Глубокоэшелонированная защита (вычисления)

Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. Найдите источники:   вычисления «эшелонированной защиты» – новости   · газеты   · книги   · ученые   · JSTOR ( апрель 2012 г. ) ( Узнайте, как и когда удалить это сообщение )

Глубокоэшелонированная защита — это концепция, используемая в информационной безопасности , в которой несколько уровней контроля безопасности (защиты) размещаются по всей системе информационных технологий (ИТ). Его цель состоит в том, чтобы обеспечить резервирование в случае сбоя контроля безопасности или использования уязвимости, которая может охватывать аспекты кадровой , процедурной , технической и физической безопасности на протяжении всего жизненного цикла системы.

Идея подхода глубокоэшелонированной защиты заключается в защите системы от любой конкретной атаки с использованием нескольких независимых методов. ^{[ 1 ]} Это многослойная тактика, задуманная ^{[ 2 ]} Агентством национальной безопасности (АНБ) как комплексный подход к информационной и электронной безопасности. ^{[ 3 ] [ 4 ]} эшелонированная защита в вычислительной технике» вдохновлен одноименной военной , стратегией Термин « но по своей концепции он совершенно другой. Военная стратегия вращается вокруг более слабой защиты по периметру и намеренного уступки пространства, чтобы выиграть время, окружить и, в конечном итоге, контратаковать противника, тогда как стратегия информационной безопасности просто включает в себя несколько уровней контроля, но не намеренную уступку территории ( ср . Honeypot. )

Глубокоэшелонированную защиту можно разделить на три области: физическую, техническую и административную. ^{[ 5 ]}

Физический контроль ^{[ 3 ]} — это все, что физически ограничивает или предотвращает доступ к ИТ-системам. Заборы, охрана, собаки, системы видеонаблюдения и тому подобное.

Технические средства контроля — это аппаратное или программное обеспечение, целью которого является защита систем и ресурсов. Примерами технических средств контроля могут быть шифрование диска, программное обеспечение для обеспечения целостности файлов и аутентификация. Аппаратные технические средства контроля отличаются от физических средств контроля тем, что они предотвращают доступ к содержимому системы, но не к самим физическим системам.

Административный контроль — это политика и процедуры организации. Их цель — обеспечить наличие надлежащего руководства в отношении безопасности и соблюдение правил. Они включают в себя такие вещи, как практика найма, процедуры обработки данных и требования безопасности.

Использование более чем одного из следующих уровней представляет собой пример глубокоэшелонированной защиты.

• Антивирусное программное обеспечение
• Аутентификация и пароля безопасность
• Шифрование
• Хеширование паролей
• Ведение журнала и аудит
• Многофакторная аутентификация
• Сканеры уязвимостей
• Контроль доступа по времени
• Обучение по вопросам безопасности в Интернете
• Песочница
• Системы обнаружения вторжений (IDS)

• Брандмауэры (аппаратные или программные)
• Демилитаризованные зоны (ДМЗ)
• Виртуальная частная сеть (VPN)

• Биометрия
• Безопасность, ориентированная на данные
• Физическая безопасность (например, засовы )

В следующем сценарии веб-браузер разрабатывается с использованием глубокоэшелонированной защиты:

• разработчики браузера проходят обучение по безопасности
• кодовая база проверяется автоматически с помощью инструментов анализа безопасности
• браузер регулярно проверяется внутренней службой безопасности
• ... время от времени проверяется внешней службой безопасности
• ... выполняется внутри песочницы

• Глубокоэшелонированная оборона (римские военные)
• Стратегия защиты (вычисления)