КОМПЛЕКСНАЯ СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРИМЕРЕ ПРОДУКТОВ КОМПАНИИ
COMPUTER ASSOCIATES Д.А. Гусарова
Научный руководитель - д.т.н., профессор Л.Г. Осовецкий
Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму. Построение системы информационной безопасности современного предприятия, которая состоит из целого ряда компонентов - это сложный и ответственный процесс, требующий приложения серьезных знаний, опыта, времени и средств. Построение системы безопасности на базе продуктов одного производителя позволяет избежать проблем с несовместимостью продуктов между собой и значительно упростить процесс внедрения и последующей эксплуатации комплексной системы информационной безопасности современного предприятия.
Введение
Управление информационной безопасностью позволяет коллективно использовать информацию, обеспечивая при этом ее защиту и защиту вычислительных ресурсов. Информационная безопасность состоит из трех основных компонентов:
• конфиденциальность - защита конфиденциальной информации от несанкционированного раскрытия или перехвата;
• целостность - обеспечение точности и полноты информации и компьютерных программ;
• доступность - обеспечение доступности информации и жизненно важных сервисов для пользователей, когда это требуется.
Информация существует в различных формах. Ее можно хранить на компьютерах, передавать по вычислительным сетям, распечатывать или записывать на бумаге, а также озвучивать в разговорах. С точки зрения безопасности все виды информации, включая бумажную документацию, базы данных, пленки, микрофильмы, модели, магнитные ленты, дискеты, разговоры и другие способы, используемые для передачи знаний и идей, требуют надлежащей защиты.
Информация и поддерживающие ее информационные системы и сети являются ценными производственными ресурсами организации. Их доступность, целостность и конфиденциальность могут иметь особое значение для обеспечения конкурентоспособности, движения денежной наличности, рентабельности, соответствия правовым нормам и имиджа организации. Современные организации могут столкнуться с возрастающей угрозой нарушения режима безопасности, исходящей от целого ряда источников. Информационным системам и сетям могут угрожать такие опасности, как компьютерное мошенничество, шпионаж, саботаж, вандализм, а также другие источники отказов и аварий. Появляются все новые угрозы, способные нанести ущерб организации, такие, как компьютерные вирусы или хакеры. Последнее время заголовки не только компьютерных, но и обычных изданий пестрят упоминаниями о новых вирусах, нападениях хакеров и других страшных опасностях, которые грозят современным информационным ресурсам. Невольно возникает вопрос: что мешает защитить от них эти ресурсы? Если ответить кратко, то это - большое разнообразие таких опасностей, защита от которых требует такого же (а вернее, большего) разнообразия защитных средств.
Основная часть
Для более детального освещения этой проблемы попытаемся построить комплексную систему информационной безопасности современного предприятия, которая
смогла бы предотвратить любые попытки нанести ущерб информационным ресурсам этого предприятия.
Построение системы начнем с построения «внешнего контура». «Внешним контуром» для информационной системы современного предприятия являются точки соединения внутренней локальной сети с внешней или с Интернет, если брать наиболее распространенный случай. Для защиты «внешнего контура» необходим Firewall, или межсетевой экран, или брандмауэр - все это разные названия одного и того же средства информационной безопасности. Firewall - это программно-аппаратный комплекс, который позволяет пользователю закрыть все порты входа-выхода, кроме тех, которые нужны ему для работы. В классическом случае это компьютер с двумя сетевыми картами, одна из которых соединена с внутренней сетью, а вторая с внешней. В память этого компьютера загружена программа, которая управляет TCP/IP портами и контролирует, кто или что имеет право пользоваться этими портами и в каких целях.
На рынке существует множество готовых устройств и программ, реализующих функцию Firewall, а также есть «конструкторы» типа бесплатных ОС Linux или FreeBSD, из которых опытный пользователь может самостоятельно собрать Firewall. Примером готовой программы является eTrust Firewall компании Computer Associates. Преимуществом готовых продуктов является простота установки и настройки, а также расширенный набор полезных функций. Например, eTrust Firewall, наряду с выполнением стандартных функций Firewall, позволяет:
• управлять несколькими Firewall из единого интерфейса;
• использовать существующую информацию о легальных пользователях NT или RADIUS серверов;
• применять готовые фильтры для популярных сетевых служб, таких как FTP, RealAudio и др.;
• информировать администратора о внештатных ситуациях, посылая сообщения на пейджер или факс;
• выполнять другие функции, облегчающие контроль за безопасностью «внешних границ» любой информационной системы.
Следующим шагом при создании комплекса по защите информации будут системы обнаружения попыток вторжения (Intrusion Detection System) проверки содержимого входящего и исходящего сетевого трафика (Content Inspection System). Упрощенно говоря, такая система хранит в памяти набор шаблонов, описывающих типичные признаки, присущие той или иной попытке незаконного проникновения в информационную систему. Intrusion Detection System отслеживает текущее состояние компьютеров и сетевого трафика и сравнивает его с шаблонами. При обнаружении совпадения с одним из шаблонов Intrusion Detection System предпринимает заранее запрограммированные действия, сложность и эффективность которых зависит от совершенства Intrusion Detection System. Простейшая система может проинформировать администратора(ов) и зарегистрировать попытку вторжения в журнале, более совершенные системы могут предпринять определенные действия для предотвращения вторжения.
На рынке существуют различные варианты Intrusion Detection System: программно-аппаратные и чисто программные. Computer Associates предлагает программную систему eTrust Intrusion Detection. Данная система обладает следующими отличительными особенностями.
• Контроль доступа. eTrust Intrusion Detection использует правила для определения того, к каким ресурсам могут иметь доступ какие пользователи.
• Обширная библиотека шаблонов атак. eTrust Intrusion Detection автоматически определяет атаки, соответствующие шаблонам. Шаблоны регулярно обновляются.
• Контроль за WWW-трафиком. eTrust Intrusion Détection позволяет ограничить доступ к Интернет узлам с помощью правил, содержащих ключевые слова, например, «совращение».
• Механизм защиты от вирусов позволяет предотвратить закачивание зараженных данных.
• Контроль загрузки сети. eTrust Intrusion Détection ведет количественный учет трафика в сети.
• Другие функции позволяют использовать eTrust Intrusion Detection и как самостоятельную систему безопасности, и как компонент более сложной системы.
Таким образом, хорошая Intrusion Detection System позволяет предотвратить, как неавторизованный доступ извне, так и контролировать ситуацию внутри информационной системы предприятия. Но защита, основанная на анализе содержимого сетевых пакетов, может не выявить опасности, которая станет реальной только после того, как пакеты соберутся в программный код на компьютере клиента. В этом случае нужна система, способная обнаруживать присутствие опасных программ в легальном сетевом трафике (фильтровать все типы скриптов на основе набора правил фильтрации) и блокировать их распространение, т.е. Content Inspection System.
Компонента Content Inspection программнго продукта eTrust Antivirus обладает следующими особенностями.
• Защита в реальном времени. Работающая в режиме реального времени система сочетает в себе высокую производительность с надежной защитой от вредоносных исполняемых файлов.
• Защита на основе цифровых сертификатов выполняет анализ цифровых сертификатов, проверяя «подписанные» Java-аплеты, компоненты ActiveX и др. Базовый список известных сертификатов (Certificates of Authority) поставляется вместе с продуктом. Новые сертификаты можно добавить в список, импортировав их из реестра, файла сертификатов или из других объектов, имеющих цифровую подпись.
• Централизованное управление упрощает создание и внедрение правил защиты.
• Шаблоны позволяют легко создавать гибкие правила защиты.
• Средства аудита имеет полный набор средств для аудита и создания отчетов.
• Блокировка «неблагонадежных» URL. Пользователей можно ограничивать или блокировать доступ к определенным URL на основании списка «неблагонадежных» слов.
• Поддержка всех основных протоколов. Поддерживаются три основных протокола Интернет - SMTP, FTP и HTTP - обеспечивая защиту от вредоносного кода, распространяемого через e-mail, при скачивании файлов с Web-сайта и при передаче файлов.
• Эвристический механизм обнаружения вирусов. Благодаря этому механизму возможно обнаружение даже неизвестных макро-вирусов.
Таким образом, установив Firewall, Intrusion Detection System и Content Inspection System, мы защитим информационную систему предприятия по «внешнему контуру». Теперь можно переходить к обеспечению внутренней защиты, которая по важности не уступает, а даже превосходит внешнюю.
В информационной системе современного предприятия каждый пользователь имеет идентификационное имя (одно или несколько) и пароль, используя которые, он получает доступ к различным информационным ресурсам - серверам, принтерам, базам данных и т.д. Права доступа к этим ресурсам назначаются администратором информационной системы. Аналогом в традиционной системе безопасности может служить пропускная система, которая одному сотруднику пропуск позволяет попасть только на свое рабочее место, а другому - пройти в любое помещение предприятия. Чем больше ресурсов и пользователей, тем сложнее избежать ошибок в распределении прав доступа
к ресурсам, последствия которых могут быть самыми разнообразными: от несанкционированного использования сетевого цветного принтера (сопутствующие убытки: повышение расходов на цветной тонер и качественную бумагу) до доступа к файлам, содержащим секретную информацию (сопутствующие убытки: прямые коммерческие, вплоть до полного разорения фирмы).
Необходима удобная система контроля за тем, кто, когда, к каким ресурсам и с каким правами имеет доступ. В принципе, в любой сетевой операционной системе или грамотно написанном приложении ведется такой контроль, но если на предприятии используется не одна операционная система и не одно сетевое приложений, то синхронизировать такую систему становится очень трудно.
Помочь в этой ситуации может универсальная система контроля доступа eTrust Access Control компании Computer Associates. Последняя позволяет управлять доступом и защищать следующие компоненты.
• Файлы. eTrust Access Control защищает безотносительно к ограничениям ОС. Например, если пользователь не имеет доступа к какому-либо файлу, то он его и не получит, даже если зайдет суперпользователем.
• Процессы. Критические системные и прикладные процессы могут быть завершены только авторизованными пользователями.
• Привилегированные программы. eTrust Access Control позволяет контролировать запуск программ, запускающихся с правами конкретного пользователя.
• Сетевые соединения. eTrust Access Control контролирует доступ к сетевым программам с помощью ограничения доступа к портам.
• Терминалы. eTrust Access Control позволяет контролировать, кто и с какого терминала может войти в систему.
• Ресурсы. С помощью eTrust Access Control администраторы могут создавать собственные правила для контроля доступа к любым ресурсам.
Теперь вспомним о том, что каждый пользователь может иметь несколько сетевых имен - например, различные имена для доступа к различным информационным ресурсам - и он должен все время помнить, какое имя и пароль нужно ввести в ответ на запросы разных систем. Или, даже если он имеет одно имя и пароль, при обращении к новым ресурсам ему может потребоваться каждый раз заново вводить одно и тоже, раз за разом. А ведь правила безопасности требуют периодически менять пароли. И в случае увольнении сотрудника администратор должен последовательно удалить все его регистрационные данные во всех ресурсах, к которым он имел доступ. Если администратор пропустит хотя бы один ресурс, то это становится потенциально уязвимым местом в системе информационной безопасности предприятия. Все это может стать достаточно трудоемким и утомительным процессом. Решением этой проблемы является модуль единого входа в информационную систему eTrust Single Sign-On компании Computer Associates.
Модуль единого входа в информационную систему eTrust Single Sign-On позволяет пользователю, прошедшему аутентификацию в eTrust Single Sign-On один раз, получить доступ ко всем системам, к которым он имеет право доступа. Перечислим отличительные особенности eTrust Single Sign-On.
• Персонализированная Web-страница. После успешной аутентификации пользователь получает доступ к персонализированной Web-странице, на которой находятся ссылки на доступные для него приложения и Web-ресурсы.
• Интеграция с рабочим столом Windows. Пользовательский интерфейс eTrust Single SignOn интегрируется с рабочим столом: после успешной аутентификации пиктограммы приложений, доступных для конкретного пользователя, появляются в отдельной группе в Start Menu или на рабочем столе.
• Автоматизированный процесс входа в информационную систему. eTrust Single Si-gnOn позволяет автоматически входить в любую систему, требующую ввода пароля, включая e-mail, базы данных, Web-ресурсы, и т.д.
• Поддержка различных механизмов аутентификации. eTrust Single Sign-On поддерживает широкий диапазон механизмов аутентификации, включая системы аутентификации Windows NT и NetWare, eTrust -сертификаты, и т.д.
• Управление паролями. Механизм управления паролями позволяет автоматически генерировать пароли, создавать одноразовые пароли, вводить ограничения на пароли и т. д.
• Защита сетевого трафика. Вся информация, передаваемая между компонентами Single Sign-On, шифруется.
• Наличие API-инструменария (API Toolkit). API-инструментарий позволяет интегрировать eTrust Single Sign-On с другими продуктами.
Дальнейшее усиление защиты информационной системы предприятия в современных условиях невозможно без использования новейших технологий. Одной из наиболее широко используемых сегодня технологий аутентификации для обеспечения безопасного использования информационным ресурсам является Public Key Infrastructure (PKI) - инфраструктура публичных ключей. Существуют доверительные организации, которые выдают каждой обратившейся к ним организации два специальных кода: public key (публичный ключ) и private key (частный ключ). При обмене информацией между двумя сторонами используются зашифрованные цифровые сертификаты, подтверждающие легальность сторон. Шифрование и расшифровка сертификатов происходит с использованием этих кодов-ключей.
Архитектура PKI является широко принятым в мире стандартом для обеспечения защиты пользователей, данных и прикладных программ. Однако большинство программ управления PKI требуют проведения обширных настроек для интеграции с существующей инфраструктурой и бизнес-процессами пользователя этих программ. eTrust PKI от Computer Associates, наоборот, обеспечивает быструю интеграцию в информационную систему предприятия и облегчает возможности администрирования в масштабе всего предприятия, что является наиболее критичными для эффективного внедрения. Его новаторская архитектура гарантирует строгую аутентификацию и секретность, обеспечивая возможность создания, утверждения и управления цифровыми сертификатами X.509 по всему предприятию. eTrust PKI, таким образом, снижает риски безопасности, связанные с неполным или неправильным администрированием сертификатов. Кроме того, eTrust PKI интегрируется с eTrust Single Sign-On (SSO), позволяя получить законченное решение управления правами доступа пользователей к информационным ресурсам любого предприятия.
При создании системы защиты информации необходимо помнить, что на современном предприятии и в его информационной системе может эксплуатироваться самое разнообразное оборудование и технологии. В одной информационной системе может использоваться несколько служб каталогов, конкурирующих производителей, в которых, тем не менее, нужно поддерживать актуальные списки пользователей и ресурсов. Сотрудники предприятия могут использовать для работы (а часто - не только для работы) носители информации, которые могут содержать вирусы. Отправляясь в командировки или работая на дому, пользователи информационной системы предприятия могут нуждаться в удаленном доступе к ее ресурсам. Чтобы соответствовать этим и другим требованиям современных информационных технологий и не жертвовать при этом безопасностью, приходиться использовать дополнительные средства.
Предположим, что в информационной системе предприятия в разных подразделениях используется масса различных служб. Каждая из этих служб по отдельности относительно легко контролируется и управляется с помощью встроенных инструментов.
Но, объединенные вместе, они составляют очень сложную для администрирования систему, в которой инструмент управления одной службой не может использоваться для управления другой. Администратор, внеся изменения в одну службу каталогов, вынужден каждый раз дублировать эти изменения во всех других службах. Все это не только ведет к непродуктивным потерям рабочего времени, но и неизбежно ведет к ошибкам, который влияют на эффективность работы и безопасность информационной системы предприятия. Чтобы избежать этого, нужно использовать автоматизированную систему интеграции служб каталогов от различных производителей в единое дерево каталогов -eTrust Directory.
eTrust Directory реализует стандарты X.500 и LDAP V3. Каждый источник данных, поддерживающий LDAP, может быть инкорпорирован в общий каталог eTrust Directory. Перечислим ртличительные особенности eTrust Directory.
• Производительность - высокая скорость выполнения запросов к единой реляционную базе данных объектов, содержащей миллионы записей.
• Надежность - автоматическое восстановление системы после сбоев питания, а также резервное копирование и восстановление в реальном времени.
• Неограниченная масштабируемость. eTrust Directory не имеет ограничений на размер каталога.
• Контроль доступа. по стандарту X.500 к поддеревьям, записям и атрибутам.
• Мониторинг и управление. Мониторинг в стандарте SNMP и X.700.
Использование служб каталогов удобно для управления ресурсами и пользователями, но недостаточно надежно с точки зрения безопасности. Чтобы повысить уровень безопасности, необходимо использование цифровых сертификатов. Самым надежным подходом при проверке цифровых сертификатов является использование протокола, который бы позволял клиентам проверять статус конкретного сертификата в режиме реального времени. Но это является отходом от обычной схемы, по которой клиент получает CRL (Certificate Revocation List) от Certification Authority, и которая имеет два ограничения:
• CRL обновляется периодически, что порождает задержки, в течение которых недействительный сертификат будет иметь действие;
• с ростом размера списка CRL осложняется управление и распространение списком.
Чтобы разрешить эти проблемы, Internet Engineering Task Force (IETF) разработала Online Certificate Status Protocol (OCSP), который позволяет взаимодействовать с системами, включающими тысячи Certification Authorities и миллионы сертификатов.
eTrust OSCPro от Computer Associates является реализацией протокола OCSP, предоставляя клиентским приложениям текущий статус цифрового сертификата от его владельца в реальном времени. eTrust OCSPro предоставляет гибкое и надежное решение для организаций, желающих использовать OCSP. eTrust OCSPro тесно интегрирован с eTrust Directory.
Компьютерные вирусы являются самой распространенной и самой быстроразвиваю-щейся опасностью, угрожающей современным информационным ресурсам. Даже если мы применим все описанные выше компоненты системы безопасности, все равно останется опасность проникновения вирусов в информационную систему предприятия. Поэтому совсем не лишней в системе информационной безопасности будет антивирусная система. Современная антивирусная система должна сочетать в себе мощное централизованное управление и всестороннюю, многоуровневюю защиту. Она должна охватывать сервера, рабочие станции и системы обмена сообщениями. Этим требованиям полностью соответствует eTrust Antivirus от Computer Associates. eTrust Antivirus обеспечивает:
• поиск и «лечение» вирусов в режиме реального времени;
• единый интерфейс для просмотра, отслеживания и управления заданиями по поиску вирусов для всего предприятия;
• защиту от проникновения вирусов на сервера, рабочие станции и системы обмена сообщениями через Internet/Intranet;
• автоматическую загрузку и распространение сигнатур вирусов, а также новых версий антивирусного программного обеспечения;
• централизованный журнал, в котором регистрируются все события, касающиеся работы антивирусной системы: файлы, подвергшиеся проверке, обнаруженные вирусы, предпринятые действия;
• наличие агентов для защиты систем Lotus Notes и Microsoft Exchange Server;
• простую интеграцию с другими продуктами Computer Associates.
Построив систему информационной безопасности предприятия, необходимо проверить ее надежность (а еще лучше делать это постоянно). Для этого можно использовать eTrust Policy Compliance - систему поиска уязвимостей в системе безопасности от Computer Associates. eTrust Policy Compliance определяет «дыры» в системе безопасности и автоматически генерирует скрипты, которые их закрывают. eTrust Policy Compliance позволяет выполнять разнообразные проверки на уязвимость, обследовать отдельные узлы, базы данных или подсети. eTrust Policy Compliance выполняет проверки по рекомендациям CERT и Microsoft Security. Имеется возможность сравнивать отчеты за разные промежутки времени. Он позволяет одновременно осуществлять мониторинг операционных систем Windows NT, UNIX и OpenVMS, баз данных Oracle и Sybase, а также Web-серверов Apache, значительно экономя время и средства. eTrust Policy Compliance позволяет проверять политики eTrust Acœss Control, если он установлен в вашей информационной системе.
Перечислим отличительные особенности eTrust Policy Compliance.
• Анализ томов и файловых систем. eTrust Policy Compliance находит файлы с некорректными правами доступа и позволяет автоматически исправлять этот недостаток.
• Анализ имени пользователя и паролей. eTrust Policy Compliance отслеживает имена пользователей, которые уже не существуют или используются сразу несколькими лицами. Он также выявляет пароли, которые были утеряны или могут быть легко «взломаны».
• Разностный анализ результатов сканирования. Имеется возможность сравнивать отчеты за разные промежутки времени, позволяя доводить число уязвимостей до минимума.
Для облегчения труда администраторов ИТ существует два удобных инструмента: eTrust Admin и eTrust Audit от Computer Associates.
Одной из наиболее важных задач в современной информационной среде является эффективное администрирование всех сетевых ресурсов, таких как учетные записи, группы пользователей и сетевые диски. Независимые исследования доказали, что стоимость их администрирования может оказаться наиболее крупной составляющей затрат на обслуживание сети. eTrust Admin представляет собой централизованное средство администрирования объектов в разнородной среде. Этот продукт позволяет создавать, модифицировать и удалять объекты, такие как учетные записи пользователей для доменов Windows NT, рабочих групп, UNIX, Novell Netware NDS, Lotus Notes, Microsoft Exchange и т.д. eTrust Admin поддерживает более 20.000.000 записей в базе данных и более 1000 запросов в секунду к своим объектам.
При использовании eTrust Admin предприятие получает следующие преимущества:
• Уменьшаются затраты на обслуживание, так как системный администратор имеет возможность внести изменения лишь один раз и затем автоматически распространить и применить эти изменения ко всем соответствующим объектам во всем предприятии.
• Увеличивается производительность благодаря централизованному интерфейсу администратора.
• Усиливается защита. Ролевая модель гарантирует, что пользователи имеют согласованные права по всему предприятию.
eTrust Audit предназначен для сбора и анализа информации из системных журналов. eTrust Audit позволяет обрабатывать информацию для удобного просмотра и создания отчетов, а также выполнять заранее определенные действия в случае обнаружения следов подозрительных действий. eTrust Audit предоставляет системным администраторам уникальную возможность собирать информацию из журналов UNIX, Windows NT, OS390, Web серверов и СУБД, а также других продуктов семейства eTrust в централизованную базу данных обработки событий. Информация из этой базы данных представляется в едином формате, вне зависимости от ее источника.
Перечислим отличительные особенности eTrust Audit.
• Кросс платформенная обработка событий. eTrust Audit собирает информацию из разнообразных источников, например, системных журналов UNIX, Windows NT, OS/390, СУБД Oracle, MS SQL Server, Web-серверов Netscape и Apache. Также eTrust Audit может получать информацию из любого SNMP источника.
• Обнаружение вторжения. eTrust Audit поставляется с предопределенными политиками для анализа журналов с точки зрения поиска вторжения в систему.
• Мониторинг в режиме реального времени. Критические события могут быть отфильтрованы и направлены на консоль.
• Централизованное управление политиками. Правила обнаружения вторжения могут быть растиражированы с центральной машины на клиентские рабочие станции.
Описание комплексной системы информационной безопасности предприятия было бы неполным, если забыть о таком важном и широко используемом сегодня понятии, как «"виртуальные частные сети» - virtual private network (VPN).
К сожалению, межсетевые экраны (Firewall) не могут решить всех проблем безопасности, связанных с использованием Интернет-каналов. При этом некоторые проблемы, такие как защита информации от прослушивания при ее прохождении по каналам Интернет, могут быть решены путем добавления в программное обеспечение межсетевых экранов возможности шифрования данных (целый ряд программных межсетевых экранов включают в себя так называемую клиентскую часть, что позволяет шифровать весь сетевой трафик между клиентом и сервером). Однако, по мере развития информационных систем в сторону все более широкого использования Интернет, значительную роль начинают играть технологии, созданные без привязки их к использованию совместно с межсетевыми экранами. Имеется в виду последняя мода на Интернет-порталы, используемые, в том числе и в CRM-системах.
Одной из непреодолимых сложностей для межсетевых экранов с их статической конфигурацией портов становится использование RMI (remote method invocation) в современных системах, ориентированных на широкое использования Java, когда неизвестно заранее, какие и сколько сетевых портов понадобится открыть для каждого конкретного запроса. Одним из решений проблемы может быть создание виртуальной частной сети с помощью аппаратных или программных средств. В этом случае сетевой обмен по всем сетевым портам между компьютерами, организованными в VPN, осуществляется по открытым каналам в шифрованном виде, образуя таким образом подобие локальной сети «внутри» Интернет/Интранет. Важно, что для работы в VPN не требуется внесения каких-либо изменений в используемое программное обеспечение - все выглядит, как обычная работа в сети. Но надо учитывать, что в большинстве случаев VPN не заменяет собой межсетевой экран. Вы не можете установить VPN клиента на каждый компьютер, с которого обращаются на ваш корпоративный Web сервер. Оптимальным представляется совместное использование межсетевых экранов и VPN там, где это возможно. Например, eTrust Firewall можно настроить таким образом, что он будет дополнять VPN, т.е. с помощью eTrust Firewall в список открытых портов добав-
ляется еще один, через который осуществляется зашифрованный обмен с компьютерами, организованными в VPN, при этом порт можно открыть не для всех, а для конкретной группы компьютеров.
Заключение
Построение системы информационной безопасности современного предприятия, которая состоит, как мы увидели, из целого ряда компонентов - это сложный и ответственный процесс, требующий приложения серьезных знаний, опыта, времени и средств. Сегодня на рынке существуют множество продуктов от разных производителей, призванных облегчить и ускорить этот процесс. Один производитель награжден за самый лучший Firewall, другой - за Intrusion Detection System, третий - за Antivirus. Можно отобрать самые лучшие продукты разных производителей и построить из них систему безопасности. Наверняка она будет работать, но управлять такой системой будет нелегко. Простота управления системой защиты информационной системы является одним из важных условий информационной безопасности. Именно поэтому на протяжении всего обзора использованы в качестве примеров продукты компании Computer Associates из семейства eTrust. Построив систему безопасности на базе продуктов одного производителя, вы избежите проблем с несовместимостью продуктов между собой и значительно упростите процесс внедрения и последующей эксплуатации комплексной системы информационной безопасности современного предприятия.
Литература
1. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. - СПб: Наука и Техника, 2004.
2. Соколов А., Степанюк О. Защита от компьютерного терроризма. / Справочное пособие. - СПб: Арлит, 2002.
3. Купцевич Ю.Е. Альманах программиста. Том IV: Безопасность в NET. Шифрование. Защита кода и данных. - М.: Издательско-торговый дом «Русская Редакция», 2003.