Содержание
Степени защиты IP
Система IP (Ingress Protection Rating) — система классификации степеней защиты оболочки электрооборудования от проникновения твёрдых предметов и воды в соответствии с международным стандартом IEC 60529 (DIN 40050, ГОСТ 14254-96).
Маркировка степени защиты оболочки электрооборудования осуществляется при помощи международного знака защиты (IP) и двух цифр.
Первая цифра означает защиту от попадания твёрдых предметов.
|
Уровень
|
Защита от посторонних предметов, имеющих диаметр
|
Описание
|
| 0 | — |
нет защиты
|
| 1 |
> 50 мм
|
большие поверхности тела, нет защиты от сознательного контакта
|
| 2 |
> 12,5 мм
|
пальцы и подобные объекты
|
| 3 |
> 2,5 мм
|
инструменты, кабели и т.
|
| 4 |
> 1 мм
|
большинство проводов, болты и т.п.
|
| 5 |
пылезащищённое
|
некоторое количество пыли может проникать внутрь, однако это не нарушает работу устройства.
Полная защита от контакта
|
| 6 |
пыленепроницаемое
|
пыль не может попасть в устройство.
Полная защита от контакта
|
Вторая цифра означает защиту от проникновения воды.
| Уровень | Защита от | Описание |
| 0 |
—
|
нет защиты
|
| 1 |
вертикальные капли
|
вертикально капающая вода не должна нарушать работу устройства
|
| 2 |
вертикальные капли под углом до 15°
|
вертикально капающая вода не должна нарушать работу устройства, если его отклонить от рабочего положения на угол до 15°
|
| 3 |
падающие брызги
|
защита от дождя.
|
| 4 |
брызги
|
защита от брызг, падающих в любом направлении
|
| 5 |
струи
|
защита от водяных струй с любого направления
|
| 6 |
морские волны
|
защита от морских волн или сильных водяных струй. Попавшая внутрь корпуса вода не должна нарушать работу устройства
|
| 7 |
кратковременное погружение на глубину до 1м
|
при кратковременном погружении вода не попадает в количествах, нарушающих работу устройства. Постоянная работа в погружённом режиме не предполагается
|
| 8 |
длительное погружение на глубину более 1м
|
полная водонепроницаемость.
|
Наиболее часто встречаются степени защиты IP20, IP44, IP54, IP65 IP20
Обычно в помещениях используется электротехническое оборудование со степенью защиты IP20.
IP44 — Применяется в помещении с повышенной влажностью, например, в ванне, стоит устанавливать устройства со степенью защиты IP44.
IP54 — Распространенная степень защиты для электротехнических комплектующих.
IP55 — Чаще всего производители электротехнических шкафов и щитов указывают степень защиты IP55.
IP65, IP67, IP68 — Требования к оборудованию подверженному атмосферным воздействиям. Оборудование со степенью защиты IP68 допускается погружать в воду, глубина погружения указывается дополнительно.
style=»float:left; width:150px;»>
Возврат к списку
Расшифровка степени защиты по IP для электрооборудования.
Независимо от сферы человеческой деятельности мы всегда нуждаемся в источниках электропитания.
Включить свет, нагреть воду, обогреть помещение, приготовить пищу и прочее можно выполнить с помощью современных электрических приборов. Для того чтобы обеспечить оптимальный уровень безопасности при их использовании действуют специальные стандарты с введенной степенью защиты IP. Иными словами, это степень защиты оборудования от попадания внутрь частиц пыли и влаги.
Преимущество приборов с высоким уровнем защиты
Все электроприборы подвержены воздействию двух основных факторов окружающей среды: вода и пыль. Вода по своим физическим свойствам является прекрасным проводником тока. Если оборудование или розетки находятся в жилом помещении, то нет причин для беспокойств. Другое дело, когда такое оборудование расположено в ванной комнате, подвале, уличной беседке. В результате проникновения влаги может произойти короткое замыкание.
То же самое касается и пыли – загрязняя контакты, она может спровоцировать поломку, окисление или искрение, что может привести к нежелательному исходу.
Что такое IP-защита?
Система IP-защиты – это специальная классификация, которая определяет способность оболочки электрооборудования пропускать внутрь твердые предметы и влагу. Регулировка ее эффективности происходит согласно требованиям ГОСТа14254, DIN-40050, IEC-60529. Стандарты накладывают на производителя обязанности по предоставлению качественной оболочки оборудования, согласно эксплуатационным условиям.
Маркировка наносится на электроприборы и представляет собой комбинацию из букв и цифр. Каждое обозначение имеет свое значение.
Расшифровка IP-защиты
Цифровой код электроприборов (кроме начальной комбинации IP) состоит из двух цифр. Первая цифра показывает возможность оболочки защитить от попадания внутрь твердых частиц и степени защищенности человека от проводящих ток частей. Количественные показатели, используемые при нанесении, находятся в районе от 1 до 6.
Редко может встречаться значение «Х», которое показывает, что устройство не нуждается в защите от твердых частиц. Количественные показатели второй цифры показывают степень защищенности от попадания внутрь влаги. Градация цифр начинается с 0 и достигает 9.
Расшифровка дополнительных буквенных значений
Вместе с цифровыми показателями применяются и буквенные. Первая буква после кода говорит об изоляции корпуса при касании его человеком, а вторая – служит в качестве дополнительной информации связанной с особенностями оснащения.
Таблица расшифровки второго буквенного значения
Примеры расшифровки
На светодиодном прожекторе нанесена защита IP-65. Это свидетельствует о том, что оборудование имеет полную защиту от пыли (первая цифра 6) и высокую защиту от попадания влаги независимо от угла попадания (вторая цифра 5).
При выборе электрооборудования обращайте внимание на маркировочное значение степени защиты. Если у вас еще остались вопросы, как правильно выбрать продукцию звоните по номеру: +375 (17) 513-99-93 или +375 (17) 513-99-91.
Что такое тестирование на проникновение | Пошаговый процесс и методы
Что такое тестирование на проникновение
Тест на проникновение, также известный как тест на проникновение, представляет собой смоделированную кибератаку на вашу компьютерную систему для проверки наличия уязвимостей, которые можно использовать. В контексте безопасности веб-приложений тестирование на проникновение обычно используется для усиления брандмауэра веб-приложений (WAF).
Pen-тестирование может включать попытку взлома любого количества прикладных систем (например, интерфейсов прикладных протоколов (API), интерфейсных/внутренних серверов) для выявления уязвимостей, таких как недезинфицированные входные данные, которые подвержены атакам с внедрением кода.
Результаты теста на проникновение можно использовать для тонкой настройки политик безопасности WAF и исправления обнаруженных уязвимостей.
Этапы тестирования на проникновение
Процесс тестирования на проникновение можно разбить на пять этапов.
1. Планирование и рекогносцировка
Первый этап включает в себя:
- Определение масштаба и целей тестирования, включая системы, которые необходимо изучить, и используемые методы тестирования.
- Сбор информации (например, сетевых и доменных имен, почтового сервера), чтобы лучше понять, как работает цель и ее потенциальные уязвимости.
2. Сканирование
Следующим шагом является понимание того, как целевое приложение будет реагировать на различные попытки вторжения. Обычно это делается с помощью:
- Статического анализа — проверка кода приложения для оценки его поведения во время работы. Эти инструменты могут сканировать весь код за один проход.
- Динамический анализ – Проверка кода приложения в рабочем состоянии. Это более практичный способ сканирования, поскольку он обеспечивает представление производительности приложения в режиме реального времени.
3. Получение доступа
На этом этапе используются атаки на веб-приложения, такие как межсайтовый скриптинг, SQL-инъекция и бэкдоры, для выявления уязвимостей цели. Затем тестировщики пытаются использовать эти уязвимости, как правило, путем повышения привилегий, кражи данных, перехвата трафика и т. д., чтобы понять, какой ущерб они могут нанести.
4. Поддержание доступа
Цель этого этапа — выяснить, можно ли использовать уязвимость для обеспечения постоянного присутствия в эксплуатируемой системе — достаточно долго, чтобы злоумышленник мог получить полный доступ. Идея состоит в том, чтобы имитировать сложные постоянные угрозы, которые часто остаются в системе в течение нескольких месяцев, чтобы украсть самые конфиденциальные данные организации.
5. Анализ
Затем результаты теста на проникновение компилируются в отчет с подробным описанием:
- Конкретные уязвимости, которые были использованы
- Доступ к конфиденциальным данным
- Время, в течение которого пентестер мог оставаться в системе незамеченным
Эта информация анализируется персоналом службы безопасности, чтобы помочь настроить параметры WAF предприятия и другие решения безопасности приложений для исправления уязвимостей и защиты от будущих атак.
Методы тестирования на проникновение
Внешнее тестирование
Внешние тесты на проникновение нацелены на активы компании, видимые в Интернете, например, само веб-приложение, веб-сайт компании, а также серверы электронной почты и доменных имен (DNS). Цель состоит в том, чтобы получить доступ и извлечь ценные данные.
Внутреннее тестирование
Во время внутреннего тестирования тестировщик, имеющий доступ к приложению за брандмауэром, имитирует атаку злоумышленника. Это не обязательно имитация мошеннического сотрудника. Распространенным начальным сценарием может быть сотрудник, чьи учетные данные были украдены в результате фишинговой атаки.
Слепое тестирование
При слепом тестировании тестировщику сообщается только название целевой компании. Это позволяет сотрудникам службы безопасности в режиме реального времени видеть, как будет происходить фактическая атака на приложение.
Двойное слепое тестирование
При двойном слепом тестировании сотрудники службы безопасности не имеют предварительных сведений о смоделированной атаке. Как и в реальном мире, у них не будет времени укрепить свою оборону перед попыткой взлома.
Целевое тестирование
В этом сценарии тестировщик и сотрудники службы безопасности работают вместе и сообщают друг другу о своих передвижениях. Это ценное учебное упражнение, которое дает команде безопасности обратную связь в режиме реального времени с точки зрения хакера.
Тестирование на проникновение и брандмауэры веб-приложений
Тестирование на проникновение и WAF являются исключительными, но взаимовыгодными мерами безопасности.
Для многих видов ручного тестирования (за исключением слепых и двойных слепых тестов) тестер, скорее всего, будет использовать данные WAF, такие как журналы, для обнаружения и использования слабых мест приложения.
В свою очередь, администраторы WAF могут извлечь выгоду из данных проверки пера. После завершения теста конфигурации WAF можно обновить, чтобы защититься от слабых мест, обнаруженных в ходе теста.
Наконец, тестирование на проникновение удовлетворяет некоторым требованиям соответствия для процедур аудита безопасности, включая PCI DSS и SOC 2. Некоторые стандарты, такие как PCI-DSS 6.6, могут быть удовлетворены только при использовании сертифицированного WAF. Это, однако, не делает тестирование пера менее полезным из-за его вышеупомянутых преимуществ и способности улучшать конфигурации WAF.
Тестирование на проникновение — Amazon Web Services (AWS)
Политика AWS в отношении использования инструментов и сервисов оценки безопасности обеспечивает значительную гибкость при проведении оценок безопасности ваших ресурсов AWS, защищая при этом других клиентов AWS и обеспечивая качество обслуживания в AWS.
AWS понимает, что существует множество общедоступных, частных, коммерческих и/или инструментов и сервисов с открытым исходным кодом, которые можно выбрать для проведения оценки безопасности ваших ресурсов AWS. Термин «оценка безопасности» относится ко всем действиям, направленным на определение эффективности или наличия средств контроля безопасности среди ваших ресурсов AWS, например сканирование портов, сканирование/проверки уязвимостей, тестирование на проникновение, эксплойты, сканирование веб-приложений и т. д. а также любые действия по внедрению, подделке или фаззингу, выполняемые либо удаленно в отношении ваших ресурсов AWS, между вашими ресурсами AWS или между ними, либо локально внутри самих виртуализированных ресурсов.
Вы НЕ ограничены в выборе инструментов или сервисов для оценки безопасности ваших ресурсов AWS. Однако вам ЗАПРЕЩАЕТСЯ использовать какие-либо инструменты или службы таким образом, чтобы выполнять атаки типа «отказ в обслуживании» (DoS) или имитировать их против ЛЮБОГО ресурса AWS, вашего или иного. Клиенты, желающие выполнить имитационное тестирование DDoS, должны ознакомиться с нашей политикой по моделированию DDoS-тестирования .
Инструмент безопасности, который выполняет удаленный запрос вашего ресурса AWS исключительно для определения имени и версии программного обеспечения, например, «захват баннера», с целью сравнения со списком версий, которые, как известно, уязвимы для DoS, НЕ находится в нарушение этой политики.
Кроме того, средство или служба безопасности, которые временно или иным образом приводят к сбою запущенного процесса на вашем ресурсе AWS, если это необходимо для удаленного или локального использования в рамках оценки безопасности, НЕ являются нарушением этой политики. Однако этот инструмент НЕ МОЖЕТ участвовать в лавинной рассылке протоколов или запросов ресурсов, как упоминалось выше.
Инструмент или служба безопасности, которые создают, определяют наличие или демонстрируют состояние DoS ЛЮБЫМ другим способом, фактическим или смоделированным, категорически запрещены.
Некоторые инструменты или службы включают фактические возможности DoS, как описано, либо скрыто/внутренне, если они используются ненадлежащим образом, либо в качестве явного теста/проверки или функции инструмента или службы. Любой инструмент или служба безопасности, которые имеют такую возможность DoS, должны иметь явную возможность ОТКЛЮЧИТЬ, СНЯТЬ С ОХРАНЫ или иным образом обезвредить эту возможность DoS. В противном случае этот инструмент или услуга НЕ могут быть использованы для ЛЮБОГО аспекта оценки безопасности.
Клиент AWS несет единоличную ответственность за: (1) обеспечение правильной настройки инструментов и сервисов, используемых для оценки безопасности, и их успешную работу таким образом, чтобы не выполнять DoS-атаки или их моделирование, и (2 ) самостоятельно подтвердить, что используемый инструмент или сервис не выполняет DoS-атак или их имитации, ДО оценки безопасности каких-либо активов AWS.