Fizikai biztonság

A IT Biztonság kurzus wikiből

A fizikai térben megvalósuló fenyegetések elleni védelem.

Tartalomjegyzék

Fenyegetés

Olyan lehetséges művelet, esemény, vagy mulasztás, mely károsíthatja az informatikai rendszerben kezelt adatok bizalmasságát, sértetlenségét vagy rendelkezésre állását, vagy a rendszer elemeinek rendelkezésre állását.

Az ilyen fenyegetés lehet támadás: például egy bűnszervezet, vagy egy saját sértett dolgozó által. De lehet nem szándékolt esemény is, például üzemzavar, vagy természeti csapás.

A fizikai védelemnek több szinten meg kell valósulnia:

Fizikai biztonság

  • „hagyományos” biztonság
    • beléptetés, élőerős őrzés, fegyveres őrzés
    • mechanikai védelem (falak, rácsok, ajtók, ablakok)
    • csomagok ellenőrzése
    • gépkocsi behajtás kontrollja fizikai akadállyal
    • villám- és túlfeszültség-védelem
      • villámhárítók
      • többszintű túlfeszültség levezetők
      • zónák galvanikus (jellemzően optikai) elválasztása
  • passzív tűzvédelem
    • nem vagy nehezen éghető anyagok alkalmazása
    • dohányzás és nyílt láng használat tiltása
  • vízbetörés és oltóvíz elleni védelem
    • épület elhelyezése
    • épület szerkezeti kialakítása
    • vízmentes oltórendszer
  • mechanikai rezgések elleni védelem
  • elektromágneses kompatibilitás (electromagnetic compatibility - EMC)

Technikai biztonság

  • tápáramellátás
    • külső tápáramellátás
      • kétirányú betáplálás jelentősen független elosztói hálózatokból
      • saját, a telephelyen belül található trafóállomás
    • szünetmentes tápegységek (Uninterruptible Power Supply – UPS)
    • szükségáramforrások
      • autonóm (más közművektől független) generátorok
  • klimatizálás és légtechnika
    • hűtés
    • páratartalom szabályozás
  • aktív tűzvédelem
    • tűz- és füstjelzés
    • automatikus tűzoltórendszerek
      • oltógáz, oxigén kiszorítás
  • automatikus üzemfelügyelet
  • kábelmenedzsment
    • külső adatkapcsolatok redundáns, független nyomvonalakon

Logikai biztonság

  • hozzáférés szabályozás
  • Integrált elektronikus védelmi rendszerek
    • beléptetés
    • behatolás jelző, riasztó
    • zártláncú (closed-circuit television – cctv) videórendszer
  • védelmi rendszerek log elemzése
  • fizikai és IT környezet változáskezelés
  • karbantartás és hibaelhárítás menedzsment
  • fizikai adathordozók kezelése
    • javítás, csere, selejtezés, megsemmisítés

Fizikai biztonság a vállalatoknál

Sok cégnél elhanyagolják a fizikai biztonságot, és alábecsülik a jelentőségét. Olyan technikai támadások elleni védekezésre összpontosítanak, mint vírusok, spyware-ek, vagy hekker támadás. Pedig a fizikai betörés a támadó részéről kevés vagy semmi technikai tudást nem igényel. A balesetek és természeti katasztrófák pedig a mindennapi élet részei, és hosszú távon elkerülhetetlenek.

Az is visszatartja a vállalatokat a biztonságos informatikai rendszer kiépítésétől, hogy kifejezetten drága eszközökre kell hozzá beruházni. Amíg egy modern 500GB-os HDD ára 10-15 ezer forint, addig ugyanennyi adat kellőképpen védett, redundáns archiválása a géptermi infrastruktúrával együtt egy-másfél millió forintba kerül. Persze ezt a költséget az 500GB adat (fejlesztés, ügyfelek adatai) értékével kell(ene) összehasonlítania a vezetőknek.

Szabványok

A jól működő technológiákból, követendő módszerekből a legtöbb területen szabványok lesznek. Ez megtörtént (vagy folyamatban van) az informatikai biztonság esetében is. Nem csak nemzetközi, hanem hazai szinten is.

Közigazgatási Informatikai Bizottság 28. számú ajánlása: Tervezés az IT biztonság szempontjából
Átfogóan bemutatja a magyar közigazgatásban alkalmazott informatikai rendszerek üzemeltetési környezetével szemben támasztott követelménystruktúrákat.
BITKOM (német informatikai szervezet)
számítógépterem építésére vonatkozó ajánlás
ISO/IEC 27001 és 27002
követelmények a fizikai és környezeti védelemmel kapcsolatban

Megelőzés

A tapasztalatok – az egészségügyhöz hasonlóan – azt mutatják, hogy a megelőzés (prevenció) lényegesen olcsóbb, mint a gyógyítás, vagyis az eredeti, kívánt állapot helyreállítása. Egy cég informatikai biztonsági technológiájának kialakítása egyáltalán nem egyszerű, de nem elhanyagolható feladat. Célszerű egy külső, informatikai biztonsági tanácsadásra szakosodott cégtől tanácsot, teljes vizsgálatot (auditot) kérni. Emellett fontos a rendszeres és szabályozott éles tesztelés.

Adatközpont

A Dataplex adatközpont felépítése

Dönthetünk úgy, hogy szerverünket kitelepítjük egy adatközpontba. Az ilyen helyek „szerver hotel” szolgáltatást nyújtanak, a fizikai biztonsági intézkedések egy részének megvalósítását átvállalják. Általában csak a fizikai helyet, és az alapvető erőforrásokat (áram, hálózat) biztosítják, tehát a számítógépről és a biztonsági mentésről továbbra is a szolgáltatás igénybevevőjének kell gondoskodnia.

Nagyon jó példa a fizikai biztonság gyakorlati megvalósítására a Dataplex adatközpontja.

Külső hivatkozások