Безопасность intranet/Internet

Безопасность INTRANET/INTERNET

(Продолжение. Начало - "КИ" 1997/4)

В 1996 г. INPUT провела опрос организаций, внедряющих или собирающихся внедрять Intranet для своего бизнеса. Цель опроса -определение основного круга проблем, с которыми приходится сталкиваться при разработке проекта Intranet сети организации. Чего же опасаются, в первую очередь, менеджеры информационных отделов, приступая к реорганизации инфраструктуры компании? По результатам опросов:

1. Безопасность.
2. Управление и средства администрирования.
3. Средства разработки приложений и интеграция с существующими системами.
4. Стоимость.

ГРАФИК

При использовании Internet/Intranet технологий для электронной коммерции вопрос безопасности также выходит на первый план.

Настоящая статья посвящена проблемам безопасности и управления безопасностью в Intranet сетях, решениям, предлагаемым Bull, в этой области.

Ограничение или полное закрытие доступа к Intranet извне является лишь начальным шагом в выработке концепции безопасности. Первое, от чего хочет защититься организация - это от риска вторжения извне. Однако наибольшая вероятность нарушения безопасности кроется внутри, а не вне компании. Неудовлетворенный своей работой персонал или бывшие работники гораздо опаснее хакеров за пределами организации. Согласно данным ФБР, 80% всех преступлений в области компьютерных технологий - это "внутренняя работа". Таким образом, даже если организация установит непробиваемый периметр обороны против вторжений извне, для обеспечения полной безопасности этого будет недостаточно. Возможными проблемами с безопасностью внутри компании могут быть:

- компьютерное пиратство;
- неавторизованный доступ к информации;
- разрушение данных ( ненамеренное или направленное );
- взлом системы или нарушение ее работы в результате неавторизованного доступа;
- утечка информации за пределы организации.

Решения Bull в области безопасности охватывают весь комплекс проблем, возникающих при построении Intranet сети:

Контроль доступа и управление безопасностью.
Безопасность сети.
Безопасность систем.
Непрерывное функционирование
Конфиденциальность и поддержка целостности информации.

Контроль доступа и управление безопасностью

РИСУНОК. Схема безопасности

ISM AccessMaster - глобальное решение по обеспечению управления безопасностью LAN и WAN. Организации хотят видеть инструментарий, позволяющий:

осуществлять контроль доступа к приложениям и данным;
предотвращать разрушение данных;
предотвращать неавторизованный доступ к данным и передачу данных в Intranet извне.

ISM AccessMaster - глобальное решение по обеспечению управления безопасностью LAN и WAN, отвечающее этим требованиям. Его возможности включают в себя:

управление firewall ( NetWall ) для Intranet администраторов;
глобальное определение пользователей и их прав и полномочий;
идентификация и аутентификация пользователей по паролю или через смарткарту;
поддержка безопасности рабочих станций и разграничение прав доступа к приложениям;
централизованный аудит групп информации всех информационных систем и контроль доступа к ресурсам;
глобальное и когерентное администрирование пользователей и соответствующих им авторизированных прав доступа.

Безопасность сети

Как уже отмечалось выше, первый шаг при выработке политики безопасности состоит в установлении непреодолимого бастиона против неавторизованных попыток доступа извне. Итак, первое, что вы должны сделать - это установить firewall на ваших Internet access серверах. Это позволит контролировать трафик в и из Internet. NetWall, firewall компании Bull предоставляет продвинутые механизмы по организации защиты вашей сети, благодаря мощной комбинации динамической IP фильтрации, применения proxy и уникальной схеме аутентификации пользователей, основанной на Bull CP8 Smartcard, CP8 LAN.

CP8 ( подразделение Bull ) является мировым лидером по обеспечению защиты электронных транзакций. CP8-LAN- решение, применимое как для электронной коммерции, так и для организации контроля доступа. Используя как физические, так и логические ключи, CP8-LAN поддерживает безопасность контроля доступа к любым TCP/IP серверам приложений и Web серверам. CP8-Lan состоит из двух компонент.

я Клиентской части : программное обеспечение + card reader( считыватель ) + карточка;
я Сервера безопасности.

В зависимости от требований используется один из следующих card reader-ов:

Smartcard reader	соединение	описание
VLC PC	serial port reader	широко используемый на рынке reader для любого PC, для обеспечения локальной безопасности или контроля доступа в режиме on-line
Pin PadLINK	display/keyboard reader	применяется при работе приложений оплаты платежей,требующих контроль безопасности, основанный на использовании PIN кода
SecurLINK	PCMCIA reader	для использования с portable PC

Для каждой сессии с защищенным сервером приложений между CP8-LAN клиентом и CP8-LAN сервером устанавливается защищенный канал по передаче данных, по которому карточка пользователя опрашивается каждые пять секунд. Система подобной on-line идентификации является практически невзламывемой.

Безопасность систем

Защиты корпоративной сети от вторжения извне оказывается недостаточно для многих коммерческих и государственных организаций с повышенными требованиями безопасности.

Необходима уверенность в том, что такие критичные по безопасности системы защищены против любого пользователя, производящего неавторизованные операции и даже против персонала,не имеющего соответствующих полномочий по доступу к данным или их модификации. BEST-X, система компании Bull, полностью совместимая с AIX, обеспечивает такую защиту.

BEST-X, сертифицированная на уровень ITSEC B1/E3 в 1996г., гарантирует очень высокий уровень безопасности, обычно, требуемый в военных организациях и коммерческих организациях с повышенными требованиями к защищенности, таких как банки.

Возможности BEST-X включают:

я Обязательный контроль доступа (MAC), открывающий пользователям доступ только к тем объектам, к которым этот доступ разрешен.
я Установление меток (MAC labels , позволяет определять уровни доступа для всех субъектов (пользователи, процессы...) и объектов (файлы, устройства...)), используя схему установления меток, определяемую внутренними требованиями организации.
я Контроль предоставляемых прав доступа (DAC), позволяет пользователям предоставлять доступ к объектам, которые они контролируют.
я Список контроля доступа (ACL), определяет права доступа для каждого объекта.
я Улучшенная аутентификация, делает невозможным обмануть схему аутентификации при попытках неавторизованного доступа.
я Возможности аудита, расширяют возможности аудита AIX дополнительными событиями, дополнительными критериями выбора, новыми сигналами тревоги и процедурами shutdown при попытках вывести из строя аудит.

Полная совместимость BEST-X с AIX означает, что все приложения, работающие под AIX будут работать под BEST-X. Например, BEST-X, инсталлированная на Bull Internet Access Server вместе с NetWall, возводит непреодолимый бастион контроля доступа.

Конфиденциальность и поддержка целостности информации

При построении единой виртуальной Intranet сети организации возникает вопрос каким образом объединить географически разнесенные LAN подразделений с тем чтобы информация, передаваемая через Internet, не была нарушена или прочитана. Аппаратно-программная разработка Bull SECURWARE IP поддерживает конфиденциальность и целостность передаваемой информации, используя упаковку сообщений и шифрацию на уровне фреймов IP пакетов. SECURWARE IP обеспечивает аутентификацию фреймов и их фильтрацию согласно используемым протоколам ( IP/ARP и т.д.), идентификацию IP адреса посылающего и принимающего и номер TCP/UDP порта. SECURWARE IP независим от используемой общей сети ( X.25, Frame Relay, ISDN). Вы проектируете ту сеть, которая наиболее подходит вам по стоимости и качеству услуг.

Производительность SECURWARE IP позволяет шифровать данные со скоростью 9 Mб/с. IP адреса, их ключи и идентификаторы пользователей устанавливаются во время инсталляции, и могут быть изменены в любое время администратором. При идентификации администратора используется smart card. При попытке физического взлома устройства вся информация самоуничтожается. Во время работы SECURWARE IP позволяет осуществлять мониторинг количества посланных, принятых, шифрованных, дешифрованных и ошибочных пакетов.

Комплекс решений безопасности компании Bull позволяет организации быть абсолютно уверенной в целостности и сохранности конфиденциальной информации, передаваемой внутри Intranet. Обширный опыт Bull в области построения Intranet решений передается заказчику, при этом компания следует принципам, характерным выражением которых является девиз "Web intelligence in total security".

Технический специалист Bull SA Денис Никитин, тел. 325-6909

КОМПЬЮТЕР-ИНФОРМ