Оригинал страницы смотрите здесь
|
|
|
|
|
19 апреля 2024 | |
НацБез.Ру:
ВЕРСИЯ ДЛЯ ПЕЧАТИ Оригинал страницы смотрите здесь |
|
|||
Задачи, решаемые любым системным средством, в том числе (если не в первую очередь) и средством защиты информации, полностью определяются областью его практического использования. Применение же средства, созданного для одних приложений, в иных приложениях, может привести к печальных последствиям, особенного это критично, когда речь заходит об ИТ-безопасности. Особенную область составляют корпоративные приложения, где «во главу угла» ставится задача эффективного решения вопросов ИТ-безопасности, как следствие, средства защиты для данных приложений отличаются высокой сложностью, в том числе, сложностью их администрирования. Рассмотрим все эти вопросы, применительно к вопросам построения защищенной корпоративной сети предприятия (VPN).
Область приложений системного средства определяет требования к его реализации. Требования к корпоративной VPN.
Начиная разговор о построении, либо об использовании средства защиты, прежде всего, необходимо определиться с областью его практического применения (для чего оно создано, как следствие, чем определяется его потребительская стоимость), т.к. именно область практического использования диктует те требования к системному средству, должны быть реализованы разработчиком, дабы повысить потребительскую стоимость данного средства.
К сожалению, данный очевидный посыл не всегда учитывается и разработчиками, и потребителями средств защиты. Вместе с тем, не сложно показать, что требования к средству защиты для различных областей их практического использования могут очень сильно различаться, а подчас, и противоречить друг другу, что не позволяет создать единого средства защиты «на все случаи жизни». Попробуем обосновать сказанное.
Когда речь заходит об информационных технологиях, можно выделить два их основных приложения – это личное использование в домашних условиях и корпоративное использование – на предприятии. Если задуматься, то разница требований, в том числе, и к средствам защиты, в данных приложениях огромна. В чем же она состоит.
Например, когда речь идет о личном использовании компьютера в домашних условиях, мы сразу же начинаем задумываться о предоставляемых системным средством сервисах – это максимально возможное использование устройств, универсальность приложений, мечтаем о всевозможных играх, проигрывателях, графике и т.д. и т.п.
Важнейшими же отличиями использования средства защиты в данных приложениях является следующее:
· По большому счету, отсутствие какой-либо конфиденциальности (по крайней мере, формализуемой) информации, требующей защиты;
· Отсутствие критичности не только в части хищения обрабатываемой информации, но и в части ее несанкционированной модификации, либо уничтожения. Не так критичны в этих приложениях и атаки на системные ресурсы, в большой мере, они связаны лишь с неудобством для пользователя;
· Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и естественное нежелание заниматься этими вопросами (защищать-то нечего);
· Отсутствие какого-либо внешнего администрирования системного средства, в том числе, в части настройки механизмов защиты – все задачи администрирования решаются непосредственно пользователем – собственно пользователь должен самостоятельно решать все вопросы, связанные с безопасностью. Другими словами, пользователь и есть администратор – сам себе и защитник, и безопасник (если хочет, то именно он и защищает свою собственную информацию);
· Отсутствие какого-либо недоверия к пользователю – пользователь обрабатывает собственную информацию (он же владелец компьютера, он же владелец информации);
· В большинстве своем, обработка информации пользователем осуществляется на одном компьютере, локально.
Теперь посмотрим, какие же подходы к построению средств защиты оказались на практике наиболее востребованными в данных приложениях. Естественно, что подобными решениями стали не средства защиты, а средства контроля, в первую очередь – это всевозможные антивирусные средства, основанные на сигнатурном анализе. Очевидно, что средства защиты, требующие определенной квалификации для настройки (а просто эффективную защиту априори не обеспечить), в данных приложениях малопригодны. Контроль же требует простейших действий от пользователя – «нажал кнопку, и готово». Все вопросы, требующие квалифицированного решения, здесь «перекладываются на плечи» разработчиков средства защиты, в частности, поддержание базы вирусов в максимально актуальном состоянии. Заметим, что, так как никакого администрирования не предполагается, весь диалог осуществляется с конечным пользователем, а не с администратором, что, кстати говоря, даже при использовании средств контроля, подчас, ставит пользователя «в тупик», т.к. требует повышения квалификации пользователя в области компьютерной безопасности, а ему этого объективно не нужно.
Насколько эффективны такие средства? Естественно, что с точки зрения обеспечения какого-либо приемлемого уровня защиты информации, подобные средства неэффективны. Это утверждение очевидно – в любой момент времени база выявленных сигнатур не полна (полной она не может быть даже теоретически). Но иные-то средства в данных приложениях вообще неприменимы!
Чтобы не быть голословными, сошлемся на мнение специалистов, для чего приведем лишь одну из множества оценок, опубликованных в открытой печати - новость с сайта www.it.sec от 24.07.2006: «Грэхем Ингрэм, главный управляющий австралийского подразделения Группы оперативного реагирования на чрезвычайные ситуации в компьютерной области (AusCERT) утверждает, что распространённые антивирусные приложения блокируют лишь около 20 процентов недавно появившихся вредоносных программ. При этом популярные антивирусы пропускают до 80 процентов новых троянов, шпионов и других вредоносных программ. Это означает, что в восьми из десяти случаев недавно появившийся вирус может проникнуть на компьютер пользователя». На самом деле, в этом нет ничего удивительного – это ведь средства контроля, а не защиты!
Если же мы начинаем говорить о корпоративных приложениях, то здесь, как условия использования системные средств, так и требования к средству защиты не то, чтобы были кардинально иные, они прямо противоположны. В частности, здесь уже нет необходимости в большой номенклатуре устройств, приложений, игрушки и прочее являются отвлекающим от служебной деятельности фактором, возможность их запуска в принципе желательно предотвратить, и т.д. и т.п.
Важнейшими условиями использования средств защиты в данных приложениях является следующее:
· В данных приложениях априори присутствует конфиденциальная информация, требующая квалифицированной защиты;
· Критичным является не только факт хищения обрабатываемой информации, но и возможность ее несанкционированной модификации, либо уничтожения. Критичным в этих приложениях также становится вывод из строя системных средств на продолжительное время, т.е. важнейшими объектами защиты становятся не только информационные, но и системные ресурсы;
· Отсутствие квалификации пользователя в вопросах обеспечения информационной безопасности, да и нежелание заниматься этими вопросами (защищать требуется не его личную информацию), и вместе с тем, наличие администратора безопасности, основной служебной обязанностью которого является защита информации, т.е. именно для решения этой задачи он и принят на работу, который априори должен обладать высокой квалификацией, т.к., в противном случае, о какой-либо эффективной защите в современных условиях говорить не приходится;
· Все задачи администрирования средств защиты должны решаться непосредственно администратором (кстати говоря, это одно из требований нормативных документов);
· Недоверие к пользователю – пользователь обрабатывает не собственную, а корпоративную, либо иную конфиденциальную информацию, которая потенциально является «товаром», как следствие, пользователь должен рассматриваться в качестве потенциального злоумышленника (в последнее время, даже появилось такое понятие, как инсайдер, а внутренняя ИТ-угроза – угроза хищения информации санкционированным пользователем, некоторыми потребителями и производителями средств защиты позиционируется, как одна из доминирующих угроз, что не лишено оснований);
· В большинстве своем, обработка конфиденциальной информации осуществляется в корпоративной сети, причем, не всегда в локальной – это обусловливает невозможность эффективного решения задачи администрирования безопасности локально на каждом компьютере - без соответствующего инструментария (АРМа администратора в сети).
Видим, что в этих приложениях уже «во главу угла» ставится задача эффективной защиты информации, которая должна решаться профессионально. Не случайно, что защита информации в данных приложениях регламентируется соответствующими нормативными документами, средства защиты предполагают их сертификацию, а автоматизированная система (АС) обработки информации – аттестацию, а все в совокупности - квалифицированный анализ достаточности и корректности реализации механизмов защиты.
Основу обеспечения информационной безопасности в данных приложениях уже составляют именно механизмы защиты, реализующие разграничительную политику доступа к ресурсам, а не простейшие механизмы контроля!
Важнейшим условием построения защиты в корпоративных приложениях является то, что собственно пользователь должен рассматриваться в качестве основного потенциального злоумышленника (инсайдера). Как отмечали, это обусловливается тем, что пользователь здесь обрабатывает не собственную информацию, а корпоративную, следовательно, может быть заинтересован в ее хищении. Как следствие, появляется необходимость исключения пользователя из схемы администрирования средства защиты.
Когда речь заходит о криптографической защите данных в корпоративных приложениях, необходимо выполнение определенных требований к реализации ключевой политики – ключ шифрования должен генерироваться администратором (желательно вообще автоматически, тогда и администратор не сможет нарушить конфиденциальность данных), ключ же, предоставляемый пользователю (если он вообще предоставляется пользователю) не должен позволять нарушить конфиденциальность данных, при их хищении пользователем, в том числе, и при наличии у него ключевой информации.
Все это существенно усложняет задачу построения средства защиты и, естественно, задачу его администрирования, как следствие, в корпоративных приложениях весьма актуальным становится упрощение задачи администрирования, сразу оговоримся, что не за счет упрощения механизмов защиты – основным параметром (потребительским свойством) подобных систем, вне зависимости ни от чего, является эффективность защиты (все остальное вторично, иначе, это не средство защиты для корпоративных приложений).
Все сказанное относится к любому средству защиты, в том числе, и к VPN.
Корпоративная VPN – это «наложенная» (виртуальная) на сеть общего пользования сетевая инфраструктура, ограниченная рамками корпорации. Подобную инфраструктуру в общем случае составляют локальные вычислительные средства, объединяемые в корпоративную локальную сеть, корпоративные локальные сети, объединяемые в единое коммуникационное пространство, к которому, кроме того, подключаются удаленные и мобильные пользователи. Хранение и обработка в рамках виртуальной (основанной на использовании каналов связи общего пользования) сети корпоративной информации требует ее защиты, состоящей в реализации разграничительной политики доступа к корпоративным ресурсам и в криптографической защите виртуальных («наложенных» на существующее телекоммуникационное оборудование) каналов связи.
С учетом всего сказанного ранее, попытаемся сформулировать общие требования к корпоративной VPN:
Подходы к реализации корпоративной VPN.
Отметим, что выше сформулированы основополагающие требования к корпоративной VPN. На практике они могут быть реализованы (если эти требования не реализованы, то это не корпоративная VPN, а VPN, построенная, применительно для приложений, связанных с использованием компьютеров в личных целях) различным образом. Вместе с тем, как отмечалось ранее, при построении корпоративной VPN (как и любого иного средства защиты для данных приложений), одной из важнейших задач является задача упрощения администрирования. В данной работе рассмотрим подходы к построению корпоративной VPN, реализованные в ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003» (разработка ЗАО «НПП «Информационные технологии в бизнесе»).
Итак, как отмечалось, при построении корпоративной VPN должны быть решены две ключевые задачи - реализация разграничительной политики доступа к корпоративным ресурсам и криптографическая защита виртуальных («наложенных» на существующее телекоммуникационное оборудование) каналов связи корпоративной сети.
Реализация разграничительной политики доступа к корпоративным ресурсам.
Когда речь заходит о реализации разграничительной политики доступа к ресурсам, в первую очередь, необходимо определиться с тем, что же является субъектом и объектом доступа. Это позволит определить способ их идентификации. В общем случае, как объектом, так и субъектом доступа (как правило, в VPN субъект одновременно является и объектом доступа – он может обращаться и к нему могут обращаться) может выступать либо компьютер, при этом доступ разграничивается между компьютерами, либо пользователь, соответственно доступ разграничивается между пользователями. Универсальность корпоративной VPN достигается в том случае, когда в качестве субъекта и объекта может выступать как компьютер в составе корпоративной сети, так и пользователь – сотрудник предприятия. Это, а также сложность идентификации компьютеров в сети по адресам (требуются специальные устройства – координаторы сети, а это дополнительные затраты и дополнительная сложность администрирования) обусловливает целесообразность включения специальной сущности «Идентификатор», никак не связанной ни с адресом компьютера, ни с учетной записью пользователя, используемой для идентификации субъектов и объектов VPN. В зависимости от способа хранения идентификатора субъекта/объекта (на компьютере, например, в реестре или в файле, либо на внешнем носителе, предоставляемом пользователю, например, на электронном ключе, либо на смарт-карте), т.е. его принадлежности (принадлежит компьютеру или пользователю), может быть реализована разграничительная политика доступа к ресурсам VPN для компьютеров или же для пользователей.
Теперь, в двух словах, о пользователях. По разным причинам, они могут обладать различной степенью доверия, либо решать различные функциональные задачи. Поэтому пользователей целесообразно подразделять на пользователей с высоким и низким уровнями доверия. Пользователю с низким уровнем доверия целесообразно разрешить передачу информации только в рамках корпоративной сети, т.е. разрешить взаимодействие только с компьютерами в составе VPN, трафик в которой должен шифроваться. Пользователю с высоким уровнем доверия может потребоваться разрешить взаимодействие, как с компьютерами VPN (по защищенному каналу связи), так и с компьютерами внешней сети (здесь информация передается в открытом виде). Поскольку сущность «Идентификатор» в общем случае может присваиваться, как пользователю, так и компьютеру, то в двух режимах (с возможностью выхода в незащищенный сегмент сети и без такой возможности) могут использоваться и компьютеры корпоративной сети.
Процедуру идентификации должен осуществлять сервер VPN (который по понятным причинам должен резервироваться с автоматической репликацией базы настроек на резервный сервер).
На компьютеры в составе VPN устанавливаются клиентские части, основу которых составляет сетевой драйвер. Клиентская часть блокирует какой-либо доступ в сеть до тех пор, пока не будет проведена идентификация (компьютера или пользователя, соответственно, идентификатор располагается либо на компьютере, либо на внешнем носителе у пользователя) на сервере. При идентификации компьютера процедура осуществляется автоматически, для идентификация пользователя – ему необходимо ввести в компьютер идентификатор (например, вставить смарт-карту с идентификатором). После идентификации на сервере, в зависимости от уровня доверия, соответствующего идентификатору, клиентская часть позволит взаимодействие (компьютера или пользователя) либо только с компьютерами в составе VPN – на которых также установлена клиентская часть, информация при этом будет передаваться в шифрованном виде, либо же в защищенном режиме (с шифрованием трафика) с компьютерами VPN, в незащищенном (трафик не шифруется) – только с внешними по отношению к VPN компьютерами. Принадлежность компьютера к VPN определяется взаимодействием клиентских частей по защищенному протоколу.
Таким образом, собственно виртуальная сеть (VPN) формируется из состава компьютеров, на которых установлена клиентская часть. Для подключения к VPN необходима идентификация компьютера, либо пользователя на сервере VPN. Настройка же разграничительной политики доступа внутри VPN (разграничение доступа между сущностями «Идентификатор», которые могут присваиваться как компьютерам – разграничение между компьютерами, так и пользователя – разграничение между пользователями) осуществляется администратором на сервере (о том, как это делается, чуть ниже).
Настройка и эксплуатация VPN заметно упрощаются. Например, для подключения к VPN мобильного пользователя в любой точке земного шара, достаточно наличия у него компьютера, подключенного к сети, на котором должна быть установлена клиентская часть VPN, и идентификатора, который ему выдаст администратор (мы пока говорим только о реализации разграничительной политики). Администратор же, создавая идентификатор, может соответствующим образом назначить уровень доверия и определить те идентификаторы (компьютеры или пользователей) с которыми в рамках VPN по защищенному протоколу сможет «общаться» мобильный пользователь. Никаких координаторов для этого не требуется, т.к. адрес (который может быть различным при каждом удаленном подключении компьютера к сети) не используется в качестве идентифицирующей сущности. Он фиксируется на сервере VPN средствами аудита, но это уже иной вопрос.
Реализация криптографической защиты виртуальных каналов связи корпоративной сети.
Выше мы говорили, что основными требованиями к реализации криптографической защиты виртуальных каналов корпоративной сети являются: «прозрачное» автоматическое (принудительное для пользователя) шифрование виртуальных каналов корпоративной сети, централизованное генерирование ключей шифрования администратором (пользователь должен быть исключен из схемы администрирования и управления VPN), отсутствие ключа шифрования виртуальных каналов связи у пользователя и соответственно, невозможность доступа пользователя к ключам шифрования.
Важным условием эффективности защиты является необходимость частой смены ключей шифрования виртуальных каналов. Это, с учетом необходимости централизованного генерирования ключей для всех субъектов/объектов (определяемых идентификаторами) корпоративной сети, существенно усложняет задачу администрирования VPN.
Подход к реализации ключевой политики, реализованный в ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003», состоит в следующем.
Каждый субъект/объект VPN характеризуется парой признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN. Данная пара генерируется администратором при создании субъекта/объекта. Если субъектом/объектом VPN выступает компьютер, то идентификатор и ключ шифрования взаимодействия с сервером VPN заносятся на компьютер (в файл, либо в реестр) администратором при установке клиентской части (в процессе эксплуатации по усмотрению администратора данные параметры могут быть изменены), если же субъектом/объектом VPN выступает пользователь, то сгенерированная администратором пара признаков: идентификатор и ключ шифрования взаимодействия с сервером VPN, выдаются пользователю администратором на внешнем носителе (Flash-устройство, электронный ключ, смарт-карта).
До момента идентификации субъекта/объекта клиентской частью VPN на сервере, на компьютере не хранится какой-либо информации о ключах шифрования виртуальных каналов. Ключи шифрования виртуальных каналов генерируются сервером при идентификации субъектов/объектов VPN автоматически, т.е. даже администратор безопасности не обладает ключевой информацией. Осуществляется это следующим образом. При идентификации субъекта/объекта VPN на сервере, для идентифицируемого субъекта/объекта сервером автоматически генерируются ключи шифрования (каждая пара взаимодействующих субъектов/объектов VPN имеет свой ключ шифрования) с другими субъектами/объектами VPN. Данная информация (ключи шифрования данного компьютера с другими активными компьютерами в составе VPN) сервером в зашифрованном виде передается на идентифицированный компьютер (идентифицированному пользователю), где хранится в оперативной памяти – эта информация не доступна пользователю. Одновременно на все остальные активные (идентифицированные ранее) компьютеры из состава VPN сервером выдаются сгенерированные ключи шифрования для взаимодействия с вновь идентифицированным субъектом/объектом. Таким образом, в каждый момент времени в оперативной памяти идентифицированного компьютера в составе VPN хранится таблица с ключами шифрования трафика с другими активными (идентифицированными) компьютерами в составе VPN (для каждой пары этот ключ свой). Данная таблица пополняется после идентификации каждого последующего субъекта/объекта. Смена ключа шифрования осуществляется сервером автоматически при каждой последующей идентификации субъекта/объекта.
Таким образом, вся процедура генерации ключевых пар полностью автоматизирована, не требует участия администратора безопасности, ключи шифрования виртуальных каналов VPN не доступны не только пользователям корпоративной сети, но и администратору.
Разграничение же доступа между субъектами/объектами в составе VPN (о чем упоминалось ранее) реализуется тем, что при идентификации субъекта/объекта ему передаются ключи шифрования виртуальных каналов только с теми активными субъектами/объектами, с которыми администратором разрешено взаимодействие данному субъекту/объекту. Клиентская же часть VPN, установленная на компьютере в составе VPN, позволит осуществлять с него взаимодействие только с теми активными субъектами/объектами, для взаимодействия с которыми получены соответствующие ключи шифрования с сервера VPN.
Администрирование. Интерфейсы.
Итак, в начале работы мы поставили перед собою весьма сложную задачу – создать корпоративную VPN, при этом максимально упростив ее администрирование (естественно, что без снижения обеспечиваемого уровня безопасности). Что же нам удалось в итоге получить? В чем состоят задачи администрирования VPN, ведь, как отмечали ранее, множество функций администратора в рассматриваемой VPN автоматизировано.
В своем составе ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003» содержит: клиентские части, устанавливаемые на компьютеры, включаемые в состав VPN, серверные части (основная и резервная), устанавливаемые на выделенные компьютеры, АРМ администратора безопасности, может устанавливаться как на отдельном компьютере, так и на сервере VPN.
Теперь об администрировании.
На сервере необходимо создать базу субъектов/объектов VPN. Это реализуется из интерфейса серверной части. Для каждого созданного субъекта необходимо указать доверенный он (тогда ему разрешается взаимодействие с внешней сетью), либо нет, также для задания системного субъекта существует сущность «резервный сервер». Для созданных субъектов сервером VPN автоматически генерируются его идентификатор и ключ шифрования взаимодействия с сервером VPN, которые необходимо сохранить на внешнем носителе (либо на Flash-устройстве, если субъектом выступает компьютер, либо на одном из выбранных носителей – электронный ключ или карта, может быть также и Flash-устройство), если субъектом выступает пользователь. Данное устройство будет затем использоваться пользователем для его идентификации, с целью получения доступа к виртуальным каналам VPN. Данное устройство впоследствии администратору необходимо будет передать соответствующему сотруднику предприятия (пользователю). Кроме того, необходимо настроить системные параметры сервера, задать алгоритм шифрования виртуальных каналов в VPN, способ хранения и ввода идентифицирующих субъекта данных. На клиентской части необходимо задать алгоритм шифрования виртуальных каналов в VPN, способ хранения и ввода идентифицирующих субъекта данных способа хранения и ввода идентифицирующих субъекта данных, параметры взаимодействия с основным и резервным серверами VPN.
Рис.1. Настройка сервера VPN
Рис.2. Задание алгоритма шифрования в VPN на сервере
Рис.3. Задание способа хранения и ввода идентифицирующих субъекта данных
Рис.4. Задание параметров сервера VPN на клиентской части
После того, как субъекты/объекты доступа созданы, может быть настроена разграничительная политика доступа в составе VPN, что реализуется на сервере из интерфейса, приведенного на рис.5.
Рис.5. Задание разграничительной политики в составе VPN
Для этого в левой части интерфейса следует выбрать субъект, для которого необходимо разграничить доступ (это может быть пользователь, либо компьютер). Субъектом может выступать и концентрирующий элемент (папка на интерфейсе), например, для всех компьютеров (или сотрудников) одного филиала, отдела. В правой части, где также отображаются субъекты/объекты VPN, следует выбрать объекты (это также могут быть пользователи, либо компьютеры, в качестве объектов также могут выступать папки), к которым следует разрешить, либо запретить (в зависимости от реализуемой разграничительной политики – разрешительная или запретительная) доступ для выбранного субъекта. Все весьма просто и наглядно.
Настройка корпоративной VPN завершена. Если субъектами доступа являются пользователи (не компьютеры), то после установки клиентской части на компьютер пользователя и настройки системных параметров (параметров взаимодействия с сервером VPN, способа хранения и ввода идентифицирующей информации), администратор должен передать пользователю электронный ключ (карту) с идентификационными данными и ключом шифрования взаимодействия с сервером VPN (эти данные администратор всегда сможет изменить на сервере, соответственно передав их затем пользователю).
В процессе функционирования, от пользователя (если он, а не компьютер, является субъектом VPN) требуется лишь подключать электронный ключ (карту) к компьютеру для идентификации, с целью получения доступа к сети, от администратора же вообще не требуется никаких дополнительный действий (все ключи шифрования между каждой парой субъектов на сервере генерируются автоматически, при каждом подключении компьютера VPN к серверу VPN). Администратору остается только осуществлять функции контроля работы пользователей в VPN с использованием соответствующих средств аудита. Кроме того, он может осуществлять необходимые текущие оперативные действия по управлению VPN, например, временно заблокировать идентификатор (субъект/объект) – вывести его из состава корпоративной VPN, изменить статус субъекта и т.д..
В порядке замечания отметим, что целью данной работы не являлось детальное описание какой-либо конкретной корпоративной VPN. Мы постарались сформулировать требования к построению корпоративной VPN (ориентируясь на особенности данной области приложений средства защиты) и рассмотреть подходы к решению одной из ключевых задач реализации средства защиты в данных приложениях – задачи упрощения администрирования. На наш взгляд, при всем многообразии на рынке, средств построения VPN именно для корпоративных приложений на сегодняшний день очень мало – единицы. Большинство решений может в той или иной мере эффективно использоваться для построения частных VPN – для личного использования. Те же средства, которые ориентированы на корпоративное использование, отличаются высокой сложностью не только собственно средств защиты, но и их администрирования. В данной работе мы также попытались показать, что задача упрощения администрирования корпоративной VPN может быть решена, причем решена весьма эффективно.
В заключение отметим, что VPN для корпоративных приложений является лишь одной из компонент комплекса средств защиты, правда, очень важной, а в некоторых приложениях, например, при реализации беспроводной корпоративной сети, просто необходимой. VPN же решает задачу защиты информации лишь в той части, в которой должна решать. По-мимо этого, в данных приложений существует множество иных задач защиты, в частности, защита от НСД к информационным и к системным компьютерным ресурсам, без реализации которой нельзя говорить об обеспечении какого-либо уровня безопасности вычислительного средства, криптографическая защита данных, сохраняемых на жестком диске и на внешних накопителях (монтируемых устройствах) и т.д. Другими словами, эффективная защита может быть обеспечена лишь в случае реализации комплексного подхода к защите как от внутренних, так и от внешних ИТ-угроз. Одно из возможных комплексных решений состоит в совместном использовании двух продуктов ЗАО «НПП «Информационные технологии в бизнесе»: рассмотренной в данной статье ПО «Корпоративная VPN «Панцирь» для ОС Windows 2000/XP/2003», и «Комплексной системы защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/2003». Однако рассмотрение этих вопросов выходит за рамки настоящей работы.
