|
Tibbiyot tizimlarida ma'lumotlarni muhofaza qilish texnologiyalari
Tibbiy ma'lumotlarning muhofazasi axborot tizimlarida ma'lumotlarni muhofaza qilishning asosiy printsiplariga javob beradi va turli jarayonlarning toifalarida mumkin bo'lgan zaifliklarning mavjudligini hisobga olishi kerak.
Saqlash tizimlarida ma'lumotlarni muhofaza qilish1
Saqlash tizimlariga tahdid manbai ham tashqi, ham ichki bo'lishi mumkin, ularning paydo bo'lishi saqlash tizimlarining tugunlarida zaifliklarning mavjudligi natijasidir. Mumkin bo'lgan zaifliklar saqlash tarmoqlarining me'moriy echimlari tarkibiy qismlari va xususiyatlarini aniqlaydi, ya'ni:
· Arxitektura elementlari;
· Almashinuv protokollari;
· Interfeyslar;
· Uskuna tizimlari;
· Tizim dasturiy ta'minoti;
· Operatsion shartlari;
· Saqlash tarmog'i tugunlarining hududiy taqsimoti.
Tizimda ma'lumotlar muhofazasi kontseptsiyasi saqlash tizimlarida mavjud bo'lgan barcha zaifliklarga asoslangan bo'lib, ularni 4 darajaga bo'lish mumkin: qurilmalar; ma'lumotlar darajasi; tarmoq shovqin darajasi; boshqaruv va nazorat qilish darajasi.
Qurilma darajasida tizimda parol muhofaza qilish va yaxshi o'ylangan foydalanuvchi avtorizatsiyalash sxemasini yaratishga e'tibor qaratish lozim. Asosiy xavfsizlik choralari sifatida, xavfsiz kirish protokollarini ishlatish hamda parollardagi eng kam belgilar sonini boshqarish kerak. Foydalanuvchilarni avtorizatsiyalash uchun kirishni nazorat qilish ro'yxatlarini (ACL) foydalanib, avtorizatsiya sxemasidan foydalaning. Ba'zi hollarda multifaktor identifikatori orqali qurilmaga kirishni cheklash kerak. Xavfsizlik choralaridan biri - foydalanuvchilarga kirish huquqi borligini kuzatib borish, ma'lumotlarni muhimligi bo'yicha tartiblashtirish va ayrim toifadagi ma'lumotlarga ega bo'lgan foydalanuvchilar guruhlarini yaratish.
Tashqi hujumlardan himoya qilish uchun kerakli choralar sifatida, serverlar, ishchi stansiyalar va ish stantsiyalarini yuqori darajadagi faoliyat uchun nazoratni joriy etish, serverlar va ish stantsiyalarida virusga qarshi himoyadan to'liq foydalanish, amaldagi operatsion tizimlar uchun o'rnatilgan barcha yangilanishlarni, o'rnatilgan va dasturiy ta'minot dasturlarini kuzatish tavsiya etiladi. San bilan o'rab olingan.
Arxitektura echimini ishlab chiqarish bosqichida saqlanadigan ma'lumotlarning ahamiyatliligi va maxfiyligi bo'yicha qattiq tasniflashni joriy qilish kerak, shuningdek, boshqa samarali xavfsizlik vositalarini, xususan, maxsus kripto himoyasi tugunlarini tashkil etishni unutmasligingiz kerak.
Tarmoqning o'zaro bog'liqligi darajasida xavfsizlik nuqtai nazaridan manzillarni almashtirish kanallari bilan ruxsatsiz ulanish xavfi mavjudligini alohida ta'kidlash kerak, bu ma'lumot markazlarida ham, filiallarda ham uskunalar va kanallarga nisbatan qo'llaniladi. Arxitekturaning oshkoraligi va qurilmaning almashinuvi va konvertatsiya qilish qurilmalarining o'zaro masofasi tufayli ular kanallar ustidan nazoratni yo'qotish va uzatilgan ma'lumotlarga ruxsatsiz kirish bilan hujum qilish ob'ekti bo'lishi mumkin. Noto'g'ri tuzilgan saqlash tarmog'ining so'nggi nuqtalari ham tarmoq hujumi uchun jozibador maqsadga aylanmoqda.
Shu munosabat bilan himoya qilish usullariga alohida e'tibor berilishi kerak. Tarmoq arxitekturasi ma'lumotlarga masofadan turib kirishni ta'minlaydigan holatlarda, tarmoq ichidagi va tashqarida trafikni filtrlashni tashkil qilish uchun xavfsizlik devorlari va IDS tizimlaridan foydalanish kerak. Qo'shimcha himoya vositasi sifatida DoS hujayralarini aniqlash uchun tarmoq segmentidagi traffikni kuzatish uchun asboblarni taqdim etish kerak.
San arxitekturasini ishlab chiqish bosqichida, dasturiy ta'minotni ajratish (Soft Zoning) yoki LUN maskeleme qo'shimcha himoya vositasi sifatida foydalanganda, ajratilgan maydonlarni apparatlashtirilgan hududlar (Hard Zoning) yordamida qurilma oralig'idan maksimal darajada foydalanish muhim ahamiyatga ega. Odatda, kommutatsiya uskunalari ishlab chiqaruvchilari xavfsizlikni oshirish uchun ishlatilishi mumkin bo'lgan Cisco Fiber Kanal Xavfsizlik Protokoli (FC-SP) yoki Brocade Xavfsiz Mato OS kabi o'z ichiga o'rnatilgan vositalariga va ma'lumotlar uzatish protokollariga ega. Majburiy qoida SAN tarmog'idagi qurilmalarni kuzatish va boshqarish uchun maxsus tarmoq segmentini tashkil etish bo'lishi kerak.
Kirish nazorati darajasi NAS qurilmalariga ma'muriy kirishni ta'minlash uchun turli xil hujumlarga mo'ljallangan maqsaddir. NAS serverlariga qilingan eng ko'p hujumlardan biri Telnet va HTTP protokollaridan foydalanib, parollarni tarmoq orqali uzatishda zaif xavfsizlikni qo'llash orqali ruxsatsiz kirishdir. Ushbu protokollarni qo'llab-quvvatlash NAS qurilmalarini ishga tushirish bosqichida ham taqiqlanishi kerak. Ularni ishlatish faqatgina xavfsizlik talablarining buzilishiga olib kelmasa yoki parollarni "tinglash" dan himoya qilish uchun qo'shimcha vositalar mavjud bo'lsa ruxsat etiladi. Boshqa holatlarda, SSH yoki HTTPS o'rniga himoyalangan kirish protokollari tavsiya etiladi.
Do'stlaringiz bilan baham: |
