Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Безопасность корпоративных сетей

Безопасность корпоративных сетей

Высокая безопасность и соответствие нормативным требованиям являются обязательными условиями в проектах по развертыванию корпоративных сетей.

Для защиты собственных информационных ресурсов предприятия внедряют в инфраструктуру решения по обеспечению безопасности сети, гарантирующие безопасность сети и коммерческих данных на всех уровнях:

  • межсетевой экран
  • управляемые VPN сети
  • поиск и блокировка попыток вторжений в сеть
  • защита конечных точек обмена трафиком
  • корпоративная антивирусная система.

Безопасность подключений

Для сотрудников, находящихся в командировках или работающих из дома, услуга удаленного доступа к корпоративной сети стала рабочей необходимостью.

Все больше организаций разрешают партнерам осуществлять удаленный доступ к своим сетям с целью сокращения затрат на обслуживание систем. Поэтому защита конечных точек обмена трафиком – одна из самых важных задач обеспечения безопасности сети компании.

Места, где корпоративная сеть подключается к Интернету, являются периметром безопасности сети. В этих точках пересекается входящий и исходящий трафик. Трафик корпоративных пользователей выходит за границы сети, а интернет — запросы от внешних пользователей для получения доступа к веб-приложениям и приложениям электронной почты входят в сеть компании.

Из-за того, что в конечных точках выполняется постоянное подключение к Интернету, которое обычно разрешает прохождение внешнего трафика в корпоративную сеть, она является основной целью атак злоумышленников.

При построении корпоративной сети безопасности данных на границах сети в точках выхода в Интернет устанавливают межсетевые экраны. Эти устройства позволяют предотвратить и блокировать внешние угрозы при проведении терминации VPN туннелей (см. рис. 1).

Рис.1 Периметр безопасности корпоративной сети

Набор интегрированных решений для безопасных подключений от Cisco Systems обеспечивает конфиденциальность информации. В сети ведется экспертиза всех конечных точек и методов доступа во всех сетях компании: LAN, WAN и беспроводной мобильной сети

Обеспечивается полная доступность межсетевого экрана и сервисов VPN. Функции межсетевого экрана обеспечивают фильтрацию уровня приложений с сохранением состояния для входящего и исходящего трафика, защищенный исходящий доступ для пользователей и сеть DMZ для серверов, к которым необходимо осуществлять доступ из Интернета.

Системный интегратор ИЦ «Телеком-Сервис» строит сети корпоративной безопасности на базе многофункциональных устройств защиты Cisco Systems, Juniper Networks и Huawei Technologies, позволяющих сократить количество необходимых устройств в сети.

Комплексные решения по обеспечению безопасности корпоративной сети Cisco Systems, Juniper Networks и Huawei Technologies имеют ряд преимуществ, важных для эффективного бизнеса:

  • сокращение ИТ-бюджетов на эксплуатацию и обслуживание программно-аппаратного обеспечения
  • повышение гибкости сети
  • снижение затрат на внедрение
  • снижение общей стоимости владения
  • усиление контроля с помощью единого управления и введения политик безопасности
  • повышение прибыли и увеличение показателей эффективности предприятия
  • снижение угроз безопасности для сети и СХД
  • применение эффективных политик безопасности и правил на конечных узлах сети: ПК, КПК и серверах
  • сокращение сроков внедрения новых решений в области безопасности
  • эффективная профилактика сети от вторжений
  • интеграция с ПО других разработчиков в области безопасности и управления.
  • полномасштабное управление доступом к сети

Продукты по безопасности Cisco на всех уровнях сети

Безопасность конечных точек: Программа-агент безопасности Cisco Cisco Security Agent защищает компьютеры и серверы от атак червей.

Встроенные межсетевые экраны: модули PIX Security Appliance, Catalyst 6500 Firewall Services Module и набор функций межсетевого экрана (firewall) защищают сеть внутри и по периметру.

Защита от сетевых вторжений: Датчики IPS 4200 Series sensors, модули служб IDS Catalyst 6500 (IDSM-2) или IOS IPS идентифицируют, анализируют и блокируют злонамеренный нежелательный трафик.

Выявление и устранение атак DDoS: Детектор аномалий трафика Cisco Traffic Anomaly Detector XT и Guard XT обеспечивают нормальную работу в случае атак, прерывающих работу службы. Модули служб детектора аномалий трафика Cisco и Cisco Guard создают стойкую защиту от атак DdoS в коммутаторах серии Catalyst 6500 и маршрутизаторах серии 7600.

Безопасность контента: модуль устройства Access Router Content Engine module защищает бизнес-приложения, работающие с интернет, обеспечивает доставку веб-контента без ошибок.

Интеллектуальные службы администрирования сети и систем безопасности: в маршрутизаторах и коммутаторах Cisco находят и блокируют нежелательный трафик и приложения.

Менеджмент и мониторинг:

  • CiscoWorks VPN/Security Management Solution (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) — система управления информацией о состоянии безопасности

    Технология Network Admission Control (NAC) от Cisco

    Контроль доступа в сеть (Network Admission Control, NAC) – это набор технологий и решений, фундаментом которых служит общеотраслевая инициатива, реализуемая под патронажем Cisco Systems.

    NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети. Так снижается возможный ущерб в сети от угроз безопасности.

    Безопасный удаленный доступ к корпоративной VPN сотрудникам и партнерам многофункциональные устройства защиты обеспечивают с помощью протоколов SSL и IPsec VPN, встроенных блокировочных сервисов для предупреждения и предотвращения IPS вторжений.

    Self-Defending Network — стратегия самозащищающейся сети от Cisco

    Self-Defending Network является развивающейся стратегией будущего от Cisco. Технология позволяет защитить бизнес-процессы предприятия путем обнаружения и предотвращения атак, адаптации к внутренним и внешним угрозам сети.

    Предприятия могут эффективнее использовать интеллектуальные возможности сетевых ресурсов, оптимизировать бизнес-процессы и сократить расходы.

    Пакет управления безопасностью Cisco

    Пакет управления безопасностью Cisco представляет собой набор продуктов и технологий, разработанных для масштабируемого администрирования и усиления политик безопасности для само защищающейся сети Cisco.

    Интегрированный продукт Cisco позволяет автоматизировать задачи управления безопасностью с помощью ключевых компонентов: менеджера управления и Cisco Security MARS — системы мониторинга, анализа и реагирования.

    Менеджер управления системой безопасности Cisco имеет простой интерфейс для настройки межсетевого экрана, VPN и системы защиты от вторжений (IPS) на устройствах безопасности, межсетевых экранах, маршрутизаторах и коммутаторах Cisco.

    Безопасность корпоративных сетей

    Высокая безопасность и соответствие нормативным требованиям являются обязательными условиями в проектах по развертыванию корпоративных сетей.

    Для защиты собственных информационных ресурсов предприятия внедряют в инфраструктуру решения по обеспечению безопасности сети, гарантирующие безопасность сети и коммерческих данных на всех уровнях:

    • межсетевой экран
    • управляемые VPN сети
    • поиск и блокировка попыток вторжений в сеть
    • защита конечных точек обмена трафиком
    • корпоративная антивирусная система.

    Безопасность подключений

    Для сотрудников, находящихся в командировках или работающих из дома, услуга удаленного доступа к корпоративной сети стала рабочей необходимостью.

    Все больше организаций разрешают партнерам осуществлять удаленный доступ к своим сетям с целью сокращения затрат на обслуживание систем. Поэтому защита конечных точек обмена трафиком – одна из самых важных задач обеспечения безопасности сети компании.

    Места, где корпоративная сеть подключается к Интернету, являются периметром безопасности сети. В этих точках пересекается входящий и исходящий трафик. Трафик корпоративных пользователей выходит за границы сети, а интернет — запросы от внешних пользователей для получения доступа к веб-приложениям и приложениям электронной почты входят в сеть компании.

    Из-за того, что в конечных точках выполняется постоянное подключение к Интернету, которое обычно разрешает прохождение внешнего трафика в корпоративную сеть, она является основной целью атак злоумышленников.

    При построении корпоративной сети безопасности данных на границах сети в точках выхода в Интернет устанавливают межсетевые экраны. Эти устройства позволяют предотвратить и блокировать внешние угрозы при проведении терминации VPN туннелей (см. рис. 1).

    Рис.1 Периметр безопасности корпоративной сети

    Набор интегрированных решений для безопасных подключений от Cisco Systems обеспечивает конфиденциальность информации. В сети ведется экспертиза всех конечных точек и методов доступа во всех сетях компании: LAN, WAN и беспроводной мобильной сети

    Обеспечивается полная доступность межсетевого экрана и сервисов VPN. Функции межсетевого экрана обеспечивают фильтрацию уровня приложений с сохранением состояния для входящего и исходящего трафика, защищенный исходящий доступ для пользователей и сеть DMZ для серверов, к которым необходимо осуществлять доступ из Интернета.

    Системный интегратор ИЦ «Телеком-Сервис» строит сети корпоративной безопасности на базе многофункциональных устройств защиты Cisco Systems, Juniper Networks и Huawei Technologies, позволяющих сократить количество необходимых устройств в сети.

    Комплексные решения по обеспечению безопасности корпоративной сети Cisco Systems, Juniper Networks и Huawei Technologies имеют ряд преимуществ, важных для эффективного бизнеса:

    • сокращение ИТ-бюджетов на эксплуатацию и обслуживание программно-аппаратного обеспечения
    • повышение гибкости сети
    • снижение затрат на внедрение
    • снижение общей стоимости владения
    • усиление контроля с помощью единого управления и введения политик безопасности
    • повышение прибыли и увеличение показателей эффективности предприятия
    • снижение угроз безопасности для сети и СХД
    • применение эффективных политик безопасности и правил на конечных узлах сети: ПК, КПК и серверах
    • сокращение сроков внедрения новых решений в области безопасности
    • эффективная профилактика сети от вторжений
    • интеграция с ПО других разработчиков в области безопасности и управления.
    • полномасштабное управление доступом к сети
    Читать еще:  Обеспечение безопасности сервера

    Продукты по безопасности Cisco на всех уровнях сети

    Безопасность конечных точек: Программа-агент безопасности Cisco Cisco Security Agent защищает компьютеры и серверы от атак червей.

    Встроенные межсетевые экраны: модули PIX Security Appliance, Catalyst 6500 Firewall Services Module и набор функций межсетевого экрана (firewall) защищают сеть внутри и по периметру.

    Защита от сетевых вторжений: Датчики IPS 4200 Series sensors, модули служб IDS Catalyst 6500 (IDSM-2) или IOS IPS идентифицируют, анализируют и блокируют злонамеренный нежелательный трафик.

    Выявление и устранение атак DDoS: Детектор аномалий трафика Cisco Traffic Anomaly Detector XT и Guard XT обеспечивают нормальную работу в случае атак, прерывающих работу службы. Модули служб детектора аномалий трафика Cisco и Cisco Guard создают стойкую защиту от атак DdoS в коммутаторах серии Catalyst 6500 и маршрутизаторах серии 7600.

    Безопасность контента: модуль устройства Access Router Content Engine module защищает бизнес-приложения, работающие с интернет, обеспечивает доставку веб-контента без ошибок.

    Интеллектуальные службы администрирования сети и систем безопасности: в маршрутизаторах и коммутаторах Cisco находят и блокируют нежелательный трафик и приложения.

    Менеджмент и мониторинг:

  • CiscoWorks VPN/Security Management Solution (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) — система управления информацией о состоянии безопасности

    Технология Network Admission Control (NAC) от Cisco

    Контроль доступа в сеть (Network Admission Control, NAC) – это набор технологий и решений, фундаментом которых служит общеотраслевая инициатива, реализуемая под патронажем Cisco Systems.

    NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети. Так снижается возможный ущерб в сети от угроз безопасности.

    Безопасный удаленный доступ к корпоративной VPN сотрудникам и партнерам многофункциональные устройства защиты обеспечивают с помощью протоколов SSL и IPsec VPN, встроенных блокировочных сервисов для предупреждения и предотвращения IPS вторжений.

    Self-Defending Network — стратегия самозащищающейся сети от Cisco

    Self-Defending Network является развивающейся стратегией будущего от Cisco. Технология позволяет защитить бизнес-процессы предприятия путем обнаружения и предотвращения атак, адаптации к внутренним и внешним угрозам сети.

    Предприятия могут эффективнее использовать интеллектуальные возможности сетевых ресурсов, оптимизировать бизнес-процессы и сократить расходы.

    Пакет управления безопасностью Cisco

    Пакет управления безопасностью Cisco представляет собой набор продуктов и технологий, разработанных для масштабируемого администрирования и усиления политик безопасности для само защищающейся сети Cisco.

    Интегрированный продукт Cisco позволяет автоматизировать задачи управления безопасностью с помощью ключевых компонентов: менеджера управления и Cisco Security MARS — системы мониторинга, анализа и реагирования.

    Менеджер управления системой безопасности Cisco имеет простой интерфейс для настройки межсетевого экрана, VPN и системы защиты от вторжений (IPS) на устройствах безопасности, межсетевых экранах, маршрутизаторах и коммутаторах Cisco.

    Твой Сетевичок

    Все о локальных сетях и сетевом оборудовании

    Безопасность корпоративной сети: защита компьютера в сети

    Сразу отметим, что системы защиты, которая 100% даст результат на всех предприятиях, к сожалению, не существует. Ведь с каждым днём появляются всё новые способы обхода и взлома сети (будь она корпоративная или домашняя). Однако тот факт, что многоуровневая защита — все же лучший вариант для обеспечения безопасности корпоративной сети, остается по-прежнему неизменным.

    И в данной статье мы разберем пять наиболее надежных методов защиты информации в компьютерных системах и сетях, а также рассмотрим уровни защиты компьютера в корпоративной сети.

    Однако сразу оговоримся, что наилучшим способом защиты данных в сети является бдительность ее пользователей. Все сотрудники компании, вне зависимости от рабочих обязанностей, должны понимать, и главное — следовать всем правилам информационной безопасности. Любое постороннее устройство (будь то телефон, флешка или же диск) не должно подключаться к корпоративной сети.

    Кроме того, руководству компании следует регулярно проводить беседы и проверки по технике безопасности, ведь если сотрудники халатно относятся к безопасности корпоративной сети, то никакая защита ей не поможет.

    Защита корпоративной сети от несанкционированного доступа

    1. 1. Итак, в первую очередь необходимо обеспечить физическую безопасность сети. Т.е доступ во все серверные шкафы и комнаты должен быть предоставлен строго ограниченному числу пользователей. Утилизация жестких дисков и внешних носителей, должна проходить под жесточайшим контролем. Ведь получив доступ к данным, злоумышленники легко смогут расшифровать пароли.
    2. 2. Первой «линией обороны» корпоративной сети выступает межсетевой экран, который обеспечит защиту от несанкционированного удалённого доступа. В то же время он обеспечит «невидимость» информации о структуре сети.

    В число основных схем межсетевого экрана можно отнести:

    • — использование в его роли фильтрующего маршрутизатора, который предназначен для блокировки и фильтрации исходящих и входящих потоков. Все устройства в защищённой сети имеет доступ в интернет, но обратный доступ к этим устройства из Интернета блокируется;
    • — экранированный шлюз, который фильтрует потенциально опасные протоколы, блокируя им доступ в систему.
    1. 3. Антивирусная защита является главным рубежом защиты корпоративной сети от внешних атак. Комплексная антивирусная защита минимизирует возможность проникновения в сеть «червей». В первую очередь необходимо защитить сервера, рабочие станции, интернет шлюзы и систему корпоративного чата.

    На сегодняшний день одной из ведущих компаний по антивирусной защите в сети является «Лаборатория Касперского», которая предлагает такой комплекс защиты, как:

    • — контроль защиты рабочих мест – это комплекс сигнатурных и облачных методов контроля за программами и устройствами и обеспечения шифрования данных;
    • — обеспечение защиты виртуальной среды с помощью установки «агента» на одном (или каждом) виртуальном хосте;
    • — защита «ЦОД» (центр обработки данных) – управление всей структурой защиты и единой централизованной консоли;
    • — защита от DDoS-атак, круглосуточный анализ трафика, предупреждение о возможных атаках и перенаправление трафика на «центр очистки».

    Это только несколько примеров из целого комплекса защиты от «Лаборатории Касперского».

    1. 4. Защита виртуальных частных сетей (VPN). На сегодняшний день многие сотрудники компаний осуществляют рабочую деятельность удаленно (из дома), в связи с этим необходимо обеспечить максимальную защиту трафика, а реализовать это помогут шифрованные туннели VPN.

    При этом категорически запрещено использовать ПО для удалённого доступа к рабочей сети.

    Одним из минусов привлечения «удалённых работников» является возможность потери (или кражи) устройства, с которого ведется работы и последующего получения доступа в корпоративную сеть третьим лицам.

    1. 5. Грамотная защита корпоративной почты и фильтрация спама.

    Безопасность корпоративной почты

    Компании, которые обрабатывают большое количество электронной почты, в первую очередь подвержены фишинг–атакам.

    Основными способами фильтрация спама, являются:

    • — установка специализированного ПО (данные услуги так же предлагает «Лаборатория Касперского»);
    • — создание и постоянное пополнение «черных» списков ip-адресов устройств, с которых ведется спам-рассылка;
    • — анализ вложений письма (должен осуществляться анализ не только текстовой части, но и всех вложений — фото, видео и текстовых файлов);
    • — определение «массовости» письма: спам-письма обычно идентичны для всех рассылок, это и помогает отследить их антиспам-сканерам, таким как «GFI MailEssentials» и «Kaspersky Anti-spam».

    Это основные аспекты защиты информации в корпоративной сети, которые работают, практически в каждой компании. Но выбор защиты зависит также от самой структуры корпоративной сети.

    Как обеспечить безопасность корпоративной компьютерной сети

    Как показывает отчет PricewaterhouseCoopers, в 2018 году компьютерные атаки являются первоочередной угрозой для бизнеса: они беспокоят 41% опрошенных. Годом раньше эту опасность респонденты PwC ставили лишь на пятое место по степени значимости.

    Читать еще:  Определение политики безопасности

    А по статистике компании Positive Technologies, в IV квартале 2017 года почти 40% зафиксированных ею атак имели своей целью получить доступ к данным и в трети случаев мишенями были пользователи.

    Защиту корпоративной сети должна наладить каждая компания, заботящаяся о своем бизнесе. А каркасом цифровой безопасности организации в настоящее время часто является UTM-система, включающая в себя межсетевой экран (firewall), предназначенный для защиты периметра сети. Решение контролирует потоки данных между «большим интернетом» и внутренней сетью компании. В том числе блокирует нежелательный трафик по заранее заданным правилам. К этому классу продуктов и относится универсальный шлюз безопасности Traffic Inspector Next Generation.

    На текущий момент существует два базовых подхода к защите корпоративной сети:

    • построить собственную защиту периметра с нуля;
    • развернуть в локальной сети готовое UTM-решение.

    Как у первого, так и у второго есть достоинства и недостатки. И какой выбрать — зависит от масштаба корпоративной сети, от доступного бюджета, от типа бизнеса, которому требуется защита. Разберем по очереди и тот и другой метод.

    По первому впечатлению создание своего комплекса безопасности представляется самым надежным вариантом. В общем виде такие проекты реализуются следующим образом: либо собственные IT-специалисты компании, либо подрядчик — системный интегратор строят на базе набора защитных устройств и программ контуры информационной обороны. Под каждую задачу обеспечения цифровой безопасности подбирается отдельное решение или несколько, и они увязываются в единую систему.

    При основательном добросовестном подходе возможна гибкая адаптация доступных на рынке продуктов под профиль бизнеса, особенности его структуры, его специфику работы с данными. Но гладко бывает только в рекламных презентациях, а дешево — забежим вперед — не бывает никогда.

    • При грамотном планировании удается наладить бесшовную систему, в которой оптимизировано всё и вся. Вплоть до скорости передачи трафика.

    Это повышает производительность системы, которая особенно важна в высоконагруженных сервисах, например, в платежных процессингах, где выполняются десятки тысяч операций в секунду.

    • Возможна адаптация защитного комплекса под конкретные задачи и под конкретные цифровые риски, характерные для сферы деятельности компании. Архитекторы систем компьютерной защиты знают, какие уязвимости чаще всего оказываются фатальными для финансовых, или медицинских, или промышленных структур, через какие участки защитного периметра, как правило, совершаются атаки. И знают, как залатать ту или иную брешь, где и чем усилить защиту корпоративной сети. UTM-решения «из коробки» выполняют большую часть задач кибербезопасности, но некоторые особенно экзотические — не до конца (или после длительной конфигурации, или с привлечением дополнительных средств защиты).

    Хотя бывает, что единственно верный выбор — распределенная и эшелонированная оборона. Например, если на страже спокойствия корпоративной сети стоит только UTM и киберпреступник получит удаленный доступ к нему, весь периметр окажется оголенным. Так что какой-нибудь центр обработки данных (ЦОД) лучше всего снабдить многоуровневой системой безопасности, с использованием нескольких устройств и программно-аппаратных решений различной защитной функциональности.

    С нуля, — значит, дорого.

    • закупка парка техники и программного обеспечения;
    • интеграция оборудования и ПО;
    • амортизация оборудования и продление лицензий на большое число машин.

    Антивирусы, антиспам, веб-фильтры, системы фильтрации контента, DLP-службы, WAN-оптимизаторы, VPN-шлюзы, IPS и многое, многое другое, — в общей сложности все это тянет на десятки, а то и сотни тысяч долларов, особенно когда защите подлежит крупная и территориально распределенная инфраструктура.

    Не у всякой компании найдутся бюджеты на столь масштабные работы. И не для всякой подобные инвестиции рациональны.

    Внутри компании постоянно нужны ресурсы для того, чтобы «щит» выполнял свои функции. Мало построить собственную систему безопасности — нужно ее поддерживать в надлежащем состоянии. А это снова затраты, явные и неявные, — на содержание штата IT-специалистов. Явные — это в первую очередь фонд оплаты труда. В свою очередь, неявные хуже поддаются учету — например, дополнительные расходы вытекают из необходимости контролировать работу подразделения с точки зрения корпоративной безопасности: каким бы проницательным ни был ваш эйчар, ему не по плечу предугадать все неожиданности, которые влечет за собой человеческий фактор.

    Согласно статистике «Лаборатории Касперского», 80% удавшихся кибератак обязаны своим успехом именно человеческому фактору — действию или бездействию конкретных людей внутри компании. И не всегда в проникновении внутрь корпоративной инфраструктуры прямо или косвенно виноваты рядовые пользователи: нередко ответственность лежит на администраторах сети, либо недостаточно компетентных, либо ситуативно принявших ошибочное решение, либо сознательно пошедших на должностное преступление.

    Если уволить администратора или безопасника, есть риск, что тот не сумеет или не пожелает передать все тонкости «оборонной» конфигурации сети своему преемнику. Чтобы наработанные модели защиты оставались воспроизводимыми, необходимо документировать все процедуры и нововведения по линии цифровой безопасности, что означает — верно: дополнительные затраты.


    Трудности с унификацией между используемыми программами и оборудованием

    Распространена ситуация, когда под решение специфических задач приходится сводить воедино очень разное ПО и оборудование. Велика опасность получить на выходе «зоопарк» решений — с конфликтами между продуктами и рассинхронизацией обновлений.


    Дублирование функций, а следовательно, снова лишние расходы плюс замедление системы

    В последние годы наблюдается тренд на универсальные решения, предназначенные для обеспечения защиты корпоративной сети. Поэтому часто в защитном комплексе оказываются продукты, функциональность которых пересекается. Если не выполнить филигранную настройку всех компонентов контура обороны, одновременная работа доброго десятка решений может замедлять передачу трафика.

    Проектирование и реализация собственной создаваемой с нуля системы безопасности целесообразны главным образом для крупных и очень крупных компаний, которые располагают соответствующими бюджетами, а главное — по объективным причинам не могут обеспечить себе достаточно надежной защиты иными способами.

    Расшифровывается UTM как unified threat management, или универсальная система защиты от сетевых угроз. Она же шлюз безопасности. К данной категории решений относится и Traffic Inspector Next Generation. В числе прочего он обеспечивает:

    • защиту периметра сети с полным контролем статуса сетевых соединений;
    • автоматическое регулирование интернет-активности сотрудников;
    • организацию удаленного доступа к корпоративной сети с применением VPN;
    • работу прокси с мониторингом трафика на предмет цифровых угроз;
    • проброс портов, DNS-форвардинг и другие тонкие настройки взаимодействия машин из корпоративной сети с внешним миром.

    Включает в себя защитные технологии, которых малому и среднему бизнесу достаточно для того, чтобы снизить опасность до статистически приемлемого уровня. В том числе, по крайней мере в случае Traffic Inspector Next Generation:

    • собственно файрвол;
    • антивирусные модули;
    • IDS/IPS;
    • службу мониторинга сетевой активности.

    Раньше большинство решений такого типа работали с пакетами данных только на сетевом уровне, сегодня же многие современные межсетевые экраны умеют анализировать пакеты вплоть до седьмого уровня модели OSI.

    Гарантия определенного уровня защиты. Будучи сертифицированным ФСТЭК России, UTM (и Traffic Inspector Next Generation не исключение) содержит лишь те защитные решения, которые входят в государственный реестр. Это чуть сужает выбор, зато задает планку качества.

    Скоординированность работы модулей. В собранном с нуля защитном комплексе, как мы говорили ранее, возможны конфликты программ и оборудования. В UTM разработчики скрупулезно отлаживают взаимодействие модулей, поскольку те должны функционировать стабильно в самых разных условиях, в самых разных организациях. А значит, средняя устойчивость такой системы выше.

    Значительно дешевле, чем внедрение индивидуальной, кастомизированной защиты. Продукт готовый и тиражируемый, поэтому по карману большинству предпринимателей и руководителей. А под конкретное сетевое окружение подгоняется за счет гибкого конфигурирования модулей.

    Как правило, обладает наглядным интерфейсом, управление им понятно человеку без IT-бэкграунда. Для обслуживания UTM обычно достаточно одного системного администратора, а в повседневности работать с ним в штатном режиме сумеет и сам владелец небольшого бизнеса.

    Скорость работы не всегда оптимальна. Это утверждение касается не всех UTM без исключения, но во многих действительно службы безопасности (система предотвращения вторжений, антивирус и прочие) при одновременной работе способны снижать быстродействие оборудования, на котором работают, и замедлять процесс обмена данными между интернетом и локальной сетью.

    Не максимально возможная защита локальной сети от угроз внутренних. Например, от утечки данных. В крупных корпорациях для предотвращения подобных инцидентов применяют решения класса DLP (data leakage prevention).

    Читать еще:  Безопасность сетевых приложений

    С другой стороны, до состояния, в котором организация заинтересует действительно мощные хакерские группы, ей надо еще дорасти.

    Достоинство, которое способно обернуться недостатком. Не все хитрые узкоспециальные задачи UTM будет решать «из коробки», без дополнительных манипуляций.

    UTM — своего рода «сторожевая башня», которая помогает обеспечивать защиту локальной сети от несанкционированного доступа и других цифровых угроз.

    Это решение выдерживает хакерские атаки, служит для предотвращения кражи информации, защищает машины в сети от вирусов и автоматически регулирует веб-активность «подшефных» пользователей. И в большинстве случаев его достаточно для создания высокого уровня информационной безопасности внутри компании.

    Корпоративные сети и проблемы безопасности

    Рубрика: Информационные технологии

    Дата публикации: 22.12.2016 2016-12-22

    Статья просмотрена: 1022 раза

    Библиографическое описание:

    Нагиева А. Ф. Корпоративные сети и проблемы безопасности // Молодой ученый. — 2016. — №29. — С. 34-36. — URL https://moluch.ru/archive/133/37194/ (дата обращения: 03.04.2020).

    Термин корпорация происходит от латинского «corporation», т. е. объединение. Предназначается для создания взаимной связи между субъектами, входящими в это объединение и другими членами общества.

    При обеспечении существования и развития информационной корпорации возникает проблема её безопасности. Потеря информации, относящейся к субъекту корпорации, т. е. персональной информации, не может быть весомой утратой корпоративных ресурсов.

    Но утрата контроля над обменом информации в корпорации может быть значительной утратой ресурсов, может привести к подмене реальной информации ложной, а в результате злоумышленники могут частично овладеть контролем деятельности корпорации. [1]

    Компьютерная сеть (КС) — это специальная сеть предназначенная для выполнения вычислений, объединения коммуникационных и информационных ресурсов и передачи электронных данных (например, электронных документов, голоса, видеоизображений).

    В общем случае КС это система, обеспечивающая информационный обмен между различными прикладными программами, используемыми в корпорации. КС включает в себя различные компоненты системных и прикладных программ, сетевые адаптеры, концентраторы, коммутаторы и маршрутизаторы и кабельные системы.

    Современные КС обеспечивают различного рода службы. К этим службам относятся традиционные передачи данных, IP –телефония, аудиоконференции и видеопередачи, защита и видеонаблюдение.

    Использование КС обеспечивает в учреждении нижеприведенные функции.

    – совместную эффективную работу пользователей

    – максимально рациональное использование компьютеров, периферийных устройств и программных средств

    – простоту и удобство доступа к данным, находящимся в общем пользовании

    Современные корпорации это сложные и многопрофильные структуры, представляющие собой распределенную иерархическую систему управления. Кроме этого в корпорацию входят находящиеся вдалеке друг от друга учреждения, отделения и административные офисы. Именно с этой целью создаются корпоративные сети (КС) для централизованного управления этими объединениями учреждений.

    Решение телекоммуникационных проблем

    Одной из основных проблем при создании КС является организация каналов связи. Как правило КС охватывают большие территории, т. е. включают в себя офисы, отделения и др. структуры, расположенные вдалеке друг от друга. В большинстве случаев узлы КС располагаются в различных городах, в некоторых случаях в различных странах и, даже, континентах.

    Принципы построения подобных сетей отличаются от принципов построения локальных сетей (ЛС), охватывающих несколько зданий. Основное различие состоит в том, что территориально распределенные КС используют арендованные каналы связи.

    Если при создании ЛС затраты на их создание состоят из стоимости соответствующего оборудования и на проводку кабелей, то затраты территориально распределенных КС идут на аренду каналов связи.

    В настоящее время эта проблема решается путем подключения к уже существующим глобальным сетям (ГС), например, Internet. В это время требуется лишь обеспечение связи до ближайшего узла ГС, а передачу информации между узлами обеспечивает ГС [2].

    Поэтому, при создании даже сколько-нибудь маленькой сети в рамках города, необходимо использовать технологии, способные обеспечить адаптирование к существующим ГС и допускающие расширение создаваемой сети.

    При создании КС для передачи данных могут быть использованы все существующие технологии и каналы связи.

    Внутри самой для передачи данных можно использовать виртуальные каналы сети с пакетной коммутацией.

    Для построения корпоративной информационной системы в качестве виртуальной сети могут быть использованы как Х.25, так и Frame Relay сети. Выбор одного из них производится на базе различных показателей. К этим показателям относятся качество каналов связи, доступность услуг в узлах подключения и финансовые издержки.

    На сегодняшний день расходы на междугородную связь для Frame Relay сетей в несколько раз выше, чем для использования Х.25 сетей. С другой стороны высокая скорость передачи информации и возможность при передаче одновременно данных сопровождаемой голосовой составляющей могут быть определяющим аргументом в пользу Frame Relay.

    В части использования арендуемых каналов связи КС применение Frame Relay технологии более целесообразно. В этом случае становится возможным как объединение локальных сетей (ЛС) между собой и подключение к интернету, так и использование прикладных программ Х.25 технологий. Самым простым и удобным вариантом для подключения пользователей, находящихся вдали друг от друга, является телефонная связь и Internet, там, где это возможно, использование ISDN (IntegratedServicesdigitalnetwork — цифровые сети связи, оказывающие комплексные услуги).

    Безопасность корпоративных сетей

    Обеспечение информационной безопасности является важной функцией любой сети и этому вопросу должно уделяться особое внимание.

    В КС, с использованием глобальных каналов связи, важность обеспечения информационной безопасности и связанное с этим усложнение структуры и состава сети многократно увеличивается. Это связано с рассредоточенной и циркулирующей в большом пространстве служебной и секретной информацией внутри КС и вытекающей из этого необходимости предотвращения вероятности несанкционированного доступа через многочисленные «слабые» точки КС в условиях наличия большого числа пользователей.

    Одним из основных этапов построения КС является выбор и создание политики безопасности (ПБ).

    ПБ это совокупность документированных управляющих решений, предназначенных для защиты информации и связанных с ней ресурсов. ПБ корпоративной сети отображает правила входа в сетевые ресурсы и надзор за их использованием, управления сетью, дальнейшего развития и т.д

    С практической точки зрения ПБ подразделяется на 3 уровня:

    – решения, принимаемые руководством предприятия, всецело относящиеся к предприятию и имеющие общий характер

    – вопросы, относящиеся к различным аспектам информационной безопасности

    – конкретные службы информационной системы

    При создании КС необходимо уделить крайне значительное внимание безопасности передачи данных и предотвращению недозволенного доступа к корпоративной информации. [4]

    Современные средства защиты информации способны на высоком уровне обеспечить безопасность сетей.

    Межсетевые экраны (МСЭ), организация специальных виртуальных сетей (СВС), системы обнаружения несанкционированных доступов и др. позволяют безопасную передачу информации в любой части КС.

    Для предотвращения недозволенных доступов к информационным ресурсам предприятия в КС создаются демилитаризованные зоны (ДМЗ) рис.1

    Рис. 1. Структура обеспечения безопасности схемы корпоративной сети

    Эта зона играет буферную роль между внутренней сетью, например Internet. В этой зоне обычно располагается w. w.w. сервер и почтовый сервер. Управление связями и пакетами в ДМЗ осуществляется с помощью МСЭ.

    Система управления входами пользователей КС в Internet и пользователей из Internet в КС строится на базе МСЭ и Web — сервера. Под понятием обеспечение безопасности КС понимается организация «сопротивления» попыткам несанкционированного доступа к процессу функционирования, а также, модификации аппаратных средств, программных обеспечений и данных, краже, выводу их из строя и уничтожение.

    В инфраструктуру безопасности КС входят:

    – надзор за входами;

    – шифрование (электронно-цифровая подпись (ЭЦП));

    – контентный анализ и др.

    Приведенные здесь положении в общем отображают в себе основные принципы построения корпоративной сети и могут быть использованы в практических целях.. [3]

    1. Daemen J., Rijmen V. AES Proposal: Rijndael. Document version 2.

    2. Datapro Reports on Information Security, vol.1–3,.

    3. Dierks Т., Allen C. RFC 2246: The TLS Protocol Version 1.0. January 2009 DoD 5200.28-STD. Department of Defence Trusted Computer System Evaluation Criteria (TCSEC)

    4. Interoperability Specification for ICCs and Personal Computer Systems. Part 8. Recommendations for ICC Security and Privacy Devices. Revision 1.0. PC/SC Workgroup.

  • Ссылка на основную публикацию
    Adblock
    detector