logo search
Информационная безопасность

1. Как Вы думаете, почему выгоднее выделять отдельные сети и обеспечивать защиту информации только на их периметре

Компьютерная сеть - это система распределенной обработки информации, состоящая как минимум из двух компьютеров, взаимодействующих между собой с помощью средств связи.

  • Средства связи должны обеспечивать надежную передачу информации между компьютерами сети. Компьютеры, входящие в состав сети, выполняют достаточно широкий круг функций, основными из которых являются:
  • - организация доступа к сети;
  • - управления передачей информации;
  • - предоставление вычислительных ресурсов и услуг абонентам сети.
  • Компьютерные сети по их радиусу действия и сложности, делятся на три группы: локальные сети, региональные сети и глобальные сети.
  • Кроме рассмотренной классификации сетей, существует еще один тип - корпоративная сеть. Подобные сети объединяют разных пользователей в пределах одной или нескольких организаций и предоставляют им множество ресурсов. Несмотря на то, что большую локальную сеть можно рассматривать как корпоративную, все-таки корпоративная сеть обычно состоит из нескольких локальных сетей, образующих региональную или глобальную сеть.
  • Большинство крупных сетей разрабатывается на основе структуры с общей магистралью, к которой через мосты и маршрутизаторы присоединяются отдельные сети (подсети). Эти подсети обслуживают различные отделы. Подсети могут делиться и далее на сегменты, предназначенные для обслуживания рабочих групп.
  • В общем случае распределение сети на отдельные сети (логические сегменты) повышает производительность сети (за счет разгрузки сегментов), а также гибкость построения сети, увеличивая степень защиты данных, и облегчает управление сетью.
  • Сегментация увеличивает гибкость сети. При построении сети как совокупности подсетей каждая подсеть может быть адаптирована к специфическим потребностям рабочей группы или отдела. Например, в одной подсети может использоваться технология Ethernet и ОС NetWare, а в другой - Token Ring и OS-400, в соответствии с традициями того или иного отдела или потребностей имеющихся приложений. Вместе с тем, у пользователей обеих подсетей есть возможность обмениваться данными через межсетевые устройства, такие как мосты, коммутаторы, маршрутизаторы.
  • Процесс разбивки сети на отдельные сети можно рассматривать и в обратном направлении, как процесс создание крупной сети из модулей - уже имеющихся подсетей.
  • Подсети повышают безопасность данных. При подключении пользователей к различным физическим сегментам сети можно запретить доступ определенных пользователей к ресурсам других сегментов. Устанавливая различные логические фильтры на мостах, коммутаторах и маршрутизаторах, можно контролировать доступ к ресурсам.
  • Подсети упрощают управление сетью. Побочным эффектом уменьшения трафика и повышения безопасности данных является упрощение управления сетью. Проблемы очень часто локализуются внутри сегмента. Как и в случае структурированной кабельной системы, проблемы одной подсети не влияют на другие подсети.
  • Организация многоуровневой защиты связана с определением периметра сети, внутренней сети и политики безопасности системы - фактора персонала.
  • Периметр - это усиленная граница сети, которая в своем составе может содержать: маршрутизаторы (routers); брандмауэры (firewalls); систему обнаружения вторжений (СОВ, IDS); устройства виртуальной частной сети (УВЧС, VPN); программное обеспечение сети; демилитаризованную зону (ДМЗ, DMZ) и экранированные подсети.
  • Маршрутизаторы осуществляют управление входным, выходным и внутрисетевым трафиком. Пограничный маршрутизатор является последним перед выходом в незащищенную сеть и выполняет роль первого и последнего рубежа защиты сети.
  • Брандмауэр или межсетевой экран анализирует объем информации, передаваемой в единицу времени, используя набор правил, которые позволяют определить возможность или невозможность передачи трафика сети. Область действия брандмауэра начинается в точке окончания области действия пограничного маршрутизатора.
  • Система обнаружения вторжений (СОВ) позволяет выявить и сообщить о вторжении в сеть, а также о потенциально опасных событиях. В случае выявления критических событий детекторы СОВ сообщают администратору и / или осуществляют запись в журнал событий.
  • Демилитаризованная зона - это подсеть, содержащая ресурсы общего пользования и подключается к брандмауэру или иному фильтрующему устройству, который защищает ее от внешних вторжений. Экранированная подсеть является областью, размещаемой вне брандмауэра. Цель использования экранированной подсети - изоляция серверов, к которым необходимо обеспечить доступ с незащищенной сети и используемых пользователями внутренней защищенной подсети.
  • Внутренняя сеть - это сеть, защищенная по периметру. Она состоит из всех серверов, рабочих станций и информационной инфраструктуры. Для обеспечения защиты внутренней сети используются следующие устройства "периметра": маршрутизаторы - для фильтрования входящего и исходящего трафика подсети; внутренние брандмауэры - для распределения ресурсов; прокси-брандмауэры - для повышения безопасности; детекторы СОВ - для мониторинга трафика внутренней сети. Во внутренней сети также используются: персональные брандмауэры - для усиления защиты какой- либо сетевой компьютерной единицы; антивирусное программное обеспечение; усиление защиты операционной системы; управление конфигурацией системы; аудит.
  • Защита периметра сети является обязательным элементом системы информационной безопасности организации. Минимизация внешних угроз достигается путем внедрения многоуровневой системы защиты информации, и в первую очередь на внешней границе сети.
  • Защита периметра отдельных сетей позволяет добиться:
  • - защищенности доступа внутренних пользователей во внешние сети;
  • - предоставление доступа из внешних сетей к публичным ресурсам;
  • - защиту от сетевых атак на внутрисетевые ресурсы;
  • - создания единой точки антивирусной и антиспам фильтрации;
  • - предотвращения утечки конфиденциальной информации;
  • - мониторинга и анализа событий информационной безопасности.
  • Итак, выгода в выделении отдельных сетей в том, что периметр внутренней сети проще охранять от угроз извне и при какой либо атаке внутри сети пострадает только одна сеть, внутри своего периметра.