Fysisk beskyttelse af koden - begrebet kompleks. Kode: Faser af det store liv
Sikkerheden af \u200b\u200bdatacenteret er en vigtig betingelse for effektiviteten af \u200b\u200bsit arbejde, og derfor kvaliteten af \u200b\u200bvirksomhedens forretningsprocesser. Desuden forstås sikkerheden for et datacenter som regel ikke kun for at sikre beskyttelsen af \u200b\u200balle dets delsystemer fra ild, hacking osv., Men også en stigning i disciplinen for personaleets arbejde, såvel som automatisering af sådanne alvorlige og arbejdskraftintensive processer, som f.eks. Personale Regnskab. Derfor er det umuligt at sige, at ethvert af de integrerede systemer, der er en del af et enkelt sikkerhedskompleks, er den første prioritet og vigtigst: de fungerer alle i tæt forhold til hinanden.
Hovedkomponenterne i det integrerede sikkerhedssystem og deres funktioner
Så den moderne praksis med at organisere computercentre bestemmer flere delsystemer, på grundlag af hvilken datacentrets sikkerhed sikres. På samme tid går samtidig både "fysisk" og "software" for beskyttelse. Under de "fysiske" midler forstås som regel:
- sikkerhedsvideoovervågning
- sikkerhed og brandalarm
- voice Alert System
- adgangskontrol og styresystem
- livsstøttesystemer og rigtigheden af \u200b\u200bdens placering
Sikkerhedsvideoovervågningssystemer tillader videoovervågningsoperatører og sikkerhedspersonale til at udføre fjern visuel overvågning af alle "problem" zoner af objektet. Fordelen ved videoovervågning bestemmes af, at du ikke vil have behov for at udskyde hvert værelse på din vagt: kontrollen med beskyttede områder er fjernt, i 24-timers uden fridage og helligdage. Derudover giver arkivering af videoinformation dig mulighed for at organisere en retrospektiv visning af en bestemt hændelse til enhver tid for at foretage en undersøgelse. Videoovervågning øger også arbejdskraftens disciplin af personale, hvilket eliminerer den irrationelle brug af arbejdstid, produktionsændring, industriel spionage mv.
Videoovervågningen er tæt ved siden af \u200b\u200bKontrol- og Access-styresystemet (SCA), som automatisk styrer output-udgange og designet til at skelne visse personer til visse territorium, at tælle besøgende, retter dem til at bevæge sig gennem territoriet osv. . I videoovervågningsbundtet kan systemet også genkende ansigter, farver, billicensplader mv. Og på grundlag af de modtagne oplysninger, "træffe en beslutning" om adgangen til et objekt eller emne med disse funktioner til en bestemt zone.
Lyslydmeddelelsessystemet udfører et operationelt svar på oplysningerne i brand, indtrengeren og enhver anden nødsituation, der modtages fra systemet, og sender derefter de tilsvarende lyd- og lyssignaler til et eller andet scenario med en sirene og angiver også den korteste sikker måde at evakuere mennesker ved hjælp af lysresultattavle.
En vigtig faktor for at sikre sikkerheden i datacenteret er rettidig etablering af en kendsgerning af ild, røg osv. Og den operationelle anmeldelse af sikkerhedstjenesten. Listen supplerer således det automatiske brandslukningssystem - en af \u200b\u200bde mest effektive metoder til operationel nødsøisk brandslukning. Dette system påvirker tændingsfokus i processen med dets oprindelse, så du kan undgå spredning af ild på et stort område og dermed minimerer skader.
Og endelig spiller placeringen af \u200b\u200bdatacenteret en vigtig rolle i overensstemmelse med visse regler. For eksempel udvider et uafbrudt ernæringssystem signifikant levetiden for datacenteret. Og endda sådan en "trifle", som døve vægge uden vinduer, er i stand til at forhindre ikke kun invasionen af \u200b\u200bangriberen, men også indtrængen i lokalerne ved overdreven støv, som ødelægger det komplekse databehandlingssystem i datacenteret.
Hvad angår "software" -midlerne, indebærer datasikkerhedspolitikken, først og fremmest pålidelig beskyttelse af de data, der passerer datacenteret via multi-levelinformationskryptering, brugerautentificering, installation af avancerede antivirusprodukter, strengt at skelne adgang til visse adgang til visse Data og selvfølgelig funktionen af \u200b\u200bet komplekst system backups, takket være, hvilke systemet straks genopretter sig selv efter et vellykket hackingforsøg.
Stole på mange års erfaring med at skabe sikkerhedssystemer og dværge af forskellig skala og destination, vil FlysLine udvikle og implementere et tankevækkende, pålideligt og effektivt sikkerhedskompleks, så datacenterets sikkerhed samt din virksomhed som helhed, intet truet.
V. A. KONAVSKY, D.T.N.
D. V. UGAROV.
Specificiteten af \u200b\u200btruslerne mod informationssikkerhed og beskyttelse mod dem i datacenteret
Hvis en person vil betale 5 gange mindre, så er det rentabelt for ham. Og hvis computerressourcerne er opdelt i 20 personer, og alle vil betale for 10 procent af ressourcerne, vil ejeren af \u200b\u200bcomputeren forblive i konkret fordel, især da betalingen af \u200b\u200benergien vil være noget mindre end mindre midler. Disse er sådanne argumenter og årsagen til udseendet af virtualiseringssystemer.
Det er klart, at den mere magtfulde computer, de mere virtuelle maskiner kan arbejde på det, og jo mere effektive vil der være virtualisering. Selvfølgelig, i tilfælde af at de fleste virtuelle maskiner vil blive brugt. Lidt at skabe dem, du har brug for dem til at være efterspurgt.
Hvis computeren er ret stærk, og alle dens ressourcer er allerede optaget, og virtuelle maskiner mangler - så skal du købe en anden computer. Der vil være mange af dem - det er nødvendigt at opbygge en speciel ingeniørstruktur, som effektivt sikrer de krafttekniske computere, som VM-funktionen. Alt sammen kaldes det koden - datacenteret.
For at komme på datacenteret til din rådighed for VM, skal du bestemme, hvilken slags ressourcer, som denne maskine skal have, og bede administratoren om at oprette blot en sådan VM. Når vi er oprettet, forbliver VM bare sådan, så længe den ændres eller slettes af administratoren. Med andre ord ser vi den statiske ressourceallokering. Brugeren ved, hvor hans VM er placeret, og at hun er.
Flere koder kombineres undertiden af \u200b\u200ben kontrolmekanisme. Nu kan VM placeres ikke kun på forskellige fysiske servere, men også på forskellige slags. Men indtil nu, hvis det ønskes, kan det nøjagtigt fastslå, hvor dens specifikke virtuelle maskine er placeret.
Det kan fortsætte, indtil datacenterets ressourcer har nok til at rumme alle de nødvendige virtuelle maskiner. Før eller senere vil alle ressourcerne i CDA blive besat, og så bliver de "komprimeret".
Få mennesker vil holde tilbage fra VM's orden "på voksen". Selvfølgelig skal du for de bestilte ressourcer betale, men ikke så meget, og derfor er det bedre at tage "Om stamret". Som et resultat, selvom effektiviteten af \u200b\u200bressourceanvendelse i datacenteret er meget højere end ved brug af pc, er det stadig optimalt til sådan brug. Alle tog sig 20-30% af reserven af \u200b\u200bressourcer, hvilket betyder, at der er gratis ressourcer, og det er umuligt at bruge dem. Det viser sig uøkonomisk.
Men her er der et behov for, hvad der skelner mellem "skyen" fra udstyr virtualisering. Dette er en dynamisk distribution (tildeling) af ressourcer. Cloud er præget af udstyr virtualisering, OS virtualisering, applikation virtualisering og dynamisk ressourceallokering.
Når du arbejder "i skyen", kan VM placeres på enhver hukommelse, udført på en hvilken som helst server af ethvert datacenter, der er inkluderet i Cloud-infrastrukturen. De siger, at VM "migrerer" mellem datacenteret. Beslutningen om migrering af VM er "Scheduler", baseret på forskellige overvejelser, for eksempel fra logikken om ensartet indlæsning af datacenteret, prisen på ressourcer, kun tilstedeværelsen af \u200b\u200bgratis ressourcer og andre.
Det vil sige, at skyeteknologier begynder, når alle ressourcer af koderne er opbrugt. Cloud Infrastructure interagerer på grundlag af en specialiseret "planlægger" af centrene, adgangsværktøjer og klientmaskiner. Beskyttet Cloud Infrastructure er beskyttede servere, beskyttede datablade, beskyttet VM, sikker adgang (web og / eller terminal) og endelig en beskyttet planlægger, planlægning af migration af VM fra overvejelser, herunder informationsressourcer sikkerhed.
Beskyttelse af CDA'en er tilvejebragt "lettere" til planlæggeren. Dette er vigtigt, da seriøse teknologier til beskyttelse af markedsplanlæggeren på markedet endnu ikke er repræsenteret, de er i udvikling.
Beskyttelseskrav er klare - hvis informationsinteraktionen er forbundet med behandling af personoplysninger og forarbejdning af statsinformationsressourcer, skal beskyttelsesforanstaltninger overholde kravene i ordrer 17 og 21 Fstecs.
Lad os oplyse mulige beskyttelsesmidler:
- Tillid til miljøet på brugercomputere Det kan skabes ved brug af SPI NSD (for eksempel "Accord") eller SDO'er (for eksempel "marts!");
- Beskyttet brugeradgang til VM kan bruges af VPN i et betroet miljø til webadgang eller et betroet terminalbelastningssystem (for eksempel "center-t");
- Kontrolleret start (betroet loading) virtualiseringssystem og VM-beskyttelse Leveret af specialiseret SZI for virtuelle infrastrukturer (for eksempel til VMware - "Accord-b.", For MS HV - "Hyperakkord");
Det er indlysende, at Centraludvalgets sikkerhed ikke giver mening, hvis brugere, der interagerer med det, fungerer i et utroligt miljø - beskyttelseskredsløbet taber kontinuitet.
I den forstand er det nødvendigt at tage hensyn til to omstændigheder:
- uanset om brugerarbejdsstyrene styres (dette er tilfældet, hvis koden er corporate og brugere - medarbejdere i organisationen, men ikke så - hvis dette er et datacenter, der leverer sky-tjenester til en ubegrænset cirkel af brugere, der bruger en ubegrænset cirkel af computere);
- PEVM eller subtile klienter bruges som brugerjob.
Det er nemt at bemærke, at disse spørgsmål er i hierarkisk kommunikation og giver følgende måder til:
1) Faste brugere af brugere, kontrollerede (administrerede) informationssikkerhedstjenester (det gælder for ejeren af \u200b\u200bet århundrede eller ej - spørgsmålet i dette tilfælde er sekundært; det er nok at vide, at en slags informationssikkerhedstjeneste styres).
- tynde klienter.
2) Ukendt og ukontrolleret Park SVT.
Ukendt og ukontrolleret park SVT
Det ser ud til, at denne sag fuldstændigt eliminerer evnen til at garantere sikkerhed. Og hvis datacenteret kan bevise sin sikkerhed for at bruge sine kunder, bekræfter dets sikkerhed ved de eller andre midler, et overensstemmelsescertifikat og så videre, er det umuligt at tælle på samme bekræftelse fra brugere.
Samtidig udsætter en sådan ubeskyttet klient fare ikke alene for sig selv (tror på, at det er beskyttet, når en skybeskyttet), men også datacenteret, hvilket skaber et "hul i hegnet".
For et århundredes tillid har brugeren brug for en mekanisme til styring af dets computermiljø, hvilket ikke er muligt for ingen andre omstændigheder ud over anvendelsen af \u200b\u200bteknologien til en betroet kommunikationssession (CSS) og dens midler til at sikre (SDS) .
Det er fundamentalt vigtigt, at værktøjsbeskyttelsesmidlerne kan styre, om klienten virkelig er forbundet fra det betroede miljø!
Ikke altid, brugeren "ved hånden" viser sig at være det samme sæt betingelser, men også det har ikke altid det samme sæt af tjenester. Det er klart, at det er umuligt at sikre sikkerheden for enhver tjeneste på enhver form for enhed til enhver tid hvor som helst. Det er naturligt at forvente, at i at give en del af tjenester til nogle enheder kan nægtes.
Afslag kan følge og i tilfælde af et sæt ikke-tekniske faktorer. For eksempel at finde en corporate abonnent-enhed uden for virksomhedens trådløse eller kablede netværk. Og må ikke følge, hvis enheden understøtter arbejdet i en betroet kommunikationssession med de nødvendige egenskaber.
Faste job kontrolleret af informationssikkerhedstjenesten
Denne sag er enklere, fordi det er lettere at påvirke klientjobs status: De beskyttelsesværktøjer, der er foreskrevet af projektdokumentationen, vil blive installeret på brugerjob.
Arbejdspladser i det generelle tilfælde kan opdeles i pevm og subtile klienter.
PEVM'en er næsten bestemt ikke blot brugt til at interagere med datacenteret, men også autonomt. Og det betyder, at de skal beskyttes af et fuldt udviklet software- og hardwarekompleks af SZI NSD (for eksempel "Accord-Win32" eller "Accord-Win64). Afhængigt af sikkerhedspolitikken kan starten på VM kræve brugeren, for eksempel præsentationen af \u200b\u200ben anden identifikator.
Det er vigtigt at forstå, at selv om den eneste opgave for PEVM-brugeren arbejder med en virtuel infrastruktur, er det stadig nødvendigt at installere nøjagtigt pakken, kun Ampz er begrænset - forkert, fordi selvom brugeren burde ikke , er han kan Brug OS på din computer til eventuelle opgaver, der ikke er installeret på den, og kontroller den potentielle samlede ressource - det er nødvendigt.
Brugen af \u200b\u200bfine kunder skyldes normalt, at lokalt opgaver ikke udføres af brugere, eller de er minimal. Samtidig skal SEC CAST-klienterne også stole på. Og i dette tilfælde er det tilrådeligt at anvende enten sods, eller hvis brugere arbejder i terminalfunktion med en virtuel terminalserver - pakke til beskyttet netværksbelastning af OS-terminalkunderne (for eksempel Kami-terminal eller Center-T), der leverer Sikre opbevaring og betroede netværk indlæsning af billeder af terminalstationer med bekræftelse af deres integritet og ægthed.
På samme tid vil systemet fra brugerens synspunkt ikke afvige praktisk talt på den ene side fra SDO'erne bygget på basis og på den anden side fra det "rigtige" terminalsystem: brugeren vil Tilslut USB-enheden, indtast PIN-koden og forventer terminalindlæsningen og starten på sessionen med en terminalserver. At han er virtuel - brugeren kan slet ikke vide. Som en del af sessionen udfører den samme USB-enhed bruger-id-funktionen i PAK Shi NSD på serverdelen af \u200b\u200bsystemet.
Stigningen i antallet af trusler og trafikmængde styrker ejerne af datacentre til at anvende forskellige løsninger for at beskytte dem, hvilket igen fører til en hurtig vækst på det relevante marked. Ifølge markeder og markeder bør det samlede salg af sikkerhedsprodukter til koderne være 6,3 mia. USD i 2016, og i 2021 forventes en to-timers stigning på 12,9 milliarder dollars, det vil sige stigende mere end 15% årligt. Lignende tal fører andre analysemyndigheder - f.eks. Transparentmarkedsforskning forudsiger en årlig stigning på 12,6%.
I bred forstand kan sikkerhedssikkerheden opdeles i fysisk og logisk beskyttelse. På trods af vigtigheden af \u200b\u200bden første er hovedindsatsen fokuseret på det andet. Så i henhold til blev 85% af alle midler, der blev sendt til de logiske komponenter, brugt på de logiske komponenter for at eliminere risikoen for trusler for CDMS. På samme tid på grund af den udbredte overgang til cloud computing og behovet for at fremskynde applikationsudviklingen skal principperne om beskyttelse revideres.
De aktuelle emner for beskyttelse af datacentre blev drøftet på sikkerhedssektionen under forumet "World Code - 2016. Tjenester. Skyer. "
Automatiseret DDOS-beskyttelse
DDOS-angreb tiltrækker måske den mest opmærksomhed på grund af deres store konsekvenser. Således førte det nylige angreb på DYN-servere, som styrer en stor del af DNS-infrastrukturen, ikke til en utilgængelighed af mange kendte steder i USA og Europa. Det var det største angreb ved hjælp af de forurenede enheder, som nu er taget til at tilskrive til internettet af ting (i dette tilfælde digitale kameraer og dvd-afspillere). Fordelingen i angrebet ved hjælp af et netværk på 100.000 bots Mirai var ifølge nogle estimater 1.2 Tbit / s, som er dobbelt så meget som nogensinde før (se fig. 1).
Som nævnt i Nexusguard seneste rapport (DDOS Beskyttelsestjenester) faldt antallet af angreb i andet kvartal 2016 i forhold til samme periode 2015 med næsten 40%, men deres intensitet steg betydeligt. For at beskytte mod massive angreb er nogle sikkerhedsforanstaltninger på niveauet af det centrale niveau ikke nok. I mellemtiden, som Anton Shevchuk, har Arbor Networks produktchef i Netwell stadig kunderne, selvsikker i, at de kan beskytte mod DDOS-angreb ved hjælp af firewall-skærme og indtrængningsforebyggelsessystemer. Ifølge statistikker kolliderede over halvdelen af \u200b\u200bde organisationer, der er oprettet af disse enheder, kolliderede med netværksfejl som følge af DDOS-angreb. Ud over brugen af \u200b\u200bspecialiserede midler er det nødvendigt at organisere et ekkoloniseret forsvar.
Under DDOS-angrebet er systemressourcerne udsat for "bombning" ved at sende mange specifikke anmodninger til dem og i sidste ende ophøre med at klare belastningen. I alt er det muligt at skelne mellem tre store klasseangreb: Massive angreb på internetkanalen overløb; Angreb på enhedens kontrolenheder, såsom belastningsbalancering, firewalls, applikationsservere; Angreb på anvendelsesniveauet, lille kraft, men ikke mindre effektiv - som regel er de rettet mod specifikke sårbarheder. DDOS-angreb er nemme at organisere, og omkostningerne ved relevante tilbud begynder fra $ 5 pr. Time.
Begrebet Ekkeloniseret forsvar for beskyttelse mod DDOS, foreslået af Arbor-netværk, forudsætter installationen af \u200b\u200bto specialiserede komponenter - i datacenteret og operatøren. Den første giver dig mulighed for at blokere alle typer angreb, men når omfanget af angrebet på kanalen bliver sammenlignelig med den tilgængelige båndbredde, refererer den til den komponent, der er installeret fra operatøren. Derfor, som Anton Shevchuk noter, er det derfor meget vigtigt, at disse komponenter "kunne" interagere med hinanden.
Når angrebet på kanalen når en foruddefineret strøm, rapporterer komponenten i datacentret operatøren om behovet for at rengøre den trafik, der sendes til et bestemt præfiks. Derudover bør en sådan to-etagers løsning synkronisere sorte og hvide lister, såvel som beskyttelsesprofiler. Fokus på sorte lister kan operatøren udføre forfiltrerende trafik, hvilket reducerer belastningen på systembeskyttelsessystemet. Således behøver kunden (operatøren af \u200b\u200bkoden) ikke at kontakte udbyderen, der beder om hastende foranstaltninger for at blokere angrebsbeskyttelsen, tændes automatisk, og tomgangstid reduceres til et minimum.
Arbor Networks har forskellige udstyr - med en kapacitet på 100 Mbps til 160 GB / s til enheden. Disse løsninger kan udfolde sig begge i form af virtuelle maskiner. I Rusland tilbyder tjenester til beskyttelse mod DDOS-angreb baseret på Arbor Networks-udstyr Rostelecom, Orange, Retn, Akado og andre operatører, hvilket betyder, at denne model allerede kan implementeres i koderne, der er forbundet med dem. Da Anton Shevchuk siger, siger kun denne tilgang, at virksomhederne sikrer beskyttelse og tilgængelighed af deres ressourcer.
Hvorfor har vi brug for agenten?
Ifølge udenlandske eksperter er det samlede antal tab fra valg af sikkerhedssystemet et gennemsnit på omkring 4 millioner dollars. I Rusland er tallene sammenlignelige. Så ifølge rapporten fra Den Russiske Internationale Bank den 21. januar 2016 blev et hackerangreb begået, som følge af, hvilke 508 millioner rubler blev kidnappet med bankens korschet. Mange angreb begynder med det faktum, at angriberen får adgang, herunder ved hjælp af social engineering, til arbejdspladser, en VM, og angreb er allerede indledt af det.
I en ny, virtuel virkelighed ophører de løsninger, der blev brugt i årtier for at beskytte fysiske omgivelser, ophøre med at arbejde. Ifølge Yuri Broshnikova er generaldirektør for 5nine software i Rusland og CIS, lignende hændelser under alle omstændigheder deres mærkbare del relateret til, at mange virksomheder fortsat bruger gamle ledelses- og beskyttelsesværktøjer til virtualiseringsmiljøer, der er baseret på agenturet tilgang. Samtidig etableres et middel for hver beskyttet enhed (VM), som ikke altid er berettiget, især da den kan deaktiveres. Derudover forbruges et stort antal begrænsede ressourcer med direkte beskyttelse af endepunkter, hvilket reduceres væsentligt ved CDA's ydeevne og effektivitet.
Den gamle model var fokuseret på beskyttelse af endepunkter, men nu flytter mange laster til servere og skyer. I mellemtiden fortsætter med Yuri Brazhnikov, velkendte producenter med at reproducere ini det virtuelle miljø, der oprindeligt blev udviklet til det fysiske miljø. Dette fører til, at nye sårbarheder på hypervisorens niveau og operativsystemet er ubeskyttet. For eksempel er angreb på niveauet af et virtuelt netværk eller en VM til en anden ikke bestemt af hardware, der styrer det fysiske miljø.
Inden for det virtuelle miljø skal du bruge nye måder at beskytte på. Så i overensstemmelse med anbefalingerne fra Den Russiske Føderations anbefalinger for at sikre informationssikkerhed ved brug af virtualiseringsteknologi er den foretrukne løsning at anvende beskyttelsesmidlerne mod ondsindet kode på hypervisorens niveau uden at installere agenturet for virtuelle maskiner . Denne fremgangsmåde er dog kun mulig, hvis udvikleren har adgang til niveauet for den virtuelle kontakt, inde, hvilket og passerer alle pakker, der derefter leveres til VM. At være partner for at udvikle løsninger til beskyttelse og administration af virtuelle medier baseret på Microsoft Hyper-V, har 5Nine software adgang til Hyper-V virtuel switch, hvor beskyttelsen er implementeret (se fig. 2).
Denne tilgang sparer op til 30% af serverressourcerne, og antiviruscanning er 100 gange hurtigere. Blandt fordelene ved den døbte tilgang kalder Yuri Brazhnikov eliminering af personale- og kundeshandlinger, da beskyttelsessystemet ikke kan slukkes på VM-niveauet. Derudover reduceres den overordnede arbejdsløshed i at sikre sikkerhed, da det ikke længere behøver at tage sig af hver VM. Politikken kan konfigureres på værten eller i kontrolcentret, og så hurtigt skalere det i systemet, fordi det virtuelle miljø er ekstremt dynamisk - VM bliver konstant skabt, overført og elimineret.
Takket være integrationen af \u200b\u200b5Nine Cloud Security Plugin i System Center kan udbydere give deres kunder ikke kun infrastrukturstyringsværktøjer, men også sikkerhedsstyringsværktøjer. "Enhver kunde vil være i stand til selvstændigt at give og kontrollere sikkerheden af \u200b\u200bsine beslutninger," siger Yuri Brazhnikov. - Hvis du bruger ressourcerne fra flere dværne (f.eks. Den egen og hostingudbyder), synkroniseres sikkerhedspolitikkerne, så når du migrerer i tilfælde af et nedbrud eller omfordeling af belastningen fra et center, vil alle vivære gemt. "
Hvis i den indledende fase blev den rummelige, men ikke de mest værdifulde ressourcer overført til skyen, da spørgsmålet om at overføre kritiske ressourcer, blev stumblingsblokken leveret af spørgsmålet om at give IB på dagsordenen. Når en klient formidler sine vigtigste forretningstjenester til skyen, vil han være sikker på at opretholde en sådan sikkerhedspolitik, der opfylder kravene.
Sikkerhed er et netværk
Sikkerhedssystemets resonanshacks viste naturligvis, at den traditionelle perimeterbeskyttelse med fokus på den "nord-syd" trafik (firewalls, detektions- og forebyggelsessystemer, der beskytter mod udvendige angreb), ikke er i stand til at beskytte datacenteret mod problemer, hvor trafikken dominerer mellem servere. "Vostok - West", ikke går ud over sine grænser. Ifølge nogle estimater tegner sidstnævnte tre fjerdedele af det samlede volumen af \u200b\u200bTraffer of the CDA.
En effektiv løsning på problemet med afgrænsning af trafik inde i datacentret er mikrogram: adskillelse i mange beskyttede zoner. Takket være moderne virtualiserede løsninger kan næsten alle virtuelle maskine udstyres med sin egen firewall, som giver dig mulighed for at oprette et netværk med et nulniveau for tillid inden for centrikationen. Som allerede nævnt i det foregående afsnit er en meget mere effektiv løsning at gennemføre sikkerhedsværktøjerne på hypervisorniveauet - vi taler om den virtuelle omskifter, der er indlejret på denne hypervisor.
Udseendet af en sådan enhed er blevet et svar på behovet for at sikre operationel implementering og dynamisk migration af virtuelle maskiner og applikationer. For eksempel, når man implementerer en ny applikation, efter at have startet VM, var det nødvendigt at manuelt indstille VLAN, konfigurere routing i det fysiske netværk, konfigurere ITU-politikker. Alle disse operationer besatte tid, og desuden viste de sig for at være unikke for hver hardwareplatform, hvor datacentret blev bygget. Med andre ord blev applikationer og VM bundet til et bestemt fysisk netværk. Det var nødvendigt at eliminere denne bindende, det vil sige virtualisere netværket. Nu, som Alexander Krenev noter, leder hovedet af netværks virtualisering i Moskva Office VMware, hver platform for virtualisering har sin egen switch, som er "indfødt" for det. For eksempel for ESXI-hypervisoren, en sådan virtuel distribueret switch-distribueret virtuel switch, for KVM, på centraludvalgets skala, kan du overveje åben virtuel switch og så videre.
På toppen af \u200b\u200bden virtuelle omskifter på programniveau implementeres de grundlæggende netværksfunktioner: skifte, routing, firewall og belastningsbalancering. Hver fysisk server med en hypervisor bliver ikke bare en computerplatform, hvor du kan vælge ressourcerne til virtuelle maskiner, men også en multi-Hygate switch og router (det gamle slogan "netværk er en computer" får en ny betydning). For at arbejde disse funktioner har du brug for en grundlæggende IP-forbindelse mellem servere. På det fysiske netværk behøver ikke længere at bruge tid på VLAN-indstillingen - det er nok at konfigurere transportnettet en gang. For at transmittere trafik gennem det fysiske netværk anvendes indkapslingen af \u200b\u200bVXLAN.
Brug af virtuelle switche giver dig mulighed for at automatisere rutinemæssige netværksopsætningsoperationer, fremskynde nødgendannelse og selvfølgelig forbedre beskyttelseseffektiviteten. "Når sikkerheds- og filtreringsfunktionerne udføres på niveauet for den virtuelle platform, på hypervisorniveauet kan applikationer beskyttes uafhængigt af den underliggende fysiske arkitektur, - forklarer Alexander Krenev. - Sikkert har mange hørt om mikricensment eller om nul tillidsmodellen. Byg en sådan model på netværkets virtualiseringsplatform er meget enkel, for dette vil det ikke være nødvendigt at implementere sætet af ITU. "
Hvis du bevæger dig væk fra sikkerhedsproblemer og ser lidt bredere ud, åbner netværkets virtualisering stien for at gennemføre de fuldt definerede datacentre (se fig. 3).
Om beskyttelse af ansøgninger
I deres prognose for 2017 kalder Gartner blandt 10 nøgleteknologiske tendenser en adaptiv beskyttelsesarkitektur. Sandt nok, sammenlignet med prognosen for den nuværende 2016, er det nu ikke på det syvende sted, men på den tiende, hvilket skyldes virkningen af \u200b\u200btabet af nyhed end et fald i relevansen. Som nævnt i kommentarerne vil "multi-level beskyttelse og analyse af brugeradfærd og objekter være obligatorisk for hver virksomhed."
Adaptiv beskyttelse indebærer indlejring af sikkerhedsforanstaltninger til alle forretningsprocesser - gennemførelsen af \u200b\u200bderes postfactum betyder at skabe problemer for sig selv. Sikkerhedsspecialister skal derfor nøje interagere med beslutningstagningsarkitekter og applikationsudviklere for at muliggøre sikkerhedsforanstaltninger i designbeslutningen og applikationsudviklingsfasen. Sidstnævnte bliver i stigende grad et målrettet angrebsobjekt.
Som Russem Hayretdinov, vicedirektør for Infowatch og projektets leder, nævnt i sin tale, lærte alle at beskytte deres netværk godt, så angrebene bliver gradvist overført til det anvendte niveau. Desværre opdages de ikke ved hjælp af traditionelle midler, der ikke kan bestemme, hvor den programmerede funktion, og hvor den viste fejl er - det vil sige, er der ingen uregelmæssigheder, som du kan bestemme, hvad angrebet går.
Ved implementering af Cloud Services blev der mere opmærksomhed på muligheder, men ikke risici. "Nu er det tid til at ordne succesen," kalder Russem Highddinov, "og tænk på trusler, der begynder at overvælde tjenester, der er bygget uden at tage hensyn til en sådan fare." Indbygget forsvar, orienteret til monolitiske applikationer, giver selvfølgelig dig mulighed for at niveauere nogle af dem, fordi de gamle angreb ikke går overalt. Angrebet er imidlertid udsat for ikke kun service som helhed (som udtrykkes i forsøg på at blokere kanalen eller implementere nogle andre velkendte angreb), men også adskille applikationer i den.
Denne situation forværres af, at udbydere ikke har kontrol over ansøgninger, der også ofte opdateres. Tross alt er skyen - uanset IAAS, PAAS eller SAAS, faktisk nogle sæt af ansøgninger skabt af andre mennesker. "Ikke at vide, hvordan specifikke applikationer arrangeret, afspejler nye angreb mod dem, når de organiserer specifikationerne for deres skrivning og design, bliver det vanskeligere," advarer han.
Angrebene bruger fejl og sårbarheder i de applikationer, der hurtigt skrives i overensstemmelse med den fleksible udviklingsmetode (Agile). Udgangshastigheden på markedet for nye funktioner er vigtigere end at sikre deres sikkerhed, desuden har gamle beskyttelsesmetoder simpelthen ikke tid til udviklingshastigheden. Så penetrationstesten (Penest) tager et par uger, og da den er afsluttet, kan du kun være sikker på, at den søgte version af webstedet var sikker.
Udviklingen accelererer, praktisk taget "kommer fra hjulene" - ændringer opstår hver anden uge, og sådanne checks som en penetrationstest udføres hver sjette måned. I den nuværende situation er der kun ét output - integration af beskyttelsessystemer med selve objektet. Hidtil har denne mulighed kun implementeret i de største tjenester af Amazon-niveauer, hvor der ikke er nogen særlig sikkerhedstjeneste: Der er ansvarlige for sikkerheden i udviklingsholdet og repræsentanter for samme kommando, for eksempel i en division, der giver tilgængelighed .
Tilgangen til beskyttelsen af \u200b\u200banvendelser ændrer sig således radikalt (se figur 4). "Jeg tror, \u200b\u200bat paradigmerne for udvikling og beskyttelse af applikationer i det 20. år vil blive fuldstændigt opdateret. De vil fusionere og vil udvikle sig sammen. Denne tendens er tydeligt sporet, - konkluderer Russem Highddinov. - Nu er vi på et mellemstad, som er præget af implementeringen af \u200b\u200badaptiv sikkerhed, når værktøjet ikke kun studerer et eller andet beskyttet objekt, men også tilpasser sig det, og justerer også objektet under dets krav. Men mens der er flere spørgsmål end svar. "
Sådan beskytter datacenteret
Angreb bliver flerlag, multi-trin og multi-level, de udføres fra forskellige sider, med intelligens, med distraktion, med omslag. Nu er der ingen rene DDO'er eller et rent hackerangreb. Derfor skal de, der designer midlerne til beskyttelse, forstå de typer angreb. Kun inden for træningscenteret for en seriøs hostingudbyder, kan du indsamle kompetencer og udstyr på dette niveau, der kan modstå DDOS-angreb og andre typer af den sværeste og ødelæggende forretning og omdømme for virksomhedens handling. Vladimir Malinovsky, leder af løsninger af Lattelecom datacenter, national lettisk telekommunikation og cloud service, fortalte Vladimir Malinovsky i sin tale.
Cloud Service Providers er i hovedrisikogruppen - netop imod dem, den vigtigste andel af DDOS-angreb er rettet. Men selv udbyderen kan ikke implementeres straks alle beskyttelsesforanstaltninger, så deres gennemførelse opstod i faser. Dattum Data Processing Center opfylder de grundlæggende krav til den fysiske beskyttelse af Tier III-niveau århundrede: en adskilt omkreds omkring rummets værelser, 24 timers fysisk beskyttelse, kombineret adgangskontrol ved hjælp af RFID og biometri, også som ekstern videoovervågning med adgangsarkiv. Men som Vladimir Malinovsky noter er fysisk beskyttelse kun en lille del af sikkerhedsforanstaltningerne.
Først og fremmest klassificerede Lattelecom tilgængelige data om kritiske og tilgængelighedskriterier og bragte alt i et bord, der giver dig mulighed for tydeligt at se, hvad der er nødvendigt for at yde prioriteret beskyttelse (se fig. 5). "Ved at kompilere et sådant bord forstår du allerede mere eller mindre, hvilke systemer du skal gøre først," forklarer Vladimir Malinovsky. Derudover blev de vigtigste kilder til trusler, som omfatter DDOS-angreb, hackere, disloyale medarbejdere og kunder af hosting, identificeret til CDA.
|
Det følgende år efter idriftsættelse af koden blev der gennemført foranstaltninger for at sikre overholdelsen af \u200b\u200bkravene i PCI DSS. PCI DSS-certificering er nødvendig for de kunder, der udfører finansielle transaktioner. Denne komplekse proces indebærer implementering af et helt program bestående af mere end 250 point. For at beskytte netværksperimeteren blev Alientvaults afgørelse implementeret. AlienVault Security Management Platform (USM) giver dig mulighed for at styre de fem hovedsikkerhedsfunktioner med en enkelt konsol: Aktiverbeholdning, sårbarhedsvurdering, adfærdsovervågning, indtrængningsdetektering og sikkerhedshændelser korrelation (SIEM).
Imperioden til indførelsen af \u200b\u200bdet næste beskyttelsesniveau var Letlands formandskab i EU - det var nødvendigt at sikre internettet på nationalt plan. Radware-løsning blev indført for at beskytte mod DDOS-angreb, men det viste sig at være overflødigt for virksomheden, derfor blev levering af tjenester til banker organiseret på grundlag heraf. Reel efterspørgsel efter dem syntes først, efter at bankerne blev angrebet. "Når bankerne begyndte at modtage" lykkebrev "fra hackere med et forslag om at betale penge, kom næsten alle dem til os og afsluttede kontrakter, og vi har med succes elimineret alle trusler," siger Vladimir Malinovsky.
Endelig blev det i år det hurtige 7-system implementeret, hvilket gør det muligt at teste sårbarheder i OS og Services, identificere fejl i konfigurationen, kontrollere overholdelse af sikkerhedspolitikker. Det giver dig mulighed for at efterligne hacking, vurdere niveauet for beredskab af systemet til at arbejde og kompilere en rapport med anbefalingerne om indførelsen af \u200b\u200bde nødvendige forbedringer. LatteleCom tilbyder tjenester til at identificere sårbarheder til deres kunder: "Det ville virke muligt en gang en scanning og beroligende på den. Faktisk, efter enhver ændring i OS og installerer enhver patch, skal scanningen udføres igen. Så det viser sig at være mere rentabelt for kunderne til tjenesten, "Repræsentanten for LatteleCom opsummerer.
Sværd og skjold
Den evige konfrontation mellem angrebet og beskyttelsen går til det nye niveau. Angreb er hurtigt robot, og bots har allerede tegn på kunstig intelligens: de handler autonomt, de selv finder applikationer med sårbarheder, som de ved, hvordan de skal åbne, og begynder at handle i henhold til et specifikt program. Sådanne koncepter som en adaptiv beskyttelsesarkitektur tyder på en overgang fra passive foranstaltninger til aktivt modstand i ønsket om at afspille cyberkriminelle på deres område. Som udtrykt i Gartner bør forsvaret blive "mobil og adaptivt".
Men på det resulterende diskussionsforum "trusselmodel for et datacenter. Hvad skal man være bange for, og hvad der skal beskyttes først og fremmest "Sagde meget om, at de foranstaltninger, der anvendes, stadig er utilstrækkelige: at udelukke med 100% sandsynligheden for et vellykket angreb ikke er et enkelt teknisk middel, hvis der er en dataudveksling Med noget eksternt system og information overføres. Skader på et minimum af løsningerne kan være vedtagelsen af \u200b\u200ben minimumstrafmodel i datacenteret, sondringen og begrænsning af administratorernes rettigheder, netværksmikalder.
Mere eller mindre store virksomheder søger at bygge deres centrere og give dem deres egne styrker - sådan en kritisk funktion, som sikkerheden er delegeret meget modvilligt. Som du ved, er en af \u200b\u200bde største trusler for enhver IP den, der udnytter den. Men som angivet af udbyderne af CDMS-tjenesterne, er cloud ressource mere absolut fra specifikke personale end corporate. Derudover akkumulerer udbyderne målrettet de nødvendige kompetencer til at organisere professionel og derfor effektiv beskyttelse.
Sikre sikkerheden for IB-tjenesteudbyderne selv eller at stole på udbyderne af IB-tjenesterne afhængigt af dets prioriteter og muligheder, men det bliver mere kompliceret i Cyber \u200b\u200bConstructions Race for angriberne. Og forfølgelsen viser sig at være ret håbløs, hvis du ikke forsøger at gøre med forældede metoder til beskyttelse af perimeter.
Dmitry Ganja., Editor-In-chef for "Netværksløsning / LAN Magazine"
Dmitry Kostov.
Infor MTS OJSC
Kode: Sammensætning, visninger
Datacentret (datacenter) er et fejltolerant omfattende centraliseret system, der sikrer automatisering af forretningsprocesser med et højt niveau af ydeevne og kvalitet af de leverede ydelser.
Normalt omfatter datacentret:
- meget pålideligt serverudstyr;
- dataopbevarings- og dataoverførselssystemer, herunder backupsystemer;
- energi tilgængelighedssystemer, klimaanlæg og fysisk placering;
- overvågnings- og styringssystemer;
- sikkerhedssystemer;
- reserve informationsbehandlingscentre;
- ressource virtualisering løsninger;
- konsolideringsløsninger.
Fordelene ved at oprette deres eget datacenter (eller dets lejekontrakt) er tilvejebringelse af fejltolerante infrastrukturtjenester i 24x7-tilstand, forbedring af effektiviteten og pålideligheden af \u200b\u200bcomputerressourcer, forenklet centraliseret administration, reducerede omkostninger ved at levere ingeniørkommunikation, højt informationsniveau Systembeskyttelse, centraliseret styring og ressource regnskab, adgangskontrol til datacenteret (samt forbindelser som en del af brugen af \u200b\u200bspecielle stik), enkel og bekvem skalering af computing ressourcer.
Normalt er der tre hovedtyper af datacentre:
- Hoveddatacenteret er et specielt forberedt lokaler (bygning), der er udstyret med et kompleks af ingeniørsystemer (udviklet individuelt, baseret på konfigurationen af \u200b\u200bde leverede lokaler og kundernes behov).
- Komplekse datacenter (fra producenten).
- Mobil (beholder).
Kontinuiteten i driften af \u200b\u200bethvert datacenter måles normalt som en procentdel af arbejdstiden om året. For de mest avancerede "tre nines" (99,9%) bør funktionen ikke afbrydes som en helhed mere end otte timer om året. "Fire nines" (99,99%) tillader en pause ikke mere end en time, "fem nines" (99,999%) er næsten 100% kontinuitet, stopet overstiger ikke og minutter. En objektiv vurdering af kodeksens evner kan kun betragtes som uafhængig revision. Samtidig kan du bruge visse standarder for evaluering. Det kan være: ISO 17799, Fisma, Basel II, Cobit, HIPAA, NIST SP800-53.
Informationssikkerhedskode: Analyse af niveauet af modenhed
Hvis du nærmer dig sikkerheden for information, der er gemt (behandlet) i datacenteret, skal vi fortsætte fra fortrolighed, tilgængelighed og integritetskrav. Det skal bemærkes, at formålet med sikring af sikkerhed og beskyttelse af funktionelle applikationer, tjenester og data (information) reduceres til et acceptabelt minimum (risikoanalyse, risikovillighed) skade for mulige eksterne og interne påvirkninger.
Informationssikkerhedsdata Sikkerhedsdata kan kun beskrives efter analysen af \u200b\u200bdet nuværende niveau, udviklingen af \u200b\u200bdesign og strategiske niveauer af løbetid for kontinuiteten i virksomhedens kontinuitet (BCM) i forhold til de kritiske teknologiske processer i det moderne telekommunikationsselskab. Denne analyse af løbetiden skal udføres for nøgleområder i BCM-processen i overensstemmelse med metoden for virksomhedens kontinuitet og udføres på følgende områder:
- Analyse af konsekvenserne for aktiviteter (BIA).
- Risikovurdering (RA).
- Corporate BCM-strategi.
- Niveauet af modenhed af BCM-processen.
- BCM-strategi med hensyn til ressourceregenvinding.
- Forretningskontinuitetsplan.
- Beslutninger og ressource genopretningsplaner.
- Plan for krisestyring.
- Uddannelse på BCM, kultur, bevidsthedsudvikling.
- Test af BCM-processen.
- Støtte og støtte fra BCM-processen.
- Revision af BCM-processen.
- Forvaltning af BCM-processen.
- BCM-politik.
- Verifikation og validering af BCM-processen.
Hovedformålet med at styre den funktionelle stabilitet af teknologiske processer er at sikre implementeringen af \u200b\u200bvirksomhedens forretningsfunktioner under betingelserne for virkningen af \u200b\u200bdestabiliserende faktorer. For at udføre analysen af \u200b\u200bselskabets løbetid i aspektet af BCM blev der udviklet et vurderingssystem baseret på materialerne i Business Continuity Institute (BCI), Den Internationale Organisation for Standardisering (ISO) og Cobit Association and Information Systems Association ( Isaca) metodologi.
Efter arbejdet inden for rammerne af UNM-projektet foretages der konklusioner om, hvorvidt det nødvendige datacenter bygge ejer eller leje Gør duplikat. På dette stadium er der et spørgsmål om at levere information og teknologisk sikkerhed under hensyntagen til analysen af \u200b\u200brisikoen for hele virksomheden.
Spørgsmålet om at levere kan formelt opdeles i netværkssikkerhed, serverdel og del af datalagringen.
Kode sikkerhedsfaser, beskyttelsesobjekter
De vigtigste faser af sikkerheden for datacenteret:
- opbygge en model af trusler;
- fordelingen af \u200b\u200bobjekter, som trusler kan rettes mod
- opbygge en model af handlinger af indtrengeren;
- risikovurdering og analyse
- udvikling og implementering af metoder og beskyttelsesmidler i systemet.
Analysere det foregående, det bliver klart, at uden opførelsen af \u200b\u200bSwib (informationssikkerhedsstyringssystem), både hele virksomheden og elementet (datacenteret) af tilstrækkelig beskyttelse ikke giver.
Vi lister de vigtigste objekter for beskyttelse i datacenteret:
- information, der cirkulerer i systemet
- udstyr (elementer);
- software.
Model PDCA.
Informationssikkerhedseksperter er allerede velbevidste om "Plan-Do-Check-Act" - PDCA), som anvendes til at strukturere alle svampeprocesser.
I dag udvikles mange organisationer, der besidder ledende stillinger inden for levering af IB (i henhold til den føderale lov "om teknisk regulering") Corporate Standard ", der yder informationssikkerhed for organisationer", hvor kravene til IB Centralbank fuldt ud skal afspejles, hvilket bør sikre løbende implementering af virksomhedens forretningsmæssige funktioner.
Afvigelsen fra implementeringen af \u200b\u200bdenne model er fyldt med fejl i gennemførelsen af \u200b\u200bbeskyttelse, hvilket vil føre til tab af virksomheden (informationslækage osv.).
Hvad skal netværket være?
Kode kan fungere (normalt) både med internettet og med et netværk baseret på VPN-MPLS, så firewallen skal stå i netværksdelen (helst i failover-tilstand), en enhed, der giver trafikkryptering (især ved tilslutning til internettet) , detektionssystemer invasion IDS / IPS, passerer antivirus. Derudover er der i netværkets del root-routere, belastningsbalancering og den såkaldte aggregeringsafbryder (drift ved 2 eller 3, kan samle data fra flere fysiske porte).
Server Part.
Serverdelen består af omskiftere. Det bruges til at bruge VLAN-teknologi til at afgrænse adgang og informationsstrømme. Normalt er denne del ansvarlig for at kommunikere med netværksstyringscentret. Sikkerhedsstyringscentret (SOC) kan placeres i netværksstyringscentret. Adgangskontrolsystemet og identifikationssystemet (IDM) er installeret her.
DATA STORE.
Med hensyn til datalager, diskarrayer, backing servere er tape biblioteker placeret. Integritetsproblemer er meget vigtige i denne del af datacenteret. Nu beslutninger, som denne del er ansvarlig for at kontakte det sekundære datacenter (ofte ved hjælp af et netværk baseret på spektral signalforseglingsteknologi (DWDM).Et interessant eksempel på en sådan implementering er et sæt af et datacenter, der er bygget af Telecom Italien. En af opgaverne til at opbygge et beskyttet datacenter var implementeringen af \u200b\u200blovens krav "på personoplysninger". Italien anvendte strengere beskyttelsesforanstaltninger end i den europæiske konvention på grund af en alvorlig lækage af data om højtstående embedsmænd. Alle personlige data er ikke kun placeret i samme datacenter, men er også fuldt kontrolleret af deres opbevaring, behandling. Ca. 25 personer overvåger konstant sikkerhedssystemer fra en enkelt SOC.
I moderne forhold bør et omfattende sikkerhedssystem ikke kun løse de grundlæggende sikkerhedsopgaver - sikrer beskyttelse mod brand og beskyttelse mod indtrængen af \u200b\u200budenlandske, men også for at øge arbejdsdisciplinen, automatisere personaleoptegnelser.
En af de vigtigste komponenter i CDG er et system med teknisk sikkerhed. Dyre udstyr bør være pålideligt beskyttet mod uautoriseret penetration, fra ild. Kode service personale skal beskyttes mod brand, uventede freelance situationer. Et omfattende datasikkerhedssystem kombinerer et videoovervågningssystem (SN), adgangskontrol og adgangskontrolsystem (SCUD), et system med sikkerhedsalarmsystem (SOS), et Voice Alert-system (SGO) om brand og brandalarmsystem ( ATP) Integreret med et gassystem, enten pulverbrandslukning (GPT).
For at sikre sikkerheden for CDI-personalet har bygningen et automatisk lysprodukter til en brand, som i tilfælde af brand og kvittering af oplysninger fra brandalarmsystemet sender lydsignaler ved hjælp af en sirene installeret i Bygningsrummet og angiver evakueringsudgange med lysdokument "Output".
Når du designer og opretter et brandalarmsystem, anvendes et omfattende sikkerhedssystem, udstyr og teknologier i virksomheden NVP "Bolid" hovedsagelig. Oplysninger fra røggrumen og manuelle branddetektorer går ind i brandalarmkontrolpanelet. Softwaren installeret i systemsystemet organiserer den automatiske drift af systemet i tilfælde af røg eller brand i de lokaler, der styrer sikkerhedssystemet.
Når alarmen ankommer fra enhver systemdetektor, sender Brandalarm-enheden en kommando for at tænde for brandalarmsystemet, slukker ventilationssystemet og åbner de døre, der er udstyret med et system til overvågning af adgangen. Hvis der modtages en alarminformation fra brandslukningssystemet, behandler brandalarmenheden den samme række handlinger.
For at kontrollere og fastsætte begivenheder i centrum af datacenteret bruger et omfattende sikkerhedssystem mulighederne for et videoovervågningssystem, der gør det muligt for sikkerhedstjenestepersonale at udføre fjern visuel kontrol over alle zoner af objektet, samt skrive og gemme Alle videooplysninger. Digital Video Surveillance Systems er den mest effektive beskyttelsesmetode. Det automatiske overvågningssystem fungerer lige så effektivt til enhver tid på dagen ved at registrere alle freelance-situationer. Dataarkivering udføres i mapper med dato og tidspunkt for optagelsen. Når du ser en video, modtager brugeren et komplet billede af de hændelser, der opstår i det beskyttede område.
Der er et andet vigtigt aspekt af en videoovervågning - medarbejdere under kontinuerlig observation begynder at arbejde meget mere effektivt.
Automatisk brandslukningssystem er en af \u200b\u200bde mest effektive metoder (metoder) af nødbrandslukning. Det automatiske brandslukningssystem handler på tændingsformidling, i sin oprindelse, så du kan undgå spredning af ild og dermed en stor skade fra ild. I kvaliteten af \u200b\u200bildslukningsmidlet, kuldioxid, inerte gasser, så godt Som forskellige sammensætninger af fluorholdige carbonhydrider anvendes. Installation af automatisk brandslukning Giver dig mulighed for at sikre, og forhindrer derefter ilden i de tidlige stadier af ild.
Funktionelle træk ved et omfattende sikkerhedssystem:
- Fiksering og anmeldelse af sikkerhedstjenesten om forekomsten af \u200b\u200brøg eller brand på virksomhedens område med en angivelse af adressen på alarmrummet.
- Automatisk tændende brandslukningssystem i brandsteder.
- Kontrolindløbsdør.
- Deaktivering af ventilationssystemet, når alarm er modtaget fra branddetektorer.
- Lydvarme af personens personale og angivelsen af \u200b\u200bde sikre måder at evakuere på.
- 24-timers videoovervågning over et beskyttet område med videoinformation om digitale enheder af et omfattende sikkerhedssystem.
- Arkivering af videoer på stedet for datacenteret med mulighed for personalegengivelse af alarmoptegnelserne, herunder efter dato, tidspunkt på dagen, af kammeret mv.
- Styring af kontrol- og adgangskontrolsystemet for at regulere den autoriserede indgang / output fra CDM-medarbejderne og tegner sig for hver medarbejders arbejdstid.