Обеспечение сетевой безопасности.

Я ознакомился со следующими аспектами ОСБ:

- общим обеспечения сетевой безопасности на примере общей схемы архитектуры вычислительных сетей банка.

- организацией защищенного взаимодействия по внешним каналам связи, защиты внутренней сети банка от внешних воздействий с использованием активных средств защиты информации .

- проведением аудита текущего состояния сетевого оборудования, а также проверки выполнения правил организации доступа к информационным ресурсам вычислительных сетей, проверки настройки механизмов безопасности операционных систем на рабочих станциях(в частности использования на компьютерах внешних портов и устройств передачи информации, содания разделяемых сетевых ресурсов), с использованием пассивных средств по защите информации

ЛВС банка имеет распределенную структуру, что является следствием создания единой вычислительной сети всех структурных подразделений банка. Связь с отделениями осуществляется через собственные каналы связи или через выделенные каналы связи, арендуемые у провайдеров.

Одним из важных аспектов политики обеспечения безопасности на периметре сети является физическое отделение сети интернет от внутренней сети банка.

Для доступа в интернет сотрудников банка, а также получения какой либо информации(например почтовых вложений) организована система «интернет-киосков» - машин, отделенных от сети банка и подключенных к сети интернет. Любой документ, получаемый из интернета сначала проходит антивирусную проверку на них, предварительный просмотр и далее при необходимости переноситься на компьютер работника/попадает во внутреннюю сеть.

Также для обеспечения защиты периметра сети созданы специальные DMZ – зоны  (демилитаризованные зоны). Это особый сегмент сети, в котором находятся сервера, отвечающие исключительно на запросы от внешних клиентов и организаций или, при необходимости, наоборот - инициирующие запросы «наружу». Они ограничены в доступе к основным сегментам внутренней сети банка с помощью межсетевого экрана. При этом не существует прямых соединений между внутренней сетью и внешними клиентами и организациями: любые соединения возможны только через DMZ. В итоге, для работой с удаленными клиентами осуществляется по такому длинному пути:

Локальная сеть – МЭ – DMZ – МЭ – открытые каналы связи (МЭ) - клиент.

Активные сзи.

Весь информационный обмен между внутренней сетью банка и удаленными сегментами по открытым каналам связи фильтруется аппаратными фаерволами зарубежных производителей (CISCO,HUAWEI) и отечественной разработкой – «ФПСУ-IP» ™. Точнее, ФПСУ это не просто фаервол, это целый комплекс систем защиты информации от несанкционированного доступа и шифрования , аббревиатура которого расшифровывается как “Фильтр пакетов сетевого уровня IP” фирмы “АМИКОН”. В этот комплекс входит межсетевой экран и VPN-построитель «ФПСУ-IP» ™.

Семейство комплексов «ФПСУ-IP» разработано ООО “АМИКОН” при участии ООО Фирма “ИнфоКрипт”, целиком базируется на отечественных разработках и стандартах. Предназначено для межсетевого экранирования и разграничения доступа в Intranet/Extranet на сетевом и транспортном уровнях, построения частных сетей на базе общедоступных, оптимизации и повышения пропускной способности каналов связи. Комплекс обладает широким спектром предоставляемых сервисов, в том числе с применением технологии VPN (виртуальные частные сети) на базе построения множественных защищенных туннелей для обмена данными. Качество и надежность комплекса подтверждены сертификатом ФСТЭК  (сертификат № 1091 от 31.10.2005г., по 3 классу защищенности в соответствии с РД на межсетевые экраны). В качестве криптоядра комплексов используется сертифицированное ФСБ (сертификат № СФ/124-0888 от "01" июня 2006г., по уровню КС1) средство криптографической защиты информации (СКЗИ «Туннель/Клиент»). Комплексы успешно выдержали разносторонние испытания в независимых организациях и приняты в качестве базовых VPN-средств рядом крупных заказчиков, имеющих сильно распределенные и разнородные сети передачи данных.