WikiDer > Глубокая защита (вычисления)

Defense in depth (computing)

Глубокая защита это концепция, используемая в Информационная безопасность в котором несколько уровней контроля безопасности (защиты) размещены по всему информационные технологии (IT) система. Его цель - обеспечить избыточность в случае контроль безопасности не работает или используется уязвимость, которая может охватывать аспекты персонал, процедурный, технический и физический безопасность на протяжении всего жизненного цикла системы.

Фон

Идея, лежащая в основе подхода глубокоэшелонированной защиты, состоит в том, чтобы защитить систему от любой конкретной атаки, используя несколько независимых методов.[1] Это тактика расслоения, задуманная[нужна цитата]. посредством Национальное Агенство Безопасности (NSA) как комплексный подход к информационной и электронной безопасности.[2][3] Термин «глубокоэшелонированная компьютерная защита» вдохновлен военными стратегия из то же имя, но совершенно другая концепция. Военная стратегия вращается вокруг более слабой защиты периметра и намеренного предоставления пространства, чтобы выиграть время, охватить и, в конечном итоге, контратаковать противника, тогда как стратегия информационной безопасности просто включает в себя несколько уровней контроля, но не намеренно уступает позиции (ср. горшок меда.)

Управление

Глубокую защиту можно разделить на три области: физическую, техническую и административную.[4]

Физический контроль

Физический контроль[2] это все, что физически ограничивает или препятствует доступу к ИТ-системам. Заборы, охрана, собаки, системы видеонаблюдения и тому подобное.

Технический контроль

Технические средства контроля - это оборудование или программное обеспечение, предназначенное для защиты систем и ресурсов. Примерами технических средств управления могут быть шифрование диска, считыватели отпечатков пальцев и аутентификация. Аппаратные технические средства контроля отличаются от физических средств контроля тем, что они предотвращают доступ к содержимому системы, но не к самим физическим системам.

Административный контроль

Административный контроль - это политика и процедуры организации. Их цель - обеспечить наличие надлежащих рекомендаций в отношении безопасности и соблюдение правил. Они включают такие вещи, как приемы на работу, процедуры обработки данных и требования безопасности.

Часто используемые методы

Использование более чем одного из следующих уровней представляет собой пример глубокоэшелонированной защиты.

Безопасность системы / приложения:

Сетевая безопасность:

Физическая охрана:

Пример

В следующем сценарии веб-браузер разрабатывается с использованием глубокоэшелонированной защиты:

  • разработчики браузеров проходят обучение безопасности
  • кодовая база проверяется автоматически с помощью инструментов анализа безопасности
  • браузер регулярно проверяется командой внутренней безопасности
  • ... время от времени проверяется внешней группой безопасности
  • ... выполняется внутри песочницы

Смотрите также

Рекомендации

  1. ^ Шнайер о безопасности: безопасность в облаке
  2. ^ а б Глубокая защита: практическая стратегия обеспечения безопасности информации в современных сетевых средах.
  3. ^ OWASP Wiki: Глубокая защита[ненадежный источник?]
  4. ^ Стюарт, Джеймс Майкл; Чаппл, Майк; Гибсон, Дэррил (2015). Официальное учебное руководство сертифицированного специалиста по безопасности информационных систем CISSP (ISC) 2.