Articles
admin
25 grudnia, 2020
No Comments

TRIADA CIA i jej zastosowanie w świecie rzeczywistym

czym jest triada CIA?

bezpieczeństwo informacji obraca się wokół trzech kluczowych zasad: poufności, integralności i dostępności (CIA). W zależności od środowiska, zastosowania, kontekstu lub przypadku użycia, jedna z tych zasad może być ważniejsza niż pozostałe., Na przykład dla agencji finansowej poufność informacji jest najważniejsza, więc prawdopodobnie zaszyfrowałaby wszelkie niejawne dokumenty przesyłane elektronicznie, aby uniemożliwić nieautoryzowanym osobom czytanie ich treści. Z drugiej strony, organizacje takie jak internet marketplaces zostałyby poważnie uszkodzone, gdyby ich sieć nie działała przez dłuższy czas, więc mogłyby skupić się na strategiach zapewnienia wysokiej dostępności w przypadku obaw dotyczących zaszyfrowanych danych.,


poufność

poufność dotyczy zapobiegania nieautoryzowanemu dostępowi do poufnych informacji. Dostęp może być zamierzony, na przykład Intruz włamujący się do sieci i odczytujący informacje, lub może być niezamierzony z powodu niedbałości lub niekompetencji osób zajmujących się informacjami. Dwa główne sposoby zapewnienia poufności to kryptografia i Kontrola dostępu.,

Kryptografia

Szyfrowanie pomaga organizacji zaspokoić potrzebę zabezpieczenia informacji zarówno przed przypadkowym ujawnieniem, jak i wewnętrznymi i zewnętrznymi próbami ataku. Skuteczność systemu kryptograficznego w zapobieganiu nieautoryzowanemu deszyfrowaniu jest określana jako jego siła. Silny system kryptograficzny jest trudny do złamania. Siła jest również wyrażana jako czynnik pracy, który jest oszacowaniem ilości czasu i wysiłku, które byłyby konieczne do złamania systemu.,

system jest uważany za słaby, jeśli pozwala na słabe klucze, ma wady w swojej konstrukcji lub jest łatwy do odszyfrowania. Wiele dostępnych obecnie systemów jest bardziej niż adekwatnych do użytku biznesowego i osobistego, ale są one niewystarczające do wrażliwych zastosowań wojskowych lub rządowych. Kryptografia posiada algorytmy symetryczne i asymetryczne.

algorytmy symetryczne

algorytmy symetryczne wymagają, aby zarówno nadawca, jak i odbiorca zaszyfrowanej wiadomości miały te same algorytmy klucza i przetwarzania., Algorytmy symetryczne generują klucz symetryczny (czasami nazywany kluczem tajnym lub kluczem prywatnym), który musi być chroniony; jeśli klucz zostanie zgubiony lub skradziony, bezpieczeństwo systemu jest zagrożone. Oto niektóre z popularnych standardów algorytmów symetrycznych:

  • Data Encryption Standard (DES). DES jest używany od połowy lat 70. przez lata był podstawowym standardem używanym w administracji i przemyśle, ale obecnie jest uważany za niebezpieczny ze względu na mały rozmiar klucza-generuje klucz 64-bitowy, ale osiem z tych bitów służy tylko do korekcji błędów i tylko 56 bitów jest rzeczywistym kluczem., Teraz AES jest podstawowym standardem.
  • Triple-DES (3DES). 3DES jest technologicznym ulepszeniem DES. 3DES jest nadal używany, mimo że AES jest preferowanym wyborem dla aplikacji rządowych. 3DES jest znacznie trudniejszy do złamania niż wiele innych systemów i jest bezpieczniejszy niż DES. Zwiększa długość klucza do 168 bitów (przy użyciu trzech 56-bitowych kluczy DES).
  • Advanced Encryption Standard (AES). AES zastąpił DES jako standard używany przez amerykańskie agencje rządowe. Wykorzystuje algorytm Rijndaela, nazwany na cześć jego twórców, Joan Daemen i Vincenta Rijmena., AES obsługuje klucze o rozmiarach 128, 192 i 256 bitów, przy czym 128 bitów jest domyślne.
  • szyfr Rona lub kod Rona (RC). RC to rodzina szyfrowania Wyprodukowana przez RSA laboratories i nazwana na cześć jej autora, Rona Rivesta. Obecne poziomy to RC4, RC5 i RC6. RC5 wykorzystuje rozmiar klucza do 2048 bitów; jest uważany za silny system. RC4 jest popularny z szyfrowaniem bezprzewodowym i WEP/WPA. Jest to szyfr strumieniowy, który działa z kluczami o rozmiarach od 40 do 2048 bitów i jest używany w SSL i TLS. Jest również popularny wśród narzędzi; używają go do pobierania plików torrent., Wielu dostawców ogranicza pobieranie tych plików, ale używanie RC4 do zaciemniania nagłówka i strumienia utrudnia usługodawcy uświadomienie sobie, że są to pliki torrentowe, które są przenoszone.
  • Blowfish i Twofish. Blowfish to system szyfrowania wymyślony przez zespół kierowany przez Bruce ' a Schneiera, który wykonuje 64-bitowy szyfr blokowy z bardzo dużą prędkością. Jest to symetryczny szyfr blokowy, który może używać kluczy o zmiennej długości (od 32 bitów do 448 bitów). Twofish jest dość podobny, ale działa na 128-bitowych blokach. Jego cechą charakterystyczną jest to, że ma złożony harmonogram kluczy.,
  • Międzynarodowy algorytm szyfrowania danych (IDEA). IDEA została opracowana przez szwajcarskie konsorcjum i wykorzystuje 128-bitowy klucz. Ten produkt jest podobny pod względem szybkości i możliwości do DES, ale jest bardziej bezpieczny. IDEA jest używana w Pretty Good Privacy (PGP), systemie szyfrowania domeny publicznej, którego wiele osób używa do poczty e-mail.
  • podkładki jednorazowe. Pady jednorazowe są jedynymi naprawdę całkowicie bezpiecznymi implementacjami kryptograficznymi. Są tak bezpieczne z dwóch powodów. Po pierwsze, używają klucza, który jest tak długi, jak zwykła wiadomość tekstowa. Oznacza to, że w aplikacji klucza nie ma wzorca, którego mógłby użyć atakujący., Po drugie, jednorazowe klawisze pad są używane tylko raz, a następnie odrzucane. Więc nawet gdybyś mógł złamać jednorazowy szyfr pad, ten sam klucz nigdy nie zostałby użyty ponownie, więc znajomość klucza byłaby bezużyteczna.

algorytmy asymetryczne

algorytmy asymetryczne używają dwóch kluczy: klucza publicznego i klucza prywatnego. Nadawca używa klucza publicznego do szyfrowania wiadomości, a odbiorca używa klucza prywatnego do jej odszyfrowania. Klucz publiczny może być naprawdę publiczny lub może być tajemnicą między obiema stronami. Klucz prywatny jest jednak przechowywany w tajemnicy; zna go tylko właściciel (odbiorca)., Jeśli ktoś chce wysłać Ci zaszyfrowaną wiadomość, może użyć Twojego klucza publicznego, aby zaszyfrować wiadomość, a następnie wysłać Ci wiadomość. Możesz użyć klucza prywatnego do odszyfrowania wiadomości. Jeśli oba klucze staną się dostępne dla osób trzecich, system szyfrowania nie ochroni prywatności wiadomości. Prawdziwa „magia” tych systemów polega na tym, że klucz publiczny nie może być użyty do odszyfrowania wiadomości. Jeśli Bob wysyła Alicji wiadomość zaszyfrowaną kluczem publicznym Alicji, nie ma znaczenia, czy wszyscy inni na ziemi mają klucz publiczny Alicji, ponieważ ten klucz nie może odszyfrować wiadomości., Oto niektóre z popularnych standardów algorytmów asymetrycznych:

  • RSA. Nazwa RSA pochodzi od nazwiska jej wynalazców, Rona Rivesta, Adiego Shamira i Leonarda Adlemana. Algorytm RSA jest wczesnym systemem szyfrowania klucza publicznego, który wykorzystuje duże liczby całkowite jako podstawę procesu. Jest szeroko zaimplementowany i stał się de facto standardem. RSA działa zarówno z szyfrowaniem, jak i podpisami cyfrowymi. RSA jest używany w wielu środowiskach, w tym Secure Sockets Layer (SSL) i może być używany do wymiany kluczy.
  • Diffie-Hellman., Whitfield Diffie i Martin Hellman są uważani za założycieli koncepcji klucza publicznego/prywatnego. Ich algorytm Diffiego-Hellmana jest używany głównie do generowania wspólnego klucza tajnego w sieciach publicznych. Proces ten nie jest używany do szyfrowania lub deszyfrowania wiadomości; jest używany jedynie do tworzenia symetrycznego klucza między dwiema stronami.
  • Kryptografia krzywej eliptycznej (EEC). ECC zapewnia funkcjonalność podobną do RSA, ale używa mniejszych rozmiarów kluczy, aby uzyskać ten sam poziom bezpieczeństwa., Systemy szyfrowania ECC opierają się na idei wykorzystania punktów na krzywej połączonej z punktem w nieskończoności oraz trudności w rozwiązywaniu problemów logarytmu dyskretnego.

Kontrola dostępu

szyfrowanie jest jednym ze sposobów zapewnienia poufności; drugą metodą jest kontrola dostępu. Istnieje kilka metod kontroli dostępu, które pomagają w zachowaniu poufności, każdy z własnymi mocnymi i słabymi stronami:

  • obowiązkowa kontrola dostępu (MAC). W środowisku MAC wszystkie możliwości dostępu są predefiniowane., Użytkownicy nie mogą udostępniać informacji, chyba że ich prawa do udostępniania są ustalone przez administratorów. W związku z tym administratorzy muszą wprowadzić wszelkie zmiany w tych prawach. Proces ten wymusza sztywny model bezpieczeństwa. Jest jednak również uważany za najbezpieczniejszy model cyberbezpieczeństwa.
  • W modelu DAC użytkownicy mogą dzielić się informacjami dynamicznie z innymi użytkownikami. Metoda pozwala na bardziej elastyczne środowisko, ale zwiększa ryzyko nieautoryzowanego ujawnienia informacji., Administratorzy mają trudniejszy czas, aby tylko odpowiedni użytkownicy mieli dostęp do danych.
  • Kontrola dostępu oparta na rolach (RBAC). Kontrola dostępu oparta na rolach wdraża kontrolę dostępu opartą na funkcji zadania lub odpowiedzialności. Każdy pracownik ma jedną lub więcej ról, które umożliwiają dostęp do określonych informacji. Jeśli dana osoba przechodzi z jednej roli do drugiej, dostęp do poprzedniej roli nie będzie już dostępny. Modele RBAC zapewniają większą elastyczność niż MODEL MAC i mniejszą elastyczność niż model DAC., Mają jednak tę zaletę, że są ściśle oparte na funkcji pracy, w przeciwieństwie do indywidualnych potrzeb.
  • Kontrola dostępu oparta na regułach (RBAC). Kontrola dostępu oparta na regułach wykorzystuje ustawienia wstępnie skonfigurowanych zasad bezpieczeństwa do podejmowania decyzji o dostępie. Reguły te można skonfigurować tak:
    • Zaprzecz wszystkim oprócz tych, którzy konkretnie pojawiają się na liście (Lista Zezwalaj na dostęp)
    • Zaprzecz tylko tym, którzy konkretnie pojawiają się na liście (Lista Zezwalaj na dostęp)

wpisy na liście mogą być nazwami użytkowników, adresami IP, nazwami hostów, a nawet domenami., Modele oparte na regułach są często używane w połączeniu z modelami opartymi na rolach, aby osiągnąć najlepsze połączenie bezpieczeństwa i elastyczności.

  • atrybut-based access control (ABAC). ABAC to stosunkowo nowa metoda kontroli dostępu zdefiniowana w NIST 800-162, definicja kontroli opartej na atrybutach i rozważania., Jest to logiczna metodologia kontroli dostępu, w której autoryzacja do wykonania zestawu operacji jest określana przez ocenę atrybutów związanych z podmiotem, obiektem, żądanymi operacjami i, w niektórych przypadkach, warunkami środowiskowymi wobec polityki bezpieczeństwa, reguł lub relacji opisujących dopuszczalne operacje dla danego zestawu atrybutów.
  • Smartcards są zwykle używane do kontroli dostępu i celów bezpieczeństwa. Sama karta zwykle zawiera niewielką ilość pamięci, która może być używana do przechowywania uprawnień i informacji dostępowych.,
  • token bezpieczeństwa był pierwotnie urządzeniem sprzętowym wymaganym do uzyskania dostępu, takim jak bezprzewodowa karta kluczowa lub brelok do kluczy. Obecnie istnieją również implementacje oprogramowania tokenów. Tokeny często zawierają certyfikat cyfrowy, który jest używany do uwierzytelniania użytkownika.,

integralność

integralność ma trzy cele, które pomagają osiągnąć bezpieczeństwo danych:

  • zapobieganie modyfikacji informacji przez nieautoryzowanych użytkowników
  • zapobieganie nieautoryzowanej lub niezamierzonej modyfikacji informacji przez autoryzowanych użytkowników
  • zachowanie wewnętrznej i zewnętrznej spójności:
    • wewnętrzna spójność — zapewnia wewnętrzną spójność danych., Na przykład w organizacyjnej bazie danych całkowita liczba pozycji należących do organizacji musi być równa sumie tych samych pozycji pokazanych w bazie danych, które znajdują się w posiadaniu każdego elementu organizacji.
    • spójność zewnętrzna-zapewnia, że dane przechowywane w bazie danych są zgodne ze światem rzeczywistym. Na przykład całkowita liczba pozycji fizycznie znajdujących się na półce musi odpowiadać całkowitej liczbie pozycji wskazanej przez bazę danych.,

różne metody szyfrowania mogą pomóc w osiągnięciu integralności, zapewniając pewność, że wiadomość nie została zmodyfikowana podczas transmisji. Modyfikacja może sprawić, że wiadomość będzie niezrozumiała lub, co gorsza, niedokładna. Wyobraź sobie poważne konsekwencje, jeśli zmiany w dokumentacji medycznej lub recepty na leki nie zostały odkryte. Jeśli wiadomość została naruszona, system szyfrowania powinien mieć mechanizm wskazujący, że wiadomość została uszkodzona lub zmieniona.

hashowanie

integralność można również zweryfikować za pomocą algorytmu haszującego., Zasadniczo, hash wiadomości jest generowany i dołączany do końca wiadomości. Strona otrzymująca oblicza hash otrzymanej wiadomości i porównuje ją z otrzymanym Hashem. Jeśli coś ulegnie zmianie podczas transportu, hasze nie będą pasować.

Hasowanie jest akceptowalnym sprawdzaniem integralności w wielu sytuacjach. Jeśli jednak strona przechwytująca chce celowo zmienić wiadomość, a wiadomość nie jest zaszyfrowana, hash jest nieskuteczny., Strona przechwytywająca może na przykład zobaczyć, że do wiadomości dołączony jest 160-bitowy hash, co sugeruje, że został on wygenerowany przy użyciu SHA-1 (co jest omówione poniżej). Następnie interceptor może po prostu zmienić wiadomość według własnego uznania, usunąć oryginalny hash SHA-1 i ponownie obliczyć hash ze zmienionej wiadomości.

algorytmy haszujące

skróty używane do przechowywania danych bardzo różnią się od skrótów kryptograficznych. W kryptografii funkcja hash musi mieć trzy cechy:

  1. musi być jednokierunkowa. Kiedy coś haszysz, nie możesz tego odkręcić.,
  2. wejście o zmiennej długości generuje wyjście o stałej długości. Niezależnie od tego, czy hashujesz dwa znaki, czy dwa miliony, rozmiar hasha jest taki sam.
  3. algorytm musi mieć kilka lub żadnych kolizji. Hashowanie dwóch różnych wejść nie daje tego samego wyjścia.

oto algorytmy haszujące i powiązane pojęcia, które powinieneś znać:

  • Secure Hash Algorithm (SHA). Pierwotnie nazwany Keccak, SHA został zaprojektowany przez Guido Bertoni, Joan Daemen, Michaël Peeters i Gilles Van Assche., SHA – 1 jest jednokierunkowym skrótem, który zapewnia 160-bitową wartość skrótu, która może być używana z protokołem szyfrowania. W 2016 roku wykryto problemy z SHA-1; teraz zaleca się użycie SHA-2. SHA-2 może wytwarzać 224, 256, 334 i 512 bitowe skróty. Nie ma znanych problemów z SHA-2, więc nadal jest to najczęściej używany i zalecany algorytm haszujący. SHA-3 został opublikowany w 2012 roku i jest szeroko stosowany, ale nie jest szeroko stosowany. Nie wynika to z żadnych problemów z SHA-3, ale raczej z faktu, że SHA-2 jest całkowicie w porządku.
  • Message Digest Algorithm (MD)., MD to kolejny jednokierunkowy hash, który tworzy wartość hash używaną do utrzymania integralności. Istnieje kilka wersji MD; najczęściej są MD5, MD4 i MD2. MD5 jest najnowszą wersją algorytmu; generuje on 128-bitowy hash. Chociaż jest bardziej złożony niż jego poprzednicy MD i oferuje większe bezpieczeństwo, nie ma dużej odporności na kolizje, a zatem nie jest już zalecany do użytku. SHA (2 lub 3) są zalecane alternatywy.
  • integralność rasy Primitives Evaluation Message Digest (RIPEMD). RIPEMD bazował na MD4., Pojawiły się pytania dotyczące jego bezpieczeństwa i został zastąpiony przez RIPEMD-160, który wykorzystuje 160 bitów. Istnieją również wersje, które używają 256 i 320 bitów (odpowiednio RIPEMD-256 i RIPEMD-320).
  • GOST to symetryczny szyfr opracowany w starym Związku Radzieckim, który został zmodyfikowany tak, aby działał jako funkcja skrótu. GOST przetwarza wiadomość o zmiennej długości na wyjście o stałej długości 256 bitów.
  • przed wydaniem Windows NT, systemy operacyjne Microsoft używały protokołu LANMAN do uwierzytelniania., Funkcjonując tylko jako protokół uwierzytelniania, LANMAN używał skrótu LM i dwóch kluczy DES. Został zastąpiony przez NT LAN Manager (NTLM) wraz z wydaniem Windows NT.
  • Microsoft zastąpił protokół LANMAN NTLM (NT Lan Manager) wydaniem Windows NT. NTLM wykorzystuje algorytmy haszujące MD4/MD5. Istnieje kilka wersji tego protokołu (NTLMv1 i NTLMv2) i nadal jest on powszechnie używany, pomimo faktu, że Microsoft nazwał Kerberos preferowanym protokołem uwierzytelniania., Chociaż zarówno LANMAN, jak i NTLM używają hashowania, są one używane głównie do celów uwierzytelniania.
  • popularna metoda weryfikacji integralności polega na dodaniu do wiadomości kodu uwierzytelniającego (MAC). MAC jest obliczany za pomocą szyfru symetrycznego w trybie CBC (cipher block chaining mode), przy czym wytwarzany jest tylko ostatni blok. Zasadniczo, wyjście CBC jest używane jak wyjście algorytmu haszującego. Jednak w przeciwieństwie do algorytmu haszującego, szyfr wymaga symetrycznego klucza, który jest wymieniany między obiema stronami z wyprzedzeniem.,
  • HMAC (hash-based message authentication code) używa algorytmu hashującego wraz z kluczem symetrycznym. Tak więc, na przykład, dwie strony zgadzają się używać skrótu MD5. Po obliczeniu hash jest on wyłącznie OR ' D (XOR) z digestem, a wartością wynikową jest HMAC.

Linia bazowa

ustanowienie linii bazowej (konfiguracja, linia bazowa, linia bazowa systemów, linia bazowa aktywności)jest ważną strategią bezpiecznej sieci. Zasadniczo znajdujesz linię bazową, którą uważasz za bezpieczną dla danego systemu, komputera, aplikacji lub usługi., Oczywiście absolutne bezpieczeństwo nie jest możliwe — cel jest wystarczająco bezpieczny, w oparciu o potrzeby bezpieczeństwa organizacji i apetyt na ryzyko. Każda zmiana może być porównana z linią bazową, aby sprawdzić, czy zmiana jest wystarczająco bezpieczna. Po zdefiniowaniu punktu odniesienia następnym krokiem jest monitorowanie systemu, aby upewnić się, że nie odbiegł on od tego punktu odniesienia. Proces ten jest zdefiniowany jako pomiar integralności.

dostępność

dostępność zapewnia, że autoryzowani użytkownicy systemu mają terminowy i nieprzerwany dostęp do informacji w systemie i sieci., Oto metody osiągnięcia dostępności:

  • alokacja dystrybucyjna. Powszechnie znany jako load balancing, distributive allocation pozwala na dystrybucję obciążenia (żądania plików, routing danych itp.) tak, że żadne urządzenie nie jest zbyt obciążone.
  • wysoka dostępność (HA). Wysoka dostępność odnosi się do środków, które są wykorzystywane do utrzymania działania usług i systemów informatycznych podczas awarii. Celem HA jest często dostępność kluczowych usług przez 99,999 procent czasu (znany jako dostępność „five nines”)., Strategie HA obejmują redundancję i przełączanie awaryjne, które są omówione poniżej.
  • Redundancja odnosi się do systemów, które są powielane lub zawieszają się do innych systemów w przypadku awarii. Przełączanie awaryjne odnosi się do procesu rekonstrukcji systemu lub przełączania się na inne systemy w przypadku wykrycia awarii. W przypadku serwera serwer przełącza się na redundantny serwer po wykryciu usterki. Ta strategia pozwala na nieprzerwane działanie serwisu, dopóki serwer główny nie zostanie przywrócony., W przypadku sieci oznacza to przetwarzanie przełączników na inną ścieżkę sieciową w przypadku awarii sieci na ścieżce głównej.
    systemy awaryjne mogą być kosztowne w implementacji. W dużej sieci korporacyjnej lub środowisku e-commerce przełączanie awaryjne może wiązać się z przełączeniem całego przetwarzania do zdalnej lokalizacji, dopóki Główny obiekt nie będzie operacyjny. Strona główna i strona zdalna synchronizowałyby dane, aby zapewnić, że informacje są jak najbardziej aktualne.,
    wiele systemów operacyjnych, takich jak Linux, Windows Server i Novell Open Enterprise Server, jest zdolnych do klastrowania w celu zapewnienia możliwości przełączania awaryjnego. Klastrowanie obejmuje wiele systemów połączonych ze sobą kooperatywnie (co zapewnia równoważenie obciążenia) i połączonych w sieć w taki sposób, że jeśli którykolwiek z systemów ulegnie awarii, inne systemy przejmują Luz i nadal działają. Ogólna zdolność klastra serwerów może się zmniejszyć, ale sieć lub usługa pozostaną operacyjne., Aby docenić piękno klastrowania, kontempluj fakt, że jest to technologia, na której opiera się Google. Klastrowanie nie tylko pozwala na redundancję, ale także oferuje możliwość skalowania w miarę wzrostu popytu.
    większość dostawców usług internetowych i sieci ma rozbudowaną wewnętrzną funkcję przełączania awaryjnego, aby zapewnić klientom wysoką dostępność. Klienci biznesowi i pracownicy, którzy nie mają dostępu do informacji lub usług, zazwyczaj tracą zaufanie.
    kompromis na niezawodność i wiarygodność to oczywiście koszt: Systemy przełączania awaryjnego mogą stać się zbyt drogie., Musisz dokładnie przestudiować swoje potrzeby, aby określić, czy Twój system wymaga tej możliwości. Na przykład, jeśli twoje środowisko wymaga wysokiego poziomu dostępności, twoje serwery powinny zostać zgrupowane. Pozwoli to innym serwerom w sieci na przejęcie obciążenia, jeśli jeden z serwerów w klastrze ulegnie awarii.
  • tolerancja błędów. Tolerancja błędów to zdolność systemu do utrzymania pracy w przypadku awarii komponentu. Systemy odporne na awarie mogą nadal działać, nawet jeśli uszkodzony został kluczowy komponent, taki jak dysk twardy., Ta zdolność obejmuje systemy nadmiarowe poprzez dodanie redundantnych komponentów i podsystemów w celu zmniejszenia ryzyka przestojów. Na przykład tolerancja błędów może być wbudowana w serwer, dodając drugi zasilacz, drugi procesor i inne kluczowe komponenty. Większość producentów (takich jak HP, Sun i IBM) oferuje serwery odporne na awarie; zazwyczaj mają wiele procesorów, które automatycznie ulegają awarii w przypadku wystąpienia usterki.
    istnieją dwa kluczowe elementy tolerancji błędów, których nigdy nie należy pomijać: części zamienne i moc elektryczna., Części zamienne powinny być zawsze łatwo dostępne do naprawy każdego elementu krytycznego dla systemu, jeśli ulegnie awarii. Strategia redundancji „N + 1” oznacza, że masz potrzebną liczbę komponentów, plus jeden do podłączenia do dowolnego systemu, jeśli będzie to potrzebne. Ponieważ systemy komputerowe nie mogą działać w przypadku braku energii elektrycznej, konieczne jest, aby tolerancja błędów została wbudowana w infrastrukturę elektryczną. Zasilacz awaryjny (UPS) z zabezpieczeniem przeciwprzepięciowym powinien towarzyszyć każdemu serwerowi i stacji roboczej., UPS powinien być oceniany pod kątem obciążenia, jakie powinien przenosić w przypadku awarii zasilania (faktoring w komputerze, monitorze i innych podłączonych do niego urządzeniach) i być okresowo sprawdzany w ramach rutynowej konserwacji zapobiegawczej, aby upewnić się, że bateria działa. Aby zasilacz UPS działał, należy wymieniać akumulator co kilka lat.
    UPS pozwoli ci nadal funkcjonować w przypadku braku zasilania tylko przez krótki czas. Aby uzyskać tolerancję błędów w sytuacjach dłuższych, potrzebujesz zapasowego generatora., Generatory awaryjne pracują na benzynie, propanie, gazie ziemnym lub oleju napędowym i wytwarzają energię elektryczną potrzebną do zapewnienia stałej mocy. Chociaż niektóre Generatory zapasowe mogą włączyć się natychmiast w przypadku awarii zasilania, większość z nich wymaga krótkiego czasu, aby się rozgrzać, zanim będą mogły zapewnić stałą moc. Dlatego przekonasz się, że nadal musisz wdrożyć zasilacze UPS w swojej organizacji.
  • redundantna tablica niezależnych dysków (RAID). RAID to technologia, która wykorzystuje wiele dysków w celu zapewnienia tolerancji błędów., Istnieje kilka poziomów RAID: RAID 0 (dyski w paski), RAID 1 (dyski lustrzane), RAID 3 lub 4( dyski w paski z dedykowanym parytetem), RAID 5 (dyski w paski z rozproszonym parytetem), RAID 6 (dyski w paski z podwójnym parytetem), RAID 1+0 (lub 10) i RAID 0+1. Więcej na ich temat można przeczytać na tej liście najlepszych praktyk w zakresie bezpieczeństwa danych.
  • Plan Disaster recovery (DR). Plan odzyskiwania po awarii pomaga organizacji skutecznie reagować w przypadku wystąpienia katastrofy. Katastrofy obejmują awarie systemów, awarie sieci, awarie infrastruktury i klęski żywiołowe, takie jak huragany i trzęsienia ziemi., Plan DR określa metody przywracania usług tak szybko, jak to możliwe i chroni organizację przed niedopuszczalnymi stratami w przypadku katastrofy.
    w mniejszej organizacji plan odzyskiwania po awarii może być stosunkowo prosty i prosty. W większej organizacji może obejmować wiele obiektów, korporacyjnych planów strategicznych i całych działów.
    plan naprawy powypadkowej powinien dotyczyć dostępu do informacji i ich przechowywania. Plan tworzenia kopii zapasowych wrażliwych danych jest integralną częścią tego procesu.

F. A. Q.

jakie są składniki triady CIA?,

  • poufność: systemy i dane są dostępne tylko dla upoważnionych Użytkowników.
  • integralność: systemy i dane są dokładne i kompletne.
  • dostępność: systemy i dane są dostępne, gdy są potrzebne.

dlaczego Triada CIA jest ważna dla bezpieczeństwa danych?

ostatecznym celem bezpieczeństwa danych jest zapewnienie poufności, integralności i dostępności danych krytycznych i wrażliwych. Stosowanie zasad triady CIA pomaga organizacjom stworzyć skuteczny program bezpieczeństwa w celu ochrony ich cennych aktywów.,

Jak można zastosować triadę CIA w zarządzaniu ryzykiem?

podczas oceny ryzyka organizacje mierzą ryzyko, zagrożenia i luki w zabezpieczeniach, które mogą zagrozić poufności, integralności i dostępności swoich systemów i danych. Wdrażając środki kontroli bezpieczeństwa w celu ograniczenia tego ryzyka, spełniają one jedną lub więcej podstawowych zasad triady CIA.

W Jaki Sposób można zagrozić poufności danych?

poufność wymaga zapobiegania nieautoryzowanemu dostępowi do poufnych informacji., Dostęp może być zamierzony, na przykład Intruz włamujący się do sieci i odczytujący informacje, lub może być niezamierzony z powodu niedbałości lub niekompetencji osób zajmujących się informacjami.

jakie środki mogą pomóc w zachowaniu poufności danych?

jedną z najlepszych praktyk ochrony poufności danych jest szyfrowanie wszystkich wrażliwych i regulowanych danych. Nikt nie może odczytać zawartości zaszyfrowanego dokumentu, chyba że ma klucz deszyfrujący, więc szyfrowanie chroni zarówno przed złośliwym, jak i przypadkowym naruszeniem poufności.,

W Jaki Sposób można zagrozić integralności danych?

integralność danych może zostać naruszona zarówno przez błędy ludzkie, jak i cyberataki, takie jak destrukcyjne złośliwe oprogramowanie i oprogramowanie ransomware.

jakie środki mogą pomóc zachować integralność danych?,

aby zachować integralność danych, musisz:

  • zapobiegać zmianom danych przez nieautoryzowanych użytkowników
  • zapobiegać nieautoryzowanym lub niezamierzonym zmianom danych przez autoryzowanych użytkowników
  • zapewnić dokładność i spójność danych poprzez procesy takie jak sprawdzanie błędów i walidacja danych

cenną najlepszą praktyką zapewniającą dokładność danych jest monitorowanie integralności plików (FIM)., FIM pomaga organizacjom wykrywać niewłaściwe zmiany w krytycznych plikach w swoich systemach, kontrolując wszelkie próby uzyskania dostępu lub modyfikacji plików i folderów zawierających poufne informacje oraz sprawdzając, czy te działania są autoryzowane.

w jaki sposób można zagrozić dostępności danych?

zagrożenia dla dostępności obejmują awarie infrastruktury, takie jak problemy z siecią lub sprzętem, nieplanowane przestoje oprogramowania, przeciążenie infrastruktury, przerwy w dostawie prądu oraz cyberataki, takie jak ataki DDoS lub ataki typu ransomware.

jakie środki mogą pomóc w zachowaniu dostępności danych?,

ważne jest, aby wdrożyć zabezpieczenia przed przerwami we wszystkich systemach, które wymagają ciągłego czasu pracy. Opcje obejmują nadmiarowość sprzętu, przełączanie awaryjne, grupowanie i rutynowe kopie zapasowe przechowywane w oddzielnej geograficznie lokalizacji. Ponadto kluczowe znaczenie ma opracowanie i przetestowanie kompleksowego planu odzyskiwania po awarii.

product Evangelist at Netwrix Corporation, writer, and presenter. Ryan specjalizuje się w ewangelizacji cyberbezpieczeństwa i promowaniu znaczenia widoczności zmian IT i dostępu do danych., Jako autor, Ryan koncentruje się na trendach bezpieczeństwa IT, ankietach i spostrzeżeniach branżowych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Przejdź do paska narzędzi