Механизмы защиты информации в вычислительных сетях

Федеральное агентство связи

Санкт-Петербургский Государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича

Факультет вечернего и заочного обучения

Реферат

по дисциплине

"Основы защиты информации в телекоммуникационных системах"

на тему: "Механизмы защиты информации в вычислительных сетях"

Выполнил: студент Боровиков П.А.

Санкт-петербург 2015

Содержание

Введение

1. Основные механизмы обеспечения информационной безопасности корпоративных сетей от угроз со стороны Интернет

2. Механизм защиты информации на основе использования межсетевых экранов

2.1 История происхождения межсетевого экрана

2.2 Виды межсетевого экрана

2.3 Использование межсетевого экрана на примере Dell SonicWALL

3. Основные принципы построения защищенных виртуальных сетей (на примере протокола SKIP)

3.1 Классификация VPN по рабочему уровню ЭМВОС (эталонной модели взаимодействия открытых систем)

3.2 Протокол SKIP

4. Дополнительный вопрос №7: Механизмы защиты информации в сетях мобильной связи GSM (перечислить и пояснить)

Заключение

Литература

Введение

Проблема информационной безопасности в корпоративных сетях связи сегодня очень остро стоит перед компаниями любого уровня. Утечка критически важной корпоративной информации, рост объемов паразитного трафика, вымогательство, шантаж и заказные атаки на информационные ресурсы стали в последнее время частым явлением.

Важность интернета для любого современного предприятия - понятна и неоспорима. Интернет служит для коммуникации с партнерами и заказчиками (в том числе через корпоративный веб-сайт), обеспечения удаленного доступа к корпоративным ресурсам и гибкого расширения рабочего пространства, поиска полезной информации и осуществления электронных коммерческих транзакций. Между тем интернет обладает рядом свойств, которые затрудняют обеспечение информационной безопасности <#"864638.files/image001.gif">

Расшифровка и проверка SSL-трафика является одним из главных и обязательным элементом обеспечения более глубокого уровня сетевой безопасности в сетях нового поколения. Аналитики утверждают, что практически 35 процентов корпоративного сетевого трафика шифруется с помощью SSL. Таким образом, организации, которые не имеют соответствующего оборудования и не проверяют SSL-трафик, фактически оставляют без просмотра одну треть трафика в сети, что привело к повышенному вниманию злоумышленников именно к SSL, т.к. гарантирует стопроцентный успех атак таких организаций. Из этого следует, что организация должна иметь возможность проверять весь трафик, и на любом порту, независимо - с шифрованием SSL он или нет. Соответствующую возможность предоставляют межсетевые экраны Dell SonicWALL, проверяя шифрованный SSL и нешифрованный трафик на каждом порту.

Кроме того, межсетевые экраны Dell SonicWALL используют фирменный ресурс сети идентификации атак и мониторинга сети Dell SonicWALL Global Response Intelligent Defense (GRID). Сеть представляет собой более 1 миллиона разбросанных по всей планете, как их называет производитель, "сенсоров". Эти сенсоры собирают данные о подозрительной сетевой активности, вредоносном ПО, атаках и отправляют в условный "Центр", где данные анализируются на предмет реальности угрозы, выпускаются обновления баз и сигнатур, после чего рассылаются всем устройствам SonicWALL на планете.

Отдельным вопросом является обновление баз и средств сетевой защиты от вредоносного ПО. Нам логически понятно, что если злоумышленник выпускает средство, которое использует уязвимость в каком-либо ПО, то у злоумышленника есть карт-бланш на "сбор урожая" на этой уязвимости до тех пор, пока:

а) производитель уязвимого ПО не сделает заплатку-патч и/или производитель защитной системы не обновит базы и средства, препятствующие использованию уязвимости;

б) обеспечивающие защиту средства не получат обновление.

В целом, NGFW от Dell SonicWALL обеспечивает интеграцию средств сетевой безопасности, веб-защиты и безопасности электронной почты. Это многоуровневая защита от вирусов, червей, троянов, шпионского ПО и вторжений. Веб-защита устройств обеспечивает удобное управление блокированием не отвечающих требованиям сайтов и контроль использования мгновенного обмена сообщениями и пиринговых приложений.

Решения Dell SonicWALL для анализа, управления и визуализации приложений расширяют контроль над непроизводственными приложениями, например, сервисами онлайн-торговли, обмена мгновенными сообщениями/чата, пирингового обмена и потоковой передачи видео. Решения Dell SonicWALL для защиты электронной почты обеспечивают защиту от спама и фишинг-атак, чтобы избавить сотрудников от получения мошеннических и неправомочных электронных сообщений. Интеллектуальные решения Dell SonicWALL упрощают и снижают стоимость централизованного управления локальными, удаленными и мобильными сетевыми службами, защищая ключевую информацию и коммуникационные ресурсы.

Межсетевые экраны Dell SonicWALL предоставляют возможность использовать 3G/4G-связь, что за небольшие деньги обеспечивает организации принципиально новый уровень резервирования Интернет-доступа по альтернативному, выделенной линии, физическому способу передачи данных через беспроводную связь, что в 00-х годах концептуально было доступно только компаниям с крупными ИТ-бюджетами за счёт организации каналов спутниковой связи. Вдобавок к этому, межсетевые экраны Dell SonicWALL позволяют иметь несколько одновременно подключенных WAN соединений и не только перебрасывать трафик с канала на канал в случае отказа рабочего соединения, но и использовать каналы одновременно, балансируя реальный трафик между ними на уровне приложений, отправляя, например, критичный трафик на более надёжные и дорогие каналы, а второстепенный - на менее надёжные и более дешёвые.

Для контроля приложений в SonicWALL используется функция Application Intelligence and Control, которая обеспечивает детализированный контроль и визуализацию приложений в режиме реального времени, гарантируя приоритезацию пропускной способности. Эта функция использует уже упомянутую запатентованную технологию Reassembly-Free Deep Packet Inspection (RFDPI) для распознавания и контроля приложений, независимо от порта или протокола. В настоящий момент база сигнатур распознаёт более 4600 приложений и миллионы видов вредоносного ПО, продолжая расширяться и обеспечивать распределение полосы пропускания, и запрещать доступ к веб-сайтам. Посмотреть в режиме реального времени за использованием приложений можно с помощью функции Application Flow Monitor, которая даёт сведения о входной и выходной полосах пропускания, активных подключениях к веб-сайтам и активности пользователей.

Технология Dell SonicWALL Clean VPN предназначена для обеспечения безопасного доступа и взаимодействия с удалёнными пользователями при соединениях IPSec и SSL VPN. Сам VPN доступ защищается через аутентификацию, шифрование данных и настройки доступа. При этом проверяется одновременно как входящий, так и исходящий VPN трафик. Перед попаданием трафика в сеть внутри "периметра", весь VPN трафик дешифруется и очищается. В дополнение, с помощью функций Application Intelligence and Control есть возможность визуализации трафика в VPN туннелях и применение политик по контролю полосы пропускания, приоретизируя трафик нужных приложений и блокируя (или ограничивая) трафик ненужных.

Список протоколов, анализируемых системой предотвращения вторжения Dell SonicWALL:

·        IPv4/IPv6/SSL

·        TCP / ICMP / DNS

·        HTTP / HTTPS

·        SMTP / IMAP / POP3

·        FTP / FTPS

·        Telnet / SNMP

·        SIP / H.323

·        RTP / RPC

·        MySQL / MS-SQL

·        NetBIOS / SMB / SMB2

3. Основные принципы построения защищенных виртуальных сетей (на примере протокола SKIP)

3.1 Классификация VPN по рабочему уровню ЭМВОС (эталонной модели взаимодействия открытых систем)

Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название - защищенный канал (secure channel).

Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI). Рассмотрим упрощенную модель OSI, реализованную в стеке протоколов TCP/IP. Эта модель предполагает наличие четырех уровней: прикладного, транспортного, сетевого и канального. Соответственно, для каждого уровня возможность шифрования передаваемой информации различна. Так, на прикладном уровне можно скрыть данные, например, электронного письма или получаемой web-страницы. Однако факт передачи письма, т.е. диалог по протоколу SMTP скрыть невозможно. На транспортном уровне может быть вместе с данными скрыт и тип передаваемой информации, однако IP-адреса получателя и приемника остаются открытыми. На сетевом уровне уже появляется возможность скрыть и IP-адреса. Эта же возможность имеется и на канальном уровне.строятся на достаточно низких уровнях модели OSI. Чем ниже уровень, тем легче сделать систему, функционирование которой будет незаметно для приложений высокого уровня, и тем большую часть передаваемой информации можно скрыть. Однако здесь возникает другая проблема - зависимость протокола защиты от конкретной сетевой технологии. Если для защиты данных используется протокол одного из верхних уровней, то такой способ защиты не зависит от того, какие сети (IP или IPX, Ethernet или ATM) применяются для транспортировки данных, что можно считать несомненным достоинством. С другой стороны, приложение при этом становится зависимым от конкретного протокола защиты, то есть для приложений подобный протокол не является прозрачным.

Для каждого уровня модели разработаны свои протоколы (таблица 1).

Таблица 1 - Уровни защищенных каналов и протоколы

От выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями ИС, а также с другими средствами защиты.

Так, на прикладном уровне для защиты электронной почты применяется протокол S/MIME (Secure Multipurpose Internet Mail Extension) либо система PGP. Для защиты обмена по протоколу HTTP применяется протокол SHTTP (Secure HTTP). На данном уровне шифруется текст передаваемого почтового сообщения или содержимое HTML-документа. Недостатками организации VPN на базе протоколов прикладного уровня является узкая область действия. Протокол защищает только вполне определенную сетевую службу - файловую, гипертекстовую или почтовую. Так как существует жесткая связь между используемым стеком протоколов и приложением, для каждой службы необходимо разрабатывать соответствующую защищенную версию протокола.

На транспортном уровне чаще всего применяются протоколы SSL (Secure Socket Layer) и его более новая реализация - TSL (Transport Layer Security). Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня TLS. Также применяется протокол SOCKS, где клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий.

Особенность протоколов транспортного уровня - независимость от прикладного уровня, хотя чаще всего шифрование осуществляется для передачи по протоколу HTTP (режим HTTPS). Недостатком является невозможность шифрования IP-адресов и туннелирования IP-пакетов.

На сетевом уровне используются два основных протокола: SKIP (Simple Key management for Internet Protocol - простое управление ключами для IP-протокола) и IPSec. На данном уровне возможно как шифрование всего трафика, так и туннелирование, включающее скрытие IP-адресов. На сетевом уровне строятся самые распространенные VPN системы.

Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа "точка-точка" (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). Канальный уровень представлен протоколами PPTP (Point-to-Point Tunneling Protocol), L2F (Layer-2 Forwarding) и L2TP (Layer-2 Tunneling Protocol). Достоинством данного уровня является прозрачность не только для приложений прикладного уровня, но и для служб сетевого и транспортного уровня. В частности, достоинством является независимость от применяемых протоколов сетевого и транспортного - это может быть не только IP-протокол, но и протоколы IPX (применяется в локальных сетях с серверами на основе ОС Novell Netware) и NetBEUI (применяется в локальных сетях Microsoft). Шифрованию подлежат как передаваемые данные, так и IP-адреса.

В каждом из указанных протоколов по-разному реализованы алгоритмы аутентификации и обмена ключами шифрования.

3.2 Протокол SKIP

На сетевом уровне применяются два основных алгоритма: SKIP и IPSec. Различие в алгоритмах, главным образом, состоит в способе генерации и передачи ключей для шифрования содержимого пакетов.Key-Management for Internet Protocol (или SKIP) - протокол, разработанный около 1995 года компанией IETF Security Working Group для обмена ключами шифрования.

Почему же SKIP представляется решением, адекватным задачам защиты информации в масштабах такой сети, как Internet?

Прежде всего, потому, что SKIP совместим с IP. Это достигается тем, что заголовок SKIP-пакета является стандартным IP-заголовком, и поэтому защищенный при помощи протокола SKIP пакет будет распространяться и маршрутизироваться стандартными устройствами любой TCP/IP-сети. Отсюда вытекает и аппаратная независимость SKIP. Протокол SKIP имплементируется в IP-стек выше аппаратно-зависимой его части и работает на тех же каналах, на которых работает IP.

В основе SKIP лежит криптография открытых ключей Диффи-Хеллмана и обладает рядом достоинств:

обеспечивает быструю смену ключей;

поддерживает групповые рассылки защищенных сообщений;

допускает модульную замену систем шифрования;

вносит минимальную избыточность.имеет, по сравнению с существующими системами шифрования трафика, следующий ряд уникальных особенностей:

.        SKIP универсален: он шифрует IP-пакеты, не зная ничего о приложениях, пользователях или процессах, их формирующих; установленный в компьютере непосредственно над пакетным драйвером, он обрабатывает весь трафик, не накладывая никаких ограничений ни на вышележащее программное обеспечение, ни на физические каналы, на которых он используется;

2.      SKIP сеансонезависим: для организации защищенного взаимодействия не требуется дополнительного информационного обмена (за исключением однажды и навсегда запрошенного открытого ключа партнера по связи);

.        SKIP независим от системы шифрования (в том смысле, что различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули); пользователь может выбирать любой из предлагаемых поставщиком или использовать свой алгоритм шифрования информации; могут использоваться различные (в разной степени защищенные) алгоритмы шифрования для закрытия пакетного ключа и собственно данных.

4. Дополнительный вопрос №7: Механизмы защиты информации в сетях мобильной связи GSM (перечислить и пояснить)

Все механизмы обеспечения безопасности GSM находятся исключительно под контролем операторов: пользователи не имеют возможности воздействовать на применение или отсутствие аутентификации, шифрования и т.д. Более того, пользователям не всегда известно, какие функции безопасности используются системой. Напротив, как правило, услуги безопасности не афишируются и не входят в число платных. Далее подробнее рассмотрим способы защиты информации, применяемые в мобильных сетях стандарта GSM.

Механизмы защиты информации в сетях мобильной связи GSM:

1.      Алгоритмы аутентификации

Прежде всего рассмотрим использование пароля - PIN-кода - одного из наиболее простых методов аутентификации. Он дает очень низкий уровень защиты в условиях использования радиосвязи. Достаточно услышать этот персональный код всего лишь один раз, чтобы обойти средства защиты. В действительности GSM использует PIN-код в сочетании с SIM (Subscriber Identify Module): данный PIN-код проверяется на месте самим SIM без передачи в эфир. Помимо него GSM использует более сложный метод, который состоит в использовании случайного числа (от 0 до 2^{128 -} 1), на которое может ответить только соответствующее абонентское оборудование (в данном случае - SIM). Суть этого метода в том, что существует огромное множество подобных чисел и поэтому маловероятно, что оно будет использовано дважды. Ответ, который называется SRES (Signed RESult - подписанный результат), получают в форме итога вычисления, включающего секретный параметр, принадлежащий данному пользователю, который называется Ki (рис.1).

Секретность Ki является краеугольным камнем, положенным в основу всех механизмов безопасности, - свой собственный Ki не может знать даже абонент. Алгоритм, описывающий порядок вычисления, называется алгоритмом A3. Как правило, такой алгоритм хранится в секрете (лишние меры предосторожности никогда не помешают!).

Для того чтобы достигнуть требуемого уровня безопасности, алгоритм A3 должен быть однонаправленной функцией, как ее называют эксперты-криптографы. Это означает, что вычисление SRES при известных Ki и RAND должно быть простым, а обратное действие - вычисление Ki при известных RAND и SRES - должно быть максимально затруднено. Безусловно, именно это и определяет в конечном итоге уровень безопасности. Значение, вычисляемое по алгоритму A3, должно иметь длину 32 бита. Ki может иметь любой формат и длину.

Рис. 1 Блок-схема вычисления аутентификации

2.      Шифрование

Криптографические методы дают возможность с помощью относительно простых средств добиться высокого уровня безопасности. В GSM используются единые методы для защиты всех данных, будь то пользовательская информация: передача сигналов, связанных с пользователем (например, сообщений, в которых содержатся номера вызываемых телефонов), или даже передача системных сигналов (например, сообщений, содержащих результаты радиоизмерений для подготовки к передаче). Необходимо различать только два случая: либо связь оказывается защищенной (тогда всю информацию можно отправлять в зашифрованном виде), либо связь является незащищенной (тогда вся информация отправляется в виде незашифрованной цифровой последовательности).

Как шифрование, так и дешифрование производятся с применением операции "исключающее или" к 114 "кодированным” битам радиопакета и 114-битовой последовательности шифрования, генерируемой специальным алгоритмом, который называется А5. Для того чтобы получить последовательность шифрования для каждого пакета, алгоритм А5 производит вычисление, используя два ввода: одним из них является номер кадра, а другим является ключ, который называется Кс, известный только мобильной станции и сети (рис. 2). В обоих направлениях соединения используются две разные последовательности: в каждом пакете одна последовательность используется для шифрования в мобильной станции и для дешифрования на базовой станции (BTS), в то время как другая последовательность используется для шифрования в BTS и дешифрования в мобильной станции.

Рис. 2 Блок-схема процессов шифрования и дешифрования по алгоритму А5

Номер кадра меняется от пакета к пакету для всех типов радиоканалов. Ключ Кс контролируется средствами передачи сигналов и изменяется, как правило, при каждом сообщении. Этот ключ не предается гласности, но поскольку он часто меняется, то не нуждается в столь сильных средствах защиты, как например, ключ Кi. Кс можно свободно прочитать в SIM.

Алгоритм A5 необходимо устанавливать на международном уровне, поскольку для обеспечения MS-роуминга он должен быть реализован в рамках каждой базовой станции (равно как и в любом мобильном оборудовании). Алгоритм А5 выводит последовательность шифрования из 114 бит для каждого пакета отдельно, с учетом номера кадра и шифровального ключа Кс. На данный момент один-единственный алгоритм А5 установлен для использования во всех странах. В настоящее время базовые станции могут поддерживать три основных варианта алгоритма А5:

·        А5/1 - наиболее стойкий алгоритм, применяемый в большинстве стран;

·        А5/2 - менее стойкий алгоритм, внедряемый в странах, в которых использование сильной криптографии нежелательно;

·        А5/0 - отсутствует шифрование.

В России применяется алгоритм А5/1. По соображениям безопасности его описание не публикуется. Этот алгоритм является собственностью организации GSM MoU. Тем не менее его внешние спецификации обнародованы и его можно представить как "черный ящик”, принимающий параметр длиной 22 бита и параметр длиной 64 бита для того, чтобы создавать последовательности длиной 114 бит. Как и в случае с алгоритмом аутентификации A3, уровень защиты, предлагаемой алгоритмом А5, определяется сложностью обратного вычисления, то есть вычисления Кс при двух известных 114-битовых последовательностях шифрования и номера кадра.

3.      Управление ключами

Ключ Кс до начала шифрования должен быть согласован мобильной станцией и сетью. Особенность стандарта GSM заключается в том, что ключ Кс вычисляется до начала шифрования во время процесса аутентификации. Затем Кс вводится в энергонезависимую память внутри SIM с тем, чтобы он хранился там даже после окончания сеанса связи. Этот ключ также хранится в сети и используется для шифрования.

Рис. 3. Блок-схема вычисления Кс

Алгоритм А8 используется для вычисления Кс из RAND и Ki (рис.3).

Фактически алгоритмы A3 и А8 можно было бы реализовать в форме одного-единственного вычисления. Например, в виде единого алгоритма, выходные данные которого состоят из 96 бит: 32 бита для образования SRES и 64 бита для образования Кс. Следует отметить, что длина значимой части ключа Кс, выданная алгоритмом А8, устанавливается группой подписей GSM MoU и может быть меньше 64 бит. В этом случае значимые биты дополняются нулями для того, чтобы в этом формате всегда были использованы все 64 бита.

Всякий раз, когда какая-либо мобильная станция проходит процесс аутентификации, данная мобильная станция и сеть также вычисляют ключ шифрования Кс, используя алгоритм А8 с теми же самыми вводными данными RAND и Ki, которые используются для вычисления SRES посредством алгоритма A3.

4.      Средства защиты идентичности пользователя

Шифрование оказывается весьма эффективным для защиты конфиденциальности, но не может использоваться для защиты каждого отдельно взятого обмена информацией по радиоканалу. Шифрование с помощью Кс применяется только в тех случаях, когда сети известна личность абонента, с которым идет разговор. Понятно, что шифрование не может применяться для общих каналов, которые принимаются одновременно всеми мобильными станциями в данной сотовой ячейке и в соседних сотовых ячейках (иначе говоря, оно может применяться с использованием ключа, известного всем мобильным станциям, что абсолютно лишает его смысла как механизма безопасности). При перемещении мобильной станции на какой-либо специальный канал некоторое время происходит "начальная загрузка”, в течение которой сеть еще не знает личности абонента и, следовательно, шифрование его сообщения невозможно. Поэтому весь обмен сигнальными сообщениями, несущий сведения о личности неопределенного абонента, должен происходить в незашифрованном виде. Какая-либо третья сторона на данной стадии может подслушать информацию. Считается, что это ущемляет права личности, поэтому в GSM введена специальная функция, позволяющая обеспечить конфиденциальность такого рода.

Защита также обеспечивается путем использования идентификационного псевдонима или TMSI (временный идентификатор мобильного абонента), который используется вместо идентификатора абонента IMSI (международный идентификатор мобильного абонента) в тех случаях, когда это возможно. Этот псевдоним должен быть согласован заранее между мобильной станцией и сетью.

5.      Архитектура и протоколы

Действующие лица и протоколы, участвующие в организации безопасности, являются практически теми же, что и в случае организации мест нахождения, и это служит оправданием их включения в аналогичную функциональную область. Тем не менее при организации безопасности ведущие роли меняются и должны быть отнесены к SIM со стороны мобильной станции, а также к Центру аутентификации (АиС), который можно рассматривать как часть защиты со стороны сети.и АиС являются хранилищами ключа Ki абонента. Они не передают эти ключи, но выполняют вычисления A3 и А8 сами. Если говорить об аутентификации и установке ключа Кс, то все остальные виды оборудования выполняют промежуточную роль. АиС не участвует в других функциях и является средством для создания дополнительного слоя защиты вокруг ключей Ki.

На SIM возлагается большинство функций безопасности со стороны мобильных станций. Он хранит Ki, вычисляет зависимые от оператора алгоритмы АЗ/А8 и хранит "бездействующий” ключ Кс. Существование SIM как физической единицы отдельно от мобильного оборудования является одним из элементов, допускающих гибкость в выборе АЗ/А8. Производителям мобильного оборудования нет необходимости знать о спецификациях этих алгоритмов, предназначенных для операторов. С другой стороны, производители SIM обязаны внедрять потенциально разные алгоритмы для каждого из своих заказчиков-операторов, но проблемы конкуренции, массового производства и распределения являются принципиально иными в сравнении с проблемами рынка мобильного оборудования.полностью защищает Ki от чтения. Технология чиповых карт, внедренная за некоторое время до того, как GSM приступила к производству этих миниатюрных электронных сейфов, идеально подходила для этой цели. Единственный доступ к Ki происходит во время первоначальной фазы персонализации SIM.

Заключение

Подводя итоги, можно отметить, что системы безопасности делают значимые шаги вперед, становясь необходимым ИТ-инструментом современных предприятий. Связано это со многими факторами. Во-первых, репутационные риски и риски отказа в обслуживании клиентов многократно возросли. Все большая часть населения начинает использовать Интернет и информационные технологии в повседневной жизни. Люди все чаще делают покупки через Интернет, получают услуги/госуслуги и пр. Компании больше не могут позволить себе децентрализованные системы, когда над одной и той же задачей в разных регионах, в разных филиалах компании трудится большое количество сотрудников. Происходит централизация ресурсов, все больше компаний начинают использовать облачные сервисы и услуги, что сильно изменяет бизнес-процессы, а соответственно, и ИТ-инфраструктуру компаний. Меняются подходы к системе информационной безопасности, а также ее инфраструктура.

Для обеспечения информационной безопасности для корпоративного сектора перспективной технологией является NGFW, при помощи которой обеспечивается детальный и настраиваемый контроль на уровне приложений. Технология межсетевых экранов была значительно усовершенствована - она эволюционировала до специализированных решений, выполняющих глубокий анализ трафика и идентификацию приложений. Соответствующие продукты стали работать быстрее и поддерживают более сложные наборы правил, чем их предшественников.

Как показывает практика, традиционные межсетевые экраны до сих пор востребованы. В основном это связано с ограниченным контролем за реализацией сервисов безопасности со стороны регулирующих органов и с обеспечением защиты ИТ по остаточному принципу - подешевле и по минимуму. Поэтому место для традиционных экранов, безусловно, есть, однако их будут оснащать новыми функциями. Например, более востребованными становятся устройства, в которых помимо традиционного FW есть еще и средства углубленного анализа межсетевых потоков.

Однако межсетевые экраны - не панацея. При выборе решения нужно четко определить, какие именно функции необходимы, убедиться в том, что заявленные вендором защитные свойства могут быть реализованы в конкретной рабочей среде, что в компании (или у аутсорсера) достаточно ресурсов для управления политиками безопасности.

Несмотря на основную проблему сетей VPN, связанную с отсутствием устоявшихся стандартов аутентификации и обмена шифрованной информацией, данная технология до сих пор востребована и оборудование VPN пользуется активным спросом на рынке средств информационной защиты.

Еще более востребованным является оборудование по предотвращению DDOS-атак - это связано со значительным увеличением вредоносных ботнетов по всему миру за последние 3 года.

По статистике, не менее 75% всех компьютерных преступлений происходит внутри корпоративной сети - по вине сотрудников предприятия. Традиционные средства защиты (например, межсетевые экраны FW) не позволяют защитить корпоративную сеть от умысла злоумышленника, имеющего в нее доступ в рамках рабочих полномочий. Для построения эффективной системы защиты информации нужны дополнительные средства предотвращения атак.

Такими средствами уже стали программно-аппаратные комплексы с применением технологий: IPS (IDS), NAC, IDM, VPN. Необходимо также использовать современные средства аутентификации и авторизации.

Хотя и IPS/IDS, и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. IPS/IDS, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

Использование IDM-решений подразумевает наличие полномасштабной корпоративной ролевой модели пользователей. В ней учитываются все информационные активы предприятия, а также описываются бизнес-роли персонала и порядок доступа для каждой из них к каждому активу. При этом согласование модели, как правило, сопряжено с большими трудностями из-за противоречивых требований к ней со стороны разных структур и подразделений компании.

Литература

1.      Галатенко В.А. "Основы информационной безопасности" - М.: 2006.

2.      Материалы с сайта <http://t-mash.ru/ru/21112014-obzor-mezhsetevyh-ekranov-sleduyushchego-pokoleniya-dell-sonicwall-ngfw-ot-dell-software> Статья "Обзор межсетевых экранов следующего поколения Dell SonicWALL NGFW от Dell Software";

.        Материалы с сайта <http://mirtelecoma.ru/magazine/elektronnaya-versiya/26/> Статья "Информационная безопасность в корпоративных сетях передачи данных";

.        Материалы с сайта https: // ru. wikipedia.org: Статья "Межсетевой экран";

.        Материалы с сайта www.arinteg.ru <http://www.arinteg.ru>: Статья "Информационная безопасность в интернете";

.        Журнал сетевых решений LAN: <http://www.osp.ru/lan/2013/02/13034063/>.

.        Материалы с сайта: http://www.imc.org.ua/index4. php? a=prot707a <http://www.imc.org.ua/index4.php?a=prot707a> Статья Барсукова В.С. "Безопасность GSM: реальная или виртуальная?".