Jismoniy axborot xavfsizligi - Physical information security

Jismoniy axborot xavfsizligi bu kesishish, orasidagi umumiy zamin jismoniy xavfsizlik va axborot xavfsizligi. Bu, birinchi navbatda, kompyuter tizimlari va saqlash vositalari kabi axborot bilan bog'liq moddiy boyliklarni ruxsatsiz jismoniy kirish, o'g'irlik, yong'in va toshqin kabi jismoniy, real tahdidlardan himoya qilish bilan bog'liq. Bunga odatda himoya to'siqlar va qulflar, uzluksiz quvvat manbalari va maydalagichlar kabi jismoniy boshqaruv kiradi. Jismoniy domendagi axborot xavfsizligini boshqarish mantiqiy domendagi (shifrlash) va protsessual yoki ma'muriy boshqaruvni (masalan, axborot xavfsizligi to'g'risida xabardorlik va siyosat va qonunlarga rioya qilish) to'ldiradi.

Fon

Aktiv mohiyatan qimmatli va shu bilan birga turli xil tahdidlarga (zararli (masalan, o'g'irlik, o't qo'yish) va tasodifiy / tabiiy (masalan, yo'qolgan mol-mulk, buta yong'inlari) tahdidlariga qarshi turadi. Agar tahdidlar yuzaga kelsa va hodisalarni keltirib chiqaradigan ushbu zaifliklardan foydalansangiz, aktivlarga qonuniy ravishda egalik qiladigan va ulardan foydalanadigan tashkilotlarga yoki shaxslarga salbiy ta'sir ko'rsatishi mumkin, ular ahamiyatsizdan vayronagarchilikgacha. Xavfsizlik nazorati hodisalar natijasida yuzaga keladigan ta'sirlarning yuzaga kelish ehtimoli yoki chastotasini va / yoki zo'ravonligini kamaytirishga qaratilgan bo'lib, aktivlarning qiymatini himoya qiladi.

Jismoniy xavfsizlik, tutun detektorlari, yong'in signalizatsiyasi va söndürücüler kabi boshqarish vositalaridan, shuningdek ulardan foydalanish bilan bog'liq qonunlar, qoidalar, qoidalar va protseduralardan foydalanishni o'z ichiga oladi. To'siqlar, devorlar va eshiklar kabi to'siqlar, bu uy yoki ofis kabi boshqariladigan hududga ruxsatsiz jismoniy kirishni to'xtatish yoki oldini olish uchun mo'ljallangan aniq jismoniy xavfsizlik nazorati. O'rta asrlar qasrlarining xandaqlari va jangovar joylari, bank kassalari va seyflari kabi jismoniy kirishni boshqarish usullarining klassik namunalari.

Axborot xavfsizligi nazorati axborot aktivlari, xususan axborotning o'zi (ya'ni nomoddiy axborot tarkibi, ma'lumotlar, intellektual mulk, bilim va hk), shuningdek kompyuter va telekommunikatsiya uskunalari, saqlash vositalari (shu jumladan qog'ozlar va raqamli axborot vositalari), kabellar va boshqalarning qiymatini himoya qiladi. axborot bilan bog'liq moddiy aktivlar (masalan, kompyuter quvvat manbalari). "Xalqimiz - bizning eng katta boyligimiz" korporativ mantrasi, ma'noda haqiqatan ham haqiqatan ham bilim sohasi xodimlari deb atalmish juda qimmatli, balki almashtirib bo'lmaydigan ma'lumotlarga ega bo'lishadi. Shuning uchun sog'liqni saqlash va xavfsizlik choralari va hattoki tibbiy amaliyot ham insonni jarohatlar, kasalliklar va o'limdan himoya qiladiganligi sababli jismoniy xavfsizlikni jismoniy nazorat qilish deb tasniflanishi mumkin. Ushbu nuqtai nazar ma'lumotlarning hamma joyda va qadr-qimmatiga misol bo'la oladi. Zamonaviy insoniyat jamiyati ma'lumotlarga juda bog'liq bo'lib, ma'lumotlar chuqurroq va asosiy darajada muhim va ahamiyatga ega. Printsipial jihatdan, DNK replikatsiyasining aniqligini saqlaydigan hujayralararo biokimyoviy mexanizmlar, hatto genlar "hayot ma'lumoti" ekanligini hisobga olib, axborot xavfsizligini ta'minlashning muhim elementlari deb tasniflanishi mumkin.

Axborot aktivlariga jismoniy kirish huquqidan foydalanishlari mumkin bo'lgan zararli aktyorlar kiradi kompyuter krakerlari, korporativ josuslar va firibgarlar. Axborot aktivlarining qiymati, masalan, o'g'irlangan noutbuklar yoki naqd pulga sotilishi mumkin bo'lgan serverlarda o'z-o'zidan ravshan, ammo ma'lumot tarkibi ko'pincha ancha qimmatroq, masalan, shifrlash kalitlari yoki parollar (kirish huquqini olish uchun ishlatiladi) qo'shimcha tizimlar va ma'lumotlar), tijorat sirlari va boshqa intellektual mulk (ular bergan tijorat afzalliklari tufayli qimmatli yoki qimmatli) va kredit karta raqamlari (shaxsni firibgarlik va undan keyin o'g'irlash uchun ishlatiladi). Bundan tashqari, kompyuter tizimlarining yo'qolishi, o'g'irlanishi yoki buzilishi, shuningdek elektr uzilishlari, mexanik / elektron nosozliklar va boshqa jismoniy hodisalar ulardan foydalanishga to'sqinlik qiladi, bu odatda buzilish va natijada xarajatlar yoki yo'qotishlarni keltirib chiqaradi. Maxfiy ma'lumotlarni ruxsatsiz oshkor qilish va hattoki bunday oshkor qilishning majburlash tahdidi, biz ko'rib chiqqanimizdek zarar etkazishi mumkin. Sony Pictures Entertainment-ni buzish 2014 yil oxirida va shaxsiy hayotni buzish bilan bog'liq ko'plab hodisalarda. Shaxsiy ma'lumotlarning haqiqatan ham ishlatilganligi to'g'risida dalillar mavjud bo'lmagan taqdirda ham, ularning xavfsizligi ta'minlanmaganligi va uning qonuniy egalari nazorati ostida bo'lishining o'zi shaxsiy hayotga zarar etkazishi mumkin. Shaxsiy hayotning jiddiy buzilishidan kelib chiqadigan jiddiy jarimalar, ommaviy reklama / obro'ga ziyon etkazish va boshqa mos kelmaydigan jarimalar va ta'sirlardan qochish eng yaxshi sababdir!

Ma'lumot olish uchun jismoniy hujumlarga misollar

Jismoniy hujumlar yoki ekspluatatsiya orqali ma'lumot olishning bir necha yo'li mavjud. Quyida bir nechta misollar keltirilgan.

Dumpster sho'ng'in

Dumpster sho'ng'in bu qog'ozga, kompyuter disklariga yoki boshqa jihozlarga beparvolik bilan tashlangan ma'lumotlar kabi qimmatbaho narsalarni olish umidida axlatni qidirish amaliyoti.

Kirish bekor qilindi

Ba'zida tajovuzkorlar shunchaki binoga kirib, kerakli ma'lumotlarni olishadi.^[1]Tez-tez ushbu strategiyadan foydalangan holda, tajovuzkor ushbu vaziyatga tegishli odam sifatida maskarad qiladi. Ular nusxa ko'chirish xonasi xodimi sifatida o'zini tutishlari, birovning stolidan hujjatni olib tashlashlari, hujjatni nusxalashlari, asl nusxasini almashtirishlari va ko'chirilgan hujjat bilan ketishlari mumkin. Shaxsiy shaxslar o'zlarini go'yo ko'rsatishadi binolarni ta'mirlash boshqasiga kirish huquqiga ega bo'lishi mumkin cheklangan joylar.^[2]^[3]Ular xujjatli xujjatlarni o'z ichiga olgan axlat qutisi bilan, stolda qoldirilgan ko'chma moslamalar yoki saqlash vositalarini ko'targan holda, yoki birovning kompyuter ekraniga yopishtirilgan yoki birovning kompyuter ekraniga yopishtirilgan yozuvda parolni yodlab olgan holda, to'g'ridan-to'g'ri chiqib ketishlari mumkin. ochiq ofis bo'ylab hamkasbim.

Jismoniy axborot xavfsizligini boshqarish misollari

Qog'oz hujjatlarini yo'q qilishdan oldin ularni tom ma'noda parchalash - bu odatdagi jismoniy xavfsizlik xavfsizligi nazorati bo'lib, bu axborot tarkibini, agar ommaviy axborot vositasi bo'lmasa - noto'g'ri qo'llarga tushib qolishining oldini olishga qaratilgan. Raqamli ma'lumotlar, shuningdek, kuchli shifrlangan yoki ma'lumotlarning hech qachon olinishining haqiqiy ehtimoli mavjud bo'lmaguncha qayta-qayta yozilgan holda, majoziy ma'noda parchalanishi mumkin, hattoki murakkab sud-tahlillari yordamida: bu ham jismoniy xavfsizlik xavfsizligini tashkil qiladi, chunki tozalangan kompyuterni saqlash vositalarini asl ma'lumot tarkibiga zarar etkazmasdan erkin tashlab yuborish yoki sotish mumkin. Ikkala texnikani yuqori darajadagi xavfsizlik sharoitida birlashtirish mumkin, bu erda ma'lumotlar tarkibini raqamli parchalash, keyin saqlash vositalarini yo'q qilish uchun jismoniy maydalash va yoqish.

Ko'pgina tashkilotlar o'zlarining idoralari kabi boshqariladigan joylarga jismoniy kirishni cheklaydilar, chunki odamlar haqiqiy identifikatsiya kartalari, yaqinlik pasportlari yoki jismoniy kalitlarni taqdim etishlarini talab qilishadi. Kirish belgilarini yoki moslamalarini o'zlari qat'iy nazorat qilishlari va xavfsizligini ta'minlashlari kerak (ruxsatsiz odamlar ularni olishlari yoki ularni yasashlari va ishlatishlari qiyinlashadi) va tegishli elektron yoki mexanik qulflar, eshiklar, devorlar, to'siqlar va boshqalar etarli darajada kuchli va to'liq, ruxsatsiz. tarkibidagi ma'lumotlar va boshqa mol-mulkni himoya qilib, nazorat qilinadigan hududlarga jismoniy kirishni oldini olish. Xuddi shu tarzda, ofis ishchilari odatda "ochiq stol" qoidalariga rioya qilishlari, hujjatlarni va boshqa saqlash vositalarini (shu jumladan ko'chma IT-moslamalarni) himoya qilish, ularni ko'zdan g'oyib bo'lgandan, ehtimol qulflangan tortmachalardan, shkaflardan, seyflardan yoki javonlardan yig'ib olishlari kerak. xatarlar. Parolni kuzatuvchi kuzatishi mumkin bo'lgan joyda yozib qo'yishdan ko'ra, ularni parollarini yoddan saqlashni talab qilish (balki hamkasbi, tashrif buyuruvchisi yoki buzg'unchisi) xavfdan qochishning bir misoli.

Kompyuterlar elektr energiyasiga juda muhtoj, shuning uchun ular elektr energiyasini uzib qo'yish, tasodifiy uzilish, batareykalarning tekislashi, elektr energiyasining uzilishi, tokning ko'tarilishi, pog'onaning ko'tarilishi, elektr shovqinlari va elektron ishlamay qolishi kabi muammolarga duch kelishi mumkin. Bog'liq bo'lgan xavflarni bartaraf etish uchun jismoniy xavfsizlikning jismoniy nazoratiga quyidagilar kiradi: sigortalar, uzluksiz quvvat bilan ishlaydigan quvvat manbalari, elektr generatorlari, ortiqcha quvvat manbalari va kabel o'tkazgichlari, vilkalar, ko'tarilish himoyachilari, quvvat sifatini nazorat qilish, ehtiyot batareyalar , elektr zanjirlarini professional ravishda loyihalash va o'rnatish, shuningdek muntazam tekshiruvlar / sinovlar va profilaktika xizmati. Uzluksiz quvvat manbai deb nomlangan narsa, agar ular etarli darajada aniqlanmagan, ishlab chiqilgan, ishlab chiqarilgan, ishlatilgan, boshqarilgan yoki saqlangan bo'lsa, elektr energiyasining uzilishiga olib keladi - bu tanqidiy (jismoniy) boshqaruv muvaffaqiyatsizligining tasviri.

Shuningdek qarang

Adabiyotlar

^ Granger, Sara (2001-12-18). "Ijtimoiy muhandislik asoslari, I qism: Hacker taktikasi". Xavfsizlik fokusi. Olingan 2006-08-27.
^ "Jinoyat sodir etish maqsadida davlat mulkiga soxta da'vo bilan kirgan to'rt kishi hibsga olingan". AQSh Adliya vazirligi (Matbuot xabari). FQB - Nyu-Orlean bo'limi. 2010 yil 26 yanvar. Olingan 3 oktyabr, 2010.
^ "To'rt kishi soxta da'vo bilan federal mulkka kirishda aybdor deb topildi Senator Meri Landriuning idorasiga ofis xodimlarining suhbatlarini yashirincha yozib olish uchun kirishdi". Adliya vazirligi press-relizi. FQB - Nyu-Orlean bo'limi. 26 May 2010. Arxivlangan asl nusxasi 2010 yil 31 mayda. Olingan 3 oktyabr, 2010.

Tashqi havolalar

Ijtimoiy muhandislik asoslari

[1] Granger, Sara (2001-12-18). "Ijtimoiy muhandislik asoslari, I qism: Hacker taktikasi". Xavfsizlik fokusi. Olingan 2006-08-27.

[four_men-2] "Jinoyat sodir etish maqsadida davlat mulkiga soxta da'vo bilan kirgan to'rt kishi hibsga olingan". AQSh Adliya vazirligi (Matbuot xabari). FQB - Nyu-Orlean bo'limi. 2010 yil 26 yanvar. Olingan 3 oktyabr, 2010.

[The_FBI_-_New_Orleans_Division-3] "To'rt kishi soxta da'vo bilan federal mulkka kirishda aybdor deb topildi Senator Meri Landriuning idorasiga ofis xodimlarining suhbatlarini yashirincha yozib olish uchun kirishdi". Adliya vazirligi press-relizi. FQB - Nyu-Orlean bo'limi. 26 May 2010. Arxivlangan asl nusxasi 2010 yil 31 mayda. Olingan 3 oktyabr, 2010.

[1]

[2]

[3]

Ma'lumotlarni o'chirish
Kompyuterlarga qarshi sud ekspertizasi Ma'lumotlarni tiklash Ma'lumotlarning qayta tiklanishi Zavod parametrlarini tiklash Faylni o'chirish Gutmann usuli DoD 5220.22-M Jismoniy axborot xavfsizligi
Ma'lumotlarni yo'q qiladigan dasturlarning ro'yxati