Глубокая защита - это концепция, используемая в информационной безопасности, в которой несколько уровней контроля безопасности (защиты) размещаются по всей системе информационных технологий (ИТ). Его цель - обеспечить избыточность в случае сбоя контроля безопасности или использования уязвимости, которая может охватывать аспекты кадровой , процедурной , технической и физической безопасности на протяжении всего жизненного цикла системы.
Задний план
Идея, лежащая в основе подхода глубокоэшелонированной защиты, заключается в защите системы от любой конкретной атаки с использованием нескольких независимых методов. [1] Это наслоение тактик, зачатый [2] с помощью Агентства национальной безопасности (NSA) в качестве комплексного подхода к информации и электронной безопасности. [3] [4] Термин защита в глубине в вычислениях вдохновлена военной стратегией по тому же имени , но это совершенно разные по концепции. Военная стратегия вращается вокруг более слабой защиты периметра и намеренного предоставления пространства, чтобы выиграть время, охватить и, в конечном итоге, контратаковать противника, тогда как стратегия информационной безопасности просто включает в себя несколько уровней контроля, но не намеренно уступает место ( см. Honeypot. )
Органы управления
Глубокую защиту можно разделить на три области: физическую, техническую и административную. [5]
Физический контроль
Физические средства контроля [3] - это все, что физически ограничивает или предотвращает доступ к ИТ-системам. Заборы, охрана, собаки, системы видеонаблюдения и тому подобное.
Технический контроль
Технические средства контроля - это оборудование или программное обеспечение, предназначенное для защиты систем и ресурсов. Примерами технических средств управления могут быть шифрование диска, считыватели отпечатков пальцев и аутентификация. Аппаратные технические средства контроля отличаются от физических средств контроля тем, что они предотвращают доступ к содержимому системы, но не к самим физическим системам.
Административный контроль
Административный контроль - это политика и процедуры организации. Их цель - обеспечить наличие надлежащих инструкций в отношении безопасности и соблюдение нормативных требований. Они включают в себя такие вещи, как приемы на работу, процедуры обработки данных и требования безопасности.
Часто используемые методы
Использование более чем одного из следующих уровней представляет собой пример глубокоэшелонированной защиты.
Безопасность системы / приложения:
- Программа-антивирус
- Аутентификация и защита паролем
- Шифрование
- Хеширование паролей
- Ведение журнала и аудит
- Многофакторная аутентификация
- Сканеры уязвимостей
- Контроль доступа по времени
- Обучение осведомленности в области интернет-безопасности
- Песочница
- Системы обнаружения вторжений (IDS)
Сетевая безопасность:
- Брандмауэры (аппаратные или программные)
- Демилитаризованные зоны (DMZ)
- Виртуальная частная сеть (VPN)
Физическая охрана:
- Биометрия
- Безопасность, ориентированная на данные
- Физическая безопасность (например, замки с ригелем )
Пример
В следующем сценарии веб-браузер разрабатывается с использованием глубокоэшелонированной защиты:
- разработчики браузеров проходят обучение безопасности
- кодовая база проверяется автоматически с помощью инструментов анализа безопасности
- браузер регулярно проверяется внутренней службой безопасности
- ... иногда проверяется внешней группой безопасности
- ... выполняется внутри песочницы
Смотрите также
Рекомендации
- ^ Шнайер о безопасности: безопасность в облаке
- ^ «Некоторые принципы безопасного проектирования. Модуль« Проектирование безопасных систем »Осень Скачать PDF бесплатно» . docplayer.net . Проверено 12 декабря 2020 .
- ^ a b Глубокая защита: практическая стратегия обеспечения безопасности информации в сегодняшних сильно сетевых средах.
- ^ OWASP Wiki: Глубокая защита [ ненадежный источник? ]
- ^ Стюарт, Джеймс Майкл; Чаппл, Майк; Гибсон, Дэррил (2015). Официальное учебное руководство сертифицированного специалиста по безопасности информационных систем CISSP (ISC) 2 .