تكلفة البنية التحتية للشبكة الفشل

معلومات الانتقاد

من المهم أن نبدأ بالنظر الى criticality.You المعلومات فسوف تجد أن هذا هو القاسم المشترك لمعظم نصوص الأمن ، لأن ليس هناك اي نقطة في الحصول على شيء لا يريده أحد. المعلومات الحرجية هو تقييم ما يحمل الشبكة ومدى أهمية ذلك في الخطة الشاملة للأمور. ليس كل البيانات خلقوا متساوين ، وإذا كانت الشركة تقوم بتصنيع الصلب معالف للعلف الخيول ، وهناك فرصة جيدة للبيانات الشبكة هو ليس ما يقرب من المثير للاهتمام أن مهاجم محتمل كما يتضح من البيانات على الانترنت للسمسرة في الأوراق المالية شركة أو بنك أو بطاقة الائتمان تجهيز network.Therefore المنزل ، وتحتاج إلى النظر في مدى أهمية المعلومات الخاصة بك ويقرر كم كنت على استعداد لقضاء لتأمين تلك المعلومات. لا أحد يريد الإخلال بالأمن ، لكنها لن تجعل تجارية جيدة لإنفاق 15 مليون دولار لتأمين شبكة للشركة التي تشد في 5 ملايين دولار سنويا وليس تخزين بيانات شخصية حساسة مثل أرقام بطاقات الائتمان أو السجلات الطبية ، وذلك وقال ، فقط لأن شركتك يجعل من 5 ملايين دولار سنويا لا يعني أن عليك لا ينبغي أن ننظر بجدية إلى مدى أهمية البيانات الخاصة بك ، للتأكد من لم يكن لديك التعرض المفرط. إذا كنت تخزين أرقام بطاقات الائتمان أو السجلات الطبية ، وكنت أفضل أن يكون متأكدا من الحلول الأمنية التي ترقى الى مستوى المعايير ، وذلك لأن لديك مسؤولية قانونية يمكن أن يفوق بشكل ملحوظ 5 ملايين دولار سنويا في عجلة كبيرة.

تحليل الأثر

ستلاحظ كما تقرأ المقالات خطط فردية لأمن المنطقة أن بعض التداخل في المعلومات. فإنه من الصعب إجراء تحليل الأثر على البنية التحتية دون الإخلال أيضا رؤية كيف يمكن ان تؤثر على عناصر شبكة لاسلكية ، موقع ويب ، أو السياسات والإجراءات الخاصة بك. ومع ذلك ، في النظر في التأثير على البنية التحتية الخاصة بك ، عليك أن نفهم كيف يمكن أن تؤثر على خرق أسس تحليلكم organization.The الأثر ينبغي أن تشمل ما يلي :

-- تكلفة البنية التحتية للشبكة الفشل (التوقف) خادم أسفل ، أسفل خادم قاعدة البيانات ، والموجهات إلى أسفل ، الخ.

-- تكلفة البنية التحتية للشبكة متوفرة (بطيئا أو لا تستجيب)الحرمان من الخدمة (دوس) هجمات ، علبة الفيضانات ، الخ.

-- تكلفة البنية التحتية للشبكة البيانات خرق السرية ، سلامة ، وتوافر رجل في المتوسطة ، خداع ، والتصيد ، الخ.

-- التكلفة لسمعة الشركة خسارة في المبيعات ، فقد الزبائن ، وفقدان العلاقات التجارية على المدى الطويل.

-- تكلفة لشركة تكلفة العلاج ، وتكاليف التقاضي ، ويجب أن تجمع المعلومات الحرجية مع نتائج التحليل الخاص بك الأثر في تشكيل صورة واضحة لما كنت تحاول حماية والسبب في ذلك. عند فهم الأثر ، يمكنك ان ترى فيها مجالات هامة هي في مؤسستك ، ويمكن استخدام هذه المعلومات ، في جزء منها ، لتحديد أولويات نهجكم لتأمين الشبكة.

نظام التعاريف

البنية التحتية للأنظمة واضحة وتشمل "العمود الفقري" الخدمات ، بما في ذلك خوادم DHCP ، دياناس خدمة ، خدمات الدليل الملقمات ، خوادم البريد الإلكتروني ، خوادم قاعدة البيانات ، والجدران النارية ، DMZs ، والموجهات / المحولات وأنظمة التشغيل ، لخدمة الانترنت ، وتطبيقات الأمن (الحماية من الفيروسات وبرمجيات التجسس ، معرفات / المؤسسة ، الخ). اذا كانت مفيدة ، ويمكنك ايضا ان ننظر في النظم الخاصة بك من منظور التفتيش الموقعي نموذج من الطبقة المادية حتى من خلال طبقة التطبيق ، أيا كانت تروق لكم ولفريقكم. إنشاء (أو تحديث) مخططات الشبكة ويمكن أيضا أن يدرج في نظرة عامة على نظام التعريفات ، لأن الطريقة يناسب كل شيء معا هو جزء من فهم كامل.

تدفق المعلومات

أحد المجالات التي يتم التغاضي عنها أحيانا في مرحلة التقييم وتدفق المعلومات عبر المنطقة infrastructure.This يمكن استخدامها بالاقتران مع التعاريف النظم الخاصة بك للمساعدة على خريطة الشبكة واكتشاف المجالات الرئيسية التي تحتاج إلى الحماية ، وكيف لأحد المهاجمين سوف تحصل على تلك الأصول ، ويساعد في بعض الاحيان للنظر في تدفق المعلومات من منظورات مختلفة. على سبيل المثال ، كيف يمكن للمعلومات من كمبيوتر المستخدم تدفق؟ كيف يمكن للنظام أسماء النطاقات أو DHCP تدفق حركة المرور عبر الشبكة؟ كيف يتم الاتجار الخارجية القادمة إلى شبكة تتم إدارتها ، وأين وكيف يبدأ؟ كيف يتم المرور ترك الشبكة العامة لشبكة (إنترنت) تدار؟ إنشاء خريطة بك البنية التحتية للشبكة وتدفق المعلومات سوف تساعدك على تصور الشبكة وتحديد نقاط الضعف المحتملة.

مدى

قد ترغب في الحد من نطاق الأمان البنية التحتية للمشروع لمجموعة متنوعة من الأسباب. "الفحص" وغالبا ما فعلت عندما كنت تعاقد مع خبير استشاري الأمن الخارجي. ومع ذلك ، إذا كنت تفعل هذا العمل داخليا ، قد تحد من نطاق هنا ، أو إذا كنت قد اخترت القيام بتقييم كامل ومن ثم الحد من نطاق بعد ان ترى ما هو ما.

الناس وعملية

بوضوح ، والناس سوف تؤثر أيضا على العمليات وأمن الشبكة بطريقة كبيرة. تحدث معظم الخروقات الأمنية من الداخل ، وليس من خارجها ، على الرغم من تركيز وسائل الإعلام على الناس الإثارة الخارجية breaches.The الأمن في المؤسسة الخاصة بك يمكن أن يكون لديك المدافعين عن حقوق الإنسان أو بك إلى أسفل سافلين ، وهذا يتوقف على كيفية المقاربة الأمنية. الشطارة مطلعة يمكن للمستخدمين زيادة التدابير الأمنية التقنية عن طريق تجنب الوقوع ضحية للهندسة الاجتماعية ، والإبلاغ عن الأنشطة المشبوهة ، وتجنب الاحتيال البريد الإلكتروني ، أو عدم ترك جهاز الكمبيوتر الخاص بهم وغير المراقب في تسجيل. كل الأمن في العالم لا يمكن منع حدوث مشاكل إذا المستخدمين لا تضع ثقلها ، وهناك العديد من الطرق لإبلاغ وإشراك المستخدمين ، وللأسف ، كثير من أقسام تكنولوجيا المعلومات لا نفوذ هذه الفرص بنجاح كبير ، لأنها غالبا ما تقع ضحية مستخدم "كما الألم في الربعين هند" عقلية. دعونا ننظر في عدد المستخدمين ، والعمليات التنظيمية ينبغي استعراضها خلال تقييم البنية التحتية.

التشكيلات الجانبية للمستخدم

ما هي أنواع المستخدمين لديك؟ أين وكيف تعمل؟ إذا كنت نبدأ بالنظر الى عدد السكان المستخدم الخاص بك ، ستشاهد القطاعات التي لديها أعلى أو أدنى من المخاطر كاتب profiles.The في غرفة البريد قد لا يحصلون إلا على البريد الإلكتروني ، وتطبيق غرفة البريد ، ولكن هل هو أو هي أيضا أن يكون الوصول إلى الإنترنت و القدرة على تحميل وتثبيت البرامج؟ ماذا عن موظفي التسويق الذين يسافرون حول العالم؟ ما هي أنواع المعلومات أنها لا تبقي على أجهزة الكمبيوتر المحمول (أسماء المستخدمين وكلمات السر وأسماء النطاقات ، وثائق حساسة ، والاتصالات ، وما شابه ذلك) ، وكيف يؤثر هذا على الشبكة الأمنية؟ مستخدمين يمكن تصنيفها في أي السبل عمل لك في المؤسسة الخاصة بك ، ولكن هنا قائمة من المخاطر المحتملة من نوع الموظف ، لتحصل على التفكير :

-- السلطة التنفيذية أهداف عالية لمحة ، وغالبا ما لا "هاو للتكنولوجيا ،" يحتمل أن تكون سهلة للحصول على معلومات حول (من النشرات الصحفية ، والإيداعات العامة ، وتقديم الأوراق القانونية ، وهلم جرا).

-- مدير أهداف عالية التعريف ، يمكن السفر على نطاق واسع مع المعلومات الحساسة ، قد تحتاج إلى الاتصال بالشبكة في مجموعة متنوعة من المواقع غير الآمنة.

-- التمويل، التسويق، الموارد البشرية والقانونية الحصول على بيانات حساسة للغاية ، قد تكون رفيعة المستوى الأهداف نظرا لإمكانية الوصول إلى البيانات الحساسة ، قد يكون السفر على نطاق واسع والأهداف المنشودة من الهندسة الاجتماعية.

-- موظفي تقنية المعلومات الوصول إلى موارد الشبكة ، والقدرة على منح / رفض الوصول ، ويحتمل أن تكون الأهداف المرغوب فيه من الهندسة الاجتماعية (وخاصة عن طريق مكتب المساعدة) ، والأهداف المرغوب فيه جدا (تكنولوجيا المعلومات المستخدمين وكلمات السر مع امتيازات إدارية هي الكأس المقدسة للقراصنة).

-- شاهد الوصول إلى المعلومات الحساسة الشركة ، وغالبا ما تستهدف من الهندسة الاجتماعية. وبالإضافة إلى هاتين الفئتين ، قد يكون لديك مجموعات تعريف المستخدم الخاص بك في نظام إدارة أمن الشبكة (التي تدير لمراقبة الدخول) التي تريد استخدامها. مايكروسوفت تحدد المستخدمين كما المديرين والمستخدمين السلطة ، وما شابه ذلك ، مما قد عمل لك. مرة أخرى ، فإن المهم هو استخدام طريقة تصنيف هذا الطريق ذات مغزى لشركتك الخاصة بك والموجودة في البنية التحتية لشبكة المنظمة ، حتى تتمكن من فهم المخاطر جلب المستخدمين في المنظمة واستراتيجيات للحفاظ على شبكة آمنة في ضوء طريقة مختلفة المستخدمين من العمل.

السياسات والإجراءات

سياسات البنية التحتية وإجراءات اتصال في اليوم إلى العمليات اليومية لموظفي تقنية المعلومات ، بما في ذلك الطريقة التي يتم بها رصد الأمن (مهام مراجعة الحسابات ، وملفات السجل ، وسياسات كلمة السر والتنبيهات) وكيف يتم الحفاظ على (النسخ الاحتياطي ، التحديثات ، والترقيات). السياسات المتعلقة سلوك المستخدم أيضا أهمية حاسمة لضمان أن البنية التحتية للشبكة لا تزال آمنة. أخيرا ، وسياسات الشركات فيما يتعلق باستخدام البيانات ، والكمبيوتر والمعدات الالكترونية ، والوصول إلى المبنى ، على سبيل المثال ثلاثة فقط ، هي المجالات التي ينبغي مراجعتها وتنقيحها من أجل دعم وتعزيز الأمن عبر المؤسسة. الاحتياجات التنظيمية والبيئة الداخلية تشكلها المنظمة التجارية بالكامل ، بما في ذلك النوع من الأعمال ، وطبيعة ومهام المبيعات والتسويق ، وأنواع من الزبائن ، وأنواع من الموظفين ، وتدفق العمل من خلال الشركة. ماذا شركتك تتطلب من الخدمات التي تقدمها الشبكة ، وكيف يمكن تأمين هذه الاحتياجات يكون؟ إذا كنت تعتقد أن شبكة المؤسسة ، والبيانات ، ويحتاج الكمبيوتر ويجري الحد ، تحديد ما هي عليه ، وتحقق مع قليل من المستخدمين لمعرفة ما اذا كنت على العلامة. تأكد من أنك تفهم كيف تندمج في شبكة منظمة ، وليس العكس ، ومن ثم تصميم أمنكم الحل وفقا لذلك.

التنظيمية / الامتثال

أي تقييم البنية التحتية والأمن يجب أن تتضمن خطة requirements.These التنظيمية والامتثال تختلف اختلافا كبيرا من دولة إلى أخرى ومن بلد إلى بلد ، ومواكبة منها لا يمكن أن تكون أكثر من مجرد وظيفة بدوام كامل. كثير من الشركات على توظيف ضباط الامتثال وظيفته الأساسية هي الامتثال لإدارة الشركات. إذا كان لدى شركتك ضابط الامتثال ، وتأكد من هو أو هي عضو في تقنية المعلومات لديك فريق عمل المشروع ، على الأقل خلال مرحلة التعريف ، عندما كنت النامية بك المتطلبات الوظيفية والتقنية ، حيث كثيرا ما تكون هذه الطريقة التي اعتمدتها للامتثال occurs.We 'هاء وشملت قائمة قصيرة هنا اليوم مع عدد قليل من الروابط موقع ويب ، ولكنها ليست شاملة ، يجب عليك الحصول على مشورة قانونية بشأن القواعد التنظيمية والامتثال لمتطلبات شركتك إذا ليس لديك من معرفة وخبرة الامتثال ضابط في المكان.

-- الإبطال يمكنك تجنب هذا الخطر من خلال تغيير نطاق المشروع وذلك من مخاطر في المسألة لم تعد تنطبق ، أو تغيير معالم البرنامج على أن تحذو حذوها. في معظم الحالات ، وهذا ليس خيارا قابلا للاستمرار ، لأن القضاء على الشبكة مثل خدمة البريد الإلكتروني لتجنب المخاطر من الفيروسات ليست مقياسا مناسبا. (خدمات الشبكة موجودة لسبب ؛ عملك قدر كبير من الكفاءة الأمن هو جعل تلك الخدمات آمنة قدر المستطاع.) أحد الأمثلة على كيفية تجنب أن تكون عنصرا مفيدا لإدارة المخاطر هو تكتيك إذا كانت الشركة قد خادم واحد أن الأعمال على حد سواء خادم الويب ، وقاعدة بيانات الخادم سجلات السكن أفراد السرية ، وعندما لا يكون هناك أي نوع من التفاعل بين الموقع والمعلومات المتعلقة بالموظفين. في هذا السيناريو ، شراء ملقم الثاني الى منزل الموظف في قاعدة البيانات ، وإزالة قاعدة بيانات الموظفين من خادم ويب بالكامل ، ووضع قاعدة بيانات الخادم الموظف على قطعة خاصة مع شبكة اي اتصال على الإنترنت من شأنه أن يكون وسيلة لتجنب المستندة إلى الويب الاعتداءات على موظفي السجلات ، لأن خطة العمل هذه "يزيل" سمة من سمات خادم ويب (في ملفات الموظفين) تماما.

-- انتقال يمكنك نقل خطر من خلال نقل المسؤولية إلى party.The ثالث أكثر الأمثلة المعروفة لهذا الحل هو شراء بعض النوع من التأمين دعونا نقول التأمين ضد الفيضانات عن محتويات room.Although الخادم الخاص بك لشراء هذا التأمين لا يقلل احتمال فيضان سيحدث في غرفتك الخادم ، فإنه لا ضمان بأن التكلفة النقدية للأضرار سوف تتحملها شركة التأمين في مقابل أقساط التأمين الخاصة بك السياسة. من المهم أن نلاحظ أن انتقال ليس 100 في المئة في حل الفيضانات سبيل المثال ، سيكون من المرجح شركتك تزال تتكبد بعض الخسائر المالية أو انخفاض الإنتاجية في الوقت الذي يستغرقه لك لاستعادة خادم الغرفة لعمل النظام. كما هو الحال مع معظم تكتيكات إدارة المخاطر ، وبذلك يصبح التعرض للمخاطر إلى الصفر عادة ما يكون هدفا بعيد المنال.

-- تخفيف التخفيف من هو أكثر ما محترفو التفكير في ذلك عند تنفيذ أي حل لإدارة المخاطر. انه ينطوي على اتخاذ بعض الإجراءات الإيجابية الرامية إلى الحد من احتمال ان هجوما سيقع أو للحد من الأضرار المحتملة التي قد يكون ناجما عن هجوم ، دون إزالة الموارد تماما ، كما هو الحال مع الإبطال. ترميم الملقمات ، وتعطيل الخدمات غير الضرورية ، وتركيب جدار ناري بعض الحلول التي تندرج تحت عنوان لتخفيف المخاطر.

-- القبول بعد أن قمت بتحديد جميع المخاطر التي تتعرض لها البنية التحتية الخاصة بك والتي يمكن تجنبها ، ونقلها ، أو تخفيفها ، كنت لا تزال اليسرى مع وجود قدر معين من المخاطر التي لن تكون قادرة على الحد من دون أي زيادة خطيرة تؤثر على عملك (مع البريد ملقم البريد الإلكتروني حاليا كوسيلة لمكافحة الفيروسات ، وعلى سبيل المثال) ، لديك الخيار النهائي هو واحد من القبول ، حيث يمكنك أن تقرر أن المخاطر المتبقية إلى الشبكة وصلت الى مستوى مقبول ، واخترت لمراقبة الشبكة عن أي دلائل على جديدة أو زيادة المخاطر التي قد تتطلب المزيد من العمل في وقت لاحق ، وليس هناك طريقة سليمة واحدة للتصدي لجميع المخاطر التي تتعرض لها البنية التحتية الخاصة بك ؛ على الأرجح سوف تتخذ نهجا المخلوطة security.There لبعض المخاطر لكم تماما الحاجة إلى تجنب مخاطر أخرى لك ويمكن نقل معقول أو التخفيف من حدتها ، ولا يزال البعض أنك تقبل ببساطة لأن تكلفة لتجنب هذه المخاطر ليست مجرد يستحق كل هذا العناء.

---

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذه المادة "تكلفة البنية التحتية للشبكة الفشل" وقد ترجم من قبل البرمجيات التلقائي. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.

---