Защита информации виртуальных частных сетей

 Справочник по реестру Windows XP

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols Протоколы это методики, используемые для передачи сообщений. В Windows XP поддерживаются пять протоколов системы защиты. Наиболее распространённый протокол, в котором пользователи отдают себе отчёт, это SSL (Secure Sockets Layer, Протокол защищенных сокетов), используемый для передачи защищённой информации по сетям TCP/IP, таким как Интернет. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms Обмен ключей это процесс, в ходе которого пользователи могут передавать ключи друг другу. Для передачи ключа в виде простого текста используется алгоритм шифрования, названный алгоритмом шифрования открытым ключом. Это становится возможным, т.к. ключ, использованный для шифрования сообщения, отличается от ключа для расшифровки. Ключ шифрования, называемый публичным ключом, раздаётся всем тем, кто должен отсылать Вам зашифрованные сообщения. Вы удерживаете у себя защищённый ключ расшифровки для чтения зашифрованных сообщений

 Безопасность как процесс

Разрешенными протоколами для исходящего трафика являются: • H P и H PS — для обращения через Web к любому серверу Web и F P — для обращения к любому серверу F P; • D S — для передачи данных об именах на сервер имен предприятия; • SM P и РОРз — для передачи трафика электронной почты на почтовые серверы предприятия; • IPSec или SSL — для передачи трафика виртуальных частных сетей на шлюз VP . Разрешенными протоколами для входящего трафика являются: • H P и H PS — для обращения через Web к серверам Web предприятия; • D S — для обращения к серверу имен предприятия с целью определения адреса; • протоколы для передачи трафика электронной почты на почтовые серверы предприятия. Не упомянутые в перечне протоколы будут блокироваться брандмауэром. Каждое отклонение от этой директивы позднее, на этапе выявления, будет расцениваться как нарушение правил безопасности компании и обрабатываться соответствующим образом. На основе всей информации, собранной на этапе оценки, можно составить сметы проектов, отобрать персонал и оценить такие компоненты системы безопасности, как брандмауэры, системы обнаружения вторжения, антивирусные сканеры, фильтры спама, proxy-серверы и т. д. Этап 2: защита. Многие предприятия ошибочно отождествляют этап защиты и понятие «безопасность», поскольку здесь принимаются контрмеры для минимизации вероятности успешной атаки.

 Бизнес со скоростью мысли

В этой системе развертывание новых приложений или модернизация существующих не представляет никакой сложности. Для выполнения таких транзакций между гражданами и государством необходимо надежно обеспечить их безопасность (как и при любых коммерческих операциях). Здесь есть два аспекта: защита данных в процессе передачи по сети и аутентификация сторон. Существующие технологии шифрования позволяют достаточно надежно обеспечить конфиденциальность любой электронной транзакции, однако правила экспорта технологий криптозащиты, установленные правительством США, не позволяют американским компаниям встраивать их в свои продукты. Поскольку это ограничение препятствует использованию шифрования честными пользователями, не создавая в то же время никаких существенных неудобств представителям преступного мира, деятели компьютерной индустрии США активно борются за изменение этой позиции своего правительства. На практике даже те средства шифрования, которые не выходят за рамки экспортных ограничений, в большинстве случаев обеспечивают достаточно надежную защиту, чтобы не считать передачу информации по сети «слабым звеном цепи»

 Защита информации в глобальной сети

Многие I –менеджеры привыкли к изначально присущей частным сетям защите конфиденциальной информации и рассматривают I er e как слишком «общедоступную» для использования ее в качестве частной сети. Однако при условии принятия необходимых мер I er e –базированные виртуальные частные сети могут стать более безопасными, чем VP , базирующиеся на PS . Если пользоваться английской терминологией, то существуют три «Р», реализация которых в совокупности обеспечивает полную защиту информации. Это: Pro ec io - защита ресурсов с помощью брандмауэров (firewall); Proof - проверка идентичности (целостности) пакета и аутентификация отправителя (подтверждение права на доступ); Privacy - защита конфиденциальной информации с помощью шифрования. Все три «Р» в равной степени значимы для любой корпоративной сети, включая и VP . В сугубо частных сетях для защиты ресурсов и конфиденциальности информации достаточно использования довольно простых паролей. Но как только частная сеть подключается к общедоступной, ни одно из трех «Р» не может обеспечить необходимую защиту. Поэтому для любой VP во всех точках ее взаимодействия с сетью общего пользования должны быть установлены брандмауэры, а пакеты должны шифроваться и выполняться их аутентификация.

 Умная толпа

Если когда-нибудь миллионы людей станут жить, облачившись в оснащенные датчиками нательные компьютеры, само население может стать коллективным надзирателем: Старшим Каждым. Стив Манн предположил, что сообщества пользователей нательных компьютеров будут наблюдать, предупреждать и помогать друг другу, создавая виртуальные «сети безопасности» для добровольных объединений людей по интересам [12]. Стивен Фейнер, первым выдвинувший идею «носимой системы расширенной реальности» в Колумбийском университете, нарисовал леденящий душу противоположный сценарий. Фейнер спрашивает, что произойдет в будущем мире сообществ пользователей нательных компьютеров, если некоторые организации предложат людям небольшую плату за постоянный, осуществляемый в реальном времени доступ к оцифрованному потоку происходящих с ними событий [13]. Люди в фейнеровском сценарии имели бы возможность защитить свою собственную приватность, за это показывая заказчикам все то, что доступно их взору. Фейнер заключает, что технология, допускающая журналистику для каждого, допускает также и надзор многих за многими

 Протоколы и методы реализации VPN сетей

Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации. 4. По типу протокола: Существуют реализации виртуальных частных сетей под CP/IP, IPX и Apple alk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол CP/IP, и абсолютное большинство VP решений поддерживает именно его. 5. По уровню сетевого протокола: По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI. 1.3. Построение VP Существуют различные варианты построения VP . При выборе решения требуется учитывать факторы производительности средств построения VP . Например, если маршрутизатор и так работает на пределе мощности своего процессора, то добавление туннелей VP и применение шифрования / дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VP .

 Интеллектуальная собственность в России

Действующее законодательство Российской Федерации формально не распространяется на деятельность фирм, связанную с I ER E . Поэтому прошедшие 17.12.96 слушания по проблемам развития I ER E в России обнаружили значительный интерес к этой теме общественности, производителей информационной продукции и государственных органов.  Комитетом Государственной думы по информационной политике и связей предусмотрен на 1997-1999гг. ряд законодательных инициатив и действий в рассматриваемой сфере. Подготовлен проект закона «О коммерческой тайне» Намечены изменения и дополнения в закон «Об участии в международном информационном обмене», внести в Государственную думу уже разработанный проект закона «О персональных данных».  Вся эта деятельность направлена на то, чтобы, с одной стороны, обеспечить свободный доступ граждан к информации, создаваемой на деньги налогоплательщиков, а с другой -- защиту информации в телекоммуникационных сетях, охрану бизнеса и прав на ИС, а также неприкосновенность частной жизни граждан. ТАМОЖЕННЫЕ ОРГАНЫ И ЗАЩИТА ИСКЛЮЧИТЕЛЬНЫХ ПРАВ ВЛАДЕЛЬЦЕВ ОБЕКТОВ  ИС Для России проблема борьбы с “интеллектуальной контрабандой” стала актуальной в последнее время.

 Защита информации в Интернете

Такого рода “дополнительные возможности” целесообразно отключать, поскольку лишнее знание (злоумышленника) умножает печали (владельца сервера). АУТЕНТИФИКАЦИЯ В ОТКРЫТЫХ СЕТЯХ   Методы, применяемые в открытых сетях для подтверждения и проверки подлинности субъектов, должны быть устойчивы к пассивному и активному прослушиванию сети. Суть их сводится к следующему. •  Субъект демонстрирует знание секретного ключа, при этом ключ либо вообще не передается по сети, либо передается в зашифрованном виде. • Субъект демонстрирует обладание программным или аппаратным средством генерации одноразовых паролей или средством, работающим в режиме “запрос-ответ”. Нетрудно заметить, что перехват и последующее воспроизведение одноразового пароля или ответа на запрос ничего не дает злоумышленнику. • Субъект демонстрирует подлинность своего местоположения, при этом используется система навигационных спутников. ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ   Одной из важнейших задач является защита потоков корпоративных данных,передаваемых по открытым сетям. Открытые каналы могут быть надежно защищенылишь одним методом - криптографическим.   Отметим, что так называемые выделенные линии не обладают особыми преимуществами перед линиями общего пользования в плане информационной безопасности.

 Введение в информационную безопасность

Аутентификация в открытых сетях Методы, применяемые в открытых сетях для подтверждения и проверки подлинности субъектов, должны быть устойчивы к пассивному и активному прослушиванию сети. Суть их сводится к следующему. Субъект демонстрирует знание секретного ключа, при этом ключ либо вообще не передается по сети, либо передается в зашифрованном виде. Субъект демонстрирует обладание программным или аппаратным средством генерации одноразовых паролей или средством, работающим в режиме "запрос-ответ". Нетрудно заметить, что перехват и последующее воспроизведение одноразового пароля или ответа на запрос ничего не дает злоумышленнику. Субъект демонстрирует подлинность своего местоположения, при этом используется система навигационных спутников. Виртуальные частные сети Одной из важнейших задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть надежно защищены лишь одним методом - криптографическим. Отметим, что так называемые выделенные линии не обладают особыми преимуществами перед линиями общего пользования в плане информационной безопасности.

 Технология GPRS (General Packet Radio Service)

В этой точке может осуществляться шифрование. SGS использует информацию о профиле (включая имя точки доступа, которое идентифицирует сеть и оператора) для определения, к которому узлу GGS производить маршрутизацию. Выбранные ворота могут предоставлять сервис удаленной аутентификации пользователя (Remo e Au he ica io Dial-I User Service, RADIUS) и назначать динамический адрес интернет-протокола (IP) пользователю перед настройкой соединений во внешние сети. Этот процесс называется "контекстная активация пакетного профиля данных" и установки могут варьироваться от оператора к оператору. Он может включать дополнительные функции, такие как менеджмент QoS (Quali y of Service - качество сервиса) и менеджмент виртуальных частных сетей (vir ual priva e e work, VP ). Когда мобильное устройство выключено или находится вне зоны покрытия GPRS, его контекст дезактивируется и устройство отсоединяется от сети. Когда мобильный пользователь посылает данные, узел SGS направляет пакеты на соответствующий узел GGS . GGS затем направляет данные в соответствии с текущим "контекстом", устанавливаемым для данной сессии. В обратном направлении, пакеты, предназначенные для пользователя, направляются в GGS , ассоциированный с IP адресом пользователя.

 Средства администрирования оптоволоконных систем Сплайсирование волокна

Защита данных включает в себя большой набор различных задач: резервное копирование и восстановление данных, разработка и осуществление политик безопасности учетных записей пользователей и сетевых служб (требования к сложности паролей, частота смены паролей), построение защищенных коммуникаций (применение протокола IPSec, построение виртуальных частных сетей, защита беспроводных сетей), планирование, внедрение и обслуживание инфраструктуры открытых ключей (PKI). 2. Стандарт на администрирование и сопровождениеНа сегодняшний день существует практически один всесторонне развитый и логически завершенный документ по администрированию телекоммуникационных инфраструктур коммерческих зданий (Admi is ra io s a dard for commercial elecommu ica io s i fras ruc ure) — стандарт A SI/ IA/EIA-606 (февраль, 1993 г.). В мае 2002 года была принята переработанная версия A SI/ IA/EIA-606-A. Этот стандарт содержит спецификации по администрированию кабельных систем, трасс, помещений, а также систем заземления и соединений, связанных с телекоммуникационными функциями.

 Организация интеллектуальной сети в г. Кокшетау на базе платформы оборудования Alcatel S12

Компания предлагает для использования пакет основных услуг ИС, в него входят: бесплатный телефон, дополнительная плата, телефонное голосование, телефонная карта, персональный номер, виртуальная частная сеть. Для эксплуатации ИС и управления ею на узле SCP может быть предусмотрен интерфейс к автоматизированным системам технической эксплуатации и управления трафиком компании Luce ech ologies, таким как FM/ OC1 (для управления сетевыми элементами ИС) и e Mi der (для управления трафиком ИС). Данные системы могут быть интегрированы в единый центр технической эксплуатации оператора связи. Рисунок 3.4 - Архитектура узла SCP производства Luce ech ologies 3.4 Обоснование выбора оборудования для создания интеллектуальной сети В соответствии с рекомендацией I U- 1.312/Q. 1201 определение интеллектуальной сети звучит следующим образом. Интеллектуальная сеть - это архитектурная концепция предоставления новых услуг связи, обладающих следующими основными характеристиками: - широкое использование современных методов обработки информации; - эффективное использование сетевых ресурсов; - модульность и многоцелевое назначение сетевых функций; - интегрированные возможности разработки и внедрения услуг средствами модульных и многоцелевых сетевых функций; - стандартизованное взаимодействие сетевых функций посредством независимых от услуг сетевых интерфейсов; - возможность управления некоторыми атрибутами услуг со стороны абонентов и пользователей; - стандартизованное управление логикой услуг .

 Основные платформы эвм и области их использования

Таким образом, мы видим, что любая банковская система представляет из себя сложный комплекс, объединяющий сотни отдельных компьютеров, локальные сети и необходимое подключение к глобальным сетям. Отдельно необходимо сказать о корпоративных сетях банков, так как это один из основных элементов банковских систем. Корпоративная сеть банка представляет собой частный случай корпоративной сети крупной компании. Очевидно, что специфика банковской деятельности предъявляет жесткие требования к системам защиты информации в компьютерных сетях банка. Не менее важную роль при построении корпоративной сети играет необходимость обеспечения безотказной и бесперебойной работы, поскольку даже кратковременный сбой в ее работе может привести к гигантским убыткам. И, наконец, требуется обеспечить быструю и надежную передачу большого объема данных, поскольку многие прикладные банковские программы должны работать в режиме реального времени. Можно выделить следующие основные требования к корпоративной сети банка: Сеть объединяет в структурированную и управляемую замкнутую систему все принадлежащие компании информационные устройства: отдельные компьютеры и локальные вычислительные сети (LA ), хост-серверы, рабочие станции, телефоны, факсы, офисные АТС, сети банкоматов, онлайновые терминалы.

 Основные платформы ЭВМ

Таким образом, мы видим, что любая банковская система представляет из себя сложный комплекс, объединяющий сотни отдельных компьютеров, локальные сети и необходимое подключение к глобальным сетям. Отдельно необходимо сказать о корпоративных сетях банков, так как это один из основных элементов банковских систем. Корпоративная сеть банка представляет собой частный случай корпоративной сети крупной компании. Очевидно, что специфика банковской деятельности предъявляет жесткие требования к системам защиты информации в компьютерных сетях банка. Не менее важную роль при построении корпоративной сети играет необходимость обеспечения безотказной и бесперебойной работы, поскольку даже кратковременный сбой в ее работе может привести к гигантским убыткам. И, наконец, требуется обеспечить быструю и надежную передачу большого объема данных, поскольку многие прикладные банковские программы должны работать в режиме реального времени. Можно выделить следующие основные требования к корпоративной сети банка: Сеть объединяет в структурированную и управляемую замкнутую систему все принадлежащие компании информационные устройства: отдельные компьютеры и локальные вычислительные сети (LA ), хост-серверы, рабочие станции, телефоны, факсы, офисные АТС, сети банкоматов, онлайновые терминалы.

 Обеспечение производительности приложений

Андреас Штайн Если и можно охарактеризовать сегодняшние сети и приложения одним словом, то это "сложность". Приложения стали крайне непростые. Они взаимодействуют через целый ряд портов CP/UDP, работают в многозвенных средах и все чаще перемещаются с распределенных на централизованные серверы. Управлять важными деловыми службами становится все труднее. В такой ситуации поможет лишь глубокое знание происходящих в сети процессов. Конвергенция трафика данных и голосового трафика на порядок повышает сложность корпоративной сети. Раньше сети передачи голоса, видео и данных были разделены, сегодня же все эти виды трафика передаются по единой сети. С появлением IP-телефонии отделы ИТ пытаются оценить, как IP-телефония, передача графических файлов и управление качеством услуг (Quali y of Service, QoS) влияют на работающие в сети деловые приложения. Сетевое оборудование также стало сложнее. ИТ-ме-неджеры уже ближайшие два года планируют внедрение 10 Gigabi E her e , MPLS, виртуальных частных сетей (Vir ual Priva e e work, VP ) и механизмов QoS.

 Политика безопасности при работе в Интернете

Важным вопросом при создании виртуальных частных сетей является то, что в каждой ЛВС должны использоваться эквивалентные политики безопасности. VP по существу создает одну большую сеть из группы независимых ранее сетей. Поэтому безопасность VP будет равна безопасности наименее защищенной ЛВС - если хотя бы одна ЛВС позволяет осуществить незащищенный доступ по коммутируемым линиям, то под угрозой окажутся все ресурсы VP . Создание виртуальной частной сети с помощью Интернета между отдельными сетями организации требует письменного разрешения ответственного за безопасность. Добавление сетей к существующей VP также требует письменного разрешения. Перед подключением сети к VP должен быть выполнен анализ и, при необходимости, доработка используемых в ней политик безопасности. Существует несколько вариантов создания VP : Защищенные каналы - брандмауэр шифрует весь трафик, передаваемый удаленному хосту или сети, и расшифровывает весь трафик, принятый от них. Трафик между хостами в VP , связанными защищенными каналами, передается свободно, как будто между ними нет брандмауэров. На самом деле трафик маршрутизируется брандмауэрами VP , обработка его прокси-серверами и аутентификация не требуется.

 Компьютерные сети

Отличается от локальной сети более протяженными коммуникациями (спутниковыми, кабельными и др.). Глобальная сеть объединяет локальные сети. Городская сеть (MA - Me ropoli a Area e Work) - сеть, которая обслуживает информационные потребности большого города. Региональные - расположенные на территории города или области. Так же, в последнее время специалисты выделяют такой вид сети, как банковская, которая представляет собой част­ный случай корпоративной сети крупной компании. Очевидно, что специфика банковской деятельности предъявляет жесткие требования к системам защиты информации в компьютерных сетях банка. Не менее важную роль при построении корпоративной сети играет необходимость обеспечения безотказной и бесперебойной работы, поскольку даже кратковременный сбой в ее работе может привести к гигантским убыткам. По принадлежности различают ведомственные и государственные сети. Ведомственные принадлежат одной организации и располагаются на ее территории. Государственные сети - сети, используемые в государственных структурах.

 Обеспечение защиты данных в системе "Учет рабочего времени"

Благодаря этому информация от отправителя будет направляться непосредственно получателю. Защита от угрозы № 4: Так как отдел работает с конфиденциальной информацией, которая не должна быть доступной посторонним лицам, то помещение во внерабочее время должно находиться под замком и сигнализацией. Ключ должен выдаваться на основании распоряжения руководителя лицам, оговоренным в нём. Во избежание от подмены оборудования пользователя необходимо сделать привязку MAC-адреса сетевого интерфейса к коммутатору, т.е. разрешить доступ к данному порту определённому сетевому устройству. Существует также ряд неявных угроз, которые могут возникнуть в процессе функционирования активного оборудования, например сбой в электропитании, выход из строя винчестеров. Для предотвращения последствий от сбоя рекомендуется использовать: Фильтры питания; Источники бесперебойного питания; Автономные генераторы. Возможные механизмы защиты вертикальной структуры сети Для большей защиты информации, циркулирующей по сети передачи данных, по возможности необходимо защищать на каждом уровне модели OSI.