Информационная безопасность
1. Как Вы думаете, почему выгоднее выделять отдельные сети и обеспечивать защиту информации только на их периметре
Компьютерная сеть - это система распределенной обработки информации, состоящая как минимум из двух компьютеров, взаимодействующих между собой с помощью средств связи.
Средства связи должны обеспечивать надежную передачу информации между компьютерами сети. Компьютеры, входящие в состав сети, выполняют достаточно широкий круг функций, основными из которых являются:
- организация доступа к сети;
- управления передачей информации;
- предоставление вычислительных ресурсов и услуг абонентам сети.
Компьютерные сети по их радиусу действия и сложности, делятся на три группы: локальные сети, региональные сети и глобальные сети.
Кроме рассмотренной классификации сетей, существует еще один тип - корпоративная сеть. Подобные сети объединяют разных пользователей в пределах одной или нескольких организаций и предоставляют им множество ресурсов. Несмотря на то, что большую локальную сеть можно рассматривать как корпоративную, все-таки корпоративная сеть обычно состоит из нескольких локальных сетей, образующих региональную или глобальную сеть.
Большинство крупных сетей разрабатывается на основе структуры с общей магистралью, к которой через мосты и маршрутизаторы присоединяются отдельные сети (подсети). Эти подсети обслуживают различные отделы. Подсети могут делиться и далее на сегменты, предназначенные для обслуживания рабочих групп.
В общем случае распределение сети на отдельные сети (логические сегменты) повышает производительность сети (за счет разгрузки сегментов), а также гибкость построения сети, увеличивая степень защиты данных, и облегчает управление сетью.
Сегментация увеличивает гибкость сети. При построении сети как совокупности подсетей каждая подсеть может быть адаптирована к специфическим потребностям рабочей группы или отдела. Например, в одной подсети может использоваться технология Ethernet и ОС NetWare, а в другой - Token Ring и OS-400, в соответствии с традициями того или иного отдела или потребностей имеющихся приложений. Вместе с тем, у пользователей обеих подсетей есть возможность обмениваться данными через межсетевые устройства, такие как мосты, коммутаторы, маршрутизаторы.
Процесс разбивки сети на отдельные сети можно рассматривать и в обратном направлении, как процесс создание крупной сети из модулей - уже имеющихся подсетей.
Подсети повышают безопасность данных. При подключении пользователей к различным физическим сегментам сети можно запретить доступ определенных пользователей к ресурсам других сегментов. Устанавливая различные логические фильтры на мостах, коммутаторах и маршрутизаторах, можно контролировать доступ к ресурсам.
Подсети упрощают управление сетью. Побочным эффектом уменьшения трафика и повышения безопасности данных является упрощение управления сетью. Проблемы очень часто локализуются внутри сегмента. Как и в случае структурированной кабельной системы, проблемы одной подсети не влияют на другие подсети.
Организация многоуровневой защиты связана с определением периметра сети, внутренней сети и политики безопасности системы - фактора персонала.
Периметр - это усиленная граница сети, которая в своем составе может содержать: маршрутизаторы (routers); брандмауэры (firewalls); систему обнаружения вторжений (СОВ, IDS); устройства виртуальной частной сети (УВЧС, VPN); программное обеспечение сети; демилитаризованную зону (ДМЗ, DMZ) и экранированные подсети.
Маршрутизаторы осуществляют управление входным, выходным и внутрисетевым трафиком. Пограничный маршрутизатор является последним перед выходом в незащищенную сеть и выполняет роль первого и последнего рубежа защиты сети.
Брандмауэр или межсетевой экран анализирует объем информации, передаваемой в единицу времени, используя набор правил, которые позволяют определить возможность или невозможность передачи трафика сети. Область действия брандмауэра начинается в точке окончания области действия пограничного маршрутизатора.
Система обнаружения вторжений (СОВ) позволяет выявить и сообщить о вторжении в сеть, а также о потенциально опасных событиях. В случае выявления критических событий детекторы СОВ сообщают администратору и / или осуществляют запись в журнал событий.
Демилитаризованная зона - это подсеть, содержащая ресурсы общего пользования и подключается к брандмауэру или иному фильтрующему устройству, который защищает ее от внешних вторжений. Экранированная подсеть является областью, размещаемой вне брандмауэра. Цель использования экранированной подсети - изоляция серверов, к которым необходимо обеспечить доступ с незащищенной сети и используемых пользователями внутренней защищенной подсети.
Внутренняя сеть - это сеть, защищенная по периметру. Она состоит из всех серверов, рабочих станций и информационной инфраструктуры. Для обеспечения защиты внутренней сети используются следующие устройства "периметра": маршрутизаторы - для фильтрования входящего и исходящего трафика подсети; внутренние брандмауэры - для распределения ресурсов; прокси-брандмауэры - для повышения безопасности; детекторы СОВ - для мониторинга трафика внутренней сети. Во внутренней сети также используются: персональные брандмауэры - для усиления защиты какой- либо сетевой компьютерной единицы; антивирусное программное обеспечение; усиление защиты операционной системы; управление конфигурацией системы; аудит.
Защита периметра сети является обязательным элементом системы информационной безопасности организации. Минимизация внешних угроз достигается путем внедрения многоуровневой системы защиты информации, и в первую очередь на внешней границе сети.
Защита периметра отдельных сетей позволяет добиться:
- защищенности доступа внутренних пользователей во внешние сети;
- предоставление доступа из внешних сетей к публичным ресурсам;
- защиту от сетевых атак на внутрисетевые ресурсы;
- создания единой точки антивирусной и антиспам фильтрации;
- предотвращения утечки конфиденциальной информации;
- мониторинга и анализа событий информационной безопасности.
Итак, выгода в выделении отдельных сетей в том, что периметр внутренней сети проще охранять от угроз извне и при какой либо атаке внутри сети пострадает только одна сеть, внутри своего периметра.
Содержание
Похожие материалы