गहराई में रक्षा (कंप्यूटिंग)
This article needs additional citations for verification. (April 2012) (Learn how and when to remove this template message) |
गहराई में रक्षा एक अवधारणा है जिसका उपयोग सूचना सुरक्षा में किया जाता है जिसमें सूचना प्रौद्योगिकी (आईटी) प्रणाली में सुरक्षा नियंत्रण (रक्षा) की कई परतें रखी जाती हैं। इसका इरादा उस स्थिति में अतिरेक प्रदान करना है जब सुरक्षा नियंत्रण विफल हो जाता है या भेद्यता का शोषण किया जाता है जो अवधि के लिए कर्मियों , प्रक्रियात्मक , तकनीकी और भौतिक सुरक्षा के पहलुओं को कवर कर सकता है। सिस्टम के जीवन चक्र की।
पृष्ठभूमि
गहन दृष्टिकोण में रक्षा के पीछे का विचार कई स्वतंत्र तरीकों का उपयोग करके किसी विशेष हमले के खिलाफ एक प्रणाली की रक्षा करना है।[1] यह एक लेयरिंग रणनीति है, जिसकी कल्पना की गई है[2] सूचना और इलेक्ट्रॉनिक सुरक्षा के लिए एक व्यापक दृष्टिकोण के रूप में राष्ट्रीय सुरक्षा एजेंसी (NSA) द्वारा।[3][4] कंप्यूटिंग में गहराई में रक्षा शब्द गहराई में रक्षा की एक सैन्य रणनीति से प्रेरित है, लेकिन अवधारणा में काफी भिन्न है। सैन्य रणनीति एक कमजोर परिधि रक्षा के इर्द-गिर्द घूमती है और समय खरीदने, घेरने और अंततः एक प्रतिद्वंद्वी पर जवाबी हमला करने के लिए जानबूझकर जगह देने के लिए घूमती है, जबकि सूचना सुरक्षा रणनीति में नियंत्रण की कई परतें शामिल होती हैं, लेकिन जानबूझकर जमीन को गिराना नहीं (cf. Honeypot (cf. Honeypot) कंप्यूटिंग)|हनीपॉट.)
नियंत्रण
गहराई में रक्षा को तीन क्षेत्रों में विभाजित किया जा सकता है: भौतिक, तकनीकी और प्रशासनिक।[5]
भौतिक
शारीरिक नियंत्रण[3]ऐसी कोई भी चीज़ है जो भौतिक रूप से आईटी सिस्टम तक पहुँच को सीमित या बाधित करती है। बाड़, गार्ड, कुत्ते, और सीसीटीवी सिस्टम और इसी तरह।
तकनीकी
तकनीकी नियंत्रण हार्डवेयर या सॉफ्टवेयर होते हैं जिनका उद्देश्य सिस्टम और संसाधनों की रक्षा करना है। तकनीकी नियंत्रणों के उदाहरण डिस्क एन्क्रिप्शन, फ़ाइल अखंडता सॉफ़्टवेयर और प्रमाणीकरण होंगे। हार्डवेयर तकनीकी नियंत्रण भौतिक नियंत्रण से भिन्न होते हैं जिसमें वे सिस्टम की सामग्री तक पहुंच को रोकते हैं, लेकिन स्वयं भौतिक सिस्टम को नहीं।
प्रशासनिक
प्रशासनिक नियंत्रण संगठन की नीतियां और प्रक्रियाएं हैं। उनका उद्देश्य यह सुनिश्चित करना है कि सुरक्षा के संबंध में उचित मार्गदर्शन उपलब्ध हो और नियमों को पूरा किया जाए। इनमें हायरिंग प्रैक्टिस, डेटा हैंडलिंग प्रक्रिया और सुरक्षा आवश्यकताएं जैसी चीजें शामिल हैं।
तरीके
निम्नलिखित परतों में से एक से अधिक का उपयोग गहराई में रक्षा का एक उदाहरण है।
सिस्टम और एप्लिकेशन
- एंटीवायरस सॉफ्टवेयर
- प्रमाणीकरण और पासवर्ड सुरक्षा
- कूटलेखन
- हैश फंकशन पासवर्ड
- डेटा लकड़हारा और लेखा परीक्षा
- बहु-कारक प्रमाणीकरण
- भेद्यता स्कैनर
- समयबद्ध अभिगम नियंत्रण
- इंटरनेट सुरक्षा जागरूकता प्रशिक्षण
- सैंडबॉक्स (कंप्यूटर सुरक्षा) आईएनजी
- घुसपैठ का पता लगाने वाली प्रणाली (आईडीएस)
नेटवर्क
- फ़ायरवॉल (कंप्यूटिंग) एस (हार्डवेयर या सॉफ्टवेयर)
- डीएमजेड (कंप्यूटिंग) (डीएमजेड)
- वर्चुअल प्राइवेट नेटवर्क (वीपीएन)
भौतिक
- बॉयोमेट्रिक्स
- डेटा-केंद्रित सुरक्षा
- भौतिक सुरक्षा (जैसे कंट्रोल ताले)
उदाहरण
निम्नलिखित परिदृश्य में गहराई में रक्षा का उपयोग करके एक वेब ब्राउज़र विकसित किया गया है -
- ब्राउज़र डेवलपर्स सुरक्षा प्रशिक्षण प्राप्त करते हैं
- सुरक्षा विश्लेषण उपकरणों का उपयोग करके कोडबेस को स्वचालित रूप से चेक किया जाता है
- आंतरिक सुरक्षा दल द्वारा नियमित रूप से ब्राउज़र का ऑडिट किया जाता है
- ... कभी-कभी बाहरी सुरक्षा दल द्वारा ऑडिट किया जाता है
- ... को सैंडबॉक्स के अंदर निष्पादित किया जाता है
यह भी देखें
- डिफेंस-इन-डेप्थ (रोमन सेना)
- रक्षा रणनीति (कम्प्यूटिंग)
इस पेज में लापता आंतरिक लिंक की सूची
- सूचान प्रौद्योगिकी
- अतिक्रमण संसूचन प्रणाली
- शारीरिक सुरक्षा
- रक्षा में गहराई (रोमन सेना)
संदर्भ
- ↑ Schneier on Security: Security in the Cloud
- ↑ "सुरक्षित डिजाइन के कुछ सिद्धांत। डिजाइनिंग सिक्योर सिस्टम्स मॉड्यूल ऑटम पीडीएफ फ्री डाउनलोड". docplayer.net. Retrieved 2020-12-12.
- ↑ 3.0 3.1 Defense in Depth: A practical strategy for achieving Information Assurance in today’s highly networked environments.
- ↑ OWASP Wiki: Defense in depth
- ↑ Stewart, James Michael; Chapple, Mike; Gibson, Darril (2015). CISSP (ISC)2 प्रमाणित सूचना प्रणाली सुरक्षा पेशेवर आधिकारिक अध्ययन मार्गदर्शिका.