ru  28 ноября 2021 Россия
 
Нацбез.Ру: Национальная безопасность
 о проекте | контакты | форум статьи | комментарии | новости | спецбиблиотека | ссылки 


АНТИКОРРУПЦИОННЫЙ МОНИТОР
ГОСУДАРСТВО И ОБЩЕСТВО
ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ
НЕГОСУДАРСТВЕННАЯ БЕЗОПАСНОСТЬ
ЭКОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ
ЭТНИЧЕСКАЯ БЕЗОПАСНОСТЬ

Информационный партнер:
"Русский бизнес-курьер"



Реклама:


5 последних статей:

 Питч-сессия финалистов завершила III Всероссийский фестиваль университетских технологических проектов HSE FEST

 Президент ЕЕК Вячеслав Моше Кантор презентовал «Конец антисемитизму!» - пять томов стратегии по противодействию нетерпимости

 На Неделях российского бизнеса прошло обсуждение проблем защиты интеллектуальной собственности

 Вячеслав Моше Кантор: "Предотвращение одурманивания молодых людей экстремизмом – одна из главных задач нашего времени"

 Вячеслав Моше Кантор назвал Стратегию ЕС по борьбе с антисемитизмом "беспрецедентной и жизненно важной"






Все об 
охране, защите и безопасности





Rambler's Top100

Реклама:



Версия для печатиВерсия для печати     16 июля 2007

Как защитить корпоративную сеть предприятия

Д.т.н., проф. А.Ю.Щеглов, ЗАО «НПП «Информационные технологии в бизнесе»), "НацБез.ру"

Задачи, решаемые любым системным средством, в том числе (если не в первую очередь) и средством защиты информации, полностью определяются областью его практического использования. Применение же средства, созданного для одних приложений,  в иных приложениях,  может привести к печальных последствиям, особенного это критично, когда речь заходит об ИТ-безопасности. Особенную область составляют корпоративные приложения, где «во главу угла» ставится задача эффективного решения вопросов ИТ-безопасности, как следствие, средства защиты для данных приложений отличаются высокой сложностью, в том числе, сложностью их администрирования. Рассмотрим все эти вопросы, применительно к вопросам построения защищенной корпоративной сети предприятия (VPN).

 Область приложений системного средства определяет требования к его реализации. Требования к корпоративной VPN.

Начиная разговор о построении, либо об использовании средства защиты, прежде всего, необходимо определиться с областью его практического применения (для чего оно создано, как следствие, чем определяется его потребительская стоимость), т.к. именно область практического использования диктует те требования к системному средству, должны быть реализованы разработчиком, дабы повысить потребительскую стоимость данного средства.

К сожалению, данный очевидный посыл не всегда учитывается и разработчиками, и потребителями средств защиты. Вместе с тем, не сложно показать, что требования к средству защиты для различных областей их практического использования могут очень сильно различаться, а подчас, и противоречить друг другу, что не позволяет создать единого средства защиты «на все случаи жизни». Попробуем обосновать сказанное.

Когда речь заходит об информационных технологиях, можно выделить два их основных приложения – это личное использование в домашних условиях и корпоративное использование – на предприятии. Если задуматься, то разница требований, в том числе, и к средствам защиты, в данных приложениях огромна. В чем же она состоит.

Например, когда речь идет о личном использовании компьютера в домашних условиях, мы сразу же начинаем задумываться о предоставляемых системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, мечтаем о всевозможных играх, проигрывателях, графике и т.д. и т.п.

Важнейшими же отличиями использования средства защиты в данных приложениях является следующее:

·              По большому счету, отсутствие какой-либо конфиденциальности (по крайней мере, формализуемой) информации, требующей защиты;

·              Отсутствие критичности не только в части хищения обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожения. Не так критичны в этих приложениях и атаки на системные ресурсы, в большой мере, они связаны лишь с неудобством для пользователя;

·              Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и естественное нежелание заниматься этими вопросами (защищать-то нечего);

·              Отсутствие какого-либо внешнего администрирования системного средства, в том числе, в части настройки механизмов защиты – все задачи администрирования решаются непосредственно пользователем – собственно пользователь должен самостоятельно решать все вопросы, связанные с безопасностью. Другими словами, пользователь и есть администратор – сам себе и защитник, и безопасник (если хочет, то именно он и защищает свою собственную информацию);

·              Отсутствие какого-либо недоверия к пользователю – пользователь обрабатывает собственную информацию (он же владелец компьютера, он же владелец информации);

·              В большинстве своем, обработка информации пользователем осуществляется на одном компьютере, локально.

Теперь посмотрим, какие же подходы к построению средств защиты оказались на практике наиболее востребованными в данных приложениях. Естественно, что подобными решениями стали не средства защиты, а средства контроля, в первую очередь – это всевозможные антивирусные средства, основанные на сигнатурном анализе. Очевидно, что средства защиты, требующие определенной квалификации для настройки (а просто эффективную защиту априори не обеспечить), в данных приложениях малопригодны. Контроль же требует простейших действий от пользователя – «нажал кнопку, и готово». Все вопросы, требующие квалифицированного решения, здесь «перекладываются на плечи» разработчиков средства защиты, в частности, поддержание базы вирусов в максимально актуальном состоянии. Заметим, что, так как никакого администрирования не предполагается, весь диалог осуществляется с конечным пользователем, а не с администратором, что, кстати говоря, даже при использовании средств контроля, подчас, ставит пользователя «в тупик», т.к. требует повышения квалификации пользователя в области компьютерной безопасности, а ему этого объективно не нужно.

Насколько эффективны такие средства? Естественно, что с точки зрения обеспечения какого-либо приемлемого уровня защиты информации, подобные средства неэффективны. Это утверждение очевидно – в любой момент времени база выявленных сигнатур не полна (полной она не может быть даже теоретически). Но иные-то средства в данных приложениях вообще неприменимы!

Чтобы не быть голословными, сошлемся на мнение специалистов, для чего приведем лишь одну из множества оценок, опубликованных в открытой печати - новость с сайта www.it.sec от 24.07.2006: «Грэхем Ингрэм, главный управляющий австралийского подразделения Группы оперативного реагирования на чрезвычайные ситуации в компьютерной области (AusCERT) утверждает, что распространённые антивирусные приложения блокируют лишь около 20 процентов недавно появившихся вредоносных программ. При этом популярные антивирусы пропускают до 80 процентов новых троянов, шпионов и других вредоносных программ. Это означает, что в восьми из десяти случаев недавно появившийся вирус может проникнуть на компьютер пользователя». На самом деле, в этом нет ничего удивительного – это ведь средства контроля, а не защиты!

Если же мы начинаем говорить о корпоративных приложениях, то здесь, как условия использования системные средств, так и требования к средству защиты не то, чтобы были кардинально иные, они прямо противоположны. В частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее являются отвлекающим от служебной деятельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п.

Важнейшими условиями использования средств защиты в данных приложениях является следующее:

·              В данных приложениях априори присутствует конфиденциальная информация, требующая квалифицированной защиты;

·              Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожения. Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, т.е. важнейшими объектами защиты становятся не только информационные, но и системные ресурсы;

·              Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (защищать требуется не его личную информацию), и вместе с тем, наличие администратора безопасности, основной служебной обязанностью которого является защита информации, т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, т.к., в противном случае, о какой-либо эффективной защите в современных условиях говорить не приходится;

·              Все задачи администрирования средств защиты должны решаться непосредственно администратором (кстати говоря, это одно из требований нормативных документов);

·              Недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, которая потенциально является «товаром», как следствие, пользователь должен рассматриваться в качестве потенциального злоумышленника (в последнее время, даже появилось такое понятие, как инсайдер, а внутренняя ИТ-угроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как одна из доминирующих угроз, что не лишено оснований);

·              В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности локально на каждом компьютере - без соответствующего инструментария (АРМа администратора в сети).

Видим, что в этих приложениях уже «во главу угла» ставится задача эффективной защиты информации, которая должна решаться профессионально. Не случайно, что защита информации в данных приложениях регламентируется соответствующими нормативными документами, средства защиты предполагают их сертификацию, а автоматизированная система (АС) обработки информации – аттестацию, а все в совокупности - квалифицированный анализ достаточности и корректности реализации механизмов защиты.

Основу обеспечения информационной безопасности в данных приложениях уже составляют именно механизмы защиты,  реализующие разграничительную политику доступа к ресурсам, а не простейшие механизмы контроля!

Важнейшим условием построения защиты в корпоративных приложениях является то, что собственно пользователь должен рассматриваться в качестве основного потенциального злоумышленника (инсайдера). Как отмечали, это обусловливается тем, что пользователь здесь обрабатывает не собственную информацию, а корпоративную, следовательно, может быть заинтересован в ее хищении. Как следствие, появляется необходимость исключения пользователя из схемы администрирования средства защиты.

Когда речь заходит о криптографической защите данных в корпоративных приложениях, необходимо выполнение определенных требований к реализации ключевой политики – ключ шифрования должен генерироваться администратором (желательно вообще автоматически, тогда и администратор не сможет нарушить конфиденциальность данных), ключ же, предоставляемый пользователю (если он вообще предоставляется пользователю) не должен позволять нарушить конфиденциальность данных, при их хищении пользователем, в том числе, и при наличии у него ключевой информации.

Все это существенно усложняет задачу построения средства защиты и, естественно, задачу его администрирования, как следствие, в корпоративных приложениях весьма актуальным становится упрощение задачи администрирования, сразу оговоримся, что не за счет упрощения механизмов защиты – основным параметром (потребительским свойством) подобных систем, вне зависимости ни от чего, является эффективность защиты (все остальное вторично, иначе, это не средство защиты для корпоративных приложений).

Все сказанное относится к любому средству защиты, в том числе, и к VPN.

Корпоративная VPN – это «наложенная» (виртуальная) на сеть общего пользования сетевая инфраструктура, ограниченная рамками корпорации. Подобную инфраструктуру в общем случае составляют локальные вычислительные средства, объединяемые в корпоративную локальную сеть, корпоративные локальные сети, объединяемые в единое коммуникационное пространство, к которому, кроме того, подключаются удаленные и мобильные пользователи. Хранение и обработка в рамках виртуальной (основанной на использовании каналов связи общего пользования) сети корпоративной информации требует ее защиты, состоящей в реализации разграничительной политики доступа к корпоративным ресурсам и в криптографической защите виртуальных («наложенных» на существующее телекоммуникационное оборудование) каналов связи.

С учетом всего сказанного ранее, попытаемся сформулировать общие требования к корпоративной VPN:

  • Все задачи администрирования, как в части задания разграничительной политики доступа к корпоративным ресурсам, так и в части реализации ключевой политики (создания и распространения ключей шифрования виртуальных каналов), должны решаться непосредственно администратором безопасности централизованно (в состав VPN должен входить АРМ администратора безопасности);
  • Пользователь должен быть исключен из схемы администрирования – должен работать в корпоративной сети «под принуждением» администратора – должен общаться только с теми пользователями (или компьютерами), с которыми ему разрешено администратором, при этом должен обмениваться с ними данными только в том виде (открытыми, либо зашифрованными), в котором ему разрешено администратором. Как следствие, шифрование виртуальных каналов должно осуществляться автоматически («под принуждением») «прозрачно» для пользователя, ключ шифрования пользователя (предоставляемый ему администратором) не должен позволять нарушить пользователю конфиденциальность данных при их хищении.

Подходы к реализации корпоративной VPN.

Отметим, что выше сформулированы основополагающие требования к корпоративной VPN. На практике они могут быть реализованы (если эти требования не реализованы, то это не корпоративная VPN, а VPN, построенная, применительно для приложений, связанных с использованием компьютеров в личных целях) различным образом. Вместе с тем, как отмечалось ранее, при построении корпоративной VPN (как и любого иного средства защиты для данных приложений), одной из важнейших задач является задача упрощения администрирования. В данной работе рассмотрим подходы к построению корпоративной VPN, реализованные в ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003» (разработка ЗАО «НПП «Информационные технологии в бизнесе»).

Итак, как отмечалось, при построении корпоративной VPN должны быть решены две ключевые задачи - реализация разграничительной политики доступа к корпоративным ресурсам и криптографическая защита виртуальных («наложенных» на существующее телекоммуникационное оборудование) каналов связи корпоративной сети.

Реализация разграничительной политики доступа к корпоративным ресурсам.

Когда речь заходит о реализации разграничительной политики доступа к ресурсам, в первую очередь, необходимо определиться с тем, что же является субъектом и объектом доступа. Это позволит определить способ их идентификации. В общем случае, как объектом, так и субъектом доступа (как правило, в VPN субъект одновременно является и объектом доступа – он может обращаться и к нему могут обращаться) может выступать либо компьютер, при этом доступ разграничивается между компьютерами, либо пользователь, соответственно доступ разграничивается между пользователями. Универсальность корпоративной VPN достигается в том случае, когда в качестве субъекта и объекта может выступать как компьютер в составе корпоративной сети, так и пользователь – сотрудник предприятия. Это, а также сложность идентификации компьютеров в сети по адресам (требуются специальные устройства – координаторы сети, а это дополнительные затраты и дополнительная сложность администрирования) обусловливает целесообразность включения специальной сущности «Идентификатор», никак не связанной ни с адресом компьютера, ни с учетной записью пользователя, используемой для идентификации субъектов и объектов VPN. В зависимости от способа хранения идентификатора субъекта/объекта (на компьютере, например, в реестре или в файле, либо на внешнем носителе, предоставляемом пользователю, например, на электронном ключе, либо на смарт-карте), т.е. его принадлежности (принадлежит компьютеру или пользователю), может быть реализована разграничительная политика доступа к ресурсам VPN для компьютеров или же для пользователей.

Теперь, в двух словах, о пользователях. По разным причинам, они могут обладать различной степенью доверия, либо решать различные функциональные задачи. Поэтому пользователей целесообразно подразделять на пользователей с высоким и низким уровнями доверия. Пользователю с низким уровнем доверия целесообразно разрешить передачу информации только в рамках корпоративной сети, т.е. разрешить взаимодействие только с компьютерами в составе VPN, трафик в которой должен шифроваться. Пользователю с высоким уровнем доверия может потребоваться разрешить взаимодействие, как с компьютерами VPN (по защищенному каналу связи), так и с компьютерами внешней сети (здесь информация передается в открытом виде). Поскольку сущность «Идентификатор» в общем случае может присваиваться, как пользователю, так и компьютеру, то в двух режимах (с возможностью выхода в незащищенный сегмент сети и без такой возможности) могут использоваться и компьютеры корпоративной сети.

Процедуру идентификации должен осуществлять сервер VPN (который по понятным причинам должен резервироваться с автоматической репликацией базы настроек на резервный сервер).

На компьютеры в составе VPN устанавливаются клиентские части, основу которых составляет сетевой драйвер. Клиентская часть блокирует какой-либо доступ в сеть до тех пор, пока не будет проведена идентификация (компьютера или пользователя, соответственно, идентификатор располагается либо на компьютере, либо на внешнем носителе у пользователя) на сервере. При идентификации компьютера процедура осуществляется автоматически, для идентификация пользователя – ему необходимо ввести в компьютер идентификатор (например, вставить смарт-карту с идентификатором). После идентификации на сервере, в зависимости от уровня доверия, соответствующего идентификатору, клиентская часть позволит взаимодействие (компьютера или пользователя) либо только с компьютерами в составе VPN – на которых также установлена клиентская часть, информация при этом будет передаваться в шифрованном виде, либо же в защищенном режиме (с шифрованием трафика) с компьютерами VPN, в незащищенном (трафик не шифруется) – только с внешними по отношению к VPN компьютерами. Принадлежность компьютера к VPN определяется взаимодействием клиентских частей по защищенному протоколу.

Таким образом, собственно виртуальная сеть (VPN) формируется из состава компьютеров, на которых установлена клиентская часть. Для подключения к VPN необходима идентификация компьютера, либо пользователя на сервере VPN. Настройка же разграничительной политики доступа внутри VPN (разграничение доступа между сущностями «Идентификатор», которые могут присваиваться как компьютерам – разграничение между компьютерами, так и пользователя – разграничение между пользователями) осуществляется администратором на сервере (о том, как это делается, чуть ниже).

Настройка и эксплуатация VPN заметно упрощаются. Например, для подключения к VPN мобильного пользователя в любой точке земного шара, достаточно наличия у него компьютера, подключенного к сети, на котором должна быть установлена клиентская часть VPN, и идентификатора, который ему выдаст администратор (мы пока говорим только о реализации разграничительной политики). Администратор же, создавая идентификатор, может соответствующим образом назначить уровень доверия и определить те идентификаторы (компьютеры или пользователей) с которыми в рамках VPN по защищенному протоколу сможет «общаться» мобильный пользователь. Никаких координаторов для этого не требуется, т.к. адрес (который может быть различным при каждом удаленном подключении компьютера к сети) не используется в качестве идентифицирующей сущности. Он фиксируется на сервере VPN средствами аудита, но это уже иной вопрос.

Реализация криптографической защиты виртуальных каналов связи корпоративной сети.

Выше мы говорили, что основными требованиями к реализации криптографической защиты виртуальных каналов корпоративной сети являются: «прозрачное» автоматическое (принудительное для пользователя) шифрование виртуальных каналов корпоративной сети, централизованное генерирование ключей шифрования администратором (пользователь должен быть исключен из схемы администрирования и управления VPN), отсутствие ключа шифрования виртуальных каналов связи у пользователя и соответственно, невозможность доступа пользователя к ключам шифрования.

Важным условием эффективности защиты является необходимость частой смены ключей шифрования виртуальных каналов. Это, с учетом необходимости централизованного генерирования ключей для всех субъектов/объектов (определяемых идентификаторами) корпоративной сети, существенно усложняет задачу администрирования VPN.

Подход к реализации ключевой политики, реализованный в ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003», состоит в следующем.

Каждый субъект/объект VPN характеризуется парой признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN. Данная пара генерируется администратором при создании субъекта/объекта. Если субъектом/объектом VPN выступает компьютер, то идентификатор и ключ шифрования взаимодействия с сервером VPN заносятся на компьютер (в файл, либо в реестр) администратором при установке клиентской части (в процессе эксплуатации по усмотрению администратора данные параметры могут быть изменены), если же субъектом/объектом VPN выступает пользователь, то сгенерированная администратором пара признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN, выдаются пользователю администратором на внешнем носителе (Flash-устройство, электронный ключ, смарт-карта).

До момента идентификации субъекта/объекта клиентской частью VPN на сервере, на компьютере не хранится какой-либо информации о ключах шифрования виртуальных каналов. Ключи шифрования виртуальных каналов генерируются сервером при идентификации субъектов/объектов VPN автоматически, т.е. даже администратор безопасности не обладает ключевой информацией. Осуществляется это следующим образом. При идентификации субъекта/объекта VPN на сервере, для идентифицируемого субъекта/объекта сервером автоматически генерируются ключи шифрования (каждая пара взаимодействующих субъектов/объектов VPN имеет свой ключ шифрования) с другими субъектами/объектами VPN. Данная информация (ключи шифрования данного компьютера с другими активными компьютерами в составе VPN) сервером в зашифрованном виде передается на идентифицированный компьютер (идентифицированному пользователю), где хранится в оперативной памяти – эта информация не доступна пользователю. Одновременно на все остальные активные (идентифицированные ранее) компьютеры из состава VPN сервером выдаются сгенерированные ключи шифрования для взаимодействия с вновь идентифицированным субъектом/объектом. Таким образом, в каждый момент времени в оперативной памяти идентифицированного компьютера в составе VPN хранится таблица с ключами шифрования трафика с другими активными (идентифицированными) компьютерами в составе VPN (для каждой пары этот ключ свой). Данная таблица пополняется после идентификации каждого последующего субъекта/объекта. Смена ключа шифрования осуществляется сервером автоматически при каждой последующей идентификации субъекта/объекта.

Таким образом, вся процедура генерации ключевых пар полностью автоматизирована, не требует участия администратора безопасности, ключи шифрования виртуальных каналов VPN не доступны не только пользователям корпоративной сети, но и администратору.

Разграничение же доступа между субъектами/объектами в составе VPN (о чем упоминалось ранее) реализуется тем, что при идентификации субъекта/объекта ему передаются ключи шифрования виртуальных каналов только с теми активными субъектами/объектами, с которыми администратором разрешено взаимодействие данному субъекту/объекту. Клиентская же часть VPN, установленная на компьютере в составе VPN, позволит осуществлять с него взаимодействие только с теми активными субъектами/объектами, для взаимодействия с которыми получены соответствующие ключи шифрования с сервера VPN.

Администрирование. Интерфейсы.

Итак, в начале работы мы поставили перед собою весьма сложную задачу – создать корпоративную VPN, при этом максимально упростив ее администрирование (естественно, что без снижения обеспечиваемого уровня безопасности). Что же нам удалось в итоге получить? В чем состоят задачи администрирования VPN, ведь, как отмечали ранее, множество функций администратора в рассматриваемой VPN автоматизировано.

В своем составе ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003» содержит: клиентские части, устанавливаемые на компьютеры, включаемые в состав VPN, серверные части (основная и резервная), устанавливаемые на выделенные компьютеры, АРМ администратора безопасности, может устанавливаться как на отдельном компьютере, так и на сервере VPN.

Теперь об администрировании.

На сервере необходимо создать базу субъектов/объектов VPN. Это реализуется из интерфейса серверной части. Для каждого созданного субъекта необходимо указать доверенный он (тогда ему разрешается взаимодействие с внешней сетью), либо нет, также для задания системного субъекта существует сущность «резервный сервер». Для созданных субъектов сервером VPN автоматически генерируются его идентификатор и ключ шифрования взаимодействия с сервером VPN, которые необходимо сохранить на внешнем носителе (либо на Flash-устройстве, если субъектом выступает компьютер, либо на одном из выбранных носителей – электронный ключ или карта, может быть также и Flash-устройство), если субъектом выступает пользователь. Данное устройство будет затем использоваться пользователем для его идентификации, с целью получения доступа к виртуальным каналам VPN. Данное устройство впоследствии администратору необходимо будет передать соответствующему сотруднику предприятия (пользователю). Кроме того, необходимо настроить системные параметры сервера, задать алгоритм шифрования виртуальных каналов в VPN, способ хранения и ввода идентифицирующих субъекта данных. На клиентской части необходимо задать алгоритм шифрования виртуальных каналов в VPN, способ хранения и ввода идентифицирующих субъекта данных способа хранения и ввода идентифицирующих субъекта данных, параметры взаимодействия с основным и резервным серверами VPN.

Рис.1. Настройка сервера VPN

Рис.2. Задание алгоритма шифрования в VPN на сервере

Рис.3. Задание способа хранения и ввода идентифицирующих субъекта данных

Рис.4. Задание параметров сервера VPN на клиентской части

После того, как субъекты/объекты доступа созданы, может быть настроена разграничительная политика доступа в составе VPN, что реализуется на сервере из интерфейса, приведенного на рис.5.

Рис.5. Задание разграничительной политики в составе VPN

Для этого в левой части интерфейса следует выбрать субъект, для которого необходимо разграничить доступ (это может быть пользователь, либо компьютер). Субъектом может выступать и концентрирующий элемент (папка на интерфейсе), например, для всех компьютеров (или сотрудников) одного филиала, отдела. В правой части, где также отображаются субъекты/объекты VPN, следует выбрать объекты (это также могут быть пользователи, либо компьютеры, в качестве объектов также могут выступать папки), к которым следует разрешить, либо запретить (в зависимости от реализуемой разграничительной политики – разрешительная или запретительная) доступ для выбранного субъекта. Все весьма просто и наглядно.

Настройка корпоративной VPN завершена. Если субъектами доступа являются пользователи (не компьютеры), то после установки клиентской части на компьютер пользователя и настройки системных параметров (параметров взаимодействия с сервером VPN, способа хранения и ввода идентифицирующей информации), администратор должен передать пользователю электронный ключ (карту) с идентификационными данными и ключом шифрования взаимодействия с сервером VPN (эти данные администратор всегда сможет изменить на сервере, соответственно передав их затем пользователю).

В процессе функционирования, от пользователя (если он, а не компьютер, является субъектом VPN) требуется лишь подключать электронный ключ (карту) к компьютеру для идентификации, с целью получения доступа к сети, от администратора же вообще не требуется никаких дополнительный действий (все ключи шифрования между каждой парой субъектов на сервере генерируются автоматически, при каждом подключении компьютера VPN к серверу VPN). Администратору остается только осуществлять функции контроля работы пользователей в VPN с использованием соответствующих средств аудита. Кроме того, он может осуществлять необходимые текущие оперативные действия по управлению VPN, например, временно заблокировать идентификатор (субъект/объект) – вывести его из состава корпоративной VPN, изменить статус субъекта и т.д..

В порядке замечания отметим, что целью данной работы не являлось детальное описание какой-либо конкретной корпоративной VPN. Мы постарались сформулировать требования к построению корпоративной VPN (ориентируясь на особенности данной области приложений средства защиты) и рассмотреть подходы к решению одной из ключевых задач реализации средства защиты в данных приложениях – задачи упрощения администрирования. На наш взгляд, при всем многообразии на рынке, средств построения VPN именно для корпоративных приложений на сегодняшний день очень мало – единицы. Большинство решений может в той или иной мере эффективно использоваться для построения частных VPN – для личного использования. Те же средства, которые ориентированы на корпоративное использование, отличаются высокой сложностью не только собственно средств защиты, но и их администрирования. В данной работе мы также попытались показать, что задача упрощения администрирования корпоративной VPN может быть решена, причем решена весьма эффективно.

В заключение отметим, что VPN для корпоративных приложений является лишь одной из компонент комплекса средств защиты, правда, очень важной, а в некоторых приложениях, например, при реализации беспроводной корпоративной сети, просто необходимой. VPN же решает задачу защиты информации лишь в той части, в которой должна решать. По-мимо этого, в данных приложений существует множество иных задач защиты, в частности, защита от НСД к информационным и к системным компьютерным ресурсам, без реализации которой нельзя говорить об обеспечении какого-либо уровня безопасности вычислительного средства, криптографическая защита данных, сохраняемых на жестком диске и на внешних накопителях (монтируемых устройствах) и т.д. Другими словами, эффективная защита может быть обеспечена лишь в случае реализации комплексного подхода к защите как от внутренних, так  и от внешних ИТ-угроз. Одно из возможных комплексных решений состоит в совместном использовании двух продуктов ЗАО «НПП «Информационные технологии в бизнесе»: рассмотренной в данной статье ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003», и «Комплексной системы защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/2003». Однако рассмотрение этих вопросов выходит за рамки настоящей работы.


Обсудить статью в форуме

Другие материалы раздела :
Шины Viatti создают комфорт на дороге при любой погоде
Шипы и «липучка» от Viatti – что выбрать для зимы
KAMARETREAD: рынок заинтересовался восстановленными шинами
Запущено голосование за "Нижнекамскшина" в проекте "100 легендарных брендов ТАССР"
KAMA TYRES: результаты производственной деятельности за 2019 год

ПОИСК
Ok

НОВОСТИ

22 ноября 2021

KAMA TYRES стал одним из призеров «Экспортер года»

27 октября 2021

"Программа автомобиль" рекомендует Viatti Brina Nordico

29 июля 2021

Шины KAMA от KAMA TYRES получили награды в рамках конкурса "Лучшие товары Татарстана"

28 июля 2021

Портал "ВыборЦен" включил шины Viatti в рейтинг лучших шин

09 июля 2021

На Cyber Polygon 2021 озвучили, с каким количеством кибератак сталкиваются крупные компании

27 июня 2021

Грузовые шины KAMA PRO

10 июня 2021

Запуск производства AURUS: KAMA TYRES представил шины для «Единой модульной платформы

26 мая 2021

Преимущественные особенности ЦМК шин КАМА PRO

18 мая 2021

В топ-10 рейтинга летних шин по версии Яндекс.Маркета вошли модели из линейки Viatti Strada Asimmetrico

05 мая 2021

Телевизоры P725 от TCL – удобный девайс для развлечений, общения и работы

26 апреля 2021

Конкурсная работа сотрудника KAMA TYRES победила в номинации "Электротехника" в конкурсе "Инженер года-2020"

21 апреля 2021

«Невскую мануфактуру» после пожара посетил Михаил Романов

Шинный бизнес Группы «Татнефть» KAMA TYRES предложил грузовые ЦМК шины нового поколения KAMA PRO

31 марта 2021

Вячеслав Кантор принял участие в проекте технического оснащения Новгородского музея-заповедника

Viatti Strada Asimmetrico вошли в Топ-3 по популярности летних шин

12 февраля 2021

KAMA TYRES выпускает брендированные шины для Мострансавто










  © Авторский коллектив "Нацбез.Ру", 2004. При перепечатке ссылка обязательна