- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
Часть 3. Технологии защиты информационных ресурсов
В связи с широким распространением Internet, Intranet, Extranet при разработке и применении распределенных информационных сетей и систем одной из самых актуальных задач является решение проблем информационной безопасности.
Средства взлома компьютерных сетей и хищения информации развиваются так же быстро, как и все высокотехнологичные компьютерные отрасли. Без должной степени защиты информации внедрение информационных технологий оказывается экономически невыгодным в результате значительного ущерба от потерь конфиденциальных данных, хранящихся и обрабатываемых в распределенных информационных сетях и системах.
При построении подсистемы информационной безопасности распределенных информационных сетей и систем необходимо использовать комплекс технологий защиты информационных ресурсов, в который входят:
Защита информации, передаваемой по открытым каналам связи, с использованием технологии защищенных виртуальных частных сетей VPN (Virtual Private Network);обеспечение конфиденциальности, целостности и подлинности передаваемой информации с использованием методов надежного преобразования данных (шифрования, хэширования, электронной цифровой подписи);
Разграничение доступа к информационным ресурсам. Защита от несанкционированного доступа (НСД) к информации; обеспечение гарантированной идентификации пользователей с использованием технологий токенов (смарт-карты, touch-memory, ключи дляUSB-портов и т.п.); обеспечение надежного хранения информации с использованием технологий защиты на файловом уровне;
Реализация и поддержка инфраструктуры управления открытыми ключамиPKI (Public Key Infrastructure);
Защита от внешних угроз при подключении к общедоступным сетям связи (например, Internet), а также управление доступом из сетиInternetс использованием технологий межсетевых экранов МЭ (Firewall);
Обеспечение активного исследования защищенности информационных ресурсов с использованием технологий обнаружения вторжения (Intrusion Detection);
Защита от вирусов с использованием специализированных комплексов антивирусной профилактики;
Обеспечение централизованного управления подсистемой информационной безопасности.
Глава 11. Введение в защищенные виртуальные частные сети
Ключевую роль в эффективном функционировании и управлении предприятием играют информация и технологии ее обработки. Имея доступ к нужной информации - технологической, кадровой, маркетинговой или финансовой, можно правильно оценить текущую ситуацию, принять своевременные решения. В то же время информация должна быть доступна только тем, кому она предназначена, и скрыта от сторонних наблюдателей.
Задача создания компьютерной сети предприятия в пределах одного здания может быть решена относительно легко, потому что обычно компании являются владельцами зданий и оборудования. Однако современная инфраструктура корпораций включает в себя географически распределенные подразделения самой корпорации, ее партнеров, клиентов и поставщиков. Создание корпоративной сети, включающей офисы, разнесенные на много километров, расположенные в разных городах или странах –существенно более сложная задача. Для того чтобы связать удаленные офисы, во многих случаях у компаний не оставалось другого выбора, кроме использования специальных арендованных телефонных линий. Но до недавнего времени эти соединения были жестко закрепленными и не обладали гибкостью. Под отсутствием гибкости здесь понимается сложность изменения существующей системы коммуникаций (добавление нового компьютера, перенос компьютера в другое место). Создание и поддержка собственных сетей для обеспечения информационного обмена обходилась корпорациям в миллионы долларов.
В последнее десятилетие в связи с бурным развитием Internet и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации. Пользователи получили дешевые и доступные каналы связи. Стремясь к экономии средств, предприятия желают использовать такие каналы для передачи критичной коммерческой и управленческой информации.
Однако принципы построения Internet создают злоумышленникам возможности для кражи или преднамеренного искажения информации. Не гарантированы от проникновения корпоративные и ведомственные сети, построенные, как правило, на базе протоколов
ТСР / IP и стандартных Internet - приложений (e-mail, Web, FTP).
Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 90-х годов родилась и активно развивается концепция построения защищенных виртуальных частных сетей - VPN (Virtual Private Network).