Защита информации в компьютерных системах и сетях. Угрозы и уязвимости проводных корпоративных сетей Безопасность корпоративной сети

Сетевая и информационная безопасность

Обеспечение безопасности корпоративной сети

Высокая безопасность и соответствие нормативным требованиям являются обязательными условиями в проектах по развертыванию корпоративных сетей.

Для защиты собственных информационных ресурсов предприятия внедряют в инфраструктуру решения по обеспечению безопасности сети, гарантирующие безопасность сети и коммерческих данных на всех уровнях:

  • межсетевой экран
  • управляемые VPN сети
  • поиск и блокировка попыток вторжений в сеть
  • защита конечных точек обмена трафиком
  • корпоративная антивирусная система.

Безопасность подключений

Для сотрудников, находящихся в командировках или работающих из дома, услуга удаленного доступа к корпоративной сети стала рабочей необходимостью.

Все больше организаций разрешают партнерам осуществлять удаленный доступ к своим сетям с целью сокращения затрат на обслуживание систем. Поэтому защита конечных точек обмена трафиком - одна из самых важных задач обеспечения безопасности сети компании.

Места, где корпоративная сеть подключается к Интернету, являются периметром безопасности сети. В этих точках пересекается входящий и исходящий трафик. Трафик корпоративных пользователей выходит за границы сети, а интернет - запросы от внешних пользователей для получения доступа к веб-приложениям и приложениям электронной почты входят в сеть компании.

Из-за того, что в конечных точках выполняется постоянное подключение к Интернету, которое обычно разрешает прохождение внешнего трафика в корпоративную сеть, она является основной целью атак злоумышленников.

При построении корпоративной сети безопасности данных на границах сети в точках выхода в Интернет устанавливают межсетевые экраны. Эти устройства позволяют предотвратить и блокировать внешние угрозы при проведении терминации VPN туннелей (см. рис. 1).


Рис.1 Периметр безопасности корпоративной сети

Набор интегрированных решений для безопасных подключений от Cisco Systems обеспечивает конфиденциальность информации. В сети ведется экспертиза всех конечных точек и методов доступа во всех сетях компании: LAN, WAN и беспроводной мобильной сети

Обеспечивается полная доступность межсетевого экрана и сервисов VPN. Функции межсетевого экрана обеспечивают фильтрацию уровня приложений с сохранением состояния для входящего и исходящего трафика, защищенный исходящий доступ для пользователей и сеть DMZ для серверов, к которым необходимо осуществлять доступ из Интернета.

Системный интегратор ИЦ "Телеком-Сервис" строит сети корпоративной безопасности на базе многофункциональных устройств защиты Cisco Systems, Juniper Networks и Huawei Technologies, позволяющих сократить количество необходимых устройств в сети.

Комплексные решения по обеспечению безопасности корпоративной сети Cisco Systems, Juniper Networks и Huawei Technologies имеют ряд преимуществ, важных для эффективного бизнеса:

  • сокращение ИТ-бюджетов на эксплуатацию и обслуживание программно-аппаратного обеспечения
  • повышение гибкости сети
  • снижение затрат на внедрение
  • снижение общей стоимости владения
  • усиление контроля с помощью единого управления и введения политик безопасности
  • повышение прибыли и увеличение показателей эффективности предприятия
  • снижение угроз безопасности для сети и СХД
  • применение эффективных политик безопасности и правил на конечных узлах сети: ПК, КПК и серверах
  • сокращение сроков внедрения новых решений в области безопасности
  • эффективная профилактика сети от вторжений
  • интеграция с ПО других разработчиков в области безопасности и управления.
  • полномасштабное управление доступом к сети

Продукты по безопасности Cisco на всех уровнях сети

Безопасность конечных точек: Программа-агент безопасности Cisco Cisco Security Agent защищает компьютеры и серверы от атак червей.

Встроенные межсетевые экраны: модули PIX Security Appliance, Catalyst 6500 Firewall Services Module и набор функций межсетевого экрана (firewall) защищают сеть внутри и по периметру.

Защита от сетевых вторжений: Датчики IPS 4200 Series sensors, модули служб IDS Catalyst 6500 (IDSM-2) или IOS IPS идентифицируют, анализируют и блокируют злонамеренный нежелательный трафик.

Выявление и устранение атак DDoS: Детектор аномалий трафика Cisco Traffic Anomaly Detector XT и Guard XT обеспечивают нормальную работу в случае атак, прерывающих работу службы. Модули служб детектора аномалий трафика Cisco и Cisco Guard создают стойкую защиту от атак DdoS в коммутаторах серии Catalyst 6500 и маршрутизаторах серии 7600.

Безопасность контента: модуль устройства Access Router Content Engine module защищает бизнес-приложения, работающие с интернет, обеспечивает доставку веб-контента без ошибок.

Интеллектуальные службы администрирования сети и систем безопасности : в маршрутизаторах и коммутаторах Cisco находят и блокируют нежелательный трафик и приложения.

Менеджмент и мониторинг:

Продукты:

  • CiscoWorks VPN/Security Management Solution (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) - система управления информацией о состоянии безопасности
    • Встроенные менеджеры устройств: менеджер маршрутизаторов и устройств безопасности Cisco (SDM), менеджер устройств PIX(PDM), менеджер устройств адаптивной безопасности (ASDM) быстро и эффективно осуществляют отслеживание, ведут мониторинг служб безопасности и активности сети.

    Технология Network Admission Control (NAC) от Cisco

    Контроль доступа в сеть (Network Admission Control, NAC) – это набор технологий и решений, фундаментом которых служит общеотраслевая инициатива, реализуемая под патронажем Cisco Systems.

    NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети. Так снижается возможный ущерб в сети от угроз безопасности.

    Безопасный удаленный доступ к корпоративной VPN сотрудникам и партнерам многофункциональные устройства защиты обеспечивают с помощью протоколов SSL и IPsec VPN, встроенных блокировочных сервисов для предупреждения и предотвращения IPS вторжений.

    Self-Defending Network - стратегия самозащищающейся сети от Cisco

    Self-Defending Network является развивающейся стратегией будущего от Cisco. Технология позволяет защитить бизнес-процессы предприятия путем обнаружения и предотвращения атак, адаптации к внутренним и внешним угрозам сети.

    Предприятия могут эффективнее использовать интеллектуальные возможности сетевых ресурсов, оптимизировать бизнес-процессы и сократить расходы.

    Пакет управления безопасностью Cisco

    Пакет управления безопасностью Cisco представляет собой набор продуктов и технологий, разработанных для масштабируемого администрирования и усиления политик безопасности для само защищающейся сети Cisco.

    Интегрированный продукт Cisco позволяет автоматизировать задачи управления безопасностью с помощью ключевых компонентов: менеджера управления и Cisco Security MARS - системы мониторинга, анализа и реагирования.

    Менеджер управления системой безопасности Cisco имеет простой интерфейс для настройки межсетевого экрана, VPN и системы защиты от вторжений (IPS) на устройствах безопасности, межсетевых экранах, маршрутизаторах и коммутаторах Cisco.

    Информационные системы, в которых средства передачи данных принадлежат одной компания, используются только для нужд этой компании, принято называть сеть масштаба предприятия корпоративная компьютерная сеть (КС). КС-это внутренняя частная сеть организации, объединяющая вычислительные, коммуникационные и информационные ресурсы этой организации и предназначенная для передачи электронных данных, в качестве которых может выступать любая информация Тем самым основываясь на вышесказанное можно сказать, что внутри КС определена специальная политика, описывающая используемые аппаратные и программные средства, правила получения пользователей к сетевым ресурсам, правила управления сетью, контроль использования ресурсов и дальнейшее развитие сети. Корпоративная сеть представляет собой сеть отдельной организации .

    Несколько схожее определение можно сформулировать исходя из концепции корпоративной сети приведенной в труде Олифера В.Г. и Олифера Н.Д. “Компьютерные сети: принципы, технологии, протоколы”: любая организация - это совокупность взаимодействующих элементов (подразделений), каждый из которых может иметь свою структуру. Элементы связаны между собой функционально, т.е. они выполняют отдельные виды работ в рамках единого бизнес процесса, а также информационно, обмениваясь документами, факсами, письменными и устными распоряжениями и т.д . Кроме того, эти элементы взаимодействуют с внешними системами, причем их взаимодействие также может быть как информационным, так и функциональным. И эта ситуация справедлива практически для всех организаций, каким бы видом деятельности они не занимались - для правительственного учреждения, банка, промышленного предприятия, коммерческой фирмы и т.д.

    Такой общий взгляд на организацию позволяет сформулировать некоторые общие принципы построения корпоративных информационных систем, т.е. информационных систем в масштабе всей организации.

    Корпоративная сеть - система, обеспечивающая передачу информации между различными приложениями, используемыми в системе корпорации . Корпоративной сетью считается любая сеть, работающая по протоколу TCP/IP и использующая коммуникационные стандарты Интернета, а также сервисные приложения, обеспечивающие доставку данных пользователям сети. Например, предприятие может создать сервер Web для публикации объявлений, производственных графиков и других служебных документов. Служащие осуществляют доступ к необходимым документам с помощью средств просмотра Web.

    Серверы Web корпоративной сети могут обеспечить пользователям услуги, аналогичные услугам Интернета, например работу с гипертекстовыми страницами (содержащими текст, гиперссылки, графические изображения и звукозаписи), предоставление необходимых ресурсов по запросам клиентов Web, а также осуществление доступа к базам данных. В этом руководстве все службы публикации называются “службами Интернета” независимо от того, где они используются (в Интернете или корпоративной сети).

    Корпоративная сеть, как правило, является территориально распределенной, т.е. объединяющей офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга. Принципы, по которым строится корпоративная сеть, достаточно сильно отличаются от тех, что используются при создании локальной сети. Это ограничение является принципиальным, и при проектировании корпоративной сети следует предпринимать все меры для минимизации объемов передаваемых данных. В остальном же корпоративная сеть не должна вносить ограничений на то, какие именно приложения и каким образом обрабатывают переносимую по ней информацию. Характерной особенностью такой сети является то, что в ней функционируют оборудование самых разных производителей и поколений, а также неоднородное программное обеспечение, не ориентированное изначально на совместную обработку данных .

    Для подключения удаленных пользователей к корпоративной сети самым простым и доступным вариантом является использование телефонной связи. Там, где это, возможно, могут использоваться сети ISDN. Для объединения узлов сети в большинстве случаев используются глобальные сети передачи данных. Даже там, где возможна прокладка выделенных линий (например, в пределах одного города) использование технологий пакетной коммутации позволяет уменьшить количество необходимых каналов связи и - что немаловажно - обеспечить совместимость системы с существующими глобальными сетями.

    Подключение корпоративной сети к Internet оправдано, если вам нужен доступ к соответствующим услугам. Во многих работах бытует мнение по поводу подключения к Internet-у: Использовать Internet как среду передачи данных стоит только тогда, когда другие способы недоступны и финансовые соображения перевешивают требования надежности и безопасности. Если вы будете использовать Internet только в качестве источника информации, лучше пользоваться технологией "соединение по запросу" (dial-on-demand), т.е. таким способом подключения, когда соединение с узлом Internet устанавливается только по вашей инициативе и на нужное вам время. Это резко снижает риск несанкционированного проникновения в вашу сеть извне .

    Для передачи данных внутри корпоративной сети также стоит использовать виртуальные каналы сетей пакетной коммутации. Основные достоинства такого подхода - универсальность, гибкость, безопасность

    В результате изучения структуры информационных сетей (ИС) и технологии обработки данных разрабатывается концепция информационной безопасности ИС. В концепции находят отражение следующие основные моменты:

    • 1) Организация сети организации
    • 2) существующие угрозы безопасности информации, возможности их реализации и предполагаемый ущерб от этой реализации;
    • 3) организация хранения информации в ИС;
    • 4) организация обработки информации;
    • 5) регламентация допуска персонала к той или иной информации;
    • 6) ответственность персонала за обеспечение безопасности.

    Развивая эту тему, на основе концепции информационной безопасности ИС, приведенной выше, предлагается схема безопасности, структура которой должна удовлетворять следующие условия:

    Защита от несанкционированного проникновения в корпоративную сеть и возможности утечки информации по каналам связи .

    Разграничение потоков информации между сегментами сети.

    Защита критичных ресурсов сети.

    Криптографическая защита информационных ресурсов.

    Для подробного рассмотрения вышеприведенных условий безопасности целесообразно привести мнение: для защиты от несанкционированного проникновения и утечки информации предлагается использование межсетевых экранов или брандмауэров. Фактически брандмауэр - это шлюз, который выполняет функции защиты сети от несанкционированного доступа из вне (например, из другой сети).

    Различают три типа брандмауэров:

    Шлюз уровня приложений Шлюз уровня приложений часто называют прокси - сервером (proxy server) - выполняет функции ретранслятора данных для ограниченного числа приложений пользователя. То есть, если в шлюзе не организована поддержка того или иного приложения, то соответствующий сервис не предоставляется, и данные соответствующего типа не могут пройти через брандмауэр.

    Фильтрирующий маршрутизатор. Фильтрующий маршрутизатор. Точнее это маршрутизатор, в дополнительные функции которого входит фильтрование пакетов (packet-filtering router). Используется на сетях с коммутацией пакетов в режиме дейтаграмм. То есть, в тех технологиях передачи информации на сетях связи, в которых плоскость сигнализации (предварительного установления соединения между УИ и УП) отсутствует (например, IP V 4). В данном случае принятие решения о передаче по сети поступившего пакета данных основывается на значениях его полей заголовка транспортного уровня. Поэтому брандмауэры такого типа обычно реализуются в виде списка правил, применяемых к значениям полей заголовка транспортного уровня.

    Шлюз уровня коммутации. Шлюз уровня коммутации - защита реализуется в плоскости управления (на уровне сигнализации) путем разрешения или запрета тех или иных соединений.

    Особое место отводится криптографической защите информационных ресурсов в корпоративных сетях. Так как шифрование является одним из самых надежных способов защиты данных от несанкционированного ознакомления. Особенностью применения криптографических средств является жесткая законодательная регламентация. В настоящее время в корпоративных сетях они устанавливаются только на тех рабочих местах, где хранится информация, имеющая очень высокую степень важности.

    Так согласно классификации средств криптографической защиты информационных ресурсов в корпоративных сетях они делятся на:

    Криптосистемы с одним ключом, их часто называют традиционной, симметричной или с одним ключом. Пользователь создает открытое сообщение, элементами которого являются символы конечного алфавита. Для шифрования открытого сообщения генерируется ключ шифрования. С помощью алгоритма шифрования формируется шифрованное сообщение

    Приведенная модель предусматривает, что ключ шифрования генерируется там же, где само сообщение. Однако, возможно и другое решение создания ключа - ключ шифрования создается третьей стороной (центром распределения ключей), которой доверяют оба пользователя. В данном случае за доставку ключа обоим пользователям ответственность несет третья сторона. Вообще говоря, данное решение противоречит самой сущности криптографии - обеспечение секретности передаваемой информации пользователей.

    Криптосистемы с одним ключом используют принципы подстановки (замены), перестановки (транспозиции) и композиции. При подстановке отдельные символы открытого сообщения заменяются другими символами. Шифрование с применением принципа перестановки подразумевает изменение порядка следования символов в открытом сообщении. С целью повышения надежности шифрования шифрованное сообщение, полученное применением некоторого шифра, может быть еще раз зашифровано с помощью другого шифра. Говорят, что в данном случае применен композиционный подход. Следовательно, симметричные криптосистемы (с одним ключом) можно классифицировать на системы, которые используют шифры подстановки, перестановки и композиции.

    Криптосистема с открытым ключом. Она имеет место только еесли пользователи при шифровании и дешифровании используют разные ключи KО и KЗ. Эту криптосистему называют асимметричной, с двумя ключами или с открытым ключом.

    Получатель сообщения (пользователь 2) генерирует связанную пару ключей:

    KО - открытый ключ, который публично доступен и, таким образом, оказывается доступным отправителю сообщения (пользователь 1);

    KС - секретный, личный ключ, который остается известным только получателю сообщения (пользователь 1).

    Пользователь 1, имея ключ шифрования KО, с помощью определенного алгоритма шифрования формирует шифрованный текст.

    Пользователь 2, владея секретным ключом Kс, имеет возможность выполнить обратное действие.

    В этом случае пользователь 1 готовит сообщение пользователю 2 и перед отправлением шифрует это сообщение с помощью личного ключа KС. Пользователь 2 может дешифрировать это сообщение, используя открытый ключ KО. Так как, сообщение было зашифровано личным ключом отправителя, то оно может выступать в качестве цифровой подписи. Кроме того, в данном случае невозможно изменить сообщение без доступа к личному ключу пользователя 1, поэтому сообщение решает так же задачи идентификации отправителя и целостности данных.

    Напоследок хотелось бы сказать, что посредством установки криптографических средств защиты можно достаточно надежно защитить рабочее место сотрудника организации, который непосредственно работает с информацией, имеющей особое значение для существования этой организации, от несанкционированного доступа.

    Идентификация / аутентификация (ИА) операторов должна вы­полняться аппаратно до этапа загрузки ОС. Базы данных ИА долж­ны храниться в энергонезависимой памяти систем защиты инфор­мации (СЗИ), организованной так, чтобы доступ к ней средствами ПК был невозможен, т.е. энергонезависимая память должна быть размещена вне адресного пространства ПК.

    Идентификация / аутентификация удаленных пользователей, как и в предыдущем случае, требует аппаратной реализации. Аутенти­фикация возможна различными способами, включая электронную цифровую подпись (ЭЦП). Обязательным становится требование «усиленной аутентификации», т.е. периодического повторения про­цедуры в процессе работы через интервалы времени, достаточно малые для того, чтобы при преодолении защиты злоумышленник не мог нанести ощутимого ущерба.

    2. Защита технических средств от НСД

    Средства защиты компьютеров от НСД можно разделить на электронные замки (ЭЗ) и аппаратные модули доверенной загрузки (АМДЗ). Основное их отличие - способ реализации контроля це­лостности. Электронные замки аппаратно выполняют процедуры И/А пользователя, используют внешнее ПО для выполнения про­цедур контроля целостности. АМДЗ аппаратно реализуют как функ­ции ЭЗ, так и функции контроля целостности и функции админи­стрирования.

    Контроль целостности технического состава ПК и ЛВС. Кон­троль целостности технического состава ПЭВМ должен выполняться контроллером СЗИ до загрузки ОС. При этом должны контролиро­ваться все ресурсы, которые (потенциально) могут использоваться совместно, в том числе центральный процессор, системный BIOS, гибкие диски, жесткие диски и CD-ROM.

    Целостность технического состава ЛВС должна обеспечиваться процедурой усиленной аутентификации сети. Процедура должна выполняться на этапе подключения проверенных ПК к сети и далее через заранее определенные администратором безопасности интер­валы времени.

    Контроль целостности ОС, т.е. контроль целостности системных областей и файлов ОС должен выполняться контроллером до загруз­ки ОС для обеспечения чтения реальных данных. Так как в элек­тронном документообороте могут использоваться различные ОС, то встроенное в контроллер ПО должно обеспечивать обслуживание наиболее популярных файловых систем.

    Контроль целостности прикладного программного обеспечения (ППО) и данных может выполняться как аппаратным, так и программным компонентом СЗИ.

    3. Разграничение доступа к документам, ресурсам ПК и сети

    Современные операционные системы все чаще содержат встро­енные средства разграничения доступа. Как правило, эти средства используют особенности конкретной файловой системы (ФС) и ос­нованы на атрибутах, связанных с одним из уровней API операци­онной системы. При этом неизбежно возникают следующие две проблемы.


    Привязка к особенностям файловой системы. В современных опе­рационных сйстемах, как правило, используются не одна, а несколь­ко ФС - как новые, так и устаревшие. Обычно на новой ФС встро­енное в ОС разграничение доступа работает, а на старой - может и не работать, так как использует существенные отличия новой ФС.

    Это обстоятельство обычно прямо не оговаривается в сертификате, что может ввести пользователя в заблуждение. Именно с целью обеспечения совместимости старые ФС в этом случае включаются в состав новых ОС.

    Привязка к API операционной системы. Как правило, операцион­ные системы меняются сейчас очень быстро - раз в год-полтора. Не исключено, что будут меняться еще чаще. Если при этом атри­буты разграничения доступа отражают состав API, с переходом на современную версию ОС будет необходимо переделывать настройки системы безопасности, проводить переобучение персонала и т.д.

    Таким образом, можно сформулировать общее требование - подсистема разграничения доступа должна быть наложенной на операционную систему и тем самым быть независимой от файловой системы. Разумеется, состав атрибутов должен быть достаточен для целей описания политики безопасности, причем описание должно осуществляться не в терминах API ОС, а в терминах, в которых привычно работать администраторам безопасности системы.

    4. Защита электронных документов

    Защита электронного обмена информацией включает два класса задач:

    Обеспечение эквивалентности документа в течение его жиз­ненного цикла исходному ЭлД-эталону;

    Обеспечение эквивалентности примененных электронных тех­нологий эталонным.

    Назначение любой защиты - обеспечение стабильности задан­ных свойств защищаемого объекта во всех точках жизненного цик­ла. Защищенность объекта реализуется сопоставлением эталона (объекта в исходной точке пространства и времени) и результата (объекта в момент наблюдения). Например, в случае, если в точке наблюдения (получения ЭлД) имеется только весьма ограниченная контекстная информация об эталоне (содержании исходного ЭлД), но зато имеется полная информация о результате (наблюдаемом до­кументе), то это означает, что ЭлД должен включать в свой состав атрибуты, удостоверяющие соблюдение технических и технологиче­ских требований, а именно - неизменность сообщения на всех этапах изготовления и транспортировки документа. Одним из вари­антов атрибутов могут быть защитные коды аутентификации (ЗКА).

    Защита документа при его создании. При создании документа должен аппаратно вырабатываться защитный код аутентификации. Запись копии электронного документа на внешние носители до вы­работки ЗКА должна быть исключена. Если ЭлД формируется опе­ратором, то ЗКА должен быть привязан к оператору. Если ЭлД по­рождается программным компонентом АС, то ЗКА должен выраба­тываться с привязкой к данному программному компоненту.

    Защита документа при его передаче. Защита документа при его передаче по внешним (открытым) каналам связи должна выпол­няться на основе применения сертифицированных криптографиче­ских средств, в том числе с использованием электронно-цифровой подписи (ЭЦП) для каждого передаваемого документа. Возможен и другой вариант - с помощью ЭЦП подписывается пачка докумен­тов, а каждый отдельный документ заверяется другим аналогом собственноручной подписи (АСП), например ЗКА.

    Защита документа при его обработке, хранении и исполнении. На этих этапах защита документа осуществляется применением двух ЗКА - входного и выходного для каждого этапа. При этом ЗКА должны вырабатываться аппаратно с привязкой ЗКА к процедуре обработки (этапу информационной технологии). Для поступившего документа (с ЗКА и ЭЦП) вырабатывается второй ЗКА и только за­тем снимается ЭЦП.

    Защита документа при доступе к нему из внешней среды. Защита документа при доступе к нему из внешней среды включает два уже описанных механизма - идентификация/аутентификация удален­ных пользователей и разграничение доступа к документам, ресурсам ПК и сети.

    5. Защита данных в каналах связи

    Традиционно для защиты данных в канале связи применяют канальные шифраторы и передаются не только данные, но и управ­ляющие сигналы.

    6. Защита информационных технологий

    Несмотря на известное сходство, механизмы защиты собственно ЭлД как объекта (число, данные) и защита ЭлД как процесса (функция, вычислительная среда) радикально отличаются. При за­щите информационной технологии в отличие от защиты ЭлД досто­верно известны характеристики требуемой технологии-эталона, но имеются ограниченные сведения о выполнении этих требований фактически использованной технологией, т.е. результате. Единст­венным объектом, который может нести информацию о фактиче­ской технологии (как последовательности операций), является соб­ственно ЭлД, а точнее входящие в него атрибуты. Как и ранее, од­ним из видов этих атрибутов могут быть ЗКА. Эквивалентность технологий может быть установлена тем точнее, чем большее коли­чество функциональных операций привязывается к сообщению че­рез ЗКА. Механизмы при этом не отличаются от применяемых при защите ЭлД. Более того, можно считать, что наличие конкретного ЗКА характеризует наличие в технологическом процессе соответст­вующей операции, а значение ЗКА характеризует целостность со­общения на данном этапе технологического процесса.

    7. Разграничение доступа к потокам данных

    Для целей разграничения доступа к потокам данных применя­ются, как правило, маршрутизаторы, которые используют крипто­графические средства защиты. В таких случаях особое внимание уделяется ключевой системе и надежности хранения ключей. Требо­вания к доступу при разграничении потоков отличаются от таковых при разграничении доступа к файлам и каталогам. Здесь возможен только простейший механизм - доступ разрешен или запрещен.

    Выполнение перечисленных требований обеспечивает достаточ­ный уровень защищенности электронных документов как важнейше­го вида сообщений, обрабатываемых в информационных системах.

    В качестве технических средств защиты информации в настоя­щее время разработан аппаратный модуль доверенной загрузки (АМДЗ), обеспечивающий загрузку ОС вне зависимости от ее типа для пользователя, аутентифицированного защитным механизмом. Результаты разработки СЗИ НСД «Аккорд» (разработчик ОКБ САПР) серийно выпускаются и являются на сегодня самым извест­ным в России средством защиты компьютеров от несанкциониро­ванного доступа. При разработке была использована специфика прикладной области, отраженная в семействе аппаратных средств защиты информации в электронном документообороте, которые на различных уровнях используют коды аутентификации (КА). Рас­смотрим примеры использования аппаратных средств.

    1. В контрольно-кассовых машинах (ККМ) КА используются как средства аутентификации чеков как одного из видов ЭлД. Каждая ККМ должна быть снабжена блоком интеллектуальной фискальной памяти (ФП), которая кроме функций накопления данных об ито­гах продаж выполняет еще ряд функций:

    Обеспечивает защиту ПО ККМ и данных от НСД;

    Вырабатывает коды аутентификации как ККМ, так и каждого чека;

    Поддерживает типовой интерфейс взаимодействия с модулем налогового инспектора;

    Обеспечивает съем фискальных данных для представления в налоговую инспекцию одновременно с балансом.

    Разработанный блок ФП «Аккорд-ФП» выполнен на основе СЗИ «Аккорд». Он характеризуется следующими особенностями:

    Функции СЗИ НСД интегрированы с функциями ФП;

    В составе блока ФП выполнены также энергонезависимые ре­гистры ККМ;

    Процедуры модуля налогового инспектора так же интегриро­ваны, как неотъемлемая часть в состав блока «Аккорд-ФП».

    2. В системе контроля целостности и подтверждения достоверно­сти электронных документов (СКЦПД) в автоматизированной сис­теме федерального или регионального уровня принципиальным отли­чием является возможность защиты каждого отдельного документа. Эта система позволила обеспечить контроль, не увеличивая значи­тельно трафик. Основой для создания такой системы стал контрол­лер «Аккорд-С Б/КА» - высокопроизводительный сопроцессор безопасности, реализующий функции выработки/проверки кодов аутентификации.

    Обеспечивает управление деятельностью СКЦПД в целом ре­гиональный информационно-вычислительный центр (РИВЦ), взаимодействуя при этом со всеми АРМ КА - АРМ операторов- участников, оснащенными программно-аппаратными комплексами «Аккорд-СБ/КА» (А-СБ/КА) и программными средствами СКЦПД. В состав РИВЦ должно входить два автоматизированных рабочих места - АРМ-К для изготовления ключей, АРМ-Р для подготовки рассыпки проверочных данных.

    3. Применение кодов аутентификации в подсистемах технологиче­ской защиты информации ЭлД. Основой для реализации аппаратных средств защиты информации может служить «Аккорд СБ» и «Ак­корд АМДЗ» (в части средств защиты от несанкционированного доступа). Для защиты технологий используются коды аутентифика­ции. Коды аутентификации электронных документов в подсистеме технологической защиты информации формируются и проверяются на серверах кода аутентификации (СКА) с помощью ключевых таб­лиц (таблиц достоверности), хранящихся во внутренней памяти ус­тановленных в СКА сопроцессоров «Аккорд-СБ». Таблицы досто­верности, закрытые на ключах доставки, доставляются на СКА и загружаются во внутреннюю память сопроцессоров, где и происхо­дит их раскрытие. Ключи доставки формируются и регистрируются на специализированном автоматизированном рабочем месте АРМ-К и загружаются в сопроцессоры на начальном этапе в процессе их персонализации.

    Опыт широкомасштабного практического применения более 100 ООО модулей аппаратных средств защиты типа «Аккорд» в ком­пьютерных системах различных организаций России и стран ближне­го зарубежья показывает, что ориентация на программно-аппаратное решение выбрано правильно, так как оно имеет большие возмож­ности для дальнейшего развития и совершенствования.

    Выводы

    Недооценка проблем, связанных с безопасностью информации, может приводить к огромному ущербу.

    Рост компьютерной преступности вынуждает заботиться об ин­формационной безопасности.

    Эксплуатация в российской практике однотипных массовых про­граммно-технических средств (например, IBM-совместимые пер­сональные компьютеры; операционные системы - Window, Unix, MS DOS, Netware и т.д.) создает в определенной мере условия для злоумышленников.

    Стратегия построения системы защиты информации должна опираться на комплексные решения, на интеграцию информаци­онных технологий и систем защиты, на использование передовых методик и средств, на универсальные технологии защиты инфор­мации промышленного типа.

    Вопросы для самоконтроля

    1. Назовите виды угроз информации, дайте определение угрозы.

    2. Какие существуют способы защиты информации?

    3. Охарактеризуйте управление доступом как способ защиты ин­формации. Каковы его роль и значение?

    4. В чем состоит назначение криптографических методов защиты информации? Перечислите их.

    5. Дайте понятие аутентификации и цифровой подписи. В чем их сущность?

    6. Обсудите проблемы защиты информации в сетях и возможности их разрешения.

    7. Раскройте особенности стратегии защиты информации с исполь­зованием системного подхода, комплексных решений и принци­па интеграции в информационных технологиях.

    8. Перечислите этапы создания систем защиты информации.

    9. Какие мероприятия необходимы для реализации технической защиты технологий электронного документооборота?

    10. В чем заключается суть мультипликативного подхода?

    11. Какие процедуры необходимо выполнить, чтобы защитить сис­тему электронного документооборота?

    12. Какие функции выполняет сетевой экран?

    Тесты к гл. 5

    Вставьте недостающие понятия и словосочетания.

    1. События или действия, которые могут привести к несанкциони­рованному использованию, искажению или разрушению информации, называются...

    2. Среди угроз безопасности информации следует выделить два вида: ...

    3. Перечисленные виды противодействия угрозам безопасности ин­формации: препятствие, управление доступом, шифрование, регламента­ция, принуждение и побуждение относятся к... обеспечения безопас­ности информации.

    4. Следующие способы противодействия угрозам безопасности: фи­зические, аппаратные, программные, организационные, законодатель­ные, морально-этические, физические относятся к... обеспечения без­опасности информации.


    5. Криптографические методы защиты информации основаны на ее...

    6. Присвоение пользователю уникального обозначения для подтвер­ждения его соответствия называется...

    7. Установление подлинности пользователя для проверки его соот­ветствия называется...

    8. Наибольшая угроза для корпоративных сетей связана:

    а) с разнородностью информационных ресурсов и технологий;

    б) с программно-техническим обеспечением;

    в) со сбоями оборудования. Выберите правильные ответы.

    9. Рациональный уровень информационной безопасности в корпо­ративных сетях в первую очередь выбирается исходя из соображений:

    а) конкретизации методов защиты;

    б) экономической целесообразности;

    в) стратегии защиты.

    10. Резидентная программа, постоянно находящаяся в памяти компью­тера и контролирующая операции, связанные с изменением информации на магнитных дисках, называется:

    а) детектором;

    в) сторожем;

    г) ревизором.

    11. Антивирусные средства предназначены:

    а) для тестирования системы;

    б) для защиты программы от вируса;

    в) для проверки программ на наличие вируса и их лечение;

    г) для мониторинга системы.

    На начальном этапе развития сетевых технологий ущерб от вирусных и других типов компьютерных атак был невелик, так как зависимость мировой экономики от информационных технологий была мала. В настоящее время в условиях значительной зависимости бизнеса от электронных средств доступа и обмена информацией и постоянно растущего числа атак ущерб от самых незначительных атак, приводящих к потерям машинного времени, исчисляется миллионами долларов, а совокупный годовой ущерб мировой экономике составляет десятки миллиардов долларов .

    Информация, обрабатываемая в корпоративных сетях, является особенно уязвимой, чему способствуют:

    • увеличение объемов обрабатываемой, передаваемой и хранимой в компьютерах информации;
    • сосредоточение в базах данных информации различного уровня важности и конфиденциальности;
    • расширение доступа круга пользователей к информации, хранящейся в базах данных, и к ресурсам вычислительной сети;
    • увеличение числа удаленных рабочих мест;
    • широкое использование глобальной сети Internet и различных каналов связи;
    • автоматизация обмена информацией между компьютерами пользователей.

    Анализ наиболее распространенных угроз, которым подвержены современные проводные корпоративные сети, показывает, что источники угроз могут изменяться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Необходимо учитывать, что источники угроз безопасности могут находиться как внутри КИС - внутренние источники, так и вне ее - внешние источники. Такое деление вполне оправдано потому, что для одной и той же угрозы (например кражи) методы противодействия для внешних и внутренних источников различны. Знание возможных угроз, а также уязвимых мест КИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.

    Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов и системных администраторов, обслуживающих КИС. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибка в программе, вызвавшая остановку или разрушение системы), а иногда создают слабые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования) .

    Согласно данным Национального института стандартов и технологий США (NIST), 55 % случаев нарушения безопасности ИС - следствие непреднамеренных ошибок. Работа в глобальной И С делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно. На рис. 2.4 приведена круговая диаграмма, иллюстрирующая статистические данные по источникам нарушений безопасности в КИС.

    На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.

    Нечестные

    Атаки извне

    Обиженные

    Ошибки пользователей и персонала

    4 % Вирусы

    Рис. 2.4. Источники нарушений безопасности

    сотрудники

    Проблемы

    физической

    безопасности

    Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому при увольнении сотрудника его права доступа к информационным ресурсам должны аннулироваться.

    Преднамеренные попытки получения НСД через внешние коммуникации занимают около 10 % всех возможных нарушений. Хотя эта величина кажется не столь значительной, опыт работы в 1п1егпе1 показывает, что почти каждый 1п1егпе1-сервер по нескольку раз в день подвергается попыткам проникновения. Тесты Агентства защиты информационных систем (США) показали, что 88 % компьютеров имеют слабые места с точки зрения информационной безопасности, которые могут активно использоваться для получения НСД. Отдельно следует рассматривать случаи удаленного доступа к информационным структурам организации.

    До построения политики безопасности необходимо оценить риски, которым подвергается компьютерная среда организации и предпринять соответствующие действия. Очевидно, что затраты организации на контроль и предотвращение угроз безопасности не должны превышать ожидаемых потерь.

    Приведенные статистические данные могут подсказать администрации и персоналу организации, куда следует направить усилия для эффективного снижения угроз безопасности корпоративной сети и системы. Конечно, нужно заниматься проблемами физической безопасности и мерами по снижению негативного воздействия на безопасность ошибок человека, но в то же время необходимо уделять самое серьезное внимание решению задач сетевой безопасности по предотвращению атак на корпоративную сеть и систему как извне, так и изнутри системы.

    Именно такой результат дал опрос более 1000 руководителей IT-подразделений крупных и средних европейских компаний, проведенный по заказу корпорации Intel. Целью опроса было желание определить проблему, которая в большей степени волнует специалистов отрасли. Ответ был вполне ожидаемый, более половины респондентов назвали проблему сетевой безопасности, проблему, требующей незамедлительного решения. Так же вполне ожидаемым можно назвать и другие результаты опроса. Например, фактор сетевой безопасности лидирует среди других проблем в области информационных технологий; степень его важности возросла на 15% по сравнению с ситуацией, существовавшей пять лет тому назад .
    По результатам опроса, свыше 30% своего времени высококвалифицированные IT-специалисты тратят на решение как раз именно вопросов обеспечения безопасности . Ситуация, сложившаяся в крупных компаниях (со штатом свыше 500 сотрудников), еще более тревожна - около четверти респондентов тратят половину своего времени на решение этих вопросов.

    Баланс угроз и защиты

    Увы, но проблематика сетевой безопасности неразрывно связана с основополагающими технологиями, используемыми в современных телекоммуникациях. Так уж случилось, что при разработке семейства IP-протоколов приоритет был отдан надежности функционирования сети в целом. Во времена появления этих протоколов сетевая безопасность обеспечивалась совершенно другими способами, которые просто нереально использовать в условиях Глобальной сети. Можно громко сетовать на недальновидность разработчиков, но кардинально изменить ситуацию практически невозможно. Сейчас просто надо уметь защищаться от потенциальных угроз .
    Главным принципом в этом умении должен быть баланс между потенциальными угрозами для сетевой безопасности и уровнем необходимой защиты . Должна быть обеспечена соизмеримость между затратами на безопасность и стоимостью возможного ущерба от реализованных угроз.
    Для современного крупного и среднего предприятия информационные и телекоммуникационные технологии стали основой ведения бизнеса. Поэтому они оказались наиболее чувствительны к воздействию угроз. Чем масштабнее и сложнее сеть, тем больших усилий требует ее защита. При этом стоимость создания угроз на порядки меньше затрат на их нейтрализацию. Такое положение дел заставляет компании тщательно взвешивать последствия возможных рисков от различных угроз и выбирать соответствующие способы защиты от наиболее опасных.
    В настоящее время наибольшие угрозы для корпоративной инфраструктуры представляют действия связанные с несанкционированным доступом к внутренним ресурсам и с блокированием нормальной работы сети. Существует довольно большое число таких угроз, но в основе каждой из них лежит совокупность технических и человеческих факторов. Например, проникновение вредоносной программы в корпоративную сеть может произойти не только вследствие пренебрежения со стороны администратора сети правилами безопасности, но также в силу излишнего любопытства сотрудника компании, решившего воспользоваться заманчивой ссылкой из почтового спама. Поэтому не стоит надеяться, что даже самые лучшие технические решения в области безопасности станут панацеей от всех бед.

    Решения класса UTM

    Безопасность всегда является относительным понятием. Если ее слишком много, то заметно усложняется пользование самой системой, которую мы собираемся защитить. Поэтому разумный компромисс становится первоочередным выбором в деле обеспечения сетевой безопасности. Для средних предприятий по российским меркам такой выбор вполне могут помочь сделать решения класса UTM (Unified Threat Management или United Threat Management) , позиционируемы как многофункциональные устройства сетевой и информационной безопасности. По своей сути эти решения представляют собой программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана (firewall), системы обнаружения и предотвращения вторжений в сеть (IPS), а также функции антивирусного шлюза (AV). Часто на эти комплексы возлагается решение дополнительных задач, например маршрутизации, коммутации или поддержки VPN сетей.
    Зачастую поставщики решений UTM предлагают использовать их в малом бизнесе. Возможно, такой подход отчасти оправдан. Но все же малому бизнесу в нашей стране и проще, и дешевле воспользоваться сервисом безопасности от своего интернет-провайдера.
    Как любое универсальное решение оборудование UTM имеет свои плюсы и минусы . К первым можно отнести экономию средств и времени на внедрение по сравнению с организацией защиты аналогичного уровня из отдельных устройств безопасности. Так же UTM представляет собой предварительно сбалансированное и протестированное решение, которое вполне может решить широкий круг задач по обеспечению безопасности. Наконец, решения этого класса не столь требовательны к уровню квалификации технического персонала. С их настройкой, управлением и обслуживанием вполне может справиться любой специалист.
    Основным минусом UTM является факт, что любая функциональность универсального решения зачастую менее эффективна, чем аналогичная функциональность специализированного решения. Именно поэтому когда требуется высокая производительность или высокая степень защищенности специалисты по безопасности предпочитают использовать решения на основе интеграции отдельных продуктов.
    Однако, несмотря на этот минус решения UTM становятся востребованными многими организациями, сильно отличающимися по масштабу и роду деятельности. По данным компании Rainbow Technologies, такие решения были успешно внедрены, например, для защиты сервера одного из Интернет магазинов бытовой техники, который подвергался регулярным DDoS-атакам. Так же решение UTM позволило заметно сократить объем спама в почтовой системе одного из автомобильных холдингов. Помимо решения локальных задач, есть опыт построения систем безопасности на базе решений UTM для распределенной сети, охватывающей центральный офис пивоваренной компании и ее филиалы.

    Производители UTM и их продукты

    Российский рынок оборудования класса UTM сформирован только предложениями зарубежных производителей. К сожалению, никто из отечественных производителей пока не смог предложить собственных решений в данном классе оборудования. Исключение составляет программное решение Eset NOD32 Firewall, которое по сообщению компании было создано российскими разработчиками.
    Как уже отмечалось, на российском рынке решения UTM могут быть интересны главным образом средними компаниями, в корпоративной сети которых насчитывается до 100-150 рабочих мест. При отборе оборудования UTM для представления в обзоре главным критерием выбора стала его производительность в различных режимах работы, которая смогла бы обеспечить комфортную работы пользователей. Часто производители указывают характеристики производительности для режимов Firewall, предотвращения вторжения IPS и защиты от вирусов AV.

    Решение компании Check Point носит название UTM-1 Edge и представляет собой унифицированное устройство защиты, объединяющее межсетевой экран, систему предотвращения вторжений, антивирусный шлюз, а так же средства построения VPN и удаленного доступа. Входящий в решение firewall контролирует работу с большим числом приложений, протоколов и сервисов, а так же имеет механизм блокировки трафика, явно не вписывающегося в категорию бизнес-приложений. Например, трафика систем мгновенных сообщений (IM) и одноранговых сетей (P2P). Антивирусный шлюз позволяет отслеживать вредоносный код в сообщениях электронной почты, трафика FTP и HTTP. При этом нет ограничений на объем файлов и осуществляется декомпрессия архивных файлов "на лету".
    Решение UTM-1 Edge обладает развитыми возможностями работы в VPN сетях. Поддерживается динамическая маршрутизация OSPF и подключение VPN клиентов. Модель UTM-1 Edge W выпускается со встроенной точкой WiFi доступа IEEE 802.11b/g.
    При необходимости крупномасштабных внедрений, UTM-1 Edge легко интегрируется с системой Check Point SMART, благодаря чему управление средствами безопасности значительно упрощается.

    Компания Cisco традиционно уделяет вопросам сетевой безопасности повышенное внимание и предлагает широкий набор необходимых устройств. Для обзора мы решили выбрать модель Cisco ASA 5510 , которая ориентирована на обеспечение безопасности периметра корпоративной сети. Это оборудование входит в серию ASA 5500, включающую модульные системы защиты класса UTM. Такой подход позволяет адаптировать систему обеспечения безопасности к особенностям функционирования сети конкретного предприятия.
    Cisco ASA 5510 поставляется в четырех основных комплектах — межсетевого экрана, средств построения VPN, системы предотвращения вторжений, а так же средств защиты от вирусов и спама. В решение входят дополнительные компоненты, такие как система Security Manager для формирования инфраструктуры управления при разветвленной корпоративной сети, и система Cisco MARS, призванная осуществлять мониторинг сетевой среды и реагировать на нарушение безопасности в режиме реального времени.

    Словацкая компания Eset поставляет программный комплекс Eset NOD32 Firewall класса UTM, включающий, помимо функций корпоративного файервола, систему антивирусной защиты Eset NOD32, средства фильтрации почтового (антиспам) и веб-трафика, системы обнаружения и предупреждения сетевых атак IDS и IPS. Решение поддерживает создание сетей VPN. Этот комплекс построен на основе серверной платформы, работающей под управлением Linux. Программная часть устройства разработана отечественной компанией Leta IT , подконтрольной российскому представительству Eset.
    Данное решение позволяет контролировать сетевой трафик в режиме реального времени, поддерживается фильтрация контента по категориям веб-ресурсов. Обеспечивается защиту от атак типа DDoS и блокируются попытки сканирования портов. В решение Eset NOD32 Firewall включена поддержка серверов DNS, DHCP и управление изменением пропускной способности канала. Контролируются трафик почтовых протоколов SMTP, POP3.
    Так же данное решение включает возможность создания распределенных корпоративных сетей с помощью VPN-соединений. При этом поддерживаются различные режимы объединения сетей, алгоритмы аутентификации и шифрования.

    Компания Fortinet предлагает целое семейство устройств FortiGate класса UTM, позиционируя свои решения как способные обеспечить защиту сети при сохранении высокого уровня производительности, а так же надежной и прозрачной работы информационных систем предприятия в режиме реального времени. Для обзора мы выбрали модель FortiGate-224B , которая ориентирована для защиты периметра корпоративной сети с 150 - 200 пользователями.
    Оборудование FortiGate-224B включает функциональность межсетевого экрана, сервера VPN, фильтрацию web-трафика, системы предотвращения вторжения, а так же антивирусную и антиспамовскую защиту. Эта модель имеет встроенные интерфейсы коммутатора локальной сети второго уровня и WAN-интерфейсы, что позволяет обойтись без внешних устройств маршрутизации и коммутации. Для этого поддерживается маршрутизация по протоколам RIP, OSPF и BGP, а так же протоколы аутентификации пользователей перед предоставлением сетевых сервисов.

    Компания SonicWALL предлагает широкий выбор устройств UTM, из которого в данный обзор попало решение NSA 240 . Это оборудование является младшей моделью в линейке, ориентированной на использование в качестве системы защиты корпоративной сети среднего предприятия и филиалов крупных компаний.
    В основе данной линейки лежит использование всех средств защиты от потенциальных угроз. Это межсетевой экран, система защиты от вторжения, шлюзы защиты от вирусов и шпионского программного обеспечения. Есть фильтрация web-трафика по 56 категориям сайтов.
    В качестве одной из изюминок своего решения компания SonicWALL отмечает технологию глубокого сканирования и анализа поступающего трафика. Для исключения снижения производительности данная технология использует параллельную обработку данных на многопроцессорном ядре.
    Это оборудование поддерживает работу с VPN, обладает развитыми возможностями маршрутизации и поддерживает различные сетевые протоколы. Так же решение от SonicWALL способно обеспечить высокий уровень безопасности при обслуживании трафика VoIP по протоколам SIP и Н.323.

    Из линейки продукции компания WatchGuard для обзора было выбрано решение Firebox X550e , которое позиционируется как система, обладающая развитой функциональностью для обеспечения сетевой безопасности и ориентирована на использовании в сетях малых и средних предприятий.
    В основе решений класса UTM этого производителя лежит использование принципа защиты от смешенных сетевых атак. Для этого оборудование поддерживает межсетевой экран, систему предотвращения атак, антивирусный и антиспамовский шлюзы, фильтрацию web-ресурсов, а так же систему противодействия шпионскому программному обеспечению.
    В этом оборудовании используется принцип совместной защиты, согласно которому сетевой трафик, проверенный по определенному критерию на одном уровне защиты не проверятся по этому же критерию на другом уровне. Такой подход позволяет обеспечивать высокую производительность оборудования.
    Другим достоинством своего решения производитель называет поддержку технологии Zero Day, которая обеспечивает независимость обеспечения безопасности от наличия сигнатур. Такая особенность важна при появлении новых видов угроз, на которые еще не найдено эффективное противодействие. Обычно "окно уязвимости" длится от нескольких часов до нескольких дней. При использовании технологии Zero Day вероятность негативных последствий окна уязвимости заметно снижается.

    Компания ZyXEL предлагает свое решение сетевого экрана класса UTM, ориентированного на использование в корпоративных сетях, насчитывающих до 500 пользователей. Это решение ZyWALL 1050 предназначено для построения системы сетевой безопасности, включающую полноценную защиту от вирусов, предотвращение вторжений и поддержку виртуальных частных сетей. Устройство имеет пять портов Gigabit Ethernet, которые могут настраиваться для использования в качестве интерфейсов WAN, LAN, DMZ и WLAN в зависимости конфигурации сети.
    Устройство поддерживает передачу трафика VoIP приложений по протоколам SIP и Н.323 на уровне firewall и NAT, а так же передачу трафика пакетной телефонии в туннелях сети VPN. При этом обеспечивается функционирование механизмов предотвращения атак и угроз для всех видов трафика, включая VoIP-трафик, работа антивирусной системы с полной базой сигнатур, контентная фильтрация по 60 категориям сайтов и защита от спама.
    Решение ZyWALL 1050 поддерживает различных топологий частных сетей, рабоуа в режиме VPN-концентратора и объединение виртуальных сетей в зоны с едиными политиками безопасности.

    Основные характеристики UTM

    Мнение специалиста

    Дмитрий Костров, директор по проектам Дирекции технологической защиты корпоративного центра ОАО "МТС"

    Сфера применения решений UTM главным образом распространяется на компании, относящиеся к предприятиям малого и среднего бизнеса. Само понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, согласно которому UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств. Обычно это межсетевой экран, VPN, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного и антиспамовского шлюзов и фильтрации URL.
    Для того чтобы добиться действительно эффективной защиты устройство должно быть многоуровневым, активным и интегрированным. При этом многие производители средств защиты уже имеют достаточно широкую линейку продуктов, относящихся к UTM. Достаточная простота развертывания систем, а также получение системы "все в одном" делает рынок указанных устройств достаточно привлекательным. Совокупная стоимость владения и сроки возврата инвестиций при внедрении данных устройств кажутся очень привлекательными.
    Но это решение UTM похоже на "швейцарский нож" - есть инструмент на каждый случай, но чтобы пробить в стене дырку нужна настоящая дрель. Есть также вероятность, что появление защиты от новых атак, обновление сигнатур и т.п. не будет столь быстрыми, в отличие от поддержки отдельных устройств, стоящих в "классической" схеме защиты корпоративных сетей. Также остается проблема единой точки отказа.



    СХОЖИЕ СТАТЬИ