የመረጃ ስርጭቶች የአንድ ኩባንያ ንብረት የሆኑ እና ለዚህ ኩባንያ ፍላጎት ብቻ የሚያገለግሉ የመረጃ ሥርዓቶች ብዙውን ጊዜ የድርጅት-ልኬት አውታረ መረብ - የኮርፖሬት ኮምፒዩተር አውታረ መረብ (CN) ይባላሉ። CS የዚህ ድርጅት የኮምፒዩተር ፣ የመገናኛ እና የመረጃ ሀብቶችን የሚያጣምር እና ለኤሌክትሮኒክስ መረጃ ማስተላለፍ የታሰበ የድርጅት ውስጣዊ የግል አውታረመረብ ነው ፣ ስለሆነም ከላይ በተጠቀሰው መሠረት ፣ በ ውስጥ ማለት እንችላለን CS ሃርድዌር እና ሶፍትዌሮችን የሚገልጽ ልዩ ፖሊሲ ተገልጿል፣ ተጠቃሚዎችን የማግኘት ደንቦች የአውታረ መረብ ሀብቶች, የአውታረ መረብ አስተዳደር ደንቦች, የንብረት አጠቃቀም ቁጥጥር እና የአውታረ መረብ ተጨማሪ ልማት. የድርጅት አውታረ መረብ የግለሰብ ድርጅት አውታረ መረብ ነው።
በ Olifer V.G ሥራ ውስጥ በተሰጠው የኮርፖሬት ኔትወርክ ጽንሰ-ሀሳብ ላይ በመመስረት በተወሰነ ደረጃ ተመሳሳይ ትርጉም ሊቀረጽ ይችላል. እና ኦሊፈር ኤን.ዲ. ” የኮምፒውተር አውታረ መረቦችመርሆዎች, ቴክኖሎጂዎች, ፕሮቶኮሎች": ማንኛውም ድርጅት እርስ በርስ የሚገናኙ ንጥረ ነገሮች ስብስብ ነው, እያንዳንዱም የራሱ መዋቅር ሊኖረው ይችላል. ንጥረ ነገሮቹ በተግባራዊነት እርስ በርስ የተያያዙ ናቸው, ማለትም. ያደርጋሉ የግለሰብ ዝርያዎችውስጥ መሥራት ነጠላ ንግድሂደት, እንዲሁም መረጃ, ሰነዶች መለዋወጥ, ፋክስ, የጽሁፍ እና የቃል ትዕዛዞች, ወዘተ. በተጨማሪም, እነዚህ ንጥረ ነገሮች ከውጭ ስርዓቶች ጋር ይገናኛሉ, እና የእነሱ መስተጋብር መረጃ ሰጪ እና ተግባራዊ ሊሆን ይችላል. እና ይህ ሁኔታ በሁሉም ድርጅቶች ማለት ይቻላል, ምንም አይነት እንቅስቃሴ ቢያደርጉም - ለመንግስት ኤጀንሲ, ባንክ, የኢንዱስትሪ ድርጅት, የንግድ ድርጅት, ወዘተ.
ይህ የድርጅቱ አጠቃላይ እይታ የተወሰኑትን ለመቅረጽ ያስችለናል። አጠቃላይ መርሆዎችየኮርፖሬት መረጃ ስርዓቶችን መገንባት, ማለትም. በድርጅቱ ውስጥ የመረጃ ስርዓቶች.
የኮርፖሬት አውታረመረብ በመካከላቸው የመረጃ ልውውጥን የሚያረጋግጥ ስርዓት ነው። የተለያዩ መተግበሪያዎችበኮርፖሬሽኑ ስርዓት ውስጥ ጥቅም ላይ ይውላል. የኮርፖሬት ኔትወርክ በTCP/IP ፕሮቶኮል የሚሰራ እና የኢንተርኔት ግንኙነት ደረጃዎችን እንዲሁም ለኔትወርክ ተጠቃሚዎች የመረጃ አቅርቦትን የሚያቀርቡ የአገልግሎት መተግበሪያዎችን የሚጠቀም ማንኛውም ኔትወርክ ነው። ለምሳሌ, አንድ ኩባንያ ሊፈጥር ይችላል የድር አገልጋይማስታወቂያዎችን, የምርት መርሃግብሮችን እና ሌሎች ኦፊሴላዊ ሰነዶችን ለማተም. የሰራተኞች መዳረሻ አስፈላጊ ሰነዶችየድር አሳሾችን በመጠቀም።
አገልጋዮች የድር ኮርፖሬትአውታረ መረቦች ለተጠቃሚዎች አገልግሎት መስጠት ይችላሉ ፣ ተመሳሳይ አገልግሎቶችበይነመረብ, ለምሳሌ አብሮ መስራት hypertext ገጾች(ጽሑፍ፣ hyperlinks የያዘ፣ ግራፊክ ምስሎችእና የድምጽ ቅጂዎች), አስፈላጊ የሆኑትን ሀብቶች በጠየቁ ጊዜ በማቅረብ የድር ደንበኞች, እንዲሁም የውሂብ ጎታዎች መዳረሻ. በዚህ መመሪያ ውስጥ ሁሉም የህትመት አገልግሎቶች የትም ቢጠቀሙም (በኢንተርኔት ወይም በድርጅት አውታረመረብ ላይ) "የበይነመረብ አገልግሎቶች" ተብለው ይጠራሉ.
የኮርፖሬት አውታረመረብ, እንደ አንድ ደንብ, በጂኦግራፊያዊ ተከፋፍሏል, ማለትም. እርስ በእርስ በከፍተኛ ርቀት ላይ የሚገኙትን ቢሮዎች ፣ ክፍሎች እና ሌሎች መዋቅሮችን አንድ ማድረግ ። የኮርፖሬት አውታረመረብ የሚገነባባቸው መርሆዎች የአካባቢያዊ አውታረመረብ ሲፈጥሩ ከሚጠቀሙት በጣም የተለዩ ናቸው. ይህ ገደብ መሠረታዊ ነው, እና የኮርፖሬት ኔትወርክን ሲነድፉ, ሁሉም እርምጃዎች የሚተላለፉ መረጃዎችን መጠን ለመቀነስ መወሰድ አለባቸው. አለበለዚያ የኮርፖሬት አውታረመረብ በየትኞቹ መተግበሪያዎች እና በእሱ ላይ የተላለፈውን መረጃ እንዴት እንደሚያስኬዱ ላይ ገደቦችን መጣል የለበትም። የባህርይ ባህሪእንዲህ ዓይነቱ አውታረ መረብ ከተለያዩ አምራቾች እና ትውልዶች የተውጣጡ መሳሪያዎችን እንዲሁም የተለያዩ ሶፍትዌሮችን የያዘ በመሆኑ መጀመሪያ ላይ ወደ የጋራ መረጃ ማቀነባበሪያ ያተኮረ ነው ።
ለመገናኘት የርቀት ተጠቃሚዎችወደ ኮርፖሬት አውታረመረብ በጣም ቀላሉ እና በጣም ተመጣጣኝ አማራጭ የስልክ ግንኙነትን መጠቀም ነው። ISDN ኔትወርኮች በተቻለ መጠን ጥቅም ላይ ሊውሉ ይችላሉ. በአብዛኛዎቹ ሁኔታዎች የአውታረ መረብ ኖዶችን ለማገናኘት, ጥቅም ላይ ይውላሉ ዓለም አቀፍ አውታረ መረቦችየውሂብ ማስተላለፍ. ልዩ መስመሮችን መዘርጋት በሚቻልበት ጊዜ እንኳን (ለምሳሌ በተመሳሳይ ከተማ ውስጥ) የፓኬት መቀየሪያ ቴክኖሎጂዎችን መጠቀም አስፈላጊ የሆኑትን የመገናኛ መስመሮችን ቁጥር ለመቀነስ እና በአስፈላጊ ሁኔታ የስርዓቱን አሁን ካሉት ዓለም አቀፍ አውታረ መረቦች ጋር ያለውን ተኳሃኝነት ለማረጋገጥ ያስችላል.
ተዛማጅ አገልግሎቶችን ማግኘት ከፈለጉ የድርጅትዎን አውታረ መረብ ከበይነመረቡ ጋር ማገናኘት ተገቢ ነው። በብዙ ስራዎች ውስጥ, ከበይነመረቡ ጋር መገናኘትን በተመለከተ አስተያየት አለ: ሌሎች ዘዴዎች በማይገኙበት ጊዜ እና የፋይናንስ ጉዳዮች ከአስተማማኝነት እና ከደህንነት መስፈርቶች በላይ ሲሆኑ በይነመረብን እንደ የውሂብ ማስተላለፊያ ዘዴ መጠቀም ተገቢ ነው. በይነመረብን እንደ የመረጃ ምንጭ ብቻ የሚጠቀሙ ከሆነ ፣ በጥያቄ ውስጥ ያለውን ቴክኖሎጂ መጠቀም የተሻለ ነው ፣ ማለትም። ይህ የግንኙነት ዘዴ ከበይነመረቡ ጋር ያለው ግንኙነት በርስዎ ተነሳሽነት እና በሚፈልጉበት ጊዜ ብቻ ሲመሰረት። ይህ ከውጭ ወደ አውታረ መረብዎ ያለፈቃድ የመግባት አደጋን በእጅጉ ይቀንሳል።
በድርጅት አውታረመረብ ውስጥ ውሂብን ለማስተላለፍ እንዲሁ መጠቀም አለብዎት ምናባዊ ቻናሎችየፓኬት መቀየሪያ አውታረ መረቦች. የዚህ አቀራረብ ዋነኛ ጥቅሞች ሁለገብነት, ተለዋዋጭነት, ደህንነት ናቸው
አወቃቀሩን በማጥናት ምክንያት የመረጃ መረቦች(IP) እና የመረጃ ማቀነባበሪያ ቴክኖሎጂ ጽንሰ-ሐሳብ እየተዘጋጀ ነው የመረጃ ደህንነትአይኤስ ጽንሰ-ሐሳቡ የሚከተሉትን ዋና ዋና ነጥቦች ያንፀባርቃል-
- 1) የድርጅቱ ኔትወርክ አደረጃጀት
- 2) በመረጃ ደህንነት ላይ ያሉ ነባር ስጋቶች ፣ የትግበራቸው ሁኔታ እና ከዚህ አፈፃፀም የሚጠበቀው ጉዳት;
- 3) በ IS ውስጥ የመረጃ ማከማቻ አደረጃጀት;
- 4) የመረጃ ማቀነባበሪያ አደረጃጀት;
- 5) ይህንን ወይም ያንን መረጃ የሰራተኞች ተደራሽነት ደንብ;
- 6) ደህንነትን ለማረጋገጥ የሰራተኞች ሃላፊነት.
ይህንን ርዕስ በማዳበር ፣ ከላይ በተገለጸው የ IS የመረጃ ደህንነት ጽንሰ-ሀሳብ ላይ በመመስረት ፣ የደህንነት እቅድ ቀርቧል ፣ አወቃቀሩ የሚከተሉትን ሁኔታዎች ማሟላት አለበት ።
ያልተፈቀደ የኮርፖሬት አውታረመረብ ውስጥ ዘልቆ እንዳይገባ መከላከል እና በመገናኛ ቻናሎች የመረጃ ፍሰት የመፍሰስ እድል።
በአውታረ መረብ ክፍሎች መካከል የመረጃ ፍሰቶች መከፋፈል.
ወሳኝ የአውታረ መረብ ሀብቶችን መጠበቅ.
ክሪፕቶግራፊክ ጥበቃ የመረጃ ምንጮች.
ከላይ ለተጠቀሱት የደህንነት ሁኔታዎች ዝርዝር እይታ አስተያየት መስጠት ተገቢ ነው-ያልተፈቀደ ዘልቆ መግባት እና የመረጃ ፍሰትን ለመከላከል, ፋየርዎሎችን ወይም ፋየርዎሎችን ለመጠቀም ይመከራል. በእርግጥ ፋየርዎል ኔትወርክን ከውጭ ያልተፈቀደ መዳረሻ (ለምሳሌ ከሌላ ኔትወርክ) የመጠበቅ ተግባራትን የሚያከናውን መግቢያ በር ነው።
ሶስት ዓይነት ፋየርዎሎች አሉ፡-
የመተግበሪያ ደረጃ ጌትዌይ የመተግበሪያ ደረጃ መግቢያ በር ብዙ ጊዜ ተኪ አገልጋይ ይባላል - ለተወሰኑ የተጠቃሚ መተግበሪያዎች እንደ ዳታ ማስተላለፊያ ሆኖ ያገለግላል። ማለትም ፣ የመግቢያ መንገዱ የተወሰነ መተግበሪያን የማይደግፍ ከሆነ ፣ ከዚያ ተጓዳኝ አገልግሎቱ አልቀረበም ፣ እና የተዛማጅ አይነት መረጃ በፋየርዎል ውስጥ ማለፍ አይችልም።
የማጣሪያ ራውተር. ራውተር አጣራ። በትክክል ፣ እሱ ተጨማሪ ተግባራቱ የፓኬት ማጣሪያ ራውተርን የሚያጠቃልለው ራውተር ነው። በዳታግራም ሁነታ በፓኬት በተቀያየሩ አውታረ መረቦች ላይ ጥቅም ላይ ይውላል። ማለትም በእነዚያ ቴክኖሎጂዎች ውስጥ የምልክት መስጫ አውሮፕላኑ (በዩአይ እና UE መካከል የመጀመሪያ ግንኙነት መመስረት) በሌለበት የግንኙነት መረቦች ላይ መረጃን ለማስተላለፍ (ለምሳሌ ፣ IP V 4)። በዚህ ሁኔታ, በአውታረ መረቡ ላይ የገቢ የውሂብ ፓኬት ለማስተላለፍ ውሳኔው በአርዕስት መስኮች እሴቶች ላይ የተመሰረተ ነው. የማጓጓዣ ንብርብር. ስለዚህ, የዚህ አይነት ፋየርዎል በተለምዶ የሚተገበረው በማጓጓዣ ንብርብር ራስጌ መስኮች ላይ የተተገበሩ ደንቦች ዝርዝር ነው.
የንብርብር መግቢያ በር ቀይር። የመቀየሪያ ደረጃ መግቢያ በር - ጥበቃ በመቆጣጠሪያ አውሮፕላን ውስጥ (በምልክት ደረጃ) የተወሰኑ ግንኙነቶችን በመፍቀድ ወይም በመከልከል ይተገበራል.
በኮርፖሬት ኔትወርኮች ውስጥ የመረጃ ሀብቶችን ምስጠራ ጥበቃ ለማድረግ ልዩ ቦታ ተሰጥቷል። ኢንክሪፕሽን (ኢንክሪፕሽን) መረጃን ካልተፈቀደለት መዳረሻ ለመጠበቅ በጣም አስተማማኝ ከሆኑ መንገዶች አንዱ ስለሆነ። የክሪፕቶግራፊክ መሳሪያዎች አጠቃቀም ልዩ ባህሪ ጥብቅ የህግ ደንብ ነው. በአሁኑ ጊዜ በኮርፖሬት ኔትወርኮች ውስጥ በጣም ከፍተኛ ጠቀሜታ ያለው መረጃ በሚከማችባቸው የሥራ ቦታዎች ላይ ብቻ ተጭነዋል.
ስለዚህ ፣ በድርጅት አውታረ መረቦች ውስጥ የመረጃ ሀብቶች ምስጢራዊ ጥበቃ ዘዴዎች ምደባ መሠረት ፣ እነሱ በሚከተሉት ተከፍለዋል ።
ነጠላ-ቁልፍ ክሪፕቶ ሲስተሞች ብዙ ጊዜ ባህላዊ፣ ሲሜትሪክ ወይም ነጠላ-ቁልፍ ክሪፕቶ ሲስተሞች ይባላሉ። ተጠቃሚው ክፍተቶቹ የአንድ የተወሰነ ፊደል ቁምፊዎች የሆኑ ክፍት መልእክት ይፈጥራል። የተከፈተውን መልእክት ለማመስጠር የምስጠራ ቁልፍ ይፈጠራል። የተመሰጠረ መልእክት የሚመነጨው ምስጠራ አልጎሪዝምን በመጠቀም ነው።
ከላይ ያለው ሞዴል የኢንክሪፕሽን ቁልፍ ከመልእክቱ ጋር በተመሳሳይ ቦታ መፈጠሩን ያቀርባል። ሆኖም ቁልፍን ለመፍጠር ሌላ መፍትሄ ይቻላል - የምስጠራ ቁልፉ የተፈጠረው በሶስተኛ ወገን (ቁልፍ ማከፋፈያ ማእከል) ነው ፣ እሱም በሁለቱም ተጠቃሚዎች የታመነ ነው። በዚህ አጋጣሚ የሶስተኛ ወገን ቁልፉን ለሁለቱም ተጠቃሚዎች የማድረስ ሃላፊነት አለበት። በአጠቃላይ አነጋገር፣ ይህ ውሳኔምስጢራዊነትን ማረጋገጥ - የምስጠራውን ይዘት ይቃረናል። የተላለፈ መረጃተጠቃሚዎች.
ነጠላ-ቁልፍ ክሪፕቶሲስተሞች የመተካት (ምትክ)፣ የመቀየሪያ (የመቀየር) እና የቅንብር መርሆዎችን ይጠቀማሉ። ክፍት በሆነ መልእክት ውስጥ ያሉ ግለሰቦችን መተካት ከሌሎች ቁምፊዎች ጋር ይተካል። የፔርሙቴሽን መርህን በመጠቀም ምስጠራ ግልጽ በሆነ መልእክት ውስጥ የቁምፊዎችን ቅደም ተከተል መለወጥ ያካትታል. የኢንክሪፕሽን አስተማማኝነት ለመጨመር የተወሰነ ምስጠራን በመጠቀም የተቀበለውን ኢንክሪፕትድ የተደረገ መልእክት ሌላ ምስጥር በመጠቀም እንደገና መመስጠር ይችላል። በዚህ ጉዳይ ላይ የአጻጻፍ ስልት ጥቅም ላይ እንደዋለ ይናገራሉ. ስለዚህም እ.ኤ.አ. የተመጣጠነ ክሪፕቶሲስቶች(በአንድ ቁልፍ) መተኪያ፣ መተማመኛ እና የቅንብር ምስጠራን በሚጠቀሙ ስርዓቶች ሊመደብ ይችላል።
የህዝብ ቁልፍ ክሪፕቶ ሲስተም። ይሄ የሚሆነው ተጠቃሚዎች ሲመሰጥሩ እና ሲፈቱ የተለያዩ ቁልፎችን KO እና KZ ሲጠቀሙ ብቻ ነው። ይህ ክሪፕቶ ሲስተም asymmetric, two-key or public key ይባላል።
የመልእክቱ ተቀባይ (ተጠቃሚ 2) ተዛማጅ የቁልፍ ጥንድ ያመነጫል፡-
KO በይፋ የሚገኝ እና ለመልእክቱ ላኪ (ተጠቃሚ 1) የሚገኝ የህዝብ ቁልፍ ነው።
KS ለመልእክቱ ተቀባይ (ተጠቃሚ 1) ብቻ የሚታወቅ ሚስጥራዊ፣ የግል ቁልፍ ነው።
ተጠቃሚ 1፣ የምስጠራ ቁልፍ KO ያለው፣ ምስጢራዊ ጽሑፍን ለመፍጠር የተወሰነ የምስጠራ ስልተ-ቀመር ይጠቀማል።
ተጠቃሚ 2, ሚስጥራዊ ቁልፍ Kс በባለቤትነት, ተቃራኒውን ተግባር ለማከናወን እድሉ አለው.
በዚህ አጋጣሚ ተጠቃሚ 1 ለተጠቃሚ 2 መልእክት ያዘጋጃል እና ከመላክዎ በፊት ይህንን መልእክት የግል ቁልፍ KS በመጠቀም ያመስጥረዋል። ተጠቃሚ 2 የህዝብ ቁልፍ KO በመጠቀም ይህንን መልእክት ዲክሪፕት ማድረግ ይችላል። መልእክቱ በላኪው የግል ቁልፍ የተመሰጠረ በመሆኑ፣ እንደ መስራት ይችላል። ዲጂታል ፊርማ. በተጨማሪም, በዚህ ሁኔታ የተጠቃሚውን የግል ቁልፍ ሳይደርሱ መልእክቱን መቀየር አይቻልም 1, ስለዚህ መልእክቱ የላኪውን እና የውሂብ ታማኝነትን የመለየት ችግርንም ይፈታል.
በመጨረሻም, እኔ መናገር እፈልጋለሁ ክሪፕቶግራፊክ የደህንነት እርምጃዎችን በመትከል, ለዚህ ድርጅት ሕልውና ልዩ ጠቀሜታ ያላቸውን መረጃዎች በቀጥታ የሚሠራውን የአንድ ድርጅት ሠራተኛ የሥራ ቦታን ካልተፈቀደ መዳረሻ በአስተማማኝ ሁኔታ መጠበቅ ይቻላል.
የኩባንያውን አዋጭነት ለማረጋገጥ በሚደረገው ጥረት የደህንነት ቡድኖች ጥበቃ ላይ ያተኩራሉ የአውታረ መረብ ፔሪሜትር- አገልግሎቶች ከበይነመረቡ ይገኛሉ። በዓለም ላይ ከየትኛውም ቦታ ሆነው የኩባንያውን የታተሙ አገልግሎቶችን ለማጥቃት ዝግጁ የሆነ የጨለማ አጥቂ ምስል የንግድ ሥራ ባለቤቶችን በእጅጉ ያስፈራቸዋል። ግን ከሁሉም በላይ ግምት ውስጥ በማስገባት ይህ ምን ያህል ፍትሃዊ ነው ጠቃሚ መረጃበድርጅቱ ዙሪያ ላይ አይደለም, ነገር ግን በጥልቁ ውስጥ የኮርፖሬት ኔትወርኮች? የመሰረተ ልማት ደህንነትን ከውጭ እና ከውስጥ ጥቃቶች ጋር ያለውን ተመጣጣኝነት እንዴት መገምገም ይቻላል?
"በወደብ ውስጥ ያለ መርከብ ደህና ነው ፣ ግን መርከቦች የተገነቡት ለዚህ አይደለም"
የደህንነት ስሜት አታላይ ነው
በጠቅላላ መረጃ እና ግሎባላይዜሽን ሁኔታዎች ውስጥ የንግድ ሥራ በድርጅት አውታረ መረቦች ላይ አዳዲስ ፍላጎቶችን ያስቀምጣል; የድርጅት ሀብቶችከዋና ተጠቃሚዎቹ ጋር በተያያዘ-ሰራተኞች እና አጋሮች። በዚህ ምክንያት የዛሬው የኢንተርፕራይዝ ኔትወርኮች ከባህላዊው የመገለል ጽንሰ-ሀሳብ በጣም የራቁ ናቸው (ምንም እንኳን በመጀመሪያ ተለይተው የታወቁ ቢሆኑም)።
አንድ ቢሮ አስብ: ግድግዳዎች ከ ጥበቃ የውጭው ዓለም, ክፍልፋዮች እና ግድግዳዎች አጠቃላይ አካባቢ ወደ ትናንሽ ልዩ ዞኖች ይከፋፈላሉ: ወጥ ቤት, ቤተ መጻሕፍት, አገልግሎት ክፍሎች, የስራ ቦታዎች, ወዘተ ከ ዞን ወደ ዞን ሽግግር በተወሰኑ ቦታዎች ላይ የሚከሰተው - በሮች ውስጥ, እና አስፈላጊ ከሆነ, ተጨማሪ ዘዴዎች በዚያ ቁጥጥር ነው. የቪዲዮ ካሜራዎች፣ የመዳረሻ መቆጣጠሪያ ሥርዓቶች፣ ፈገግታ ያላቸው ጠባቂዎች... ወደዚህ ክፍል ስንገባ ደህንነት ይሰማናል፣ የመተማመን እና በጎ ፈቃድ ይሰማናል። ይሁን እንጂ ይህ ስሜት በ "ቲያትር ደህንነት" ላይ የተመሰረተ የስነ-ልቦና ተፅእኖ ብቻ መሆኑን መገንዘብ ጠቃሚ ነው, የእንቅስቃሴዎቹ ዓላማ ደህንነትን ለመጨመር ሲገለጽ, ነገር ግን ስለ ሕልውናው አስተያየት ብቻ ነው. ደግሞም አንድ አጥቂ በእውነት አንድ ነገር ማድረግ ከፈለገ በቢሮ ውስጥ መሆን የማይታለፍ ችግር አይሆንም እና ምናልባትም በተቃራኒው ተጨማሪ እድሎች ሊኖሩ ይችላሉ.
በድርጅት አውታረ መረቦች ውስጥ ተመሳሳይ ነገር ይከሰታል. በድርጅት አውታረመረብ ውስጥ መሆን በሚቻልበት ሁኔታ፣ደህንነትን ለማረጋገጥ ክላሲካል አቀራረቦች በቂ አይደሉም። እውነታው ግን የጥበቃ ዘዴዎች በውስጣዊ ስጋት ሞዴል ላይ የተመሰረቱ እና በአጋጣሚ ወይም ሆን ብለው የሚሰሩ ሰራተኞችን ለመቋቋም ያለመ ነው, ነገር ግን ተገቢ ብቃቶች ሳይኖራቸው የደህንነት ፖሊሲን ይጥሳሉ. ነገር ግን በውስጡ የተዋጣለት ጠላፊ ካለስ? በድብቅ ገበያ የአንድን ድርጅት የኔትወርክ ፔሪሜትር የማሸነፍ ዋጋ ለእያንዳንዱ ድርጅት የተወሰነ የተወሰነ ዋጋ ያለው ሲሆን በአማካይ ከ500 ዶላር አይበልጥም። ለምሳሌ፣ የሚከተለው የዋጋ ዝርዝር ከኤፕሪል 2016 ጀምሮ በ Dell ጥቁር ገበያ ለጠለፋ አገልግሎቶች ይታያል፡
በውጤቱም, የድርጅት ጠለፋ መግዛት ይችላሉ የፖስታ ሳጥን, በነጠላ በመለያ መግባት ፍቃድ በሰፊው መርህ ምክንያት ከዚ መለያው ለሁሉም የኩባንያው የኮርፖሬት አገልግሎቶች ተስማሚ ሊሆን ይችላል። ወይም የማይታዩትን ለፀረ-ቫይረስ ይግዙ ፖሊሞፈርፊክ ቫይረሶችእና ያልተጠነቀቁ ተጠቃሚዎችን ለመበከል የማስገር ኢሜይል ይጠቀሙ፣ በዚህም በኮርፖሬት አውታረመረብ ውስጥ ያለውን ኮምፒውተር ይቆጣጠሩ። በደንብ ለተጠበቁ የኔትወርክ አከባቢዎች የሰው ልጅ የንቃተ ህሊና ጉድለቶች ጥቅም ላይ ይውላሉ, ለምሳሌ, አዲስ የመታወቂያ ሰነዶችን በመግዛት እና በሳይበር የስለላ ቅደም ተከተል ስለ ድርጅቱ ሰራተኛ ስራ እና የግል ህይወት መረጃን በማግኘት አንድ ሰው ማህበራዊ ምህንድስናን መጠቀም እና ማግኘት ይችላል. ሚስጥራዊ መረጃ.
የመግቢያ ፈተናዎችን የማካሄድ ልምድ እንደሚያሳየው ውጫዊው ፔሪሜትር በ 83% ጉዳዮች ውስጥ ዘልቆ የሚገባ ሲሆን በ 54% ደግሞ ይህ ከፍተኛ ብቃት ያለው ስልጠና አያስፈልገውም. በተመሳሳይ ጊዜ ፣ እንደ አኃዛዊ መረጃ ፣ እያንዳንዱ አምስተኛ የኩባንያው ሠራተኛ እያወቀ የምስክር ወረቀቱን ለመሸጥ ዝግጁ ነው ፣ የርቀት መዳረሻ, በዚህም የአውታረ መረብ ፔሪሜትር ዘልቆ መግባትን በእጅጉ ያቃልላል. በእንደዚህ ዓይነት ሁኔታዎች ውስጥ, ውስጣዊ እና ውጫዊ አጥቂዎች የማይነጣጠሉ ይሆናሉ, ይህም ይፈጥራል አዲስ ፈተናየኮርፖሬት ኔትወርኮች ደህንነት.
ወሳኝ ውሂብ መውሰድ እና አለመጠበቅ
በኮርፖሬት አውታረመረብ ውስጥ፣ ወደ ሁሉም ስርዓቶች መግባት ቁጥጥር የሚደረግበት እና አስቀድሞ ለተረጋገጡ ተጠቃሚዎች ብቻ ይገኛል። ነገር ግን ይህ ቼክ ቀደም ሲል የተጠቀሰው የተለመደ "የደህንነት ቲያትር" ሆኖ ተገኝቷል, ምክንያቱም ትክክለኛው የሁኔታዎች ሁኔታ በጣም ጨለማ ስለሚመስል እና ይህ በድርጅታዊ የመረጃ ስርዓቶች ተጋላጭነት ላይ በስታቲስቲክስ የተረጋገጠ ነው. የኮርፖሬት ኔትወርኮች ዋና ዋና ጉዳቶች እነኚሁና።
- የመዝገበ-ቃላት የይለፍ ቃላት
በሚገርም ሁኔታ ደካማ የይለፍ ቃሎችን መጠቀም ለተራ የድርጅት ሰራተኞች ብቻ ሳይሆን ለ IT አስተዳዳሪዎችም የተለመደ ነው። ለምሳሌ፣ ብዙ ጊዜ አገልግሎቶች እና መሳሪያዎች በአምራቹ የተቀመጡ ነባሪ የይለፍ ቃላትን ያቆያሉ ወይም ተመሳሳይ መሰረታዊ ጥምረት ለሁሉም መሳሪያዎች ጥቅም ላይ ይውላል። ለምሳሌ፣ በጣም ታዋቂ ከሆኑ ጥምረቶች አንዱ የአስተዳዳሪ መለያ የይለፍ ቃል አስተዳዳሪ ወይም የይለፍ ቃል ያለው ነው። እንዲሁም ታዋቂ አጭር የይለፍ ቃሎች፣ ያቀፈ ትንሽ ፊደላትየላቲን ፊደላት እና እንደ 123456 ያሉ ቀላል አሃዛዊ የይለፍ ቃሎች.በመሆኑም የይለፍ ቃሉን በፍጥነት መጨፍጨፍ, ትክክለኛውን ጥምረት ማግኘት እና የኮርፖሬት ሀብቶችን ማግኘት ይችላሉ.
- በአውታረ መረቡ ውስጥ ወሳኝ መረጃን በግልፅ ማከማቸት
አንድ ሁኔታን በዓይነ ሕሊናህ እናስብ፡ አጥቂ ማግኘት ቻለ የውስጥ አውታረ መረብ, እዚህ ሁለት ሁኔታዎች ሊኖሩ ይችላሉ. በመጀመሪያው ጉዳይ ላይ መረጃው በክፍት መልክ ይከማቻል, እና ኩባንያው ወዲያውኑ ከባድ አደጋዎችን ያስከትላል. በሌላ ጉዳይ ላይ በኔትወርኩ ላይ ያለው መረጃ ተመስጥሯል, ቁልፉ በሌላ ቦታ ይቀመጣል - እና ኩባንያው አጥቂውን ለመቋቋም እና አስፈላጊ ሰነዶችን ከስርቆት ለማዳን እድሉ እና ጊዜ አለው.
- አጠቃቀም ጊዜ ያለፈባቸው ስሪቶችስርዓተ ክወናዎች እና ክፍሎቻቸው
ዝመና በሚለቀቅበት ጊዜ ሁሉ በዝማኔው ውስጥ ምን ችግሮች እና ስህተቶች እንደተስተካከሉ የሚገልጽ ነጭ ወረቀት በተመሳሳይ ጊዜ ይለቀቃል። አዲስ ስሪት. ከደህንነት ጋር የተያያዘ ችግር ከተገኘ አጥቂዎች ይህን ርዕስ በንቃት መመርመር ይጀምራሉ, ያግኙ ተዛማጅ ስህተቶችእና በዚህ መሰረት የጠለፋ መሳሪያዎችን ያዳብሩ.
እስከ 50% የሚሆኑ ኩባንያዎች ሶፍትዌራቸውን አያዘምኑም ወይም በጣም ዘግይተዋል. እ.ኤ.አ. በ2016 መጀመሪያ ላይ የሮያል ሜልቦርን ሆስፒታል ከስር በሚሰሩ ኮምፒውተሮች ተሠቃይቷል። የዊንዶው መቆጣጠሪያኤክስፒ መጀመሪያ ላይ በፓቶሎጂ ዲፓርትመንት ኮምፒዩተር ላይ ካረፈ በኋላ ቫይረሱ በፍጥነት በአውታረ መረቡ ውስጥ ተሰራጭቷል ፣ ለተወሰነ ጊዜ አግዶታል። ራስ-ሰር ሥራመላው ሆስፒታል.
- ያለ የደህንነት ቁጥጥሮች በራስ የተገነቡ የንግድ መተግበሪያዎችን መጠቀም
የራሳችን ልማት ዋና ተግባር የተግባር አፈፃፀም ነው። እንደነዚህ ያሉ አፕሊኬሽኖች ዝቅተኛ የደህንነት ገደብ ያላቸው እና ብዙ ጊዜ የሚለቀቁት በሃብት እጥረት እና በአምራቹ ትክክለኛ ድጋፍ ነው። ምርቱ በትክክል ይሰራል, ተግባራትን ያከናውናል, ግን በተመሳሳይ ጊዜ ለመጥለፍ እና አስፈላጊውን መረጃ ለማግኘት በጣም ቀላል ነው.
- ውጤታማ እጥረት የጸረ-ቫይረስ መከላከያእና ሌሎች የመከላከያ ዘዴዎች
ከውጪው ዓይን የተደበቀው ነገር የተጠበቀ ነው ተብሎ ይታመናል, ማለትም የውስጥ አውታረመረብ, እንደ አስተማማኝ ነው. የደህንነት ጠባቂዎች የውጭውን ፔሪሜትር በቅርበት ይቆጣጠራሉ, እና በጣም ጥሩ ጥበቃ ከተደረገ, ጠላፊው ወደ ውስጣዊው ውስጥ አይገባም. ግን በእውነቱ ፣ በ 88% ከሚሆኑት ጉዳዮች ኩባንያዎች የተጋላጭነት ፍለጋ ሂደቶችን አይተገበሩም ፣ ምንም የወረራ መከላከያ ስርዓቶች እና የደህንነት ክስተቶች የተማከለ ማከማቻ የለም። ይህ ሲደመር የድርጅት ኔትዎርክ ደህንነትን በብቃት አያረጋግጥም።
በተመሳሳይ ጊዜ በድርጅታዊ አውታረመረብ ውስጥ የተከማቸ መረጃ ለድርጅቱ አሠራር ከፍተኛ ጠቀሜታ አለው-የደንበኛ የውሂብ ጎታዎች በ CRM ስርዓቶች እና የሂሳብ አከፋፈል, በ ERP ውስጥ ወሳኝ የንግድ ምልክቶች, የንግድ ልውውጥ በፖስታ, የሰነድ ፍሰት በ ውስጥ ይዟል. ፖርታል እና የፋይል ሀብቶች, ወዘተ. ፒ.
በድርጅት እና በህዝባዊ አውታረመረብ መካከል ያለው ድንበር በጣም ደብዛዛ ከመሆኑ የተነሳ ደህንነቱን ሙሉ በሙሉ ለመቆጣጠር በጣም አስቸጋሪ እና ውድ ሆኗል። ለነገሩ በፍፁም ከሞላ ጎደል በፍፁም የመከላከያ እርምጃዎችን ከስርቆት ወይም ከአካውንት ግብይት፣ የኔትወርክ አስተዳዳሪን ቸልተኝነት፣ በማህበራዊ ምህንድስና የሚተገበሩ ዛቻዎችን ወዘተ... የውጭ መከላከያን ለማሸነፍ እና የበለጠ ዋጋ ያለው ወደ ተጎጂ መሠረተ ልማት ለመቅረብ አጥቂዎች እነዚህን ዘዴዎች በትክክል እንዲጠቀሙ ያስገድዳቸዋል። መረጃ.
መፍትሄው የመረጃ ደህንነት ጽንሰ-ሀሳብ ሊሆን ይችላል, በውስጡም የውስጣዊ ደህንነት እና ውጫዊ አውታረ መረብበተዋሃደ የማስፈራሪያ ሞዴል እና የአንዱን አይነት አጥቂ ወደ ሌላ የመቀየር እድሉን መሰረት አድርጎ የቀረበ ነው።
አጥቂዎች ከተከላካዮች ጋር - ማን ያሸንፋል?
የኢንፎርሜሽን ደህንነት እንደ ሀገር የሚቻለው በማይረባው ጆ ጉዳይ ብቻ ነው - ከንቱነቱ የተነሳ። በአጥቂዎች እና በተከላካዮች መካከል ያለው ግጭት በመሠረቱ በተለያዩ አውሮፕላኖች ላይ ይከሰታል። አጥቂዎች የመረጃን ምስጢራዊነት፣ ተገኝነት ወይም ታማኝነት በመጣስ ይጠቀማሉ፣ እና ስራቸው የበለጠ ቀልጣፋ እና ውጤታማ በሆነ መጠን የበለጠ ተጠቃሚ ይሆናሉ። ተከላካዮች ከደህንነት ሂደቱ ምንም ጥቅም አይኖራቸውም; ማንኛውም እርምጃ የማይመለስ ኢንቨስትመንት ነው. ለዚህም ነው የተከላካዮች ትኩረት በጣም ውድ በሆነው (ከጉዳት ግምገማ አንፃር) በዝቅተኛ ወጪ በሚሸፍኑ አደጋዎች ላይ ያተኮረ በስጋት ላይ የተመሠረተ የደህንነት አስተዳደር ተስፋፍቷል ። ከተጠበቀው ሀብት የበለጠ የሽፋን ዋጋ ያላቸው አደጋዎች በንቃተ ህሊና ተቀባይነት ወይም ዋስትና የተሰጣቸው ናቸው። የዚህ አቀራረብ ግብ በተቻለ መጠን የድርጅቱን ደካማ የደህንነት ነጥብ ለማሸነፍ የሚያስፈልገውን ወጪ ማሳደግ ነው, ስለዚህ ሀብቱ የትም ቢሆን - በአውታረ መረቡ ውስጥ ወይም በአውታረመረብ ፔሪሜትር ውስጥ, ወሳኝ አገልግሎቶች በደንብ ሊጠበቁ ይገባል.
በአደጋ ላይ የተመሰረተ አቀራረብ የመረጃ ደህንነት ጽንሰ-ሀሳብ እንዲኖር የሚያስችል አስፈላጊ መለኪያ ብቻ ነው በገሃዱ ዓለም. እንደውም ተከላካዮቹን አስቸጋሪ ቦታ ላይ ያስቀምጣቸዋል፡ ጨዋታቸውን እንደ ጥቁር አድርገው ይጫወታሉ፣ ለሚከሰቱት ተጨባጭ ስጋቶች ምላሽ ይሰጣሉ።
ኪቭሼንኮ አሌክሲ ፣ 1880
ይህ ጽሑፍ አጠቃላይ እይታ ይዟል አምስትየኮርፖሬት አውታረ መረብ አገልግሎቶችን ከበይነመረቡ የማደራጀት ችግርን ለመፍታት አማራጮች። ግምገማው ለደህንነት እና ለአዋጭነት አማራጮች ትንታኔ ይሰጣል, ይህም ሁለቱንም ጀማሪ እና የበለጠ ልምድ ያላቸው ልዩ ባለሙያዎች የጉዳዩን ምንነት እንዲረዱ, እውቀታቸውን እንዲያድሱ እና እንዲደራጁ ይረዳል. በጽሁፉ ውስጥ ያሉት ቁሳቁሶች የንድፍ ውሳኔዎችዎን ለማጽደቅ ሊያገለግሉ ይችላሉ.
አማራጮቹን ስናስብ፣ ለማተም የምትፈልጉበትን ኔትወርክ እንደ ምሳሌ እንውሰድ፡-
- የድርጅት ደብዳቤ አገልጋይ (ድር-ሜይል)።
- ኮርፖሬት ተርሚናል አገልጋይ(RDP)
- የኤክስትራኔት አገልግሎት ለተባባሪዎች (ድር-ኤፒአይ)።
አማራጭ 1: ጠፍጣፋ አውታረ መረብ
በዚህ አማራጭ ሁሉም የኮርፖሬት ኔትወርክ አንጓዎች ለሁሉም የጋራ በሆነ አንድ አውታረ መረብ ውስጥ ይገኛሉ ("Internal Network") በመካከላቸው ያለው ግንኙነት ያልተገደበ ነው። አውታረ መረቡ ከበይነመረቡ ጋር የተገናኘው በድንበር ራውተር/ፋየርዎል በኩል ነው (ከዚህ በኋላ ይባላል IFW).አስተናጋጆች በይነመረብን በNAT እና በፖርት ማስተላለፊያ በኩል ከበይነመረቡ ያገኛሉ።
የአማራጭ ጥቅሞች:
- አነስተኛ የተግባር መስፈርቶች IFW(በማንኛውም ራውተር ላይ ሊሠራ ይችላል, የቤት ራውተር እንኳን).
- አማራጩን ለሚተገበር ልዩ ባለሙያተኛ ዝቅተኛ የእውቀት መስፈርቶች.
- ዝቅተኛው የደህንነት ደረጃ. ሰርጎ ገብሩ በበይነ መረብ ላይ ከሚታተሙት ሰርቨሮች አንዱን የሚቆጣጠርበት ጠለፋ ሲከሰት ሁሉም ሌሎች የኮርፖሬት ኔትዎርክ መስቀለኛ መንገዶች እና የመገናኛ መንገዶች ለቀጣይ ጥቃቶች ለእሱ ይገኛሉ።
እንዲህ ዓይነቱ አውታረ መረብ ሰራተኞች እና ደንበኞች በአንድ የጋራ ክፍል (ክፍት ቦታ) ውስጥ ከሚገኙበት ኩባንያ ጋር ሊመሳሰል ይችላል.
hrmaximum.ru
አማራጭ 2. DMZ
ቀደም ሲል የተጠቀሰውን ጉዳት ለማጥፋት, ከኢንተርኔት ሊደረስባቸው የሚችሉ የአውታረ መረብ ኖዶች በልዩ ልዩ ክፍል ውስጥ ይቀመጣሉ - ዲሚሊታርራይዝድ ዞን (DMZ). DMZ የተደራጀው ከበይነመረቡ የሚለዩትን ፋየርዎል በመጠቀም ነው ( IFWእና ከውስጥ አውታረ መረብ ( DFW).
በዚህ ሁኔታ የፋየርዎል ማጣሪያ ህጎች ይህንን ይመስላል
- ከውስጥ አውታረመረብ ወደ DMZ እና ወደ WAN (Wide Area Network) ግንኙነቶችን መጀመር ይችላሉ።
- ከ DMZ ወደ WAN ግንኙነቶችን መጀመር ይችላሉ።
- ከ WAN ወደ DMZ ግንኙነቶችን መጀመር ይችላሉ።
- ከ WAN እና DMZ ወደ ውስጣዊ አውታረመረብ ግንኙነቶችን መጀመር የተከለከለ ነው.
የአማራጭ ጥቅሞች:
- የግለሰብ አገልግሎቶችን ከመጥለፍ ለመከላከል የአውታረ መረብ ደህንነት መጨመር። ከአገልጋዮቹ አንዱ ቢጠለፍ እንኳን፣ ወራሪው በውስጥ አውታረመረብ ላይ የሚገኙትን ግብዓቶች መድረስ አይችልም (ለምሳሌ፣ የአውታረ መረብ አታሚዎች, የቪዲዮ ክትትል ስርዓቶች, ወዘተ.).
- አገልጋዮችን ወደ DMZ መውሰድ በራሱ ደህንነታቸውን አይጨምርም።
- DMZ ን ከውስጥ አውታረመረብ ለመለየት ተጨማሪ ፋየርዎል ያስፈልጋል።
ይህ የኔትወርክ አርክቴክቸር ስሪት በአንድ ኩባንያ ውስጥ ከሥራ እና ከደንበኛ አካባቢዎች አደረጃጀት ጋር ተመሳሳይ ነው፣ ደንበኞቹ በደንበኛው አካባቢ ብቻ ሊሆኑ የሚችሉበት፣ እና ሰራተኞች በደንበኛው እና በስራ ቦታዎች ሊሆኑ ይችላሉ። የDMZ ክፍል በትክክል የደንበኛው ዞን አናሎግ ነው።
autobam.ru
አማራጭ 3. አገልግሎቶችን ከፊት-መጨረሻ እና ከኋላ-መጨረሻ መከፋፈል
ቀደም ሲል እንደተገለፀው አገልጋይን በ DMZ ውስጥ ማስቀመጥ በምንም መልኩ የአገልግሎቱን ደህንነት አያሻሽልም። ሁኔታውን ለማስተካከል ካሉት አማራጮች አንዱ የአገልግሎቱን ተግባራዊነት በሁለት ክፍሎች መከፋፈል ነው-Front-End እና Back-End. ከዚህም በላይ እያንዳንዱ ክፍል በተለየ አገልጋይ ላይ ተቀምጧል, በመካከላቸውም ይደራጃሉ አውታረ መረብ. በበይነ መረብ ላይ ከሚገኙ ደንበኞች ጋር የመስተጋብር ተግባርን የሚተገብሩ የፊት-መጨረሻ አገልጋዮች በ DMZ ውስጥ ይቀመጣሉ ፣ እና የቀረውን ተግባር የሚተገበሩ የኋላ-መጨረሻ አገልጋዮች በውስጣዊው አውታረመረብ ላይ ይቀራሉ። በመካከላቸው መስተጋብር እንዲኖር DFWከFront-End እስከ Back-End ግንኙነቶችን ለመጀመር የሚያስችሉ ደንቦችን ይፍጠሩ።
እንደ ምሳሌ፣ ደንበኞችን ከአውታረ መረቡ እና ከበይነመረቡ የሚያገለግል የድርጅት ኢሜይል አገልግሎትን አስቡ። ከውስጥ የሚመጡ ደንበኞች POP3/SMTP ይጠቀማሉ፣ እና የበይነመረብ ደንበኞች በድር በይነገጽ ይሰራሉ። በተለምዶ በአተገባበር ደረጃ ኩባንያዎች አገልግሎቱን ለማሰማራት ቀላሉ ዘዴን ይመርጣሉ እና ሁሉንም ክፍሎቹን በአንድ አገልጋይ ላይ ያስቀምጣሉ. ከዚያም የመረጃ ደህንነትን የማረጋገጥ አስፈላጊነት ሲታወቅ የአገልግሎቱ ተግባራዊነት በክፍሎች የተከፋፈለ ሲሆን ደንበኞችን ከበይነመረቡ (Front-End) የማገልገል ኃላፊነት ያለው ክፍል ወደ ተላልፏል. የተለየ አገልጋይቀሪውን ተግባር (Back-End) ከሚተገበር አገልጋይ ጋር በአውታረ መረቡ ላይ የሚገናኝ። በዚህ ሁኔታ, የፊት-መጨረሻው በዲኤምኤስ ውስጥ ተቀምጧል, እና የኋላ-መጨረሻው በውስጣዊው ክፍል ውስጥ ይቆያል. ከፊት-መጨረሻ እና ከኋላ-መጨረሻ በርቷል መካከል ለግንኙነት DFWከFront-End እስከ Back-End ግንኙነቶችን መጀመርን የሚፈቅድ ህግ ይፍጠሩ።
የአማራጭ ጥቅሞች:
- በአጠቃላይ፣ በተጠበቀው አገልግሎት ላይ የሚሰነዘሩ ጥቃቶች በFront-End ላይ “ሊሰናከሉ” ይችላሉ፣ ይህም ሊደርስ የሚችለውን ጉዳት ያስወግዳል ወይም በእጅጉ ይቀንሳል። ለምሳሌ፣ አገልግሎት ላይ ያነጣጠሩ እንደ TCP SYN Flood ወይም ቀርፋፋ http ንባብ ያሉ ጥቃቶች የፊት-መጨረሻ አገልጋዩ ላይገኝ ይችላል፣ኋላ-መጨረሻ ደግሞ በመደበኛነት መስራቱን እና ተጠቃሚዎችን እንደሚያገለግል ያሳያል።
- በአጠቃላይ የባክ-ኢንድ አገልጋይ የኢንተርኔት አገልግሎት ላይኖረው ይችላል ይህም ከተጠለፈ (ለምሳሌ በአገር ውስጥ ተንኮል አዘል ኮድ በማሄድ) ከበይነመረቡ በርቀት ለማስተዳደር አስቸጋሪ ያደርገዋል።
- Front-End የመተግበሪያ ደረጃ ፋየርዎልን (ለምሳሌ የዌብ አፕሊኬሽን ፋየርዎል) ወይም የጣልቃ ገብነት መከላከያ ዘዴን (አይፒኤስ፣ ለምሳሌ snort) ለማስተናገድ በጣም ተስማሚ ነው።
- ከፊት-መጨረሻ እና ከኋላ-መጨረሻ በርቷል መካከል ለግንኙነት DFWከ DMZ ወደ ውስጣዊ አውታረመረብ ግንኙነት ለመጀመር የሚያስችል ደንብ ተፈጥሯል, ይህም ከአጠቃቀም ጋር የተያያዙ ስጋቶችን ይፈጥራል. የዚህ ደንብበዲኤምዜድ ውስጥ ካሉ ሌሎች አንጓዎች (ለምሳሌ፣ የአይፒ ስፖንሰር ጥቃቶችን በመተግበር፣ ARP መርዝ፣ ወዘተ.)
- ሁሉም አገልግሎቶች የፊት-መጨረሻ እና የኋላ-መጨረሻ ተብለው ሊከፋፈሉ አይችሉም።
- የፋየርዎል ደንቦችን ለማዘመን ኩባንያው የንግድ ሂደቶችን መተግበር አለበት.
- ኩባንያው በዲኤምኤስ ውስጥ የአገልጋዩን መዳረሻ ካገኙ ወራሪዎች የሚመጡ ጥቃቶችን ለመከላከል ዘዴዎችን መተግበር አለበት።
- በእውነተኛ ህይወት፣ አገልጋዮችን ወደ የፊት-መጨረሻ እና የኋላ-መጨረሻ ሳይከፋፍሉ፣ ከዲኤምዚኤል የሚመጡ አገልጋዮች በውስጣዊው አውታረመረብ ላይ የሚገኙትን አገልጋዮች ማግኘት አለባቸው፣ ስለዚህ እነዚህ ጉዳቶች ይህ አማራጭለቀደመው የታሰበው አማራጭ ዋጋ ይኖረዋል።
- በድር በይነገጽ በኩል የሚሰሩ መተግበሪያዎችን ጥበቃን ከግምት ውስጥ የምናስገባ ከሆነ አገልጋዩ ተግባራትን ወደ የፊት-መጨረሻ እና የኋላ-መጨረሻ መለያየትን ባይደግፍም ፣ የ http ተቃራኒ ተኪ አገልጋይ (ለምሳሌ ፣ nginx) እንደ Front-End ለአገልግሎት መከልከል ከጥቃቶች ጋር ተያይዘው የሚመጡትን አደጋዎች ይቀንሳል። ለምሳሌ፣ የSYN የጎርፍ ጥቃቶች የኋለኛው መጨረሻ መስራቱን በሚቀጥልበት ጊዜ የ http reverse proxy እንዳይገኝ ሊያደርግ ይችላል።
ይህ አማራጭ በመሠረቱ ከሥራ አደረጃጀት ጋር ተመሳሳይ ነው, በዚህ ውስጥ ረዳቶች - ፀሐፊዎች - በጣም ለተጫኑ ሰራተኞች ጥቅም ላይ ይውላሉ. ከዚያ የኋላ-መጨረሻው ሥራ የሚበዛበት ሠራተኛ ምሳሌ ይሆናል፣ እና የፊት-መጨረሻው የፀሐፊው ምሳሌ ይሆናል።
mln.kz
አማራጭ 4፡ ደህንነቱ የተጠበቀ DMZ
DMZ ከበይነመረቡ ሊደረስበት የሚችል የአውታረ መረብ አካል ነው, እና በውጤቱም, ከፍተኛውን የአስተናጋጅ ስምምነትን አደጋ ላይ ይጥላል. የ DMZ ንድፍ እና በውስጡ ጥቅም ላይ የዋሉ አቀራረቦች ወራሪው በ DMZ ውስጥ ካሉት አንጓዎች ውስጥ አንዱን ሲቆጣጠር ከፍተኛውን የመዳን እድል መስጠት አለበት. በተቻለ መጠን ጥቃቶች፣ ሁሉም ማለት ይቻላል በነባሪ ቅንጅቶች የሚሰሩ የመረጃ ሥርዓቶች ተጋላጭ የሆኑባቸውን ጥቃቶች እናስብ።ከ DHCP ጥቃቶች ጥበቃ
ምንም እንኳን DHCP ለስራ ጣቢያዎች የአይፒ አድራሻዎችን በራስ ሰር ለማዋቀር የታሰበ ቢሆንም ፣ በአንዳንድ ኩባንያዎች ውስጥ ለአገልጋዮች የአይፒ አድራሻዎች በ DHCP በኩል ሲወጡ ሁኔታዎች አሉ ፣ ግን ይህ በጣም መጥፎ ተግባር ነው። ስለዚህ፣ ከRogue DHCP አገልጋይ ለመጠበቅ፣ DHCP ረሃብ ይመከራል ሙሉ በሙሉ አለመሳካትከ DHCP እስከ DMZ.ከ MAC ጎርፍ ጥቃቶች ጥበቃ
ከማክ ጎርፍ ለመከላከል ከፍተኛውን መጠን ለመገደብ የመቀየሪያ ወደቦችን ያዋቅሩ የስርጭት ትራፊክ(እነዚህ ጥቃቶች አብዛኛውን ጊዜ የስርጭት ትራፊክን ስለሚፈጥሩ). የተወሰኑ (ዩኒካስት) የአውታረ መረብ አድራሻዎችን የሚጠቀሙ ጥቃቶች ይታገዳሉ። የማክ ማጣሪያ, ቀደም ብለን የተመለከትነው.ከ UDP ጎርፍ ጥቃቶች ጥበቃ
መከላከያ ከ የዚህ አይነትማጣራት የሚከናወነው በአይፒ ደረጃ (L3) ካልሆነ በስተቀር ከ MAC ጎርፍ ለመከላከል በተመሳሳይ መልኩ ጥቃቶች ይከናወናሉ.ከTCP SYN የጎርፍ ጥቃቶች ጥበቃ
ይህንን ጥቃት ለመከላከል የሚከተሉት አማራጮች ሊኖሩ ይችላሉ።- TCP SYN ኩኪ ቴክኖሎጂን በመጠቀም በአውታረ መረቡ መስቀለኛ መንገድ ላይ ጥበቃ።
- የፋየርዎል ደረጃ ጥበቃ (ዲኤምኤዜድን በንዑስ መረብ ላይ በማድረግ) የTCP SYN ጥያቄዎችን የያዘውን የትራፊክ መጠን በመገደብ።
በአውታረ መረብ አገልግሎቶች እና በድር መተግበሪያዎች ላይ ከሚደርሱ ጥቃቶች ጥበቃ
ለዚህ ችግር ምንም አይነት ሁለንተናዊ መፍትሄ የለም, ነገር ግን የተቋቋመው አሰራር የሶፍትዌር የተጋላጭነት አስተዳደር ሂደቶችን (መለየት, ጥገናዎችን መትከል, ወዘተ., ለምሳሌ) እንዲሁም የጠለፋ ማወቂያ እና መከላከያ ዘዴዎችን (IDS / IPS) መጠቀም ነው.ከማረጋገጫ ማለፊያ ጥቃቶች ጥበቃ
ያለፈውን ጉዳይ በተመለከተ ሁለንተናዊ መፍትሔእንደዚህ አይነት ችግር የለም.ብዙውን ጊዜ፣ ብዙ ያልተሳኩ የፈቃድ ሙከራዎች ባሉበት ጊዜ፣ የማረጋገጫ ውሂብ (ለምሳሌ የይለፍ ቃል) እንዳይገመቱ መለያዎች ይታገዳሉ። ግን ይህ አካሄድ በጣም አወዛጋቢ ነው፣ እና ምክንያቱ እዚህ አለ።
በመጀመሪያ ፣ ወራሪው የማረጋገጫ መረጃ ምርጫን ወደ መለያዎች ማገድ በማይመራው ጥንካሬ ሊፈጽም ይችላል (የይለፍ ቃል ከበርካታ ወራት በላይ የተመረጠበት ጊዜ በበርካታ አስር ደቂቃዎች መካከል ባለው ልዩነት)።
በሁለተኛ ደረጃ, ይህ ባህሪ አጥቂው ሆን ብሎ የሚፈጽመውን የአገልግሎት ጥቃቶች ውድቅ ለማድረግ ሊያገለግል ይችላል ብዙ ቁጥር ያለውመለያዎችን ለማገድ የፍቃድ ሙከራዎች።
የዚህ ክፍል ጥቃቶች በጣም ውጤታማው አማራጭ የIDS/IPS ስርዓቶችን መጠቀም ነው ፣ ይህም የይለፍ ቃል የሚገመቱ ሙከራዎችን ሲያገኝ መለያውን አያግድም ፣ ግን ይህ ግምት የሚፈጠርበትን ምንጭ (ለምሳሌ ፣ የአይፒ አድራሻውን አግድ) ወራሪው)።
ለዚህ አማራጭ የመጨረሻው የመከላከያ እርምጃዎች ዝርዝር:
- DMZ ለእያንዳንዱ መስቀለኛ መንገድ የተለየ ሳብኔት ያለው ወደ IP ንዑስ አውታረ መረቦች ተከፍሏል።
- የአይፒ አድራሻዎች በአስተዳዳሪዎች በእጅ ይመደባሉ. DHCP ጥቅም ላይ አይውልም።
- በርቷል የአውታረ መረብ መገናኛዎች, የዲኤምዜድ ኖዶች የተገናኙበት, MAC እና IP ማጣሪያ, የስርጭት ትራፊክ ጥንካሬ እና የ TCP SYN ጥያቄዎችን የያዙ ትራፊክ ገደቦች ይነቃሉ.
- የወደብ ዓይነቶችን በራስ ሰር መደራደር በመቀየሪያዎች ላይ ተሰናክሏል እና ቤተኛ VLAN መጠቀም የተከለከለ ነው።
- የTCP SYN ኩኪ በዲኤምዜድ ኖዶች እና እነዚህ አንጓዎች በሚገናኙባቸው የውስጥ አውታረ መረብ አገልጋዮች ላይ ተዋቅሯል።
- የሶፍትዌር የተጋላጭነት አስተዳደር ለዲኤምዜድ ኖዶች (እና በተቀረው አውታረመረብ ቢሆን ይመረጣል) ተተግብሯል።
- የIDS/IPS የወረራ ማወቂያ እና መከላከያ ስርዓቶች በዲኤምዜድ ክፍል ውስጥ በመተግበር ላይ ናቸው።
- ከፍተኛ የደህንነት ደረጃ.
- ለመሳሪያዎች ተግባራዊነት መስፈርቶች መጨመር.
- ለትግበራ እና ድጋፍ የጉልበት ወጪዎች.
DMZ ን ቀደም ሲል ሶፋ እና ኦቶማን ከተገጠመ ደንበኛ አካባቢ ጋር ካነጻጸርነው፣ ደህንነቱ የተጠበቀ DMZ ልክ እንደ የታጠቅ ገንዘብ መመዝገቢያ ይሆናል።
valmax.com.ua
አማራጭ 5. የኋላ ግንኙነት
በቀድሞው ስሪት ውስጥ የተመለከቱት የመከላከያ እርምጃዎች በአውታረ መረቡ ላይ (ስዊች / ራውተር / ፋየርዎል) ሊተገበሩ የሚችሉ መሳሪያዎች በመኖራቸው እውነታ ላይ ተመስርተዋል. ነገር ግን በተግባር, ለምሳሌ, ሲጠቀሙ ምናባዊ መሠረተ ልማት (ምናባዊ መቀየሪያዎችብዙውን ጊዜ በጣም አላቸው ውስን እድሎች), ተመሳሳይ መሳሪያላይኖር ይችላል።በነዚህ ሁኔታዎች ውስጥ፣ ቀደም ሲል የተወያዩት አብዛኛዎቹ ጥቃቶች ለአጥቂው ይገኛሉ፣ ከእነዚህም ውስጥ በጣም አደገኛ የሆነው፡-
- ትራፊክን ለመጥለፍ እና ለመለወጥ የሚፈቅዱ ጥቃቶች (ኤአርፒ መርዝ, የ CAM ሰንጠረዥ ከመጠን በላይ መፍሰስ + TCP ክፍለ ጊዜ ጠለፋ, ወዘተ.);
- ከዲኤምዚኤስ ግንኙነቶች ሊጀምሩ በሚችሉበት የውስጥ አውታረ መረብ አገልጋዮች ውስጥ ከተጋላጭነት ብዝበዛ ጋር የተዛመዱ ጥቃቶች (ይህም የማጣሪያ ህጎችን በማለፍ ይቻላል) DFWበአይፒ እና ማክ ስፖፊንግ ምክንያት)።
ስለዚህ የውስጣዊ አውታረ መረብ አገልጋዮችን ከዲኤምዜም እና ከውስጥ አውታረመረብ ከሚሰነዘር ጥቃት የመጠበቅ ተግባር ገጥሞናል (የስራ ቦታን ከትሮጃን ጋር መበከል ከውስጥ አውታረ መረብ የወረራ ተግባር ተብሎ ሊተረጎም ይችላል) ).
ከዚህ በታች የቀረበው አቀራረብ አንድ ሰርጎ ገዳይ ሰርቨሮችን ሊያጠቃ የሚችልባቸውን ቻናሎች ለመቀነስ ያለመ ነው፣ እና ቢያንስ ሁለት እንደዚህ ያሉ ቻናሎች አሉ። የመጀመሪያው ደንብ ነው DFW, ከዲኤምኤስ ወደ ውስጣዊ አውታረመረብ አገልጋይ (በአይፒ አድራሻዎች የተገደበ ቢሆንም) እንዲደርሱ ማድረግ እና ሁለተኛው በአገልጋዩ ላይ ክፍት ነው. የአውታረ መረብ ወደብ, በየትኛው የግንኙነት ጥያቄዎች ላይ ይጠበቃል.
ገጠመ የተገለጹ ቻናሎችየውስጥ አውታረመረብ አገልጋይ ራሱ በዲኤምኤስ ውስጥ ከአገልጋዩ ጋር ግንኙነቶችን ከገነባ እና ይህንን የሚያደርገው ምስጢራዊ በሆነ መልኩ ደህንነቱ የተጠበቀ የአውታረ መረብ ፕሮቶኮሎችን በመጠቀም ነው። ከዚያ ምንም አይሆንም ክፍት ወደብ፣ ምንም ህጎች የሉም DFW.
ችግሩ ግን ተራ የአገልጋይ አገልግሎቶች በዚህ መንገድ እንዴት እንደሚሠሩ አያውቁም እና ይህንን አሰራር ተግባራዊ ለማድረግ የአውታረ መረብ መሿለኪያን መጠቀም አስፈላጊ ነው ፣ ለምሳሌ ፣ በ ኤስኤስኤች በመጠቀምወይም ቪፒኤን፣ እና በዋሻው ውስጥ ከአገልጋዩ በDMZ ውስጥ ከውስጥ አውታረ መረብ አገልጋይ ጋር ግንኙነቶችን ይፈቅዳሉ።
አጠቃላይ እቅድየዚህ አማራጭ አሠራር ይህን ይመስላል:
- የኤስኤስኤች/ቪፒኤን አገልጋይ በዲኤምኤስ ውስጥ በአገልጋዩ ላይ ተጭኗል፣ እና የSSH/VPN ደንበኛ በውስጥ አውታረመረብ ውስጥ በአገልጋዩ ላይ ተጭኗል።
- የውስጥ አውታረመረብ አገልጋይ በዲኤምዜድ ውስጥ ወደ አገልጋዩ የኔትወርክ ዋሻ መገንባት ይጀምራል። ዋሻው የተገነባው በደንበኛው እና በአገልጋዩ የጋራ ማረጋገጫ ነው።
- ከ DMZ የመጣው አገልጋይ, በተሰራው ዋሻ ውስጥ, በውስጣዊው አውታረመረብ ውስጥ ከአገልጋዩ ጋር ግንኙነት ይጀምራል, በውስጡም የተጠበቀው ውሂብ ይተላለፋል.
- በዋሻው ውስጥ የሚያልፈውን ትራፊክ ለማጣራት የአካባቢያዊ ፋየርዎል በውስጥ ኔትወርክ አገልጋይ ላይ ተዋቅሯል።
ይህንን አማራጭ በተግባር መጠቀም የሚከተሉትን ጠቃሚ ባህሪያት ስላለው OpenVPN ን በመጠቀም የኔትወርክ ዋሻዎችን መገንባት ምቹ መሆኑን ያሳያል።
- ተሻጋሪ መድረክ። በተለያዩ ስርዓተ ክወናዎች በአገልጋዮች ላይ ግንኙነትን ማደራጀት ይችላሉ።
- በደንበኛው እና በአገልጋይ የጋራ ማረጋገጫ ዋሻዎችን የመገንባት ዕድል።
- የተረጋገጠ ክሪፕቶግራፊ የመጠቀም እድል.
የአማራጭ ጥቅሞች:
- በተጠበቀው የውስጥ አውታረ መረብ አገልጋይ ላይ የጥቃት ቬክተሮች ብዛት የስነ-ህንፃ ቅነሳ።
- የኔትወርክ ትራፊክ ማጣሪያ በማይኖርበት ጊዜ ደህንነትን ማረጋገጥ.
- በአውታረ መረቡ ላይ የሚተላለፉ መረጃዎችን ካልተፈቀዱ እይታ እና ለውጦች መጠበቅ።
- የአገልግሎቶች ደህንነት ደረጃን በመምረጥ የመጨመር ችሎታ።
- የመጀመሪያው ወረዳ ፋየርዋሊንግ በመጠቀም የቀረበ የት ሁለት-የወረዳ ጥበቃ ሥርዓት, ተግባራዊ ችሎታ, እና ሁለተኛው በዚህ አማራጭ መሠረት የተደራጁ ነው.
- ይህንን የጥበቃ አማራጭ መተግበር እና ማቆየት ተጨማሪ የጉልበት ወጪዎችን ይጠይቃል.
- ጋር የማይስማማ የአውታረ መረብ ስርዓቶችየጣልቃን መለየት እና መከላከል (IDS/IPS)።
- በአገልጋዮች ላይ ተጨማሪ የኮምፒዩተር ጭነት።
የዚህ አማራጭ ዋና ትርጉም የታመነው ሰው ከማያመነው ሰው ጋር ግንኙነት መመስረት ነው, ይህም ብድር በሚሰጥበት ጊዜ, ባንኮቹ እራሳቸው ተበዳሪውን እንደገና በመጥራት መረጃውን ለማጣራት ከሁኔታው ጋር ተመሳሳይ ነው. መለያዎችን ያክሉ
ኦፕሬተሮችን መለየት/ማረጋገጥ (IA) ከስርዓተ ክወናው የማስነሻ ደረጃ በፊት በሃርድዌር ውስጥ መከናወን አለበት። የIA ዳታቤዝ በኮምፒዩተር ማግኘት በማይቻልበት ሁኔታ የተደራጁ የመረጃ ደህንነት ስርዓቶች (አይፒኤስ) በማይለዋወጥ ማህደረ ትውስታ ውስጥ መቀመጥ አለባቸው ፣ ማለትም ። የማይለዋወጥ ማህደረ ትውስታ ከፒሲ አድራሻ ቦታ ውጭ መቀመጥ አለበት።
የርቀት ተጠቃሚዎችን መለየት/ማረጋገጥ ልክ እንደበፊቱ ሁኔታ የሃርድዌር መተግበርን ይጠይቃል። ማረጋገጥ ይቻላል የተለያዩ መንገዶችኤሌክትሮኒክ ዲጂታል ፊርማ (EDS) ጨምሮ። የ "የተጠናከረ ማረጋገጫ" መስፈርት አስገዳጅ ይሆናል, ማለትም. በየጊዜው በቀዶ ጥገናው ወቅት አሰራሩን መድገም በጣም ትንሽ ነው, ስለዚህም ጥበቃው ከተሸነፈ አጥቂው ከፍተኛ ጉዳት ሊያደርስ አይችልም.
2. ጥበቃ ቴክኒካዊ መንገዶችከኤንኤስዲ
ኮምፒውተሮችን ካልተፈቀደላቸው የመጠበቅ ዘዴዎች በኤሌክትሮኒካዊ መቆለፊያዎች (EL) እና ሃርድዌር የታመኑ ቡት ሞጁሎች (THM) ይከፈላሉ። ዋናው ልዩነታቸው የንጹህነት ቁጥጥር የሚተገበርበት መንገድ ነው። ኤሌክትሮኒክ መቆለፊያዎችበሃርድዌር ውስጥ የተጠቃሚ I/A ሂደቶችን ያከናውኑ፣ የታማኝነት ቁጥጥር ሂደቶችን ለማከናወን ውጫዊ ሶፍትዌሮችን ይጠቀሙ። ASMD በሃርድዌር ውስጥ ሁለቱንም የኤሌክትሮኒክስ ደህንነት ተግባራት እና የታማኝነት ክትትል ተግባራትን እና የአስተዳደር ተግባራትን ተግባራዊ ያደርጋል።
የፒሲዎች እና የ LAN ዎች ቴክኒካዊ ስብጥር ትክክለኛነት መከታተል. ስርዓተ ክወናውን ከመጫንዎ በፊት የኮምፒተርን ቴክኒካዊ ስብጥር ትክክለኛነት መከታተል በ SZI መቆጣጠሪያ መከናወን አለበት። በተመሳሳይ ጊዜ, ሁሉም (ሊጋሩ የሚችሉ) ሀብቶች ቁጥጥር ሊደረግባቸው ይገባል, ጨምሮ ሲፒዩ, ስርዓት ባዮስ, ፍሎፒ ዲስኮች፣ ሃርድ ድራይቭ እና ሲዲ-ሮም።
የ LAN ቴክኒካል ስብጥር ታማኝነት ለተሻሻለ የአውታረ መረብ ማረጋገጫ ሂደት መረጋገጥ አለበት። አሰራሩ የተረጋገጡ ፒሲዎችን ከአውታረ መረቡ ጋር በማገናኘት ደረጃ ላይ እና ከዚያም በደህንነት አስተዳዳሪ አስቀድሞ የተወሰነ የጊዜ ክፍተቶች መከናወን አለበት.
የስርዓተ ክወናውን ትክክለኛነት መከታተል, ማለትም. ትክክለኛው መረጃ መነበቡን ለማረጋገጥ ስርዓተ ክወናውን ከመጫንዎ በፊት የስርዓት ቦታዎችን እና የስርዓተ ክወና ፋይሎችን ትክክለኛነት መከታተል በተቆጣጣሪው መከናወን አለበት። በኤሌክትሮኒክ ሰነድ አስተዳደር ውስጥ የተለያዩ ኦፕሬቲንግ ሲስተሞች ጥቅም ላይ ሊውሉ ስለሚችሉ በመቆጣጠሪያው ውስጥ የተገነባው ሶፍትዌር በጣም ታዋቂ ለሆኑ የፋይል ስርዓቶች ድጋፍ መስጠት አለበት.
የመተግበሪያ ታማኝነት ክትትል ሶፍትዌር(PPO) እና ውሂብበሃርድዌር ወይም በሃርድዌር ሊከናወን ይችላል። የሶፍትዌር አካል SZI
3. የሰነዶች ፣ የፒሲ እና የአውታረ መረብ ሀብቶች መዳረሻን መገደብ
ዘመናዊ ስርዓተ ክወናዎች አብሮገነብ የመዳረሻ መቆጣጠሪያ መሳሪያዎችን ይጨምራሉ. በተለምዶ እነዚህ መሳሪያዎች የአንድ የተወሰነ የፋይል ስርዓት (FS) ባህሪያትን ይጠቀማሉ እና ከኦፕሬቲንግ ሲስተም ኤፒአይ ንብርብሮች በአንዱ ጋር በተያያዙ ባህሪያት ላይ የተመሰረቱ ናቸው. በዚህ ሁኔታ, የሚከተሉት ሁለት ችግሮች መከሰታቸው የማይቀር ነው.
ከፋይል ስርዓቱ ባህሪያት ጋር ማያያዝ. ዘመናዊ ስርዓተ ክወናዎች, እንደ አንድ ደንብ, አንድ አይደሉም, ግን በርካታ የፋይል ስርዓቶችን - ሁለቱም አዲስ እና ጊዜ ያለፈባቸው. ብዙውን ጊዜ በአዲስ FS ላይ በስርዓተ ክወናው ውስጥ የተገነባው የመዳረሻ መቆጣጠሪያ ይሠራል, ነገር ግን በአሮጌው FS ላይ, በአዲሱ FS ውስጥ ጉልህ ልዩነቶችን ስለሚጠቀም ላይሰራ ይችላል.
ይህ ሁኔታ ብዙውን ጊዜ በሰርቲፊኬቱ ውስጥ በቀጥታ አልተገለጸም ይህም ተጠቃሚውን ሊያሳስት ይችላል። በዚህ ጉዳይ ላይ የድሮ የፋይል ስርዓቶች በአዲሱ ስርዓተ ክወና ውስጥ የተካተቱት ተኳሃኝነትን ለማረጋገጥ ዓላማ ነው።
ከኦፕሬቲንግ ሲስተም ኤፒአይ ጋር ማያያዝ። እንደ አንድ ደንብ, ስርዓተ ክወናዎች አሁን በጣም በፍጥነት ይለወጣሉ - በየአመቱ ተኩል አንድ ጊዜ. እነሱ ብዙ ጊዜ ሊለወጡ ይችላሉ. የመዳረሻ መቆጣጠሪያ ባህሪያቱ የኤፒአይ ስብጥርን የሚያንፀባርቁ ከሆነ ወደዚህ ይቀይሩ ዘመናዊ ስሪትስርዓተ ክወናው የደህንነት ስርዓት ቅንብሮችን እንደገና ማደስ፣ ሰራተኞችን ማሰልጠን፣ ወዘተ ያስፈልገዋል።
ስለዚህ, አንድ ሰው ሊቀርጽ ይችላል አጠቃላይ መስፈርት- የመዳረሻ መቆጣጠሪያ ንዑስ ስርዓቱ በስርዓተ ክወናው ላይ ተደራርቦ እና ከፋይል ስርዓቱ ነፃ መሆን አለበት። እርግጥ ነው, የባህሪዎች ስብጥር የደህንነት ፖሊሲን ለመግለፅ በቂ መሆን አለበት, እና መግለጫው በ ውስጥ መከናወን የለበትም. የኤፒአይ ውሎች OS ፣ ግን በየትኛው የስርዓት ደህንነት አስተዳዳሪዎች መስራት እንደለመዱ።
4.የኤሌክትሮኒክ ሰነዶች ጥበቃ
ጥበቃ የኤሌክትሮኒክስ ልውውጥመረጃው ሁለት ተግባራትን ያጠቃልላል
በህይወት ዑደቱ ወቅት የሰነዱን እኩልነት ከዋናው የኤሌክትሮኒክ ሰነድ ደረጃ ጋር ማረጋገጥ;
የተተገበሩ የኤሌክትሮኒክስ ቴክኖሎጂዎችን ከማጣቀሻዎች ጋር እኩልነት ማረጋገጥ.
የማንኛውም ጥበቃ ዓላማ በህይወት ዑደቱ ውስጥ በሁሉም ቦታዎች ላይ የተገለጹትን የተጠበቁ ንብረቶች መረጋጋት ማረጋገጥ ነው. የአንድ ነገር ደህንነት ደረጃውን የጠበቀ (በቦታ እና በጊዜ መጀመሪያ ላይ ያለውን ነገር) እና ውጤቱን (በምልከታ ጊዜ ያለውን ነገር) በማነፃፀር ነው. ለምሳሌ, በምልከታ ቦታ (የኤሌክትሮኒክ ሰነድ መቀበል) ስለ መደበኛው (የመጀመሪያው የኤሌክትሮኒክ ሰነድ ይዘት) በጣም የተገደበ አውድ መረጃ ብቻ ከሆነ, ግን አለ. ሙሉ መረጃስለ ውጤቱ (የተስተዋለ ሰነድ) ፣ ይህ ማለት የኤሌክትሮኒክስ ሰነድ ከቴክኒካዊ እና የቴክኖሎጂ መስፈርቶች ጋር መጣጣምን የሚያረጋግጡ ባህሪዎችን ማካተት አለበት ፣ ማለትም በሁሉም የሰነዱ ምርት እና መጓጓዣ ደረጃዎች የመልእክቱ የማይለወጥ። ከባህሪ አማራጮች አንዱ የደህንነት ማረጋገጫ ኮዶች (SCA) ሊሆን ይችላል።
ሰነዱ በሚፈጠርበት ጊዜ ጥበቃ ማድረግ. ሰነድ ሲፈጥሩ በሃርድዌር መፈጠር አለበት። የሚስጥር መለያ ቁጥርማረጋገጥ. በ ላይ የኤሌክትሮኒክ ሰነድ ቅጂ መቅዳት የውጭ ሚዲያየ ZKA እድገት ከመጀመሩ በፊት መወገድ አለበት. የኤሌክትሮኒካዊ ሰነዱ በኦፕሬተሩ የተፈጠረ ከሆነ, ZKA ከኦፕሬተር ጋር መያያዝ አለበት. EL በ AS ሶፍትዌር አካል የመነጨ ከሆነ፣ ከዚህ ሶፍትዌር አካል ጋር በተያያዘ ZKA መፈጠር አለበት።
በሚተላለፉበት ጊዜ ሰነድን መጠበቅ. የሰነድ ጥበቃ በውጫዊ (ክፍት) የግንኙነት ቻናሎች በሚተላለፍበት ጊዜ የተረጋገጠ የምስጠራ ዘዴ አጠቃቀምን ጨምሮ መከናወን አለበት ። ዲጂታል ፊርማ(EDS) ለእያንዳንዱ የተላለፈ ሰነድ. ሌላ አማራጭ ደግሞ ይቻላል - የሰነዶች ቁልል ኤሌክትሮኒካዊ ዲጂታል ፊርማ በመጠቀም የተፈረመ ሲሆን እያንዳንዱ ግለሰብ ሰነድ በሌላ በእጅ የተጻፈ ፊርማ (HSA) ለምሳሌ ZKA የተረጋገጠ ነው.
ሰነዱ በሚሰራበት ፣ በሚከማችበት እና በሚተገበርበት ጊዜ ጥበቃ ። በእነዚህ ደረጃዎች የሰነድ ጥበቃ የሚከናወነው ሁለት የደህንነት መቆጣጠሪያዎችን በመጠቀም ነው - ለእያንዳንዱ ደረጃ ግቤት እና ውፅዓት። በዚህ አጋጣሚ ZKA ከሂደቱ ሂደት (የኢንፎርሜሽን ቴክኖሎጂ ደረጃ) ጋር የተገናኘ ከ ZKA ጋር በሃርድዌር ውስጥ መፈጠር አለበት። ለተቀበለው ሰነድ (ከ ZKA እና ዲጂታል ፊርማ ጋር) ሁለተኛ ZKA ይፈጠራል እና ከዚያ በኋላ ብቻ የዲጂታል ፊርማ ይወገዳል.
ሰነዱን ሲደርሱ መጠበቅ ውጫዊ አካባቢ. ሰነዱን ከውጭው አካባቢ ሲደርሱ መጠበቅ ቀደም ሲል የተገለጹ ሁለት ዘዴዎችን ያካትታል - የርቀት ተጠቃሚዎችን መለየት / ማረጋገጥ እና የሰነዶች, የፒሲ ሃብቶች እና አውታረመረብ መዳረሻ መገደብ.
5. በመገናኛ ሰርጦች ውስጥ የውሂብ ጥበቃ
በተለምዶ, በመገናኛ ሰርጥ ውስጥ ያለውን መረጃ ለመጠበቅ, የሰርጥ ኢንክሪፕተሮች ጥቅም ላይ ይውላሉ እና ውሂብ ብቻ ሳይሆን የቁጥጥር ምልክቶችም ይተላለፋሉ.
6. ጥበቃ የመረጃ ቴክኖሎጂዎች
የተወሰኑ ተመሳሳይነቶች ቢኖሩም የኤሌክትሮኒክስ መረጃን እራሱን እንደ ዕቃ (ቁጥር, ውሂብ) ለመጠበቅ እና ዲጂታል መረጃን እንደ ሂደት (ተግባር, የኮምፒዩተር አካባቢ) ለመጠበቅ የሚረዱ ዘዴዎች በጣም የተለያዩ ናቸው. የኢንፎርሜሽን ቴክኖሎጂን በሚጠብቅበት ጊዜ, የኤሌክትሮኒክስ መረጃን ከመጠበቅ በተቃራኒው, አስፈላጊው መደበኛ ቴክኖሎጂ ባህሪያት በአስተማማኝ ሁኔታ ይታወቃሉ, ነገር ግን በትክክል ጥቅም ላይ የዋለው ቴክኖሎጂ ስለ እነዚህ መስፈርቶች መሟላት የተገደበ መረጃ አለ, ማለትም. ውጤት ። ስለ ትክክለኛው ቴክኖሎጂ (እንደ ቅደም ተከተሎች ቅደም ተከተል) መረጃን ሊይዝ የሚችለው ብቸኛው ነገር ED ራሱ ነው, ወይም ይልቁንስ በውስጡ የተካተቱት ባህሪያት. እንደበፊቱ ሁሉ ከእነዚህ ባህሪያት ዓይነቶች አንዱ ZKA ሊሆን ይችላል. የቴክኖሎጂዎች እኩልነት በትክክል ሊመሰረት ይችላል, በ PCA በኩል ከመልዕክቱ ጋር የተቆራኙ የተግባር ስራዎች ብዛት ይበልጣል. ስልቶቹ የኤሌክትሮኒክስ መረጃን ለመጠበቅ ከሚጠቀሙት አይለያዩም። ከዚህም በላይ የአንድ የተወሰነ ZKA መኖር በ ውስጥ መኖሩን ያሳያል ብለን መገመት እንችላለን የቴክኖሎጂ ሂደትተጓዳኝ ክዋኔ እና የ ZKA እሴት በ ላይ ያለውን መልእክት ታማኝነት ያሳያል በዚህ ደረጃየቴክኖሎጂ ሂደት.
7. የውሂብ ዥረቶችን የመዳረሻ መቆጣጠሪያ
የውሂብ ዥረቶችን ተደራሽነት ለመገደብ ዓላማዎች ብዙውን ጊዜ ምስጠራ የደህንነት እርምጃዎችን የሚጠቀሙ ራውተሮች ጥቅም ላይ ይውላሉ። በእንደዚህ ዓይነት ሁኔታዎች ውስጥ ልዩ ትኩረትየተሰጠው ነው ቁልፍ ስርዓትእና የቁልፍ ማከማቻ ደህንነት. ዥረቶችን ለመገደብ የመዳረሻ መስፈርቶች የፋይሎች እና ማውጫዎች መዳረሻን ከመገደብ ይለያያሉ። እዚህ በጣም ቀላሉ ዘዴ ብቻ ነው የሚቻለው - መዳረሻ ይፈቀዳል ወይም የተከለከለ ነው.
የተዘረዘሩትን መስፈርቶች ማሟላት በመረጃ ስርዓቶች ውስጥ በጣም አስፈላጊው የመልእክት አይነት እንደመሆኑ መጠን ለኤሌክትሮኒካዊ ሰነዶች በቂ የደህንነት ደረጃን ያረጋግጣል.
በአሁኑ ጊዜ እንደ ቴክኒካዊ የመረጃ ደህንነት ዘዴ ተዘጋጅቷል የሃርድዌር ሞጁልየታመነ ቡት (ATB)፣ ይህም ስርዓተ ክወናው ምንም ይሁን ምን በደህንነት ዘዴው ለተረጋገጠ ተጠቃሚ መጫኑን ያረጋግጣል። የመረጃ ጥበቃ ስርዓት የ NSD "ስምምነት" (በ OKB SAPR የተገነባ) በጅምላ የተመረተ ሲሆን ዛሬ በሩሲያ ውስጥ ኮምፒውተሮችን ከማይፈቀደው መዳረሻ ለመጠበቅ በጣም ዝነኛ መንገዶች ናቸው. በእድገት ወቅት ዝርዝሮች ጥቅም ላይ ውለዋል የመተግበሪያ አካባቢበተለያዩ ደረጃዎች የማረጋገጫ ኮዶችን (AC) የሚጠቀሙ በኤሌክትሮኒክ ሰነድ አስተዳደር ውስጥ ለመረጃ ደህንነት በሃርድዌር ቤተሰብ ውስጥ ተንጸባርቋል። የሃርድዌር አጠቃቀም ምሳሌዎችን እንመልከት።
1. በጥሬ ገንዘብ መመዝገቢያ (CCMs) ውስጥ፣ ሲ.ኤ.ኤዎች እንደ ኤሌክትሮኒክ ሰነዶች እንደ አንዱ ቼኮች እንደ ማረጋገጫ መንገድ ያገለግላሉ። እያንዳንዱ የጥሬ ገንዘብ መመዝገቢያ የማሰብ ችሎታ ያለው የፊስካል ማህደረ ትውስታ (ኤፍፒ) ክፍል ሊኖረው ይገባል ፣ ይህም በሽያጭ ውጤቶች ላይ መረጃን ከማከማቸት ተግባራት በተጨማሪ በርካታ ተግባራትን ያከናውናል ።
የጥሬ ገንዘብ መመዝገቢያ ሶፍትዌር እና ውሂብ ካልተፈቀደ መዳረሻ ጥበቃ ይሰጣል;
ለጥሬ ገንዘብ መመዝገቢያ እና ለእያንዳንዱ ቼክ የማረጋገጫ ኮዶችን ያመነጫል;
ከግብር ተቆጣጣሪው ሞጁል ጋር ለመግባባት መደበኛ በይነገጽን ይደግፋል;
ከሂሳብ መዝገብ ጋር በተመሳሳይ ጊዜ ለግብር ቢሮ የሚቀርብ የፊስካል መረጃ ማሰባሰብያ ያቀርባል።
የተሻሻለው FP ብሎክ "Accord-FP" የተሰራው በAccord የመረጃ ደህንነት ስርዓት መሰረት ነው። ተለይቶ ይታወቃል የሚከተሉት ባህሪያት:
የ NSD የመረጃ ደህንነት ስርዓት ተግባራት ከ FP ተግባራት ጋር የተዋሃዱ ናቸው;
የ FP እገዳው ተለዋዋጭ ያልሆኑ የ PFC መዝገቦችን ያካትታል;
የታክስ ኢንስፔክተር ሞጁል አሰራር እንደ የአኮርድ-ኤፍፒ እገዳ ዋና አካል ሆኖ ተዋህዷል።
2. በፌዴራል ወይም በክልል ደረጃ በራስ-ሰር ስርዓት ውስጥ የኤሌክትሮኒክ ሰነዶችን (SKTSPD) ታማኝነትን ለመከታተል እና የኤሌክትሮኒክ ሰነዶችን (SKTSPD) አስተማማኝነት ለማረጋገጥ በሲስተሙ ውስጥ መሠረታዊው ልዩነት እያንዳንዱን ግለሰብ ሰነድ የመጠበቅ ችሎታ ነው ። ይህ ስርዓት የትራፊክ ፍሰትን በከፍተኛ ሁኔታ ሳይጨምር ለመቆጣጠር አስችሏል። እንደዚህ አይነት ስርዓት ለመፍጠር መሰረት የሆነው የAccord-S B/KA መቆጣጠሪያ - የማረጋገጫ ኮዶችን የማመንጨት/የማረጋገጥ ተግባራትን የሚፈጽም ከፍተኛ አፈጻጸም ያለው የደህንነት አስተባባሪ ነው።
የክልል መረጃ እና ማስላት ማእከል (RICC) በአጠቃላይ የ SCCPD እንቅስቃሴዎችን ማስተዳደርን ያረጋግጣል ፣ ከሁሉም አውቶማቲክ የቦታ መንኮራኩሮች ጋር መስተጋብር ይፈጥራል - የሶፍትዌር እና የሃርድዌር ስርዓቶች የተገጠመላቸው የተሳተፉ ኦፕሬተሮች አውቶማቲክ ጣቢያዎች "ስምምነት-SB / KA" () A-SB/KA) እና ሶፍትዌር SKTSPD RIVC ሁለት አውቶማቲክ ጣቢያዎችን ማካተት አለበት - AWP-K ቁልፎችን ለመስራት፣ AWP-R የማረጋገጫ ውሂብ ስርጭት ለማዘጋጀት።
3. የኤሌክትሮኒክስ መረጃን የቴክኖሎጂ መረጃ ጥበቃ ንዑስ ስርዓቶች ውስጥ የማረጋገጫ ኮዶች አተገባበር. የሃርድዌር መረጃ ደህንነትን ተግባራዊ ለማድረግ መሰረት የሆነው "Accord SB" እና "Accord AMDZ" (ያልተፈቀደ መዳረሻን በመከላከል ረገድ) ሊሆን ይችላል. የማረጋገጫ ኮዶች ቴክኖሎጂዎችን ለመጠበቅ ጥቅም ላይ ይውላሉ. በቴክኖሎጂ የመረጃ ደህንነት ንዑስ ስርዓት ውስጥ ለኤሌክትሮኒካዊ ሰነዶች የማረጋገጫ ኮዶች የሚመነጩት እና በማረጋገጫ ኮድ አገልጋዮች (ኤሲኤ) ላይ የተረጋገጡ ቁልፍ ሠንጠረዦችን (ተዓማኒነት ሰንጠረዦችን) በ ACA ውስጥ በተጫኑት የአኮርድ-ኤስቢ ተባባሪዎች ውስጣዊ ማህደረ ትውስታ ውስጥ ነው ። አስተማማኝነት ሠንጠረዦች፣ በመላኪያ ቁልፎች ላይ የተዘጉ፣ ወደ SKA ይላካሉ እና ወደ ውስጥ ይጫናሉ። ውስጣዊ ማህደረ ትውስታየእነሱ መገለጽ በሚከሰትበት ቦታ ላይ coprocessors. የማድረስ ቁልፎች የሚመነጩት በልዩ አውቶማቲክ ሠራተኛ ላይ ነው። ቦታ ARM-Kእና በግላዊነት ማላበስ ሂደት ውስጥ በመነሻ ደረጃ ወደ ኮፕሮሰሰሮች ተጭነዋል።
ከ100,000 በላይ የስምምነት አይነት የሃርድዌር ደህንነት ሞጁሎች በኮምፒዩተር ሲስተሞች ውስጥ ከ100,000 በላይ የተግባር አተገባበር ልምድ እንደሚያሳየው በሶፍትዌር እና በሃርድዌር መፍትሄ ላይ ያለው ትኩረት ለቀጣይ ትልቅ እድሎች ስላለው በትክክል ተመርጧል። ልማት እና መሻሻል.
መደምደሚያዎች
ከመረጃ ደህንነት ጋር የተያያዙ ችግሮችን ማቃለል ከፍተኛ ጉዳት ሊያስከትል ይችላል.
የኮምፒውተር ወንጀል ማደግ ስለመረጃ ደህንነት እንድንጨነቅ ያስገድደናል።
በሩሲያ አሠራር ውስጥ አንድ ዓይነት የጅምላ ሶፍትዌር እና ሃርድዌር (ለምሳሌ, IBM-ተኳሃኝ የግል ኮምፒተሮች; ኦፕሬቲንግ ሲስተሞች - መስኮት, ዩኒክስ, MS DOS, Netware, ወዘተ) መጠቀም በተወሰነ ደረጃ ለአጥቂዎች ሁኔታዎችን ይፈጥራል.
የኢንፎርሜሽን ደህንነት ስርዓትን የመገንባት ስትራቴጂ አጠቃላይ መፍትሄዎችን መሰረት ያደረገ መሆን አለበት, የኢንፎርሜሽን ቴክኖሎጂዎችን እና የደህንነት ስርዓቶችን በማቀናጀት, የተራቀቁ ቴክኒኮችን እና መሳሪያዎችን አጠቃቀም እና በአለም አቀፍ የኢንዱስትሪ አይነት የመረጃ ደህንነት ቴክኖሎጂዎች ላይ የተመሰረተ መሆን አለበት.
ራስን የመግዛት ጥያቄዎች
1. በመረጃ ላይ ያሉትን የማስፈራሪያ ዓይነቶች ይሰይሙ፣ የስጋት ፍቺ ይስጡ።
2. መረጃን ለመጠበቅ ምን ዘዴዎች አሉ?
3. የመዳረሻ ቁጥጥርን መረጃን ለመጠበቅ እንደ መንገድ ይግለጹ። የእሱ ሚና እና ጠቀሜታ ምንድነው?
4. መረጃን ለመጠበቅ ምስጠራ ዘዴዎች ዓላማ ምንድን ነው? ዘርዝራቸው።
5. የማረጋገጫ እና የዲጂታል ፊርማ ጽንሰ-ሀሳብ ይስጡ. የእነሱ ይዘት ምንድን ነው?
6. በአውታረ መረቦች ውስጥ የመረጃ ደህንነት ችግሮችን እና የመፍታት እድሎችን ይወያዩ.
7. በመጠቀም የመረጃ ጥበቃ ስትራቴጂ ባህሪያትን ይግለጹ ስልታዊ አቀራረብ, የተቀናጁ መፍትሄዎችእና በመረጃ ቴክኖሎጂ ውስጥ የመዋሃድ መርህ.
8. የመረጃ ደህንነት ስርዓቶችን የመፍጠር ደረጃዎችን ይዘርዝሩ.
9. ለትግበራ ምን ዓይነት ተግባራት አስፈላጊ ናቸው የቴክኒክ ጥበቃየኤሌክትሮኒክ ሰነድ አስተዳደር ቴክኖሎጂዎች?
10. የብዝሃ አቀራረብ ምንነት ምንድን ነው?
11. የኤሌክትሮኒክ ሰነድ አስተዳደር ስርዓትን ለመጠበቅ ምን አይነት ሂደቶች መከተል አለባቸው?
12. ፋየርዎል ምን ተግባራትን ያከናውናል?
የ Ch. ሙከራዎች 5
የጎደሉትን ጽንሰ-ሐሳቦች እና ሀረጎች ይሙሉ.
1. ወደ ያልተፈቀደ አጠቃቀም፣ ሙስና ወይም መረጃ መጥፋት ሊያስከትሉ የሚችሉ ክስተቶች ወይም ድርጊቶች ይባላሉ...
2. በመረጃ ደህንነት ላይ ካሉት ስጋቶች መካከል ሁለት ዓይነቶች መለየት አለባቸው-
3. የተዘረዘሩት የኢንፎርሜሽን ደህንነት አደጋዎችን የመከላከል ዓይነቶች፡- እንቅፋት፣ የመዳረሻ ቁጥጥር፣ ምስጠራ፣ ደንብ፣ ማስገደድ እና ማነሳሳት ከ... የመረጃ ደህንነት ማረጋገጥ ጋር ይዛመዳሉ።
4. የሚከተሉት የደህንነት ስጋቶችን የመከላከል ዘዴዎች፡ አካላዊ፣ ሃርድዌር፣ ሶፍትዌር፣ ድርጅታዊ፣ ህግ አውጪ፣ ሞራላዊ እና ስነምግባር፣ አካላዊ ተዛማጅነት... የመረጃ ደህንነት ማረጋገጥ።
5. ምስጠራዊ የመረጃ ጥበቃ ዘዴዎች በእሱ ላይ የተመሰረቱ ናቸው ...
6. ተገዢነታቸውን ለማረጋገጥ ለተጠቃሚ ልዩ ስያሜ መስጠት ይባላል...
7. ተገዢነታቸውን ለማረጋገጥ ተጠቃሚን ማረጋገጥ ይባላል...
8. ለኮርፖሬት ኔትወርኮች ትልቁ ስጋት ከሚከተሉት ጋር የተያያዘ ነው፡
ሀ) የመረጃ ሀብቶች እና ቴክኖሎጂዎች ልዩነት ጋር;
ለ) ከሶፍትዌር እና ሃርድዌር ጋር;
ሐ) ከመሳሪያዎች ብልሽቶች ጋር. ትክክለኛ መልሶችን ይምረጡ።
9. በኮርፖሬት ኔትወርኮች ውስጥ ያለው ምክንያታዊ የመረጃ ደህንነት ደረጃ በዋነኝነት የሚመረጠው በሚከተሉት ጉዳዮች ላይ ነው፡
ሀ) የመከላከያ ዘዴዎች ዝርዝር;
ለ) ኢኮኖሚያዊ አዋጭነት;
ሐ) የመከላከያ ዘዴዎች.
10. በኮምፒዩተር ማህደረ ትውስታ ውስጥ በቋሚነት የሚኖር እና መረጃን ከመቀየር ጋር የተያያዙ ስራዎችን የሚቆጣጠር የነዋሪ ፕሮግራም መግነጢሳዊ ዲስኮች, ይባላል:
ሀ) መፈለጊያ;
ሐ) ጠባቂ;
መ) ኦዲተር.
11. የፀረ-ቫይረስ ምርቶች የታሰቡ ናቸው-
ሀ) ስርዓቱን ለመፈተሽ;
ለ) ፕሮግራሙን ከቫይረሶች ለመጠበቅ;
ሐ) ቫይረሶችን እና ህክምናቸውን መኖሩን ፕሮግራሞችን ማረጋገጥ;
መ) ስርዓቱን ለመቆጣጠር.
