आज रूस में लगभग सौ सेवाएं हैं जो सास मोड में विस्तृत सॉफ्टवेयर का उपयोग करने की क्षमता प्रदान करती हैं और इन सेवाओं की संख्या लगातार बढ़ रही है। इसी समय, सास बाजार संकेतक (टर्नओवर, ग्राहक आधार, आदि) कम रह गए हैं।
इस बाजार के विकास के लिए सबसे महत्वपूर्ण स्टॉपर उपयोगकर्ता डेटा की सूचना सुरक्षा सुनिश्चित करने का मुद्दा है। रोजमर्रा की भाषा में, प्रश्नों को कुछ इस तरह से तैयार किया जाता है:
“मैं प्रदाता के साथ अपने व्यवसाय के लिए मुख्य डेटा को कहीं और कैसे रखूंगा?” ,
“क्या होगा यदि प्रदाता इन सेवाओं को प्रदान करना बंद कर देता है?” ,
“क्या गारंटी देता है कि डेटा खो नहीं जाएगा? एक प्रतियोगी के लिए? ” आदि।
मैं इन सवालों के जवाब एक सुलभ भाषा में देना चाहता हूं, सुरक्षा सवालों को सुलझाता हूं, और सास प्रदाता के "अंदर बाहर" का वर्णन करता हूं।
होस्टिंग प्रदाताओं के साथ तुलना
कम से कम दो व्यापक रूप से उपयोग की जाने वाली होस्टिंग सेवाएं हैं (वास्तव में, ये लगभग सास सेवाएं हैं, यह केवल ऐतिहासिक रूप से नहीं कहा जाता है) जो पहले से ही आज नेटवर्क पर किसी भी व्यवसाय के लिए महत्वपूर्ण डेटा एकत्र, संसाधित और संचारित करते हैं। रूस में
हजारों ग्राहक इन सेवाओं का उपयोग करते हैं
! और किसी कारण से वे सुरक्षा के बारे में आश्चर्य नहीं करते हैं, और सुरक्षा की बहुत सारी समस्याएं नहीं हैं। मैं
ई-मेल सेवाओं
और ऑनलाइन स्टोर के किराये (होस्टिंग) के बारे में बात कर रहा हूं, जो ज्यादातर प्रदाताओं के बीच स्थित हैं।
सभी व्यावसायिक पत्राचार ई-मेल द्वारा संचालित, संग्रहीत और
एक खुले रूप में प्रेषित किए जाते हैं। प्रदाता किसी भी संपर्क, अनुबंध पर कोई भी जानकारी प्राप्त कर सकता है और उसे प्रेषित कर सकता है, उदाहरण के लिए, प्रतियोगियों को। ऑनलाइन स्टोर के साथ और भी दिलचस्प है। ऑनलाइन स्टोर के डेटाबेस में सभी ग्राहकों, उनके संपर्कों, उनके सभी आदेशों, संभवतः गोदामों में वस्तु संतुलन, अद्वितीय विवरण और आपके द्वारा विशेष रूप से तैयार की गई छवियों के बारे में जानकारी एकत्र की जाती है। यह सब प्रदाता के साथ है,
और यह कैसे सुरक्षित है ?
एक होस्टिंग प्रदाता के साथ एक अनुबंध बढ़ाने की कोशिश करें और देखें कि क्या इसमें अक्सर न केवल सुरक्षा की गारंटी होती है, बल्कि सामान्य रूप से सेवा की गुणवत्ता भी होती है? यदि मेल कुछ दिनों तक काम नहीं करता है तो क्या प्रदाता आपको इसकी भरपाई करेगा। क्या आप जानते हैं कि प्रदाता के पास किस तरह का बुनियादी ढांचा है, क्या यह तकनीकी रूप से आपके डेटा की संचालन और सुरक्षा सुनिश्चित कर सकता है?
तो, सास सेवाओं की सुरक्षा समस्याएं मानक होस्टिंग सेवाओं की सुरक्षा समस्याओं से अधिक नहीं हैं और इस सुरक्षा का स्तर ग्राहकों की एक बड़ी संख्या के अनुरूप है।
हालांकि, दृष्टिकोण "
पैनिकोवस्की इस एहसास से प्रसन्न था कि दुनिया में उससे छोटे लोग भी हैं " इस मामले में सही नहीं है, तो आइए विवरणों में आते हैं।
सूचना जोखिम
क्या उपयोगकर्ता वास्तव में डरते हैं? हम सूचना सुरक्षा और इन जोखिमों को कम करने के तरीकों को सुनिश्चित करने के मुख्य मुद्दों को सूचीबद्ध करते हैं।
डेटा गोपनीयता का नुकसान
डेटा की गोपनीयता तीसरे पक्ष की उनके स्वामी की सहमति के बिना डेटा तक पहुंचने में असमर्थता है।
गोपनीयता एक जटिल कार्य है जिसमें तकनीकी और प्रशासनिक दोनों उपाय शामिल हैं, जैसे:
- उपयोगकर्ताओं का प्राधिकरण (दोनों सीधे सेवाओं तक पहुँचने पर, और समर्थन सेवाओं से संपर्क करते समय);
- डेटा भंडारण की गोपनीयता, एक्सेस अधिकारों को अलग करने, सर्वर पर सुरक्षा नीतियों के आवेदन और बाहरी नेटवर्क सुरक्षा प्रणालियों (फ़ायरवॉल) के कॉन्फ़िगरेशन सहित;
- ट्रांसमिशन के दौरान डेटा गोपनीयता (चैनल एन्क्रिप्शन, एक वीपीएन का निर्माण);
- बैकअप पर डेटा की गोपनीयता सुनिश्चित करना;
- कानूनी तौर पर उन प्रशासनिक कर्मचारियों के साथ संबंध सही हैं, जिनकी ग्राहक गोपनीय जानकारी तक पहुंच है।
भयंकर प्रतिस्पर्धा के मामले में, प्रतियोगी उद्यम के स्थानीय नेटवर्क को "हैक" करने का प्रयास करते हैं और / या जानकारी प्राप्त करने के लिए उद्यम के कर्मचारियों और प्रशासकों के लिए आउटिंग की तलाश करते हैं। प्रदाता के साथ जानकारी रखते समय, उद्यम के कर्मचारियों और प्रशासकों के पास न केवल पहुंच की भौतिक क्षमता होती है, बल्कि यह हमेशा ज्ञात नहीं होता है कि यह जानकारी बिल्कुल मौजूद है।
डेटा की अयोग्यता
यदि उद्यम के दैनिक कार्य के लिए आवेदन महत्वपूर्ण है, तो उपयोगकर्ताओं के लिए डेटा की उपलब्धता एक महत्वपूर्ण कार्य है, जिसमें शामिल हैं:
- सर्वर हार्डवेयर की उपलब्धता सुनिश्चित करना, घटकों का दोहराव, क्लस्टरिंग;
- स्थानीय नेटवर्क और उच्च-गुणवत्ता वाले इंटरनेट कनेक्शन (यदि एप्लिकेशन के बाहरी उपयोग की आवश्यकता है) के नेटवर्क उपकरणों की संचालन क्षमता सुनिश्चित करना;
- हार्डवेयर प्लेटफॉर्म का पर्याप्त प्रदर्शन, पूर्वानुमान और उन्नयन सुनिश्चित करना;
अभिगम्यता में नेटवर्क सुरक्षा भी शामिल हो सकती है, उदाहरण के लिए, DDoS हमलों से।
डेटा अखंडता उल्लंघन
डेटा अखंडता - उनके साथ कोई भी ऑपरेशन करते समय डेटा परिवर्तन की पूर्णता और शुद्धता सुनिश्चित करना।
अखंडता सुनिश्चित करना शामिल हैं:
- जब वे बदलते हैं तो आवेदन स्तर पर लेन-देन सुनिश्चित करना (डेटा के बीच संबंधों की शुद्धता बनाए रखना, उदाहरण के लिए, डेटाबेस में);
- भौतिक मीडिया, दोहराव, RAID-सरणियों का उपयोग;
- एक बैकअप और रिकवरी सिस्टम जो बैकअप के निर्माण, उपलब्धता और तैनाती की समय पर गारंटी देता है;
इसके अलावा, सॉफ़्टवेयर एप्लिकेशन (तथाकथित इंजेक्शन) की सुरक्षा में "अंतराल" का उपयोग करके डेटा अखंडता का उल्लंघन संभव है, जो विशेष सॉफ़्टवेयर और हार्डवेयर सिस्टम द्वारा भी प्रदान किया जाता है।
आने वाले व्यवस्थापक के साथ तुलना करें
बड़ी कंपनियों के लिए, सूचना सुरक्षा मुद्दों को उनके स्वयं के पर्याप्त रूप से शक्तिशाली आईटी और सूचना सुरक्षा प्रभागों, अपने स्वयं के दोष-सहिष्णु डेटा केंद्रों (डीपीसी), आदि के निर्माण और संचालन द्वारा हल किया जाता है, लेकिन छोटे और मध्यम आकार के व्यवसायों के बारे में क्या?
ज्यादातर अक्सर, छोटे व्यवसायों के पास बाहरी कंपनियों या व्यक्तियों (इन सेवाओं के ऑर्डर आउटसोर्सिंग) को अपने स्थानीय नेटवर्क की संचालन क्षमता का समर्थन करने के लिए कर्मचारियों और आदेश सेवाओं पर स्थायी आईटी विशेषज्ञ नहीं होते हैं।
आइए निम्नलिखित विकल्पों में व्यावसायिक अनुप्रयोगों का उपयोग करते समय सूचना सुरक्षा की तुलना करने का प्रयास करें:
- आने वाले व्यवस्थापक द्वारा सूचना सुरक्षा के साथ उद्यम के स्थानीय नेटवर्क में एक व्यावसायिक अनुप्रयोग की नियुक्ति
- एक सेवा प्रदाता के साथ सास मोड में एक व्यावसायिक अनुप्रयोग की मेजबानी करना।
सवाल तुरंत उठता है। दोनों मामलों में, उद्यम के बाहरी कर्मचारी को उद्यम की गोपनीय जानकारी तक पहुंच होती है।
तो फिर आने वाले प्रशासक पर भरोसा सेवा प्रदाता के ट्रस्टी की प्राथमिकता से अलग क्यों होना चाहिए?
एक दौरा करने वाला प्रशासक भी एक बाहरी संगठन है, और कभी-कभी सिर्फ एक व्यक्ति जो कई कारणों (कॉल, बीमारी, सत्र, महासंघ के किसी अन्य विषय में अप्रत्याशित प्रेम, आदि) के लिए गायब हो सकता है।
आने वाले व्यवस्थापकों को आम तौर पर स्थानीय नेटवर्क पर वर्कस्टेशन, प्रिंटर और स्कैनर, फ़ाइल और अन्य सर्वरों की संचालनशीलता सुनिश्चित करने, इंटरनेट से जुड़ने आदि के मानक कार्यों को करने में बहुत अच्छा अनुभव होता है, लेकिन शायद ही कभी Microsoft एक्सचेंज, Microsoft जैसे जटिल व्यावसायिक अनुप्रयोगों का समर्थन करने का अनुभव हो। डायनेमिक्स सीआरएम, शेयरपॉइंट सर्वर पर पोर्टल्स, लाइव मीटिंग, थर्ड-पार्टी एप्लिकेशन और अक्सर केवल उनका समर्थन करने और उनके प्रदर्शन की गारंटी देने के लिए कार्य नहीं करते हैं।
किसी समस्या पर आने वाले व्यवस्थापकों की प्रतिक्रिया दर क्या है। संभवतः सभी के पास अलग-अलग तरीके हैं, लेकिन अक्सर आपातकालीन यात्राएं असंभव या काफी महंगी होती हैं। प्रदाता राउंड-द-क्लॉक घटना से निपटने और सेवा स्तर समझौते (SLA) में निर्धारित सेवाक्षमता की शर्तों की गारंटी देता है।
आने वाले व्यवस्थापकों को रात में जागना और समर्थन प्रदान करना पसंद नहीं है, और यह व्यवसाय के लिए बहुत महत्वपूर्ण हो सकता है !!!सिस्टम को कॉन्फ़िगर करने और बनाए रखने के लिए बैकअप और मॉनिटरिंग दो बहुत मुश्किल हैं। एंटरप्राइज के प्रत्येक निदेशक की स्मृति में "बहुत महत्वपूर्ण जानकारी" के साथ हार्ड ड्राइव, विफल फ्लैश ड्राइव और अपठनीय CDROMs, "सभी जानकारी" के साथ (खोए हुए) लैपटॉप चोरी हो गए हैं। काम पंगु है, मर्यादा तक नसों। और एक बार जब यह समस्या हल नहीं हो सकती है, तो बैकअप सिस्टम स्थापित करना और इसके प्रदर्शन की निगरानी करना आवश्यक है।
सभी आने वाले प्रशासक इसमें नहीं लगे हैं और उनके पास उपयुक्त अनुभव है, जबकि प्रदाता मुख्य कार्यों में से एक है। इसके अलावा, अच्छे बैकअप सिस्टम काफी महंगे हैं। ऑपरेटिंग सिस्टम और एप्लिकेशन सॉफ़्टवेयर की सुरक्षा प्रणाली में नज़दीकी अंतराल को अपडेट करने के लिए भी यही बात लागू होती है। यदि आप अगली बार प्रशासक के आने पर ऐसा करते हैं, तो हमलावर के पास भेद्यता का लाभ उठाने के लिए पर्याप्त समय होगा।
प्रदाता लगातार सुरक्षा अंतराल के बारे में जानकारी की निगरानी करता है और सभी ग्राहकों के लिए तुरंत अपडेट को तुरंत स्थापित करने की क्षमता रखता है।
सभी कर्मचारी श्रम अनुबंध पर हस्ताक्षर नहीं करते हैं या उनमें गोपनीयता बनाए रखने के लिए पर्याप्त शर्तें नहीं हैं। यह खंड हमेशा आने वाले प्रशासक के साथ अनुबंध में मौजूद नहीं होता है, और यह अनुबंध हमेशा कागज पर मौजूद नहीं होता है, अर्थात, कानूनी दावा करना संभव नहीं होगा। प्रदाता के लिए, यह अनुबंध के लिए एक अनिवार्य अनुलग्नक होना चाहिए।
एक छोटे उद्यम के लैन की भौतिक अवसंरचना का उपयोग आमतौर पर अधिकतम, कंप्यूटर और सर्वर के लिए किया जाता है जब तक कि सिर हार्ड ड्राइव में छेद नहीं मिटाता है और जब तक नेटवर्क तारों को बुढ़ापे से उखड़ जाता है। यह व्यवसाय की दक्षता के दृष्टिकोण से सामान्य है, लेकिन एक नए व्यापार एप्लिकेशन की शुरुआत के मामले में, बस कोई संसाधन नहीं हो सकता है, जिसका अर्थ है कि सर्वर खरीदना, या यहां तक कि कई, इसे कहीं रखकर, जहां यह गर्म नहीं है, अर्थात यह भी है एयर कंडीशनिंग खरीदना होगा, आदि। बैकअप सर्वर पर इस नई प्रणाली के बैकअप के लिए कोई जगह नहीं होगी (यदि एक है) - आपको एक हार्ड ड्राइव खरीदने की आवश्यकता है - अब वे ऐसा नहीं करते हैं - आपको सभी हार्ड ड्राइव आदि को बदलने की आवश्यकता है। दूसरे शब्दों में, बड़ी संख्या में कार्य करना, पर्याप्त मात्रा में धन खर्च करना, कुछ समय खर्च करना आवश्यक हो सकता है। प्रदाता इन सभी मुद्दों का ध्यान रखता है। आपको यह भी पता नहीं होगा कि आपकी सेवा किस उपकरण पर चलती है, यह महत्वपूर्ण है कि यह विश्वसनीय, पर्याप्त उत्पादक हो और बढ़े हुए लोड या अप्रचलन के मामले में अद्यतन किया जाएगा। और यह समाधान का उपयोग करने की आपकी लागत को प्रभावित नहीं करता है।
लैन को कवर करने वाले बाहरी फायरवॉल शायद ही कभी विश्वसनीय, उत्पादक उपकरण हैं क्योंकि वे महंगे हैं। हमलों का पता लगाने और उन्हें रोकने के लिए सिस्टम बिल्कुल मौजूद नहीं हैं। एक स्थानीय क्षेत्र नेटवर्क में लगभग कभी भी कुछ भी दोहराया नहीं गया। प्रदाता के पास शक्तिशाली प्रणालियां हैं और वह इसे वहन कर सकता है, क्योंकि वे सभी ग्राहकों के लिए एक साथ उपयोग किए जाते हैं, जिसका अर्थ है कि प्रति ग्राहक लागत गायब हो रही है।
एक सुसंगत प्रणाली के रूप में सुरक्षा नीति, अक्सर छोटे और मध्यम आकार के उद्यमों में अनुपस्थित होती है। उपयोगकर्ता को हमेशा समाप्ति पर हटाया नहीं जाता है, या पासवर्ड को बदल दिया जाता है, या हर जगह नहीं, क्योंकि उपयोग किए गए सॉफ़्टवेयर की सूची या तो नहीं है या इसे अद्यतित नहीं रखा गया है। उपयोगकर्ता द्वारा हटाए जाने पर प्रदाता स्वचालित रूप से पहुंच को बंद कर देता है। इसके लिए, प्रदाता को यह याद रखने की भी आवश्यकता नहीं है, सब कुछ संसाधन प्रबंधन प्रणाली द्वारा स्वचालित रूप से किया जाता है। प्रदाता बस इसे मैन्युअल रूप से नियंत्रित नहीं कर सकता है और इन कार्यों को व्यवस्थित और स्वचालित करने के लिए बाध्य है।
यह सब समझाने योग्य है। सूचना सुरक्षा प्रणाली स्थापित करने के लिए, ज्ञान और संसाधनों की आवश्यकता होती है, लेकिन वे बिल्कुल भी खर्च नहीं करना चाहते हैं। एक समाधान है - प्रदाता के ज्ञान और अनुभव का उपयोग करें।
तालिका व्यवस्थापक VS प्रदाता की तुलना करें| मापदंडों | प्रशासक (आने वाले) | सेवा प्रदाता |
| उत्तरदायित्व | Jur। या फ़िज़। चेहरा | Jur। चेहरा |
| अनुभव | व्यक्तिगत ज्ञान का स्तर | पेशेवर तरीके |
| सेवा की गुणवत्ता | क्षमता,
बैकअप निगरानी ??? | मापने योग्य पैरामीटर SLA में तय किए गए हैं |
| गोपनीयता | एक रोजगार अनुबंध? | गोपनीयता - NDA |
| जांच | ईआरपी, सीआरएम के लिए समर्थन नहीं ले सकता ... | व्यापार प्रणालियों में विशेषज्ञता |
| भौतिक अवसंरचना | अविश्वसनीय | पेशेवर |
सही प्रदाता
प्रदाता में विश्वास एक जटिल मुद्दा है और इसमें कई कारक शामिल हैं।
जब एक व्यावसायिक अनुप्रयोग किराए पर लेने वाले सेवा प्रदाता को चुनते हैं, तो निम्नलिखित जानकारी पर विचार किया जाना चाहिए:
- प्रदाता का इतिहास, बाजार में कितने वर्षों से मौजूद है, प्रतिष्ठा;
- मौजूदा ग्राहक, सफलता की कहानियाँ;
- भौतिक बुनियादी ढांचे (डेटा केंद्रों की संख्या और गुणवत्ता, डुप्लिकेट किए गए एयर कंडीशनिंग और पावर सिस्टम, आधुनिक आग बुझाने की प्रणाली, भौतिक पहुंच, वीडियो निगरानी) के क्षेत्र में खुली नीति। बुरा नहीं है अगर आप भ्रमण पर जा सकते हैं;
- सर्वर हार्डवेयर का इस्तेमाल किया;
- उपलब्धता, विवरण और एक बाहरी सूचना सुरक्षा प्रणाली की गुणवत्ता (फ़ायरवॉल, हमलों का पता लगाने और रोकने के लिए प्रणाली);
- कर्मचारियों की संख्या और योग्यता;
- सेवा स्तर समझौते (SLA) की उपस्थिति जो सेवाओं के प्रावधान, उनके उल्लंघन के लिए समय और जिम्मेदारी के मापदंडों का वर्णन करती है;
- गोपनीयता समझौते (एनडीए) और इसके मापदंडों की उपलब्धता;
- इस सॉफ्टवेयर के लिए किराये की सेवाएं प्रदान करने की संभावना पर सॉफ्टवेयर निर्माताओं से प्रदाता की क्षमता की पुष्टि। उदाहरण के लिए, Microsoft व्यवसाय अनुप्रयोग किराये की सेवाएं प्रदान करते समय, होस्टिंग सॉल्यूशंस , एडवांस्ड इन्फ्रास्ट्रक्चर सॉल्यूशंस, आदि की योग्यता होना महत्वपूर्ण है।
- संचालन का तरीका, प्रतिक्रिया की गति और समर्थन सेवा की मित्रता, समस्याओं की "वृद्धि" की संभावना;
- रूसी संघ के कानून के अनुसार कागजी कार्रवाई।
एक निष्कर्ष के बजाय
मैं एक वर्ग के रूप में आने वाले प्रशासकों के खिलाफ बिल्कुल नहीं हूं। वे सहायक कामकाज, सर्वर और छोटे और मध्यम आकार के उद्यमों के स्थानीय नेटवर्क के बुनियादी ढांचे में महत्वपूर्ण भूमिका निभाते हैं, और उनकी सेवाओं के बिना ऐसा करना असंभव है। प्रदाता खिंचाव नहीं करते हैं और ऐसी सेवाओं के प्रावधान के लिए कभी भी पहुंचने की संभावना नहीं है।
इसी समय, दूरस्थ रूप से (SaaS मोड में) कई व्यावसायिक अनुप्रयोगों
का उपयोग करना आसान और
सुरक्षित है , क्योंकि यह मोड, सुरक्षा समस्याओं को हल करने के अलावा, कई अन्य लाभ प्रदान करता है:
- एक बार की महंगी सॉफ्टवेयर खरीद के बदले एक समान छोटे भुगतान;
- छोटे भुगतानों के कारण, अधिक महंगे और अधिक कार्यात्मक अनुप्रयोगों का उपयोग करना संभव हो जाता है जो पहले उपलब्ध नहीं थे;
- सॉफ्टवेयर को तैनात करने के लिए सर्वर और अन्य हार्डवेयर खरीदने की आवश्यकता नहीं है;
- स्वचालित रूप से सभी आवश्यक अपडेट प्राप्त करते हैं और नवीनतम संस्करणों का उपयोग करते हैं
- उपयोग (और भुगतान) केवल जब आवश्यक हो;
- और भी बहुत कुछ