Green-sell.info

Новые технологии
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Безопасность сети предприятия

Методы защиты локальной сети

По утверждениям IT-специалистов, процесс построения локальной сети — это лишь третья часть работы по конструированию. Второй этап — проведение настройки конфигурации, первый — обеспечение безопасности локальной сети. Каждому предприятию необходимо сохранить приватность сведений, которые передаются по разным каналам или находятся на хранении внутри самой корпоративной системы.

С какими целями необходимо обеспечить безопасность?

Цели во многом зависят от индивидуальной ситуации. Но можно выделить три основные, характерные для всех случаев.

  1. Предотвращение любых попыток изменить информацию, сохранение ее в неизменном виде.
  2. Обеспечение конфиденциальности всех занесенных данных.
  3. Доступность всех действий и сохранение возможности проводить операции.

Обеспечение неизменности гарантирует, что в случае, если произойдет вторжение злоумышленников внутрь операционной системы ПК, файлы не подвергнутся уничтожению. Также невозможно изменение их содержимого и подмена исходных файлов.

К конфиденциальной информации относятся следующие сведения:

  • сведения, которые составляют коммерческую тайну;
  • личные данные санкционированных пользователей;
  • список логинов, паролей;
  • документация, находящаяся во внутреннем пользовании фирмы;
  • бухгалтерские отчеты;
  • сохраненные рабочие переписки;
  • кадры фото и видеосъемки, наблюдений;
  • иная важная информация.

Подобные файлы представляют особый интерес для преступников и конкурентов, так как могут использоваться не только для хищения финансовых средств, но и с целью обнародования данных в личных целях.

При выполнении действий по защите возникает еще одна проблема: обеспечение доступности. Серверы, принтеры, рабочие станции, критические файлы и иные ресурсы должны находиться в состоянии круглосуточного доступа для всех пользователей.

Методики защиты

Все меры по обеспечению безопасности должны быть предварительно проработаны, сформулированы в виде плана. Один из самых важных моментов — профилактика возникновения форс-мажорных ситуаций.

Для обеспечения защиты создаются физические препятствия к проникновению злоумышленников к аппаратуре. Устанавливается контроль над всеми ресурсами системы. Криптографическое преобразование информации с целью маскировки проводится при передаче ее по линиям связи на большие расстояния. Заключительный этап — создание свода правил безопасности, принуждение всех сотрудников организации к их исполнению.

Программные инструменты

Главным образом обеспечение безопасности локальных сетей зависит от программных средств. К таковым относятся:

  1. Межсетевые экраны. Это промежуточные элементы компьютерной сети, которые служат для фильтрации входящего и исходящего трафика. Риск несанкционированного доступа к информации становится меньше.
  2. Прокси-серверы. Производят ограничение маршрутизации между глобальной и локальной частями сети.
  3. VPN. Позволяют передавать информацию по зашифрованным каналам.
  4. Разные наборы протоколов, которые нужны для создания защищенного соединения и установления контроля над элементами локальной сети.

Эти приложения, встроенные в оперативную систему и специализированные, шифруют данные. Данные разграничивают потоки информации.

Комплексная защита

Наша компания создала решение, обеспечивающее полный контроль за локальными сетями. Это ИКС — межсетевой экран, снабженный всеми необходимыми функциями для защиты сети.

Безопасность сети предприятия

Высокая безопасность и соответствие нормативным требованиям являются обязательными условиями в проектах по развертыванию корпоративных сетей.

Для защиты собственных информационных ресурсов предприятия внедряют в инфраструктуру решения по обеспечению безопасности сети, гарантирующие безопасность сети и коммерческих данных на всех уровнях:

  • межсетевой экран
  • управляемые VPN сети
  • поиск и блокировка попыток вторжений в сеть
  • защита конечных точек обмена трафиком
  • корпоративная антивирусная система.

Безопасность подключений

Для сотрудников, находящихся в командировках или работающих из дома, услуга удаленного доступа к корпоративной сети стала рабочей необходимостью.

Все больше организаций разрешают партнерам осуществлять удаленный доступ к своим сетям с целью сокращения затрат на обслуживание систем. Поэтому защита конечных точек обмена трафиком – одна из самых важных задач обеспечения безопасности сети компании.

Места, где корпоративная сеть подключается к Интернету, являются периметром безопасности сети. В этих точках пересекается входящий и исходящий трафик. Трафик корпоративных пользователей выходит за границы сети, а интернет — запросы от внешних пользователей для получения доступа к веб-приложениям и приложениям электронной почты входят в сеть компании.

Из-за того, что в конечных точках выполняется постоянное подключение к Интернету, которое обычно разрешает прохождение внешнего трафика в корпоративную сеть, она является основной целью атак злоумышленников.

При построении корпоративной сети безопасности данных на границах сети в точках выхода в Интернет устанавливают межсетевые экраны. Эти устройства позволяют предотвратить и блокировать внешние угрозы при проведении терминации VPN туннелей (см. рис. 1).

Рис.1 Периметр безопасности корпоративной сети

Набор интегрированных решений для безопасных подключений от Cisco Systems обеспечивает конфиденциальность информации. В сети ведется экспертиза всех конечных точек и методов доступа во всех сетях компании: LAN, WAN и беспроводной мобильной сети

Обеспечивается полная доступность межсетевого экрана и сервисов VPN. Функции межсетевого экрана обеспечивают фильтрацию уровня приложений с сохранением состояния для входящего и исходящего трафика, защищенный исходящий доступ для пользователей и сеть DMZ для серверов, к которым необходимо осуществлять доступ из Интернета.

Системный интегратор ИЦ «Телеком-Сервис» строит сети корпоративной безопасности на базе многофункциональных устройств защиты Cisco Systems, Juniper Networks и Huawei Technologies, позволяющих сократить количество необходимых устройств в сети.

Комплексные решения по обеспечению безопасности корпоративной сети Cisco Systems, Juniper Networks и Huawei Technologies имеют ряд преимуществ, важных для эффективного бизнеса:

  • сокращение ИТ-бюджетов на эксплуатацию и обслуживание программно-аппаратного обеспечения
  • повышение гибкости сети
  • снижение затрат на внедрение
  • снижение общей стоимости владения
  • усиление контроля с помощью единого управления и введения политик безопасности
  • повышение прибыли и увеличение показателей эффективности предприятия
  • снижение угроз безопасности для сети и СХД
  • применение эффективных политик безопасности и правил на конечных узлах сети: ПК, КПК и серверах
  • сокращение сроков внедрения новых решений в области безопасности
  • эффективная профилактика сети от вторжений
  • интеграция с ПО других разработчиков в области безопасности и управления.
  • полномасштабное управление доступом к сети

Продукты по безопасности Cisco на всех уровнях сети

Безопасность конечных точек: Программа-агент безопасности Cisco Cisco Security Agent защищает компьютеры и серверы от атак червей.

Встроенные межсетевые экраны: модули PIX Security Appliance, Catalyst 6500 Firewall Services Module и набор функций межсетевого экрана (firewall) защищают сеть внутри и по периметру.

Защита от сетевых вторжений: Датчики IPS 4200 Series sensors, модули служб IDS Catalyst 6500 (IDSM-2) или IOS IPS идентифицируют, анализируют и блокируют злонамеренный нежелательный трафик.

Выявление и устранение атак DDoS: Детектор аномалий трафика Cisco Traffic Anomaly Detector XT и Guard XT обеспечивают нормальную работу в случае атак, прерывающих работу службы. Модули служб детектора аномалий трафика Cisco и Cisco Guard создают стойкую защиту от атак DdoS в коммутаторах серии Catalyst 6500 и маршрутизаторах серии 7600.

Безопасность контента: модуль устройства Access Router Content Engine module защищает бизнес-приложения, работающие с интернет, обеспечивает доставку веб-контента без ошибок.

Интеллектуальные службы администрирования сети и систем безопасности: в маршрутизаторах и коммутаторах Cisco находят и блокируют нежелательный трафик и приложения.

Менеджмент и мониторинг:

  • CiscoWorks VPN/Security Management Solution (VMS)
  • CiscoWorksSecurity Information Management System (SIMS) — система управления информацией о состоянии безопасности

    Технология Network Admission Control (NAC) от Cisco

    Контроль доступа в сеть (Network Admission Control, NAC) – это набор технологий и решений, фундаментом которых служит общеотраслевая инициатива, реализуемая под патронажем Cisco Systems.

    NAC использует инфраструктуру сети для контроля над соблюдением политики безопасности на всех устройствах, стремящихся получить доступ к ресурсам сети. Так снижается возможный ущерб в сети от угроз безопасности.

    Безопасный удаленный доступ к корпоративной VPN сотрудникам и партнерам многофункциональные устройства защиты обеспечивают с помощью протоколов SSL и IPsec VPN, встроенных блокировочных сервисов для предупреждения и предотвращения IPS вторжений.

    Self-Defending Network — стратегия самозащищающейся сети от Cisco

    Self-Defending Network является развивающейся стратегией будущего от Cisco. Технология позволяет защитить бизнес-процессы предприятия путем обнаружения и предотвращения атак, адаптации к внутренним и внешним угрозам сети.

    Предприятия могут эффективнее использовать интеллектуальные возможности сетевых ресурсов, оптимизировать бизнес-процессы и сократить расходы.

    Пакет управления безопасностью Cisco

    Пакет управления безопасностью Cisco представляет собой набор продуктов и технологий, разработанных для масштабируемого администрирования и усиления политик безопасности для само защищающейся сети Cisco.

    Читать еще:  Как удалить драйвер в безопасном режиме

    Интегрированный продукт Cisco позволяет автоматизировать задачи управления безопасностью с помощью ключевых компонентов: менеджера управления и Cisco Security MARS — системы мониторинга, анализа и реагирования.

    Менеджер управления системой безопасности Cisco имеет простой интерфейс для настройки межсетевого экрана, VPN и системы защиты от вторжений (IPS) на устройствах безопасности, межсетевых экранах, маршрутизаторах и коммутаторах Cisco.

    Враг не пройдёт!! Защита компьютерной сети предприятия

    Наталья ЛАРИОНОВА, компания «Айдеко Софтвер»

    Мы с вами живём в век информационного общества. И именно поэтому информация является наиболее ценным объектом. Любое государственное и коммерческое предприятие заинтересовано в сохранении информации, которая может ему навредить, если попадёт в руки злоумышленников или будет уничтожена. Для государственных учреждений такая информация носит гриф “Секретно”, для коммерческих предприятий — “Коммерческая тайна” или “Ценная информация”.

    Зададимся вопросом: какая именно информация нуждается в защите и может представлять интерес для злоумышленника? Это, как правило, важные договоры, списки клиентов, базы данных бухгалтерских программ, пароли и ключи системы “клиент-банк”, каналы связи с подразделениями и т. п.

    Всё чаще в СМИ сообщают о краже информации и денежных средств через интернет, при этом хакера находят очень редко. А большинство предприятий скрывают случаи взлома своих сетей и кражи данных, чтобы сохранить деловую репутацию.

    Чтобы не стать жертвой хакера, необходимо защищать компьютеры и всю сеть организации от интернет-угроз. И не стоит утешать себя тем, что, мол, именно ваше предприятие не заинтересует злоумышленника: ведь специальные программы — сканеры уязвимостей обшаривают весь интернет без разбора.

    Когда возникает необходимость обеспечить информационную безопасность компании, руководство, как правило, обращается к системным интеграторам. Они проводят комплексный анализ и разрабатывают проект по защите информации. В конечном счёте всё это оборачивается приобретением дорогостоящих программных и аппаратных средств, таких как Cisco PIX, Checkpoint, Microsoft ISA. Такие большие комплексные проекты стоят более 15 тыс. долл., требуют постоянного сопровождения и целесообразны только для крупных предприятий.

    Для малых и многих средних предприятий весь проект по защите можно свести к двум пунктам:

    • защита персональных компьютеров;
    • комплекс из интернет-шлюза и файерволла, отгораживающий сеть предприятия от Всемирной сети и защищающий компьютеры пользователей от проникновения извне.

    Защита персональных компьютеров

    Эта тема достаточно хорошо освещена в прессе: в самом деле, защитить персональные компьютеры на предприятии не так уж и сложно.

    Самое главное — не использовать на компьютере реальный IP-адрес интернета, и тогда злоумышленник не сможет подключиться к вашему компьютеру. Поясним попутно, что IP-адрес (Internet Protocol Address — адрес интернет-протокола) — это уникальный идентификатор устройства (компьютера), подключённого к локальной сети или интернету, по которому его определяют внешние устройства с целью приёма от него информации или передачи её.

    Второе. Нельзя без предварительной проверки специальными программами открывать файлы с неизвестными вам расширениями (или с известными расширениями исполняемых файлов — *.com, *.exe, *.bat), скачанные через интернет или полученные по электронной почте. Если вы получили по почте файлы от ваших знакомых, то предварительно спросите по телефону, высылали они их вам или нет. Это позволит избежать засорения компьютера программами-шпионами и “троянскими конями”.

    Третье — защита локальных файлов. Устанавливайте пароли длиной не менее 12 букв и никогда не сообщайте свой пароль никому, даже системному администратору (у него должен быть свой пароль). Попросите системного администратора ограничить доступ к вашим файлам, кроме тех сотрудников, кому это необходимо по должностным инструкциям, и максимально ограничить доступ к файлам через сеть. Храните самые важные файлы на флэш-карте USB, пользоваться ею не сложнее, чем дискетой. Меняйте пароль как можно чаще: выберите для себя алгоритм смены пароля, например, 1-го числа каждого месяца. Не стоит полагаться на то, что ваши коллеги — добропорядочные граждане, ведь в помещение могут попасть и посторонние и начнут перебирать известные пароли: “1”, “11” “12345”, “пароль”, “2006”, “lena2006” и т. д. Обязательно блокируйте компьютер или выключайте его, если выходите из офиса. Попросите вашего администратора установить пароль в BIOS на включение компьютера и опломбируйте компьютер наклейкой с печатью.

    Будьте внимательны к приходящим специалистам — это один из основных каналов утечки данных; записывайте их паспортные данные и берите расписку о неразглашении информации. Никогда не оставляйте на долгое время ключевую дискету системы “клиент-банк” в компьютере и не создавайте её копии на компьютере.

    Для защиты информации персонального компьютера используют как минимум четыре вида программ.

    1. Антивирусы, такие как Kaspersky Antivirus, DrWeb, Norton Antivirus, Panda, NOD32.

    2. Персональный межсетевой экран (другие названия — брандмауэр или файерволл). Такие программы защищают от проникновения в ваш компьютер через сеть и блокируют вирусные эпидемии. Можно использовать встроенный в Windows брандмауэр, хотя рекомендуются более мощные — Agnitum Outpost, Symantec Personal Firewall.

    3. Утилиты для обнаружения программ-шпионов и троянских программ. О таких утилитах часто забывают системные администраторы, из бесплатных можно рекомендовать Ad-aware компании Lavasoft.

    4. Программы резервного копирования. Здесь выбор очень широкий, лучше проконсультироваться с системным администратором, чтобы вся важная информация со всех компьютеров дублировалась на резервный носитель. Вы можете и самостоятельно создавать резервные копии своих файлов на флэш-карту USB или перезаписываемый CD (CD-RW). Берегите свой труд и создавайте резервные копии как можно чаще, ведь восстанавливать утерянную бухгалтерию или важные файлы вам придётся вручную.

    Интернет-шлюз + файерволл как основа безопасности сети предприятия

    Если все персональные компьютеры защищены, возникает вопрос: а зачем ещё дополнительно защищать сеть с помощью шлюза? Проблема заключается в том, что все локальные компьютеры находятся в доверенной сети и уязвимым местом становится именно шлюз, который устанавливается на границе доверенной сети и сети интернет. Захватив шлюз через интернет, злоумышленник попадает в доверенную сеть предприятия и может захватить другие компьютеры локальной сети и получить доступ к важной информации. Поэтому требования к современному шлюзу предъявляются очень высокие.

    Интернет-шлюз стоит в одном ряду с другими готовыми решениями (рис. 1) и должен соответствовать следующим главным критериям:

    • универсальность (подходит для большинства предприятий);
    • функциональность (обладает всеми необходимыми возможностями для решения задач);
    • надёжность (безотказность работы в любых условиях);
    • низкая стоимость владения (минимальные расходы на внедрение и сопровождение, простота в использовании и управлении).

    Однако наиболее распространённые на сегодняшний день интернет-шлюзы не полностью удовлетворяют современным требованиям. На рис. 2 показаны распространённые виды интернет-шлюзов и их преимущества и недостатки.

    В последнее время на мировом рынке появились новые специализированные решения для предприятий, которые при небольшой цене имеют высокую безопасность, надёжность и низкую стоимость владения. Есть подобные системы и на российском рынке.

    Зачем нужен интернет-шлюз

    Рассмотрим задачи, решаемые современным интернет-шлюзом, на примере универсального интернет-шлюза Ideco Internet Control Server, в котором совмещены высокая безопасность и удобство использования. Все эти задачи можно разделить на три группы: защита пользователей и сети предприятия; учёт трафика, планирование и ограничение расходов; фильтрация трафика в соответствии с политикой предприятия.

    Защита пользователей и сети предприятия

    Современный интернет-шлюз в первую очередь должен обеспечить защиту пользователей и сети предприятия от атак из сети интернет. Для решения этой задачи в Ideco ICS используется технология NAT (Network Address Translation — преобразование сетевых адресов). Эта технология скрывает пользователей от внешних злоумышленников, делая невидимыми из сети интернет. Другой важной функцией NAT является предоставление качественного доступа в интернет, причём все пользовательские программы работают без дополнительных настроек, что выгодно отличает NAT от технологии Proxy.

    Но, помимо опасностей, которые подстерегают вас непосредственно в сети интернет, существуют также угрозы внутри самого предприятия. Например, информация может быть перехвачена или передана в интернет от имени другого пользователя. Для предотвращения подобных угроз совместно с NAT используется технология VPN (Virtual Private Network — виртуальная частная сеть). По VPN каждому пользователю администратор назначает личный защищённый IP-адрес, который закреплён за ним постоянно. Сам компьютер предприятия по умолчанию не имеет доступа в интернет, и только после ввода логина и пароля сотрудник предприятия получает персональный защищённый выход во Всемирную сеть. Кроме этого технология VPN позволяет подключать по защищённому каналу филиалы и мобильных сотрудников, работающих из дома или находящихся в командировке.

    Читать еще:  Как загрузить ноут в безопасном режиме

    Интернет-шлюз Ideco ICS обеспечивает и антивирусную защиту. Вся отправляемая и принимаемая почта проверяется встроенным антивирусом. Таким образом, при получении и отправке почты можно быть уверенным, что она не содержит вирусов и вирусные эпидемии не поразят вашу локальную сеть через электронную почтовую систему.

    Учёт трафика, планирование и ограничение расходов

    Но что делать, если безопасность уже была нарушена? В этом случае очень кстати окажется детализированная статистика. Она позволяет выяснять обстоятельства дела уже после того, как безопасность была нарушена недобросовестными сотрудниками. С помощью статистики всегда можно точно определить, кто, когда и куда передал данные. Помимо прочего это помогает экономить денежные ресурсы предприятия. Получив отчёт о посещении интернета в мегабайтах и в рублях, легко в последующем спланировать расходы на интернет для пользователей и отделов и установить соответствующие ограничения. Часто программы без ведома пользователя скачивают очень большие объёмы данных, поэтому лимит необходимо устанавливать и для добросовестных пользователей, и для организации в целом, это позволит избежать больших расходов.

    Современный интернет-шлюз позволяет контролировать расходы в реальном времени, предупреждать о перерасходе и блокировать доступ в интернет при превышении установленного лимита.

    Фильтрация трафика в соответствии с политикой предприятия

    Важным пунктом в обеспечении информационной безопасности является файерволл, работающий на шлюзе. Файерволл шлюза позволяет запретить ненужные протоколы или ограничить доступ к определённым сайтам, а также запретить работу определённых приложений, например программы поддержки файлообменных сетей.

    Опасность могут также представлять любые предоставленные для скачивания в интернете файлы. Такие файлы часто заражены вирусами и программами-шпионами. Файерволл позволяет запретить скачивание файлов определённого типа, например с расширениями *.exe или *.avi.

    Файерволл в Ideco ICS имеет одну интересную особенность: он обеспечивает интеллектуальную обработку трафика с целью выделения приоритетов, что позволяет важным приложениям качественно работать при стопроцентной загрузке интернет-канала.

    Разумеется, шлюз и сам должен быть максимально защищён. При его выборе стоит уделить внимание тому, на базе какой операционной системы он работает, ведь при взломе интернет-шлюза остальная защита просто теряет смысл. Одной из самых защищённых операционных систем на сегодня является Linux. Раньше использовать Linux могли только предприятия, в штате которых есть высококвалифицированные системные администраторы со специальными знаниями. Сегодня появляется всё больше готовых продуктов, основанных на Linux. Так, шлюз Ideco ICS работает на ОС Linux, но управляется через простой графический интерфейс, понятный обычному пользователю (рис. 3).

    Как мы с вами убедились, обеспечение информационной безопасности компании — это решение вполне конкретных и известных задач. С использованием современного программного обеспечения защититься от интернет-угроз под силу любому предприятию.

    Сетевая безопасность

    Сетевая безопасность является основой построения комплексной системы информационной безопасности в компании. Без грамотно выстроенной системы сетевой безопасности невозможно построение качественной, отвечающей всем современным потребностям, актуальным вызовам и требованиям регуляторов в области информационной безопасности. Системы сетевой безопасности являются передовым рубежом защиты компании от внешних атак злоумышленников. С построения системы сетевой безопасности, как правило, начинается построение комплексной системы ИБ в организации.

    Без правильно настроенной, функционирующей и документированной системы сетевой безопасности невозможно привести информационную систему в соответствие требованиям регуляторов, таких как: ФСТЭК, ФСБ, ЦБ РФ, Роскомнадзор в части защиты персональных данных, безопасности банковских операций, защиты объектов ключевой инфраструктуры и другой конфиденциальной информации.

    Системы сетевой безопасности позволяют решать большой спектр задач, обеспечивающих как непосредственно защиту, так и оптимизацию, и повышение эффективности Бизнес-процессов компании, в частности:

    • Защита от атак из вне, на сетевом уровне (Межсетевые экраны (FireWall), системы предотвращения вторжений (IPS))
    • Защита от скачивания вредоносного ПО (потоковый антивирус)
    • Защита от посещения мошеннических сайтов (WEB-фильтрация, антифишинг)
    • Проверка входящей электронной почты на предмет потенциально опасных вложений и нежелательных рассылок (mail-фильтрация, AntiSpam)
    • Защита конфиденциальной информации (потоковая DLP-система)
    • Разграничение прав доступа сотрудников к внешним ресурсам (ресурсам сети Интернет), в зависимости от их должностных обязанностей
    • Ограничение нежелательного контента (сайты развлекательного характера, социальные сети, анонимайзеры, майнеры, использование внешних почтовых сервисов и т.д., на основе как задаваемых правил, так и на основе автоматически обновляемых черных списков, и эвристического анализа проходящего трафика)

    Системы сетевой безопасности являются сложными устройствами, качество функционирования которых напрямую зависит от проведенного внедрения/настройки, требующей от исполнителя значительных компетенций в целом ряде областей (информационная безопасность, сетевые технологии, знание серверного оборудования и принципов работы прикладного ПО). Компания Тринити обладает многолетним опытом в части полного развертывания систем сетевой информации «под ключ», включающем в себя такие этапы как: аудит информационной безопасности, проектирование, внедрение и настройка систем сетевой безопасности, подготовка полного пакета сопроводительных документов. Квалификация наших специалистов подтверждена соответствующими сертификатами производителей (вендоров) систем сетевой безопасности и значительным количество успешных проектов по проектированию и внедрению систем сетевой безопасности.

    Враг не пройдёт!! Защита компьютерной сети предприятия

    Наталья ЛАРИОНОВА, компания «Айдеко Софтвер»

    Мы с вами живём в век информационного общества. И именно поэтому информация является наиболее ценным объектом. Любое государственное и коммерческое предприятие заинтересовано в сохранении информации, которая может ему навредить, если попадёт в руки злоумышленников или будет уничтожена. Для государственных учреждений такая информация носит гриф “Секретно”, для коммерческих предприятий — “Коммерческая тайна” или “Ценная информация”.

    Зададимся вопросом: какая именно информация нуждается в защите и может представлять интерес для злоумышленника? Это, как правило, важные договоры, списки клиентов, базы данных бухгалтерских программ, пароли и ключи системы “клиент-банк”, каналы связи с подразделениями и т. п.

    Всё чаще в СМИ сообщают о краже информации и денежных средств через интернет, при этом хакера находят очень редко. А большинство предприятий скрывают случаи взлома своих сетей и кражи данных, чтобы сохранить деловую репутацию.

    Чтобы не стать жертвой хакера, необходимо защищать компьютеры и всю сеть организации от интернет-угроз. И не стоит утешать себя тем, что, мол, именно ваше предприятие не заинтересует злоумышленника: ведь специальные программы — сканеры уязвимостей обшаривают весь интернет без разбора.

    Когда возникает необходимость обеспечить информационную безопасность компании, руководство, как правило, обращается к системным интеграторам. Они проводят комплексный анализ и разрабатывают проект по защите информации. В конечном счёте всё это оборачивается приобретением дорогостоящих программных и аппаратных средств, таких как Cisco PIX, Checkpoint, Microsoft ISA. Такие большие комплексные проекты стоят более 15 тыс. долл., требуют постоянного сопровождения и целесообразны только для крупных предприятий.

    Для малых и многих средних предприятий весь проект по защите можно свести к двум пунктам:

    • защита персональных компьютеров;
    • комплекс из интернет-шлюза и файерволла, отгораживающий сеть предприятия от Всемирной сети и защищающий компьютеры пользователей от проникновения извне.

    Защита персональных компьютеров

    Эта тема достаточно хорошо освещена в прессе: в самом деле, защитить персональные компьютеры на предприятии не так уж и сложно.

    Самое главное — не использовать на компьютере реальный IP-адрес интернета, и тогда злоумышленник не сможет подключиться к вашему компьютеру. Поясним попутно, что IP-адрес (Internet Protocol Address — адрес интернет-протокола) — это уникальный идентификатор устройства (компьютера), подключённого к локальной сети или интернету, по которому его определяют внешние устройства с целью приёма от него информации или передачи её.

    Второе. Нельзя без предварительной проверки специальными программами открывать файлы с неизвестными вам расширениями (или с известными расширениями исполняемых файлов — *.com, *.exe, *.bat), скачанные через интернет или полученные по электронной почте. Если вы получили по почте файлы от ваших знакомых, то предварительно спросите по телефону, высылали они их вам или нет. Это позволит избежать засорения компьютера программами-шпионами и “троянскими конями”.

    Читать еще:  Как включить безопасный режим на пк

    Третье — защита локальных файлов. Устанавливайте пароли длиной не менее 12 букв и никогда не сообщайте свой пароль никому, даже системному администратору (у него должен быть свой пароль). Попросите системного администратора ограничить доступ к вашим файлам, кроме тех сотрудников, кому это необходимо по должностным инструкциям, и максимально ограничить доступ к файлам через сеть. Храните самые важные файлы на флэш-карте USB, пользоваться ею не сложнее, чем дискетой. Меняйте пароль как можно чаще: выберите для себя алгоритм смены пароля, например, 1-го числа каждого месяца. Не стоит полагаться на то, что ваши коллеги — добропорядочные граждане, ведь в помещение могут попасть и посторонние и начнут перебирать известные пароли: “1”, “11” “12345”, “пароль”, “2006”, “lena2006” и т. д. Обязательно блокируйте компьютер или выключайте его, если выходите из офиса. Попросите вашего администратора установить пароль в BIOS на включение компьютера и опломбируйте компьютер наклейкой с печатью.

    Будьте внимательны к приходящим специалистам — это один из основных каналов утечки данных; записывайте их паспортные данные и берите расписку о неразглашении информации. Никогда не оставляйте на долгое время ключевую дискету системы “клиент-банк” в компьютере и не создавайте её копии на компьютере.

    Для защиты информации персонального компьютера используют как минимум четыре вида программ.

    1. Антивирусы, такие как Kaspersky Antivirus, DrWeb, Norton Antivirus, Panda, NOD32.

    2. Персональный межсетевой экран (другие названия — брандмауэр или файерволл). Такие программы защищают от проникновения в ваш компьютер через сеть и блокируют вирусные эпидемии. Можно использовать встроенный в Windows брандмауэр, хотя рекомендуются более мощные — Agnitum Outpost, Symantec Personal Firewall.

    3. Утилиты для обнаружения программ-шпионов и троянских программ. О таких утилитах часто забывают системные администраторы, из бесплатных можно рекомендовать Ad-aware компании Lavasoft.

    4. Программы резервного копирования. Здесь выбор очень широкий, лучше проконсультироваться с системным администратором, чтобы вся важная информация со всех компьютеров дублировалась на резервный носитель. Вы можете и самостоятельно создавать резервные копии своих файлов на флэш-карту USB или перезаписываемый CD (CD-RW). Берегите свой труд и создавайте резервные копии как можно чаще, ведь восстанавливать утерянную бухгалтерию или важные файлы вам придётся вручную.

    Интернет-шлюз + файерволл как основа безопасности сети предприятия

    Если все персональные компьютеры защищены, возникает вопрос: а зачем ещё дополнительно защищать сеть с помощью шлюза? Проблема заключается в том, что все локальные компьютеры находятся в доверенной сети и уязвимым местом становится именно шлюз, который устанавливается на границе доверенной сети и сети интернет. Захватив шлюз через интернет, злоумышленник попадает в доверенную сеть предприятия и может захватить другие компьютеры локальной сети и получить доступ к важной информации. Поэтому требования к современному шлюзу предъявляются очень высокие.

    Интернет-шлюз стоит в одном ряду с другими готовыми решениями (рис. 1) и должен соответствовать следующим главным критериям:

    • универсальность (подходит для большинства предприятий);
    • функциональность (обладает всеми необходимыми возможностями для решения задач);
    • надёжность (безотказность работы в любых условиях);
    • низкая стоимость владения (минимальные расходы на внедрение и сопровождение, простота в использовании и управлении).

    Однако наиболее распространённые на сегодняшний день интернет-шлюзы не полностью удовлетворяют современным требованиям. На рис. 2 показаны распространённые виды интернет-шлюзов и их преимущества и недостатки.

    В последнее время на мировом рынке появились новые специализированные решения для предприятий, которые при небольшой цене имеют высокую безопасность, надёжность и низкую стоимость владения. Есть подобные системы и на российском рынке.

    Зачем нужен интернет-шлюз

    Рассмотрим задачи, решаемые современным интернет-шлюзом, на примере универсального интернет-шлюза Ideco Internet Control Server, в котором совмещены высокая безопасность и удобство использования. Все эти задачи можно разделить на три группы: защита пользователей и сети предприятия; учёт трафика, планирование и ограничение расходов; фильтрация трафика в соответствии с политикой предприятия.

    Защита пользователей и сети предприятия

    Современный интернет-шлюз в первую очередь должен обеспечить защиту пользователей и сети предприятия от атак из сети интернет. Для решения этой задачи в Ideco ICS используется технология NAT (Network Address Translation — преобразование сетевых адресов). Эта технология скрывает пользователей от внешних злоумышленников, делая невидимыми из сети интернет. Другой важной функцией NAT является предоставление качественного доступа в интернет, причём все пользовательские программы работают без дополнительных настроек, что выгодно отличает NAT от технологии Proxy.

    Но, помимо опасностей, которые подстерегают вас непосредственно в сети интернет, существуют также угрозы внутри самого предприятия. Например, информация может быть перехвачена или передана в интернет от имени другого пользователя. Для предотвращения подобных угроз совместно с NAT используется технология VPN (Virtual Private Network — виртуальная частная сеть). По VPN каждому пользователю администратор назначает личный защищённый IP-адрес, который закреплён за ним постоянно. Сам компьютер предприятия по умолчанию не имеет доступа в интернет, и только после ввода логина и пароля сотрудник предприятия получает персональный защищённый выход во Всемирную сеть. Кроме этого технология VPN позволяет подключать по защищённому каналу филиалы и мобильных сотрудников, работающих из дома или находящихся в командировке.

    Интернет-шлюз Ideco ICS обеспечивает и антивирусную защиту. Вся отправляемая и принимаемая почта проверяется встроенным антивирусом. Таким образом, при получении и отправке почты можно быть уверенным, что она не содержит вирусов и вирусные эпидемии не поразят вашу локальную сеть через электронную почтовую систему.

    Учёт трафика, планирование и ограничение расходов

    Но что делать, если безопасность уже была нарушена? В этом случае очень кстати окажется детализированная статистика. Она позволяет выяснять обстоятельства дела уже после того, как безопасность была нарушена недобросовестными сотрудниками. С помощью статистики всегда можно точно определить, кто, когда и куда передал данные. Помимо прочего это помогает экономить денежные ресурсы предприятия. Получив отчёт о посещении интернета в мегабайтах и в рублях, легко в последующем спланировать расходы на интернет для пользователей и отделов и установить соответствующие ограничения. Часто программы без ведома пользователя скачивают очень большие объёмы данных, поэтому лимит необходимо устанавливать и для добросовестных пользователей, и для организации в целом, это позволит избежать больших расходов.

    Современный интернет-шлюз позволяет контролировать расходы в реальном времени, предупреждать о перерасходе и блокировать доступ в интернет при превышении установленного лимита.

    Фильтрация трафика в соответствии с политикой предприятия

    Важным пунктом в обеспечении информационной безопасности является файерволл, работающий на шлюзе. Файерволл шлюза позволяет запретить ненужные протоколы или ограничить доступ к определённым сайтам, а также запретить работу определённых приложений, например программы поддержки файлообменных сетей.

    Опасность могут также представлять любые предоставленные для скачивания в интернете файлы. Такие файлы часто заражены вирусами и программами-шпионами. Файерволл позволяет запретить скачивание файлов определённого типа, например с расширениями *.exe или *.avi.

    Файерволл в Ideco ICS имеет одну интересную особенность: он обеспечивает интеллектуальную обработку трафика с целью выделения приоритетов, что позволяет важным приложениям качественно работать при стопроцентной загрузке интернет-канала.

    Разумеется, шлюз и сам должен быть максимально защищён. При его выборе стоит уделить внимание тому, на базе какой операционной системы он работает, ведь при взломе интернет-шлюза остальная защита просто теряет смысл. Одной из самых защищённых операционных систем на сегодня является Linux. Раньше использовать Linux могли только предприятия, в штате которых есть высококвалифицированные системные администраторы со специальными знаниями. Сегодня появляется всё больше готовых продуктов, основанных на Linux. Так, шлюз Ideco ICS работает на ОС Linux, но управляется через простой графический интерфейс, понятный обычному пользователю (рис. 3).

    Как мы с вами убедились, обеспечение информационной безопасности компании — это решение вполне конкретных и известных задач. С использованием современного программного обеспечения защититься от интернет-угроз под силу любому предприятию.

  • Ссылка на основную публикацию
    Adblock
    detector