kleine hoeveelheid geheugen die kan worden gebruikt om machtigingen en toegang informatie op te slaan.,
    • een beveiligingstoken was oorspronkelijk een hardwareapparaat dat nodig was om toegang te krijgen, zoals een draadloze keycard of een sleutelhanger. Er zijn nu ook software-implementaties van tokens. Tokens bevatten vaak een digitaal certificaat dat wordt gebruikt om de gebruiker te authenticeren.,

    integriteit

    integriteit heeft drie doelen die helpen om gegevensbeveiliging te bereiken:

    • voorkomen dat informatie door niet — geautoriseerde gebruikers wordt gewijzigd
    • voorkomen dat informatie door niet-geautoriseerde gebruikers wordt gewijzigd
    • behoud van interne en externe consistentie:
      • interne consistentie-zorgt ervoor dat de gegevens intern consistent zijn., In een organisatiedatabase moet het totale aantal items dat eigendom is van een organisatie bijvoorbeeld gelijk zijn aan de som van dezelfde items die in de database worden weergegeven als die in het bezit zijn van elk element van de organisatie.
      • externe consistentie-zorgt ervoor dat de gegevens die zijn opgeslagen in de database consistent zijn met de echte wereld. Het totale aantal artikelen dat fysiek op de plank ligt, moet bijvoorbeeld overeenkomen met het totale aantal artikelen dat in de database wordt aangegeven.,

    verschillende versleutelingsmethoden kunnen helpen om integriteit te bereiken door de zekerheid te bieden dat een bericht niet werd gewijzigd tijdens de transmissie. Wijzigingen kunnen een bericht onbegrijpelijk maken of, erger nog, onnauwkeurig. Stel je de ernstige gevolgen voor als wijzigingen in medische dossiers of medicijnen niet werden ontdekt. Als er met een bericht wordt geknoeid, moet het versleutelingssysteem een mechanisme hebben om aan te geven dat het bericht beschadigd of gewijzigd is.

    Hashing

    integriteit kan ook worden geverifieerd met behulp van een hashing-algoritme., In wezen wordt een hash van het bericht gegenereerd en toegevoegd aan het einde van het bericht. De ontvangende partij berekent de hash van het bericht dat ze hebben ontvangen en vergelijkt het met de hash die ze hebben ontvangen. Als er iets verandert tijdens het transport, komen de hashes niet overeen.

    Hashing is een acceptabele integriteitscontrole voor veel situaties. Echter, als een onderscheppende partij een bericht opzettelijk wil wijzigen en het bericht niet versleuteld is, dan is een hash ineffectief., De onderscheppende partij kan bijvoorbeeld zien dat er een 160-bit hash aan het bericht is gekoppeld, wat suggereert dat het is gegenereerd met behulp van SHA-1 (die hieronder wordt besproken). Dan kan de interceptor gewoon het bericht naar wens wijzigen, de oorspronkelijke SHA-1 hash verwijderen en een hash herberekenen uit het gewijzigde bericht.

    hash-algoritmen

    de hashes die worden gebruikt om gegevens op te slaan, verschillen sterk van cryptografische hashes. In cryptografie moet een hash-functie drie kenmerken hebben:

  1. Het moet eenrichtingsverkeer zijn. Als je iets hasht, kun je het niet meer losmaken.,
  2. input met variabele lengte produceert output met vaste lengte. Of je nu twee karakters of twee miljoen hasht, de hashgrootte is hetzelfde.
  3. het algoritme moet weinig of geen botsingen hebben. Het hasheren van twee verschillende ingangen geeft niet dezelfde output.

Hier zijn hash-algoritmen en gerelateerde concepten waarmee u bekend zou moeten zijn:

  • Secure Hash Algorithm (SHA). Oorspronkelijk genaamd Keccak, SHA is ontworpen door Guido Bertoni, Joan Daemen, Michaël Peeters en Gilles Van Assche., SHA-1 is een eenrichtings hash die een 160-bit hash waarde biedt die kan worden gebruikt met een encryptie protocol. In 2016 werden problemen met SHA-1 ontdekt; nu wordt aanbevolen dat SHA-2 in plaats daarvan wordt gebruikt. SHA-2 kan 224, 256, 334 en 512 bit hashes produceren. Er zijn geen bekende problemen met SHA-2, dus het is nog steeds de meest gebruikte en aanbevolen hashing algoritme. SHA-3 werd gepubliceerd in 2012 en is breed toepasbaar, maar niet veel gebruikt. Dit is niet te wijten aan problemen met SHA-3, maar eerder aan het feit dat SHA-2 prima in orde is.
  • Message Digest Algorithm (MD)., MD is een andere eenrichtings hash die een hashwaarde creëert die gebruikt wordt om de integriteit te behouden. Er zijn verschillende versies van MD; de meest voorkomende zijn MD5, MD4 en MD2. MD5 is de nieuwste versie van het algoritme; het produceert een 128-bit hash. Hoewel het complexer is dan zijn MD-voorgangers en meer veiligheid biedt, heeft het geen sterke botsingsbestendigheid en wordt het daarom niet langer aanbevolen voor gebruik. SHA (2 of 3) zijn de aanbevolen alternatieven.
  • RACE Integrity Primitives Evaluation Message Digest (RIPEMD). RIPEMD was gebaseerd op MD4., Er waren vragen over de veiligheid, en het is vervangen door RIPEMD-160, die 160 bits gebruikt. Er zijn ook versies die 256 en 320 bits gebruiken (RIPEMD-256 en RIPEMD-320, respectievelijk).
  • GOST is een symmetrische cipher ontwikkeld in de oude Sovjet-Unie die is aangepast om te werken als een hash-functie. GOST verwerkt een bericht met variabele lengte in een uitvoer met vaste lengte van 256 bits.
  • voor de release van Windows NT gebruikten de besturingssystemen van Microsoft het LANMAN-protocol voor authenticatie., Terwijl LANMAN alleen functioneerde als een authenticatieprotocol, gebruikte hij LM Hash en twee des-sleutels. Het werd vervangen door de NT LAN Manager (NTLM) met de release van Windows NT.
  • Microsoft verving het LANMAN-protocol door NTLM (NT LAN Manager) met de release van Windows NT. NTLM maakt gebruik van MD4 / MD5 hashing algoritmen. Er bestaan verschillende versies van dit protocol (NTLMv1 en NTLMv2), en het wordt nog steeds wijdverbreid gebruikt ondanks het feit dat Microsoft Kerberos het voorkeursprotocol voor authenticatie heeft genoemd., Hoewel LANMAN en NTLM beide hashing gebruiken, worden ze voornamelijk gebruikt voor authenticatie.
  • een veelgebruikte methode voor het verifiëren van integriteit is het toevoegen van een message authentication code (Mac) aan het bericht. Een MAC wordt berekend met behulp van een symmetrische cipher in cipher block chaining mode (CBC), waarbij alleen het laatste blok wordt geproduceerd. In wezen wordt de output van de CBC gebruikt als de output van een hashing algoritme. Echter, in tegenstelling tot een hashing algoritme, de cipher vereist een symmetrische sleutel die wordt uitgewisseld tussen de twee partijen op voorhand.,
  • HMAC (hash-based message authentication code) gebruikt een hash-algoritme samen met een symmetrische sleutel. Zo komen bijvoorbeeld twee partijen overeen om een MD5 hash te gebruiken. Zodra de hash is berekend, is het uitsluitend OR ‘ D (XOR) met de digest, en die resulterende waarde is de HMAC.

Baseline

het vaststellen van een baseline (configuratie, baseline, systeem baseline, activity baseline) is een belangrijke strategie voor veilige netwerken. In wezen vindt u een basislijn die u als veilig beschouwt voor een bepaald systeem, computer, toepassing of dienst., Absoluut, absolute veiligheid is niet mogelijk — het doel is veilig genoeg, op basis van de beveiligingsbehoeften en risicobereidheid van uw organisatie. Elke verandering kan worden vergeleken met de basislijn om te zien of de verandering veilig genoeg is. Zodra een baseline is vastgesteld, is de volgende stap om het systeem te controleren om ervoor te zorgen dat het niet van die baseline is afgeweken. Dit proces wordt gedefinieerd als integriteitsmeting.

beschikbaarheid

beschikbaarheid zorgt ervoor dat de bevoegde gebruikers van een systeem tijdig en ononderbroken toegang hebben tot de informatie in het systeem en het netwerk., Hier zijn de methoden om beschikbaarheid te bereiken:

  • distributieve allocatie. Algemeen bekend als load balancing, distributive allocation maakt het mogelijk om de belasting te verdelen (bestandsaanvragen, gegevensroutering, enzovoort), zodat geen apparaat te zwaar wordt belast.
  • hoge beschikbaarheid (HA). High availability verwijst naar maatregelen die worden gebruikt om diensten en informatiesystemen operationeel te houden tijdens een storing. Het doel van HA is vaak om belangrijke diensten beschikbaar 99,999 procent van de tijd (bekend als “vijf negens” beschikbaarheid)., HA-strategieën omvatten redundantie en failover, die hieronder worden besproken.
  • redundantie. Redundantie heeft betrekking op systemen die worden gedupliceerd of bij een storing op andere systemen uitvallen. Failover verwijst naar het proces van het reconstrueren van een systeem of het overschakelen naar andere systemen wanneer een storing wordt gedetecteerd. In het geval van een server schakelt de server over naar een redundante server wanneer een fout wordt gedetecteerd. Met deze strategie kan de service ononderbroken doorgaan totdat de primaire server kan worden hersteld., In het geval van een netwerk betekent dit dat de verwerking Schakelt naar een ander netwerkpad in het geval van een netwerkfout in het primaire pad.
    Failover-systemen kunnen duur zijn om te implementeren. In een groot bedrijfsnetwerk of e-commerceomgeving kan een failover inhouden dat alle verwerking wordt overgeschakeld naar een externe locatie totdat uw primaire faciliteit operationeel is. De primaire site en de externe site zouden gegevens synchroniseren om ervoor te zorgen dat de informatie zo up-to-date mogelijk is.,
    veel besturingssystemen, zoals Linux, Windows Server en Novell Open Enterprise Server, zijn in staat om te clusteren om failover mogelijkheden te bieden. Clustering omvat meerdere systemen die coöperatief met elkaar zijn verbonden (wat load balancing biedt) en op een zodanige manier zijn genetwerkt dat als een van de systemen uitvalt, de andere systemen de speling opnemen en blijven werken. De totale capaciteit van het servercluster kan afnemen, maar het netwerk of de service blijft operationeel., Om de schoonheid van clustering te waarderen, overweeg dan het feit dat dit de technologie is waarop Google is gebouwd. Clustering stelt u niet alleen in staat om redundantie te hebben, maar biedt u ook de mogelijkheid om te schalen naarmate de vraag toeneemt.
    De meeste ISP ‘ s en netwerkproviders beschikken over uitgebreide interne failover-mogelijkheden om hoge beschikbaarheid aan clients te bieden. Zakelijke klanten en werknemers die geen toegang hebben tot informatie of diensten hebben de neiging om het vertrouwen te verliezen.
    de afweging voor betrouwbaarheid en betrouwbaarheid is natuurlijk kosten: Failover-systemen kunnen onbetaalbaar duur worden., U zult uw behoeften zorgvuldig moeten bestuderen om te bepalen of uw systeem deze mogelijkheid nodig heeft. Als uw omgeving bijvoorbeeld een hoge beschikbaarheid vereist, moeten uw servers geclusterd zijn. Hierdoor kunnen de andere servers in het netwerk de belasting opnemen als een van de servers in het cluster mislukt.
  • fouttolerantie. Fouttolerantie is het vermogen van een systeem om de werking te ondersteunen in geval van een storing van een onderdeel. Fouttolerante systemen kunnen blijven werken, ook al is een kritische component, zoals een disk drive, mislukt., Deze mogelijkheid omvat over-engineering van systemen door het toevoegen van redundante componenten en subsystemen om het risico van downtime te verminderen. Bijvoorbeeld, fouttolerantie kan worden ingebouwd in een server door het toevoegen van een tweede voeding, een tweede CPU en andere belangrijke componenten. De meeste fabrikanten (zoals HP, Sun en IBM) bieden fouttolerante servers aan; ze hebben meestal meerdere processors die automatisch falen als er een storing optreedt.
    er zijn twee belangrijke componenten van fouttolerantie die u nooit over het hoofd mag zien: reserveonderdelen en elektrische stroom., Reserveonderdelen moeten altijd direct beschikbaar zijn om een systeemkritisch onderdeel te repareren als het uitvalt. De redundantie strategie “N + 1” betekent dat je het aantal componenten hebt dat je nodig hebt, plus één om in elk systeem aan te sluiten als dat nodig is. Aangezien computersystemen niet kunnen werken bij afwezigheid van elektrische stroom, is het noodzakelijk dat fouttolerantie ook in uw elektrische infrastructuur wordt ingebouwd. Bij elke server en werkstation moet minimaal een uninterruptible power supply (UPS) met overspanningsbeveiliging worden meegeleverd., Dat UPS moet worden beoordeeld op de belasting die het naar verwachting zal dragen in het geval van een stroomuitval (factoring in de computer, monitor en alle andere apparaten aangesloten op het) en periodiek worden gecontroleerd als onderdeel van uw preventieve onderhoudsroutine om ervoor te zorgen dat de batterij is operationeel. U moet de batterij om de paar jaar vervangen om de UPS operationeel te houden.
    A UPS zal u toestaan om te blijven functioneren zonder stroom voor slechts een korte duur. Voor fouttolerantie in situaties van langere duur hebt u een back-upgenerator nodig., Back-upgeneratoren draaien op benzine, propaan, aardgas of diesel en genereren de elektriciteit die nodig is om een constante stroom te leveren. Hoewel sommige back-upgeneratoren direct kunnen worden ingeschakeld in het geval van een stroomstoring, nemen de meeste een korte tijd om op te warmen voordat ze consistente stroom kunnen leveren. Daarom zult u merken dat u nog steeds UPSs moet implementeren in uw organisatie.
  • redundante Array van onafhankelijke schijven (RAID). RAID is een technologie die meerdere schijven gebruikt om fouttolerantie te bieden., Er zijn verschillende RAID-niveaus: RAID 0( gestreepte schijven), RAID 1 (gespiegelde schijven), RAID 3 of 4 (gestreepte schijven met speciale pariteit), RAID 5 (gestreepte schijven met gedistribueerde pariteit), RAID 6 (gestreepte schijven met dubbele pariteit), RAID 1+0 (of 10) en RAID 0+1. U kunt er meer over lezen in deze lijst met best practices voor gegevensbeveiliging.
  • Disaster recovery (DR) plan. Een disaster recovery plan helpt een organisatie effectief te reageren wanneer een ramp zich voordoet. Rampen omvatten systeemstoringen, netwerkstoringen, infrastructuurstoringen en natuurrampen zoals orkanen en aardbevingen., Een DR-plan definieert methoden om diensten zo snel mogelijk te herstellen en de organisatie te beschermen tegen onaanvaardbare verliezen in geval van een ramp.
    in een kleinere organisatie kan een noodherstelplan relatief eenvoudig en eenvoudig zijn. In een grotere organisatie, het kan meerdere faciliteiten, corporate strategische plannen en hele afdelingen te betrekken.
    Een rampenherstelplan moet betrekking hebben op de toegang tot en opslag van informatie. Uw back-upplan voor gevoelige gegevens is een integraal onderdeel van dit proces.

F. A. Q.

Wat zijn de componenten van de CIA-triade?,

  • vertrouwelijkheid: systemen en gegevens zijn alleen toegankelijk voor geautoriseerde gebruikers.
  • integriteit: systemen en gegevens zijn nauwkeurig en volledig.
  • beschikbaarheid: systemen en gegevens zijn toegankelijk wanneer ze nodig zijn.

Waarom is de CIA-triade belangrijk voor gegevensbeveiliging?

het uiteindelijke doel van gegevensbeveiliging is het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid van kritieke en gevoelige gegevens. Het toepassen van de principes van de CIA triad helpt organisaties een effectief beveiligingsprogramma te creëren om hun waardevolle activa te beschermen.,

Hoe kan de CIA-triade worden toegepast in Risicobeheer?

tijdens risicobeoordelingen meten organisaties de risico ‘ s, bedreigingen en kwetsbaarheden die de vertrouwelijkheid, integriteit en beschikbaarheid van hun systemen en gegevens in gevaar kunnen brengen. Door beveiligingscontroles te implementeren om deze risico ‘ s te beperken, voldoen ze aan een of meer van de kernprincipes van de CIA-triad.

Hoe kan de vertrouwelijkheid van gegevens worden aangetast?

vertrouwelijkheid vereist het voorkomen van ongeoorloofde toegang tot gevoelige informatie., De toegang kan opzettelijk zijn, zoals een indringer die inbreekt in het netwerk en de informatie leest, of het kan onbedoeld zijn, als gevolg van de onzorgvuldigheid of incompetentie van individuen die met de informatie omgaan.

welke maatregelen kunnen ertoe bijdragen dat de vertrouwelijkheid van gegevens wordt gewaarborgd?

een van de beste praktijken voor de bescherming van de vertrouwelijkheid van gegevens is het versleutelen van alle gevoelige en gereguleerde gegevens. Niemand kan de inhoud van een versleuteld document lezen tenzij ze de decryptie sleutel hebben, dus encryptie beschermt tegen zowel kwaadaardige als toevallige compromissen van vertrouwelijkheid.,

Hoe kan de integriteit van gegevens worden aangetast?

integriteit van gegevens kan worden aangetast door menselijke fouten en cyberaanvallen zoals destructieve malware en ransomware.

welke maatregelen kunnen helpen om gegevensintegriteit te behouden?,

om de gegevensintegriteit te behouden, moet u:

  • voorkomen dat gegevens door onbevoegde gebruikers worden gewijzigd
  • voorkomen dat ongeautoriseerde of onbedoelde wijzigingen in gegevens door geautoriseerde gebruikers
  • zorgen voor de nauwkeurigheid en consistentie van gegevens door middel van processen zoals foutcontrole en gegevensvalidatie

een waardevolle Best practice voor het waarborgen van de nauwkeurigheid van gegevens is file integrity monitoring (FIM)., FIM helpt organisaties onjuiste wijzigingen in kritieke bestanden op hun systemen te detecteren door alle pogingen om bestanden en mappen met gevoelige informatie te openen of te wijzigen te controleren en te controleren of deze acties geautoriseerd zijn.

Hoe kan de beschikbaarheid van gegevens in het gedrang komen?

bedreigingen voor de beschikbaarheid omvatten infrastructuurstoringen zoals netwerk-of hardwareproblemen; ongeplande software-downtime; infrastructuuroverbelasting; stroomuitval; en cyberaanvallen zoals DDoS-of ransomware-aanvallen.

welke maatregelen kunnen helpen om de beschikbaarheid van gegevens te behouden?,

Het is belangrijk om beveiligingen tegen onderbrekingen in te zetten voor alle systemen die continue uptime vereisen. Opties zijn hardware redundantie, failover, clustering en routinematige back-ups die zijn opgeslagen op een geografisch gescheiden locatie. Daarnaast is het cruciaal om een uitgebreid noodherstelplan te ontwikkelen en te testen.

product Evangelist bij Netwrix Corporation, schrijver en presentator. Ryan is gespecialiseerd in het evangeliseren van cybersecurity en het bevorderen van het belang van zichtbaarheid in it-veranderingen en toegang tot gegevens., Als auteur richt Ryan zich op trends in IT-beveiliging, enquêtes en inzichten uit de branche.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Spring naar toolbar