Различия

Показаны различия между двумя версиями страницы.

--- topics:20:protection [2025/11/15 18:25] – создано admin
+++ topics:20:protection [2025/11/15 18:30] (текущий) – admin
@@ Строка 3: / Строка 3: @@
 ====== Методы защиты и предотвращения взломов ======
 <WRAP box round>
-Раздел посвящён практическим мерам защиты инженерных (OT) систем ЦОД от кибератак и инцидентов. Представлены основные уровни защиты: сегментация сетей, межсетевые экраны, VPN и двухфакторная аутентификация. Цель — снизить вероятность успешного взлома и обеспечить устойчивость инфраструктуры.
+Раздел посвящён практическим мерам защиты инженерных (OT) систем ЦОД от кибератак и инцидентов. Рассматриваются уровни защиты: сегментация сетей, межсетевые экраны, VPN и двухфакторная аутентификация. Цель — снизить вероятность успешного взлома и обеспечить устойчивость инфраструктуры.
 </WRAP>
 ===== Общие принципы защиты =====
 <WRAP info>
-Ни одно устройство не способно полностью защитить систему от всех форм атак. Эффективная защита достигается многослойной архитектурой.
+Ни одно устройство не способно полностью защитить систему от всех форм атак. Эффективная защита достигается за счёт многослойной архитектуры безопасности (defense-in-depth).
 </WRAP>
 Базовая структура защиты OT включает четыре уровня:
 . Сегментация сетей OT и IT.
-. Межсетевой экран по периметру OT-сети.
+. Межсетевой экран (Firewall) по периметру OT-сети.
 . VPN для всех консолей управления.
-. Двухфакторная аутентификация.
+. Двухфакторная аутентификация (2FA).
+<WRAP info>
+**OT (Operational Technology)** — операционные технологии: инженерные системы, обеспечивающие питание, охлаждение и управление объектом.
+**IT (Information Technology)** — информационные технологии: серверы, сеть и вычислительные ресурсы.
+**2FA (Two-Factor Authentication)** — двухфакторная аутентификация, требующая двух независимых способов подтверждения личности.
+</WRAP>
 ===== Сегментация сети OT от IT =====
@@ Строка 23: / Строка 29: @@
 Формы изоляции:
-  * Полная изоляция — OT имеет собственные каналы связи, коммутаторы и маршрутизаторы; отсутствие зависимостей от IT.
+  * Полная изоляция — OT имеет собственные каналы связи, коммутаторы и маршрутизаторы; отсутствуют зависимости от IT.
-  * Зависимая изоляция — OT логически отделена от IT, но точка подключения контролируется межсетевым экраном.
+  * Зависимая изоляция — OT логически отделена от IT, но подключена через контролируемый шлюз.
 Преимущества:
   * исключение кросс-контаминации между сетями;
   * разделение ответственности между IT и эксплуатацией;
   * возможность задать специализированные правила доступа.
 <WRAP important>
-Сеть OT должна администрироваться службой эксплуатации. Единый контроль снижает риск неконсистентных настроек.
+Сеть OT должна администрироваться службой эксплуатации. Единый контроль снижает риск ошибок конфигурации и несогласованных изменений.
 </WRAP>
 ===== Межсетевой экран по периметру OT =====
 <WRAP info>
-Межсетевой экран фильтрует трафик и предотвращает несанкционированные подключения к инженерным системам.
+Межсетевой экран (Firewall) фильтрует трафик и предотвращает несанкционированные подключения к инженерным системам.
 </WRAP>
 Рекомендации:
-  * использовать решения корпоративного класса с актуальными базами угроз и фильтрацией DNS;
+  * использовать решения корпоративного класса (Next Generation Firewall, NGFW) с обновляемыми базами угроз;
-  * применять детальные правила (IP, протокол, геолокация, время, действие);
+  * применять детальные правила (по IP, протоколу, геолокации, времени, действию);
-  * обеспечить удобный и понятный интерфейс администрирования для эксплуатационного персонала.
+  * обеспечить понятный интерфейс управления (Graphical User Interface, GUI).
 <WRAP important>
-SOHO-устройства неприемлемы. Для инженерных сетей нужны решения уровня NGFW.
+Применение домашних или SOHO-устройств (Small Office / Home Office) недопустимо. Для инженерных сетей необходимы промышленные решения уровня NGFW.
 </WRAP>
 ===== VPN для консолей управления =====
 <WRAP info>
-Каждая консоль (BMS, DCIM, EMS и т. п.) должна использовать собственный VPN-доступ с шифрованием и аутентификацией.
+**VPN (Virtual Private Network)** — виртуальная частная сеть, создающая зашифрованный канал между пользователем и системой.
+Каждая консоль (BMS, DCIM, EMS и т.п.) должна иметь собственный VPN-доступ с аутентификацией и шифрованием.
 </WRAP>
-Преимущества:
+Пояснение терминов:
-  * защита каналов от перехвата/подмены;
+  * **BMS (Building Management System)** — система управления инженерными системами здания;
-  * разграничение доступа сотрудников и подрядчиков;
+  * **DCIM (Data Center Infrastructure Management)** — система управления инфраструктурой ЦОД;
-  * централизованный учёт подключений и аудит действий.
+  * **EMS (Energy Monitoring System)** — система мониторинга энергопотребления.
+Преимущества VPN:
+  * защита каналов от перехвата и подмены данных;
+  * разграничение доступа между сотрудниками и подрядчиками;
+  * централизованный контроль подключений и журналирование действий.
 <mermaid>
 flowchart LR
-  classDef big font-size:22px,stroke-width:1.2px,padding:10px;
+  classDef big font-size:14px,stroke-width:1.2px,padding:10px;
   A["BMS"]:::big --> V["VPN-шлюз"]:::big
   B["DCIM"]:::big --> V
@@ Строка 71: / Строка 83: @@
 ===== Двухфакторная аутентификация =====
 <WRAP info>
-FA добавляет второй фактор при входе в систему и при изменении настроек: пароль плюс подтверждение на токене или телефоне.
+**2FA (Two-Factor Authentication)** добавляет второй фактор проверки при входе в систему и при изменении настроек.
+Это может быть код подтверждения на смартфоне, токене или биометрический сканер.
 </WRAP>
 Особенности применения:
-  * включать 2FA для всех консолей управления;
+  * включать 2FA для всех систем BMS, DCIM, EMS;
   * требовать повторное подтверждение при изменении критичных параметров;
-  * фиксировать успешные и неуспешные попытки входа в централизованном журнале.
+  * фиксировать все попытки входа и хранить логи не менее 12 месяцев.
 <mermaid>
 flowchart LR
-  U["Пользователь"] --> L["Логин/пароль"]
+  classDef big font-size:28px,stroke-width:1.2px,padding:10px;
-  L --> C["Проверка 1-го фактора"]
+  U["Пользователь"]:::big --> L["Логин и пароль"]:::big
-  C --> T["Запрос второго фактора"]
+  L:::big --> C["Проверка первого фактора"]:::big
-  T --> A["Подтверждение (приложение/токен)"]
+  C:::big --> T["Запрос второго фактора"]:::big
-  A --> G["Доступ разрешён"]
+  T:::big --> A["Подтверждение (телефон / токен / биометрия)"]:::big
+  A:::big --> G["Доступ разрешён"]:::big
 </mermaid>
 ===== Организационные меры =====
   * назначить ответственного за безопасность OT на стороне эксплуатации;
-  * вести реестр устройств и подключений;
+  * вести реестр устройств и сетевых подключений;
   * регулярно проверять конфигурации firewall, VPN и права пользователей;
-  * документировать изменения и хранить логи не менее 12 месяцев;
+  * документировать изменения и хранить логи;
   * предусмотреть резервные каналы управления без выхода в Интернет.
-===== Выводы =====
+===== Ключевые выводы =====
 <WRAP tip>
-  * Сочетание сегментации, фильтрации, шифрования и 2FA формирует устойчивую защиту инженерных систем.
+  * Многослойная защита снижает вероятность киберинцидентов.
-  * Каждая подсистема (питание, охлаждение, мониторинг) рассматривается как критичная и защищается на равных с IT.
+  * Каждая инженерная подсистема (питание, охлаждение, мониторинг) должна защищаться так же, как IT-сервера.
-  * Точки пересечения IT и OT — основной приоритет контроля и аудита.
+  * Точки пересечения IT и OT — приоритетная зона для контроля и аудита.
-  * Многослойная модель должна закладываться на этапе проектирования ЦОД.
+  * Безопасность OT-сетей должна закладываться на этапе проектирования ЦОД и поддерживаться в эксплуатации.
 </WRAP>
 </WRAP>