Глубокая защита (вычисления) - Defense in depth (computing)
 | Эта статья нужны дополнительные цитаты для проверка. (Апрель 2012 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
Глубокая защита это концепция, используемая в Информационная безопасность в котором несколько уровней контроля безопасности (защиты) размещены по всему информационные технологии (IT) система. Его цель - обеспечить избыточность в случае контроль безопасности не работает или используется уязвимость, которая может охватывать аспекты персонал, процедурный, технический и физический безопасность на протяжении всего жизненного цикла системы.
Фон
Идея, лежащая в основе подхода глубокоэшелонированной защиты, состоит в том, чтобы защитить систему от любой конкретной атаки, используя несколько независимых методов.[1] Это тактика расслоения, задуманная[нужна цитата ]. посредством Национальное Агенство Безопасности (NSA) как комплексный подход к информационной и электронной безопасности.[2][3] Термин «глубокоэшелонированная компьютерная защита» вдохновлен военными стратегия из то же имя, но совершенно другая концепция. Военная стратегия вращается вокруг более слабой защиты периметра и намеренного предоставления пространства, чтобы выиграть время, охватить и, в конечном итоге, контратаковать противника, тогда как стратегия информационной безопасности просто включает в себя несколько уровней контроля, но не намеренно уступает позиции (ср. горшок меда. )
Управление
Глубокую защиту можно разделить на три области: физическую, техническую и административную.[4]
Физический контроль
Физический контроль[2] это все, что физически ограничивает или препятствует доступу к ИТ-системам. Заборы, охрана, собаки, системы видеонаблюдения и тому подобное.
Технический контроль
Технические средства контроля - это оборудование или программное обеспечение, предназначенное для защиты систем и ресурсов. Примерами технических средств управления могут быть шифрование диска, считыватели отпечатков пальцев и аутентификация. Аппаратные технические средства контроля отличаются от физических средств контроля тем, что они предотвращают доступ к содержимому системы, но не к самим физическим системам.
Административный контроль
Административный контроль - это политика и процедуры организации. Их цель - обеспечить наличие надлежащих рекомендаций в отношении безопасности и соблюдение правил. Они включают такие вещи, как приемы на работу, процедуры обработки данных и требования безопасности.
Часто используемые методы
Использование более чем одного из следующих уровней представляет собой пример глубокоэшелонированной защиты.
Безопасность системы / приложения:
- Антивирусное программное обеспечение
- Аутентификация и пароль безопасность
- Шифрование
- Хеширование пароли
- логирование и аудит
- Многофакторная аутентификация
- Сканеры уязвимостей
- Контроль доступа по времени
- Тренинг по информационной безопасности
- Песочница
- Системы обнаружения вторжений (IDS)
Сетевая безопасность:
- Межсетевые экраны (аппаратное или программное обеспечение)
- Демилитаризованные зоны (DMZ)
- Виртуальная частная сеть (VPN)
Физическая охрана:
- Биометрия
- Безопасность, ориентированная на данные
- Физическая охрана (например. засов замки)
Пример
В следующем сценарии веб-браузер разрабатывается с использованием глубокоэшелонированной защиты:
- разработчики браузеров проходят обучение безопасности
- кодовая база проверяется автоматически с помощью инструментов анализа безопасности
- браузер регулярно проверяется командой внутренней безопасности
- ... время от времени проверяется внешней группой безопасности
- ... выполняется внутри песочницы
Смотрите также
Рекомендации
- ^ Шнайер о безопасности: безопасность в облаке
- ^ а б Глубокая защита: практическая стратегия обеспечения безопасности информации в современных сетевых средах.
- ^ OWASP Wiki: Глубокая защита[ненадежный источник? ]
- ^ Стюарт, Джеймс Майкл; Чаппл, Майк; Гибсон, Дэррил (2015). Официальное учебное руководство сертифицированного специалиста по безопасности информационных систем CISSP (ISC) 2.