आईटी सुरक्षा के 7 मूल सिद्धांत

लेखक: Robert Simon
निर्माण की तारीख: 20 जून 2021
डेट अपडेट करें: 22 जून 2024
Anonim
सूचना प्रणाली सुरक्षा के मूल सिद्धांत पाठ 7
वीडियो: सूचना प्रणाली सुरक्षा के मूल सिद्धांत पाठ 7

विषय


स्रोत: क्रुलुआ / आईस्टॉकफोटो

ले जाओ:

आईटी पेशेवर कॉर्पोरेट, सरकार और अन्य संगठनों के सिस्टम को सुरक्षित रखने के लिए सर्वोत्तम प्रथाओं का उपयोग करते हैं।

जब सूचना प्रौद्योगिकी की बात आती है तो सुरक्षा एक निरंतर चिंता है। डेटा चोरी, हैकिंग, मैलवेयर और अन्य खतरों की मेजबानी किसी भी आईटी पेशेवर को रात में रखने के लिए पर्याप्त है। इस लेख में, हम उन बुनियादी सिद्धांतों और सर्वोत्तम प्रथाओं को देखेंगे जो आईटी पेशेवर अपने सिस्टम को सुरक्षित रखने के लिए उपयोग करते हैं।

सूचना सुरक्षा का लक्ष्य

सूचना सुरक्षा तीन व्यापक सिद्धांतों का पालन करती है:

  • गोपनीयता: इसका मतलब है कि जानकारी केवल उन लोगों द्वारा देखी या उपयोग की जा रही है जो इसे एक्सेस करने के लिए अधिकृत हैं।
  • वफ़ादारी: इसका मतलब यह है कि अनधिकृत उपयोगकर्ता द्वारा जानकारी में कोई भी परिवर्तन असंभव है (या कम से कम पता लगाया गया है), और अधिकृत उपयोगकर्ताओं द्वारा परिवर्तन को ट्रैक किया जाता है।
  • उपलब्धता: इसका मतलब है कि जानकारी तब सुलभ है जब अधिकृत उपयोगकर्ताओं को इसकी आवश्यकता हो।

इसलिए, इन उच्च-स्तरीय सिद्धांतों से लैस, आईटी सुरक्षा विशेषज्ञ संगठनों को यह सुनिश्चित करने में मदद करने के लिए सर्वोत्तम प्रथाओं के साथ आए हैं कि उनकी जानकारी सुरक्षित रहे। (जब बाहरी उपकरण शामिल हों तो अपने नेटवर्क की सुरक्षा के बारे में जानने के लिए, BYOD सुरक्षा के 3 प्रमुख घटक देखें।)


आईटी सिक्योरिटी बेस्ट प्रैक्टिस

आईटी सुरक्षा में कई सर्वोत्तम प्रथाएं हैं जो कुछ उद्योगों या व्यवसायों के लिए विशिष्ट हैं, लेकिन कुछ मोटे तौर पर लागू होते हैं।

  1. उपयोगिता के साथ संतुलन संरक्षण
    यदि सभी मोडेम फाड़ दिए गए हों और सभी को कमरे से बाहर निकाल दिया गया हो, तो किसी कार्यालय में कंप्यूटर पूरी तरह सुरक्षित हो सकते हैं - लेकिन तब वे किसी के भी काम नहीं आएंगे। यही कारण है कि आईटी सुरक्षा में सबसे बड़ी चुनौतियों में से एक है संसाधन उपलब्धता और संसाधनों की गोपनीयता और अखंडता के बीच संतुलन।

    सभी प्रकार के खतरों से बचाने की कोशिश करने के बजाय, अधिकांश आईटी विभाग पहले सबसे महत्वपूर्ण प्रणालियों को इन्सुलेट करने पर ध्यान केंद्रित करते हैं और फिर उन्हें बेकार किए बिना बाकी की सुरक्षा के लिए स्वीकार्य तरीके ढूंढते हैं। निचले-प्राथमिकता वाले कुछ सिस्टम स्वचालित विश्लेषण के लिए उम्मीदवार हो सकते हैं, ताकि सबसे महत्वपूर्ण सिस्टम फोकस बने रहें।

  2. उपयोगकर्ताओं और संसाधनों को विभाजित करें
    काम करने के लिए एक सूचना सुरक्षा प्रणाली के लिए, यह पता होना चाहिए कि किसे विशेष चीजों को देखने और करने की अनुमति है। उदाहरण के लिए, किसी को लेखांकन में, क्लाइंट डेटाबेस में सभी नामों को देखने की आवश्यकता नहीं है, लेकिन उसे बिक्री से आने वाले आंकड़ों को देखने की आवश्यकता हो सकती है। इसका मतलब यह है कि एक सिस्टम प्रशासक को किसी व्यक्ति की नौकरी के प्रकार के उपयोग की आवश्यकता होती है, और संगठनात्मक अलगाव के अनुसार उन सीमाओं को और अधिक परिष्कृत करने की आवश्यकता हो सकती है। यह सुनिश्चित करेगा कि मुख्य वित्तीय अधिकारी आदर्श रूप से कनिष्ठ लेखाकार की तुलना में अधिक डेटा और संसाधनों का उपयोग करने में सक्षम होगा।

    उस ने कहा, रैंक का मतलब पूर्ण पहुंच नहीं है। एक कंपनी के सीईओ को अन्य व्यक्तियों की तुलना में अधिक डेटा देखने की आवश्यकता हो सकती है, लेकिन उसे स्वचालित रूप से सिस्टम तक पूर्ण पहुंच की आवश्यकता नहीं होती है। यह हमें अगले बिंदु पर लाता है।

  3. न्यूनतम विशेषाधिकार सौंपें
    किसी व्यक्ति को उसकी जिम्मेदारियों को पूरा करने के लिए आवश्यक न्यूनतम विशेषाधिकार दिए जाने चाहिए। यदि किसी व्यक्ति की ज़िम्मेदारियाँ बदल जाती हैं, तो क्या विशेषाधिकार होंगे। न्यूनतम विशेषाधिकार निर्दिष्ट करने से यह संभावना कम हो जाती है कि डिजाइन से जो सभी मार्केटिंग डेटा के साथ दरवाजे से बाहर निकल जाएगा।

  4. स्वतंत्र डिफेंस का उपयोग करें
    यह एक सैन्य सिद्धांत है जितना एक आईटी सुरक्षा है। प्रमाणीकरण प्रोटोकॉल जैसे वास्तव में एक अच्छा बचाव का उपयोग करना, केवल तब तक अच्छा है जब तक कि कोई इसे भंग न करे। जब कई स्वतंत्र सुरक्षा नियोजित किए जाते हैं, तो एक हमलावर को उनके माध्यम से प्राप्त करने के लिए कई अलग-अलग रणनीतियों का उपयोग करना चाहिए। इस प्रकार की जटिलता का परिचय हमलों के खिलाफ 100 प्रतिशत सुरक्षा प्रदान नहीं करता है, लेकिन यह एक सफल हमले की संभावना को कम करता है।

  5. विफलता की योजना
    विफलता के लिए योजना बनाने से इसके वास्तविक परिणामों को कम करने में मदद मिलेगी। पहले से बैकअप सिस्टम होने से आईटी विभाग सुरक्षा उपायों की लगातार निगरानी कर सकता है और तेजी से उल्लंघन पर प्रतिक्रिया कर सकता है। यदि उल्लंघन गंभीर नहीं है, तो व्यवसाय या संगठन समस्या का समाधान करते समय बैकअप पर काम कर सकते हैं। आईटी सिक्योरिटी ब्रेक्स से होने वाले नुकसान को सीमित करने के बारे में है, क्योंकि यह उन्हें रोकने के बारे में है।

  6. रिकॉर्ड, रिकॉर्ड, रिकॉर्ड
    आदर्श रूप से, एक सुरक्षा प्रणाली कभी भंग नहीं होगी, लेकिन जब एक सुरक्षा उल्लंघन होता है, तो घटना दर्ज की जानी चाहिए। वास्तव में, आईटी स्टाफ अक्सर रिकॉर्ड करते हैं जितना कि वे कर सकते हैं, तब भी जब एक ब्रीच ईएनटी हो रहा हो। इस तथ्य के बाद कभी-कभी उल्लंघनों के कारण स्पष्ट नहीं होते हैं, इसलिए पीछे की ओर ट्रैक करने के लिए डेटा होना महत्वपूर्ण है। उल्लंघनों का डेटा अंततः सिस्टम को बेहतर बनाने और भविष्य के हमलों को रोकने में मदद करेगा - भले ही यह शुरू में समझ में न आए।

  7. बार-बार टेस्ट चलाएं
    हैकर्स लगातार अपने शिल्प में सुधार कर रहे हैं, जिसका अर्थ है कि सूचना सुरक्षा को बनाए रखने के लिए विकसित होना चाहिए। आईटी पेशेवर परीक्षण चलाते हैं, जोखिम मूल्यांकन करते हैं, आपदा वसूली योजना को फिर से चलाते हैं, हमले के मामले में व्यापार निरंतरता योजना की जांच करते हैं और फिर यह सब करते हैं। (लगता है कि हैकर्स सभी बुरे हैं? फिर 5 कारण पढ़ें आपको हैकर्स के लिए आभारी होना चाहिए।)

तक़याँ

आईटी सुरक्षा एक चुनौतीपूर्ण काम है जिसे उसी समय विस्तार से ध्यान देने की आवश्यकता है क्योंकि यह उच्च-स्तरीय जागरूकता की मांग करता है। हालांकि, पहली नज़र में जटिल लगने वाले कई कार्यों की तरह, आईटी सुरक्षा को मूल चरणों तक तोड़ा जा सकता है जो प्रक्रिया को सरल बना सकते हैं। यह कहने के लिए नहीं है कि यह चीजों को आसान बनाता है, लेकिन यह आईटी पेशेवरों को अपने पैर की उंगलियों पर रखता है।