Технологии VPN на базе сетевых операционных систем.

Для формирования виртуальных защищенных туннелей в IP-сетях сетевая операционная система Windows NT использует протокол РРТР (Point-to-Point Transfer Protocol). Туннелирование информационных пакетов производится инкапсулированием и шифрованием (криптоалгоритм RSA RC4) стандартных блоков данных фиксированного формата (РРР Data Frames) в IP-дейтаграммы, которые и передаются в открытых IP-сетях. Данное решение является недорогим, и его можно эффективно использовать для формирования VPN-каналов внутри локальных сетей, домена Windows NT или для построения internet- и extranet-VPN для небольших компаний малого и среднего бизнеса с целью защиты некритичных приложений.

Технология VPN на базе маршрутизаторов. В России лидером на рынке VPN-продуктов является компания «Cisko Systems». Построение каналов VPN на базе маршрутизаторов Cisko осуществляется средствами операционной системы версии Cisko IOS 12.x. Для организации туннеля маршрутизаторы Cisko используют протокол L2TP канального уровня эталонной модели OSI, разработанный на базе «фирменных» протоколов Cisko L2F и Microsoft РРТР, и протокол сетевого уровня IPSec, созданный ассоциацией «Проблемная группа проектирования Internet (Internet Engineering Task Force — IETF). Эффективно применяется Cisko VPN Client, который предназначен для создания защищенных соединений Point-to Point между удаленными рабочими станциями и маршрутизаторами Cisko, что позволяет построит практически все виды VPN-соединений в сетях.

Технология VPN на базе межсетевых экранов. Эта технология считается наиболее сбалансированной и оптимальной с точки обеспечения комплексной безопасности КИС и ее защиты от атак из внешней открытой сети. В России нашел широкое применение программный продукт Check Point Firewall-1/VPN-l компании «Check Point Software Technologies». Это решение позволяет построить глубоко комплексную эшелонированную систему защиты КИС.

В состав продукта входят: Check Point Firewall-1, набор средств для формирования корпоративной виртуальной частной сети Check Point VPN-1, средства обнаружения атак и вторжений Real Secure, средства управления полосой пропускания информационных пакетов Flood Gate, средства VPN-1 Secure Remote, VPN-1 Appliance и VPN-1 Secure Client для построения Localnet/Intranet/ Internet/Extranet VPN-каналов. Весь набор продуктов Check Point VPN-1 построен на базе открытых стандартов IPSec, имеет развитую систему идентификации и аутентификации пользователей, взаимодействует с внешней системой распределения открытых ключей PKI, поддерживает централизованную систему управления и аудита.

На российском рынке можно указать два продукта, получивших достаточно широкую известность: криптографический комплекс «Шифратор IP-пакетов» производства[1] и ряд программных продуктов ЗАСТАВА компании «ЭЛВИС+»[2]. Самым быстрорастущим сегментом рынка систем информационной безопасности по исследованиям «ГОС», «Price Waterhouse Cooper» и «Gartner Group» являются системы блокировки корпоративных каналов связи. Быстрее всего растут продажи систем защиты от утечек внутренней информации (Intrusion Detection and Prevention — ГОР), которые позволяют контролировать трафик электронной почты и доступ к внешним internet-ресурсам.

Обеспечение интегральной безопасности информационных систем. Наряду с системной и функциональной интеграцией ИС в последнее время стала активно развиваться сфера интегральной информационной безопасности (Integral Information Safety —

IIS). Это такое состояние условий функционирования сотрудников, объектов, технических средств и систем, при котором они надежно защищены от всех возможных видов угроз в ходе непрерывного процесса подготовки, хранения, передачи и обработки информации.

Интегральная информационная безопасность (ИИБ) включает в себя следующие составляющие:

  • ? физическая безопасность — защита зданий, помещений, подвижных средств, людей, а также аппаратных средств, в том числе компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры;
  • ? безопасность сетей и телекоммуникационных устройств — защита каналов связи от воздействий любого рода;
  • ? безопасность системного и прикладного программного обеспечения — защита от вирусов, логических «мин», несанкционированного изменения конфигурации систем и программного кода;
  • ? безопасность данных — обеспечение конфиденциальности, целостности и доступности данных.

Задача обеспечения ИИБ появилась вместе с проблемой передачи и хранения информации. На современном этапе можно выделить три подхода к ее решению:

  • 1) частный — основывается на решении частных задач обеспечения информационной безопасности. Этот подход является малоэффективным, но достаточно часто используется, так как не требует больших финансовых и интеллектуальных затрат;
  • 2) комплексный — реализуется решением совокупности частных задач по единой программе. Этот подход в настоящее время применяется наиболее часто;
  • 3) интегральный — основан на объединении различных вычислительных подсистем ИС, подсистем связи, подсистем обеспечения безопасности в единую информационную систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных.

Третий подход направлен на достижение ИИБ, что предполагает обязательную непрерывность процесса обеспечения безопасности как во времени (в течение всей «жизни» ИС), так и в пространстве

(по всему технологическому циклу деятельности) с обязательным учетом всех возможных видов угроз (несанкционированный доступ, съём информации, терроризм, пожар, стихийные бедствия и т.п.). В какой бы форме ни применялся интегральный подход, он связан с решением ряда сложных разноплановых частных задач в их тесной взаимосвязи. Наиболее очевидными из них являются задачи разграничения доступа к информации, ее технического и криптографического «закрытия», устранение паразитных излучений технических средств, технической и физической укрепленное™ объектов, охраны и оснащения их тревожной сигнализацией.

Стандартный набор средств комплексной защиты информации в составе современной ИС обычно содержит следующие компоненты:

  • ? средства обеспечения надежного хранения информации с использованием технологии защиты на файловом уровне (File Encryption System — FES);
  • ? средства авторизации и разграничения доступа к ИР, а также защиты от несанкционированного доступа к информации с использованием систем биометрической авторизации и технологии токенов (смарт-карты, touch-memory, ключи для USB-портов и т.п.);
  • ? средства защиты от внешних угроз при подключении к общедоступным сетям связи (Internet), а также средства управления доступом из Internet с использованием технологии межсетевых экранов (Firewall) и содержательной фильтрации (Content Inspection);
  • ? средства защиты от вирусов с использованием специализированных комплексов антивирусной профилактики;
  • ? средства обеспечения конфиденциальности, целостности, доступности и подлинности информации, передаваемой по открытым каналам связи с использованием технологии VPN;
  • ? средства обеспечения активного исследования защищенности информационных ресурсов с использованием технологии обнаружения атак (Intrusion Detection);
  • ? средства обеспечения централизованного управления системой ИИБ в соответствии с согласованной и утвержденной «Политикой безопасности компании».

В зависимости от масштаба деятельности компании методы и средства обеспечения информационной безопасности могут различаться, но квалифицированный СЮ или специалист 1Т-службы скажет, что любая проблема в области информационной безопасности не решается односторонне — всегда требуется комплексный, интегральный подход. В тех компаниях, где руководство и специалисты всерьез задумались над тем, как обезопасить свой бизнес и избежать финансовых потерь, признано, что одними локальными мерами или радикальными «подручными» средствами уже не обойтись, а нужно применять именно комплексный подход.

  • [1] Режим доступа : www.security.ru.
  • [2] Режим доступа : www.elvis.ru.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >