Корпоративной сетью считается любая сеть, работающая по протоколу TCP/IP и использующая коммуникационные стандарты Интернета, а также сервисные приложения, обеспечивающие доставку данных пользователям сети.
Серверы Web корпоративной сети могут обеспечить пользователям услуги, аналогичные услугам Интернета, например работу с гипертекстовыми страницами (содержащими текст, гиперссылки, графические изображения и звукозаписи), предоставление необходимых ресурсов по запросам клиентов Web, а также осуществление доступа к базам данных. В этом руководстве все службы публикации называются “службами Интернета” независимо от того, где они используются (в Интернете или корпоративной сети).
Корпоративная сеть, как правило, является территориально распределенной, т.е. объединяющей офисы, подразделения и другие структуры, находящиеся на значительном удалении друг от друга. Принципы, по которым строится корпоративная сеть, достаточно сильно отличаются от тех, что используются при создании локальной сети. Это ограничение является принципиальным, и при проектировании корпоративной сети следует предпринимать все меры для минимизации объемов передаваемых данных. В остальном же корпоративная сеть не должна вносить ограничений на то, какие именно приложения и каким образом обрабатывают переносимую по ней информацию. Характерной особенностью такой сети является то, что в ней функционируют оборудование самых разных производителей и поколений, а также неоднородное программное обеспечение, не ориентированное изначально на совместную обработку данных.
Для подключения удаленных пользователей к корпоративной сети самым простым и доступным вариантом является использование телефонной связи. Там, где это, возможно, могут использоваться сети ISDN. Для объединения узлов сети в большинстве случаев используются глобальные сети передачи данных. Даже там, где возможна прокладка выделенных линий (например, в пределах одного города) использование технологий пакетной коммутации позволяет уменьшить количество необходимых каналов связи и - что немаловажно - обеспечить совместимость системы с существующими глобальными сетями.
Подключение корпоративной сети к Internet оправдано, если вам нужен доступ к соответствующим услугам. Использовать Internet как среду передачи данных стоит только тогда, когда другие способы недоступны и финансовые соображения перевешивают требования надежности и безопасности. Если вы будете использовать Internet только в качестве источника информации, лучше пользоваться технологией "соединение по запросу" (dial-on-demand), т.е. таким способом подключения, когда соединение с узлом Internet устанавливается только по вашей инициативе и на нужное вам время. Это резко снижает риск несанкционированного проникновения в вашу сеть извне.
Для передачи данных внутри корпоративной сети также стоит использовать виртуальные каналы сетей пакетной коммутации. Основные достоинства такого подхода - универсальность, гибкость, безопасность
В результате изучения структуры информационных сетей и технологии обработки данных разрабатывается концепция информационной безопасности. В концепции находят отражение следующие основные моменты:
· организация сети организации
· существующие угрозы безопасности информации, возможности их реализации и предполагаемый ущерб от этой реализации;
· организация хранения информации в ИС;
· организация обработки информации;
· регламентация допуска персонала к той или иной информации;
· ответственность персонала за обеспечение безопасности.
Структура схемы безопасности должна удовлетворять следующие условия:
· Защита от несанкционированного проникновения в корпоративную сеть и возможности утечки информации по каналам связи.
· Разграничение потоков информации между сегментами сети.
· Защита критичных ресурсов сети.
· Криптографическая защита информационных ресурсов.
Для защиты от несанкционированного проникновения и утечки информации предлагается использование межсетевых экранов или брандмауэров. Фактически брандмауэр – это шлюз, который выполняет функции защиты сети от несанкционированного доступа извне (например, из другой сети).
Различают три типа брандмауэров:
1. Шлюз уровня приложений. Шлюз уровня приложений часто называют прокси – сервером (proxyserver) - выполняет функции ретранслятора данных для ограниченного числа приложений пользователя. То есть, если в шлюзе не организована поддержка того или иного приложения, то соответствующий сервис не предоставляется, и данные соответствующего типа не могут пройти через брандмауэр.
2. Фильтрирующий маршрутизатор. Фильтрующий маршрутизатор. Точнее это маршрутизатор, в дополнительные функции которого входит фильтрование пакетов (packet-filteringrouter). Используется на сетях с коммутацией пакетов в режиме дейтаграмм. То есть, в тех технологиях передачи информации на сетях связи, в которых плоскость сигнализации (предварительного установления соединения между УИ и УП) отсутствует (например, IP V 4). В данном случае принятие решения о передаче по сети поступившего пакета данных основывается на значениях его полей заголовка транспортного уровня. Поэтому брандмауэры такого типа обычно реализуются в виде списка правил, применяемых к значениям полей заголовка транспортного уровня.
3. Шлюз уровня коммутации. Шлюз уровня коммутации – защита реализуется в плоскости управления (на уровне сигнализации) путем разрешения или запрета тех или иных соединений.
Шифрование является одним из самых надежных способов защиты данных от несанкционированного ознакомления. Особенностью применения криптографических средств в России является жесткая законодательная регламентация. В настоящее время в корпоративных сетях они устанавливаются только на тех рабочих местах, где хранится информация, имеющая очень высокую степень важности.
Для защиты информации в корпоративной сети «Северного объединения по эксплуатации газового хозяйства» разработана система паролей и ограничений доступа пользователей к информации.
Для разграничения доступа извне (из информационной системы предприятия - для внутренних пользователей и из сети Интернет - для мобильных) к рабочему месту пользователя и информирования пользователя о попытках подключения к его компьютеру, с возможностью принятия решения о блокировке или разрешении доступа необходимо использовать добавочные средства защиты.
Попытки несанкционированного доступа позволяет выявить защита информации через межсетевой экран.
Основные требования к средствам защиты информации:
- защита должна быть многоцелевой, т.е. эффективно защищать от широкого спектра вредоносных приложений;
- защита должна обеспечивать не только обнаружение, но и эффективное предотвращение атаки в любой момент времени, в том числе в процессе загрузки операционной системы;
- защита должна находиться непосредственно на компьютере пользователя, а не в самой сети соединяющей компьютеры, обнаружение атаки на сетевом уровне часто оказывается бесполезным из-за невозможности её блокирования;
- защита должна быть "высокоинтеллектуальной" и "обучаемой", способной обнаруживать сложные атаки и сводя к минимуму ложные срабатывания;
- защита должна иметь точную информацию о состоянии и конфигурации компьютера.
В таблице 4.1 представлены результаты тестирования самых известных программ Firewall а также их общая оценка.
Таблица 4.1
| Продукт | Результат | Оценка |
| Comodo Firewall Pro 2.4.16.174 | 9475 | Отлично |
| Jetico Personal Firewall 2.0.0.16 beta | 9125 | Отлично |
| ZoneAlarm PRO 7.0.302.000 | 8850 | Очень хорошо |
| Kaspersky Internet Security 6.0.2.614 | 7950 | Очень хорошо |
| Privatefirewall 5.0.8.11 | 7625 | Очень хорошо |
| Trend Micro PC-cillin Internet Security 2007 | 7500 | Очень хорошо |
| F-Secure Internet Security 2007 7.01.128 | 6625 | Хорошо |
| Outpost Firewall PRO 4.0 (1007.591.145) | 6550 | Хорошо |
| Lavasoft Personal Firewall 1.0.543.5722 (433) | 6500 | Хорошо |
| BlackICE PC Protection 3.6.cpv | 5750 | Удовлетворительно |
| Sunbelt Kerio Personal Firewall 4.3.268 | 4825 | Удовлетворительно |
| Look 'n' Stop 2.05p2 | 4800 | Удовлетворительно |
| Norton Personal Firewall 2006 9.1.0.33 | 4600 | Удовлетворительно |
| Safety.Net 3.61.0002 | 4000 | Удовлетворительно |
| Avira Premium Security Suite 7 build 98 | 2450 | Неудовлетворительно |
| Sygate Personal Firewall 5.6.2808 | 2350 | Неудовлетворительно |
| McAfee Internet Security Suite 2006 8.0 | 2325 | Неудовлетворительно |
| CA Personal Firewall 2007 3.0.0.196 | 1000 | Очень плохо |
| BitDefender Internet Security 10.108 | 750 | Очень плохо |
| Panda Antivirus + Firewall 2007 6.00.00 | 650 | Очень плохо |
| AVG Anti-Virus plus Firewall 7.5.431 | 500 | Очень плохо |
| Ashampoo FireWall Pro 1.14 | 500 | Очень плохо |
| Filseclab Personal Firewall 3.0.0.8686 | 500 | Очень плохо |
| Windows Firewall XP SP2 | 0 | Очень плохо |
Из результатов тестирования видно, что одним из лучших сетевых экранов является Comodo Firewall Pro.
Так согласно классификации средств криптографической защиты информационных ресурсов в корпоративных они делятся на:
1. Криптосистемы с одним ключом, их часто называют традиционной, симметричной или с одним ключом. Пользователь создает открытое сообщение, элементами которого являются символы конечного алфавита. Для шифрования открытого сообщения генерируется ключ шифрования. С помощью алгоритма шифрования формируется шифрованное сообщение
Приведенная модель предусматривает, что ключ шифрования генерируется там же, где само сообщение. Однако, возможно и другое решение создания ключа – ключ шифрования создается третьей стороной (центром распределения ключей), которой доверяют оба пользователя. В данном случае за доставку ключа обоим пользователям ответственность несет третья сторона. Вообще говоря, данное решение противоречит самой сущности криптографии – обеспечение секретности передаваемой информации пользователей.