Системы находящиеся в зоне хранения информации

минута на чтение

Системы находящиеся в зоне хранения информацииСистемы, находящиеся в зоне хранения информации, содержат данные, необходимые для работы приложений электронной коммерции: прайс-листы, базы данных о товарах, покупках и заказах и т. п. Web-серверы, расположенные в DMZ и имеющие общедоступный Internet-интерфейс, при обработке запросов пользователей обращаются за данными к системам хранения информации.

Базы данных, содержащие деловую информацию, обычно экранируются не только от Internet-трафика, но и от большинства соединений из защищенной сети. Это ограждает «чувствительные» данные как от непреднамеренных изменений, так и от внутренних атак. Если информация, например о произведенном заказе, записывается в базу данных сегмента хранения, то ее финансовая составляющая автоматически перенаправляется системам процессингового сегмента (центра). Здесь производятся электронные платежи, результаты которых, опять же, записываются в соответствующую базу данных, на основе чего системой генерируются отчеты и оперативные сводки, поступающие в защищенную сеть компании. Сегмент обработки финансовых транзакций защищен от Internet и от прочих сегментов межсетевым экраном. Кроме того, настройки этого экрана обычно определяют специально авторизированных пользователей корпоративной сети, имеющих доступ к центру процессинга.

Контроль доступа также позволяет регулировать методы образования сеансов связи. К примеру, если финансовый сегмент обрабатывает информацию для последующей ретрансляции в банковскую систему, наиболее значимые транзакционные данные могут быть сохранены специалистами из защищенной сети для мониторинга в автономном режиме. С этой целью межсетевое экранирование должно разрешать только соединения, инициируемые из защищенной сети. При этом для злоумышленника исчезает возможность проникновения в защищенную сеть из скомпрометированного финансового сегмента. Однако иногда необходим мониторинг в режиме реального времени, при котором финансовые системы сами инициируют соединения с машинами из защищенной сети. Это удобно с точки зрения бизнеса, но небезопасно. Хакер может использовать такие каналы связи для проникновения в защищенную сеть. При построении DMZ всегда необходимо помнить об этом и аналогичных ему сценариях.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Атака с использованием утечки информации направлена против конфиденциальности системы. Классический пример утечки информации — служба finger, которая установлена на многих UNIX-машинах. Клиентская программа этой службы предоставляет информацию о пользователях ...
В конце концов, для хранения статусной информации можно использовать сервер баз данных. Эта концепция в принципе повторяет предыдущее решение и имеет те же недостатки. Но, с другой стороны, базы данных позволяют немного ускорить работу и решают проблемы, связа...
Взаимная защита информации партнеров — вполне выполнимая задача, если эту информацию разделить таким образом, чтобы контроль над доступом мог быть реализован отдельно для каждого сегмента и пользователя. В качестве примера сегментации информации можно привести...