Ваши комментарииОбратная связь
![[ICT SBRAS]](/picture/copan/ict-logo.gif){kind=logo}
[Головная страница]
[Конференции]
Информационные технологии
Известно, что сегодня корпоративные сети (КС) не ограничиваются физическими границами организаций. Обычно, КС организаций имеют несколько сегментов, находящихся в физически удаленных друг от друга местах. Если требуется обеспечить доступ к информации для всех сотрудников организации, то часто используются выделенные линии для соединения сегментов с глобальными сетями. Выделенные линии достаточно дороги, и поэтому Internet является хорошей альтернативой для соединения нескольких сегментов КС. В связи с этим, Internet становится важнейшим элементом сетевой инфраструктуры организаций.
Обеспечение надежной защиты конфиденциальных данных передоваемых через Internet от посягательств злоумышлинников одновременно с аутентификацией и предоставлением легитимным пользователям контролируемого доступа по всему КС представляет собой довольно актуальную проблему.
Основным недостатком использования Internet для этой цели является отсутствие конфиденциальности данных, передаваемых по Internet между сегментами, а также уязвимость к подмене пакетов и другим атакам. Поэтому для соединения удаленных сегментов целесообразно использовать виртуальных частных сетей (Virtual Private Networks-VPN), построенных на базе межсетевых экранов (МЭ). VPN используют шифрование для обеспечения безопасности. Обычно шифрование выполняется между МЭ.
Решения проблемы аутентификации и предоставления легитимным пользователям контролируемого доступа по всему КС может быть решен, с помощью VPN на базе МЭ, объединением нескольких сегментов, подключенных к глобальной сети, в одну виртуальную КС, т.е. созданием среды для виртуального экранирования. При таком решении МЭ шифрует весь трафик, передаваемый удаленному сегменту и расшифровывает весь трафик, принятый от них. Передача данных между этими сегментами производиться прозрачным образом для пользователей сегментов, как будто между ними нет МЭ. На самом деле трафик маршрутизируется МЭ VPN, обработка его прокси-серверами, и аутентификация не требуется. Любые два хоста внутри VPN, связанные защищенными каналами, могут свободно обмениваться данными между собой, и предоставлять все сервисы TCP/IP, которые у них имеются.
Конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования и использованием цифровых подписей. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка. Шифруя весь сеанс, также можно решить проблему аутентификаци.
Безопасность - не единственный вопрос, который решается при виртуальном экранировании КС, так как сейчас Internet не предоставляет гарантий в пропускной способности канала и его надежности. Файлы и сообщения могут быть переданы с задержками или не доставлены вообще, и это зависит от общего состояния сетей и отдельных маршрутизаторов, составляющих Internet.
Литература
1. Алгулиев Р.М. Методы синтеза адаптивных систем обеспечения информационной безопасности корпоративных сетей. М.: УРСС, 2001, 247с.
2. Аббасов А.М., Алгулиев Р.М. Концептуальные вопросы построения виртуальных частных сетей с перестраиваемой структурой. Доклады АН Азербайджана, №1-2, том. LV, 1999, сс.72-83.
3. Аббасов А.М., Алгулиев Р.М. Об одном методе повышения отказоустойчивости виртуальных частных сетей. // Известия Академии Наук Азербайджана. Сер. физико-технических и математических наук. Том XVIII, №2, 1998. Баку, "Элм", сс. 158-162.
4. Азаркин А.В., Фоменков Г.В. "Средства обеспечения защищенности информационных систем" - Защита информации. Конфидент, #1, 1998г.
5. Ерхов Е.В., Фоменков Г.В. "Средства обеспечения защищенности информационных систем. Часть 2. Средства анализа информационных потоков" - Защита информации. Конфидент, #3, 1998г.
6. Осовецкий Л. Построение средств межсетевой защиты информации. http://www.creativeport.ru/internet/iinet97/6.html.
7. Турский А., Панов С. Защита информации при взаимодействии корпоративных сетей в Internet. http://www.clvis.ru/publications/Ek_proizvol_10-12_99.html
Примечание. Тезисы докладов публикуются в авторской редакции
|
Ваши комментарии Обратная связь |
[Головная страница] [Конференции] |
© 1996-2000, Институт вычислительных технологий СО РАН, Новосибирск
© 1996-2000, Сибирское отделение Российской академии наук, Новосибирск