Разработака защищеного канала связи для подключения юридических лиц.

Следовательно, при оценке преимущества удалённой поддержки, в каждом случае необходимо тщательно взвесить потенциальные риски, а также персонал компании всегда должен быть готов принять корректирующие действия в случае, если что-то пойдет не так.Таким образом, проект корпоративной сети связи компании ритейлера будет следующим (см. Рисунок 20).Рисунок 20 - Проект корпоративной сети связи компании ритейлера3.3 Разработка решения по построению защищенного канала связи для подключения юридических лицДля организации виртуальной частной сети будет оптимальным применение специализированного программного обеспечения.На основе анализа существующих на современном этапе решений выбор решения по построению защищенного канала связи для подключения юридических лиц был сделан в пользу следующих сертифицированных средств защиты:Для организации защищенной сети выбран продукт компанииInfotecsVipNetOffice.Для защиты информации от НСДSecretNet.Пакет программного обеспечения VipNetOFFICE содержит три компонента технологии ViPNet: ViPNetManager;ViPNet Координатор;ViPNet Клиент. ViPNetManagerпредназначен для создания и модификация защищенной сети и является облегченной версией программного обеспечения ViPNet Администратор. Данное ПО позволяет на простом интуитивном уровне, задавать и изменять структуру защищенной сети ViPNet™. В состав ViPNet Координатора и Клиента ViPNet входит драйвер, который обеспечивает надежное шифрование IP-трафика, и одновременно выполняет функции межсетевого и персонального сетевого экранов. В программном обеспечении решения ViPNetOFFICE в качестве криптографического ядра используется СКЗИ Домен-К. Для рассматриваемой АС предприятия VipNetOffice является наиболее оптимальным решением, так как с помощью него можно быстро, качественно и за небольшие деньги построить VPN и обеспечить защищенную передачу информации через Интернет.Причины выбора именно ViPNetOFFICE: необходимо обеспечить защищенный обмен информацией через Интернет между несколькими несвязанными АС предприятия; необходимо организовать удаленный защищенный доступ сотрудников предприятия или её руководства через Интернет к конфиденциальным ресурсам локальной сети и одновременно обеспечить защиту их мобильных компьютеров от возможных сетевых атак; необходимо обеспечить разграничение доступа внутри локальной сети, например, чтобы к некоторому серверу с конфиденциальной информацией имела доступ только определенная группа пользователей, а все остальные даже не догадывались о его существовании; необходимы простые и удобные инструменты для работы с электронно-цифровой подписью, поддерживающие стандартные средства обмена деловой корреспонденцией (MicrosoftOutlook, OutlookExpress); не требуется обеспечивать взаимодействие с защищенными сетями ViPNet других фирм; необходимо минимизировать финансовые затраты на приобретение и эксплуатацию средств VPN; хочется простого и понятного программного обеспечения для создания и изменения структуры защищенной сети, чтобы не надо было вникать в технологию виртуальных частных сетей и иметь серьезные познания в области защиты информации.Все это полностью обеспечивает VipNetOffice. Кроме этого данный выбор является целесообразным с экономической точки зрения.ViPNetManager устанавливается в Главном здании предприятия на выделенный сервер; ViPNet Координаторы устанавливаются в Главном здании и на серверах удаленных АС на входе в локальную сеть и выполняют роль межсетевых экранов и криптошлюзов для организации защищенных туннелей между удаленными локальными сетями; ViPNet Клиенты устанавливаются как внутри локальных сетей, на рабочие станции сотрудников, так и на мобильные компьютеры для организации защищенного удаленного доступа к ресурсам локальных сетей. ViPNet Клиент в этом случае выполняет роль персонального сетевого экрана и шифратора IP-трафика; Одновременно с работой в защищенной сети ViPNet Координаторы и ViPNet Клиенты могут фильтровать обычный, незашифрованный IP-трафик, что позволяет обеспечить необходимую работу серверов и рабочих станций с открытыми ресурсами Интернета (WWW-странички) или локальных сетей (сетевой принтер, незащищенные рабочие станции и серверы) (см. Рисунок 21).Рисунок 21 - Схема взаимодействия компонентов VipNetSecretNet - это сертифицированное средство защиты информации от несанкционированного доступа, которое позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:№152-ФЗ («О персональных данных»);№98-ФЗ («О коммерческой тайне»);№5485-1-ФЗ («О государственной тайне»);СТО БРИББС (Стандарт Банка России).К основным возможностям системы относятся:аутентификация пользователей;разграничение доступа пользователей к информации и ресурсам автоматизированной системы;доверенная информационная среда;контроль утечек и каналов распространения конфиденциальной информации;контроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информации;централизованное управление системой защиты, оперативный мониторинг и аудит безопасности;масштабируемая система защиты, возможность применения SecretNet (сетевой вариант) в организации с большим количеством филиалов;защита терминальной инфраструктуры и поддержка технологий виртуализации рабочих столов (VDI).Существует два варианта развертывания SecretNet:Автономный режим – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.Сетевой режим (с централизованным управлением) – предназначен для развертывания в доменной сети c ActiveDirectory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант SecretNet может быть успешно развернут в сложной доменной сети (domaintree/forest).\Архитектура SecretNet представлена следующим образом:Компоненты SecretNet 7 (сетевой режим):SecretNet 7 – Клиент;SecretNet 7 – Сервер безопасности;SecretNet 7 – Программа управления.Клиент SecretNet 7 устанавливается на всех защищаемых компьютерах. Он следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на сервер безопасности, а также прием от него оперативных команд и их выполнение.Сервер безопасности является основным элементом в сетевой структуре системы SecretNet 7. Этот компонент обеспечивает взаимодействие объектов управления, реализует функции контроля и управления, а также осуществляет обработку, хранение и передачу информации.В состав СЗИSecretNet 7 включена программа оперативного управления, заменяющая средства оперативного управления предыдущих версий СЗИ.Программа оперативного управления предназначена для конфигурирования сетевой структуры, централизованного управления защищаемыми компьютерами и для работы с записями журналов, поступивших на хранение в базу данных сервера безопасности. Программа устанавливается на рабочих местах администраторов. При работе программа взаимодействует с сервером безопасности, который обрабатывает все управляющие команды администратора.Дополнительно лицензируемый компонент – механизм защиты дисков Дополнительно может использоваться и лицензироваться модуль блокировки НСД к жесткому диску, который осуществляет сокрытие данных на диске при загрузке компьютера с внешних носителей. В качестве основного способа защиты информации от несанкционированного доступа (НСД) злоумышленниками применяется внедрение средств AAA (ЗА)- authentication (аутентификация), authorization (авторизация), administration (администрирование). Устройства ввода идентификационных признаков и системы идентификации и аутентификации (СИА) - основные средства защиты от НСД к КС.В случае применения СИА пользователи получают доступ к КС или в корпоративную сеть после успешного прохождения процедуры идентификации и аутентификации. Процесс идентификации заключается в распознавании пользователя по присвоенному идентификационному признаку. Определение принадлежности пользователя к предъявленному идентификационному признаку происходит при аутентификации.Аппаратно-программные комплексы СИА включают идентификаторы, устройства ввода-вывода, драйвера и управляющее программное обеспечение. Идентификаторы используются для хранения уникальных идентификационных признаков, также они применяются для хранения и обработки различной конфиденциальной информации. Устройства ввода-вывода ведут передачу информации между устройством-идентификатором и защищаемой КС [38].Опишем логическое управление доступом, которое, в отличие от физического, реализуется программными средствами. Основой программных средств служат такие инструменты, как идентификация и аутентификация. Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют словосочетание «проверка подлинности». Самый простой пример аутентификации – вход пользователя в систему.Для уменьшения влияния человеческого фактора требуется реализовать ряд требований к подсистеме парольной аутентификации:задавание минимальной длины пароля для затруднения перебора паролей в лоб;использование для составления пароля различных групп символов для усложнения перебора;проверка и отбраковка паролей по словарю;установка максимальных и минимальных сроков действия паролей;применения эвристических алгоритмов, бракующих нехорошие пароли;определение попыток ввода паролей;использование задержек при вводе неправильных паролей;поддержка режима принудительной смены пароля;запрет на выбор паролей самим пользователем и назначение паролей администратором, формирование паролей с помощью автоматических генераторов стойких паролей.На рынке программных продуктов представлена система JC-ВебClient, которая предоставляет возможность строгой двухфакторной взаимной аутентификации пользователя и сервера (см. Рисунок 22). Кроме того, разработчики предусмотрели функции формирования и проверки электронной подписи и шифрования передаваемых данных.Рисунок 22 - Технология JC-ВебClientПри идентификации и аутентификации пользователей с помощью технических устройств в качестве пользовательского идентификатора используется некое техническое устройство, содержащее уникальный идентификационный код, который используется для решения задач идентификации владельца, а отдельных случаях данное устройство содержит и аутентифицирующую информацию, ограничивающее доступ к устройству. Наиболее распространенными техническими устройствами, используемыми для идентификации и аутентификации, являются электронные ключи.e-Token – персональное средство для аутентификации и идентификации пользователей, для безопасного хранения ключей цифровой подписи (ЭЦП) и шифрования, имеет аппаратнореализованную криптографию, используется для защиты информации, сетей, серверов, дисков, VPN.Линейка eToken включает USB-ключи и смарт-карты eTokenPRO (Java), в т.ч. сертифицированные во ФСТЭК РФ, комбинированные ключи eTokenNG-OTP (Java) с дополнительным генератором одноразовых паролей, комбинированные устройства eTokenNG-FLASH (Java) с Flash-памятью объёмом до 16ГБ, а также с радиометкой RFID [20].Rutoken — российское средство аутентификации, персональное устройство доступа к информационным ресурсам, предназначенное для безопасного хранения и использования паролей, цифровых сертификатов, ключей шифрования и ЭЦП.Rutoken служит для строгой двухфакторной аутентификации, защиты электронного документооборота, установления защищенных соединений (VPN, SSL), проведения финансовых транзакций, предоставления отчетности в государственные органы и криптографической защиты информации.Его основа - защищенный микропроцессор и память объемом от 32 до 128 Кб. Главное отличие от зарубежных аналогов - аппаратная реализация российского алгоритма шифрования ГОСТ 28147-89.Для защиты при доступе к Веб-ресурсам целесообразно рекомендовать использование продуктов линейки eToken (см. Рисунок 23). Они поддерживаются всеми ведущими производителями информационных систем и бизнес-приложений, соответствуют требованиям российских регулирующих органов. Внедрение USB-ключей или смарт-карт eToken позволит не только решить нынешние актуальные задачи, но и сохранить инвестиции в проектах обеспечения ИБ.Рисунок 23 - Электронные ключи eTokenТаким образом, решение по построению защищенного канала связи для подключения юридических лиц состоит в оптимизации технических мер информационной безопасности: установка InfotecsVipNetOffice для организации защищенной сети;установка SecretNet для защиты о несанкционированного доступа;установка JC-ВебClient для двухфакторной взаимной аутентификации пользователя;использование электронных ключей eToken для аутентификации.Обобщая вышеизложенное, отметим, что разработанное решение обеспечивает системный подход к организации защищенного канала связи.При этом характерны, во-первых, проведение анализа потенциальных угроз безопасности информации и известных атак с системных позиций, во-вторых, предложение комплексного использования средств защиты и, в-третьих, рекомендации по внедрению единых систем защиты, охватывающих большое число территориально распределенных взаимосвязанных объектов, оснащенных средствами автоматизации.Концептуальная модель организации многоуровневой сетевой безопасности на основе эшелонированной защиты показана рисунке 24.Рисунок 24 - Модель организации многоуровневой сетевой безопасности на основе эшелонированной защитыЗаключениеВ рамках настоящего исследования был проведен обзор литературы, который позволил сформулировать следующие положения:вычислительные сети в соответствии с классификацией по расстоянию разделяют на локальные и территориальные, к числу которых относят корпоративные сети;Интернет является глобальной вычислительной сетью, объединяющей множество региональных сетей и отдельных компьютеров и предоставляющей свои сервисы, в том числе, для реализации корпоративных сетей;взаимодействие компьютеров в сети подчинено определенным правилам – протоколам, к числу которых можно отнести протоколы семейства TSP/IP;частные сети служат инструментом соединения с удаленными сайтами и с другими организациями;организация виртуальной частной сети связана с применением технологий Интернет;техническое обеспечение сети состоит из активных элементов (коммутаторы, маршрутизаторы) и пассивных (кабели соединения, коммуникационные панели, информационные разъемы, монтажные шкафы).Особое внимание в работе уделено вопросам информационной безопасности. Проблемы оценки и снижения рисков информационной безопасности привлекают все большее внимание специалистов в области телекоммуникационных сетей, вычислительных систем, экономики и многих других областей современного общества. Это связано с глубокими изменениями, вносимыми современными информационными технологиями во все сферы жизни государства и граждан. Современное общество чаще всего называют информационным, и при оценке степени его развития объем произведенной им информации и информационных услуг зачастую важнее объема произведенных им предметов материального потребления. При этом изменился сам подход к понятию «информации». Ценность информации, хранящейся, обрабатываемой или передаваемой в современных информационно-вычислительных системах, зачастую во много раз превышает стоимость самих систем. Обладание ценной информацией и способность защитить ее от широкого спектра дестабилизирующих воздействий случайного или преднамеренного характера становится важнейшей причиной успеха или поражения в различных областях жизни общества.Качественный и количественный рост атак связан с тем, что увеличивается количество уязвимостей, постоянно обнаруживаемых в существующем общесистемном и прикладном ПО; возрастает число возможных объектов атаки (если ранее в качестве основных объектов несанкционированноговоздействия служили только серверы стандартныхWeb-служб, такие какHTTP, SMTPиFTP, то сейчас разработаны средства реализации атак на маршрутизаторы, коммутаторы, межсетевые экраны и др.); увеличивается число внутренних атак со стороны пользователей (примерами таких атак является кража конфиденциальной информации или запуск вредоносного ПО на рабочих станциях пользователей).Следовательно, ориентация защиты ИС исключительно на системы антивирусной защиты и межсетевых экранов уже не может обеспечить эффективную защиту от сетевых атак и вторжений.В связи с этим в рамках выполнения настоящей работы были рассмотрены такие меры защиты как средства защиты от НСД, системы обнаружения сетевых вторжений, средства построения виртуальных частных сетей. Практическая значимость работы состоит в наличии разработанной структуры сети. Был проведен обзор существующего оборудования. Базовыми устройствами стали коммутаторы серии Cisco 2960 - CiscoWS-C2960-24PC-S, CiscoWS-C2960-24PC-S.Особое внимание уделено построению сети VPN для связи главных офисов и отдельных супермаркетов в контексте разработки защищенного канала связи. Так, был рассмотрен вариант удаленного соединения через сети общего пользования. В работе описан процесс соединения на основе VPN – виртуальной части сети подсети корпоративной сети, обеспечивающая безопасное вхождение в неё удалённых пользователей, построена схема удаленного доступа.Для демонстрации возможностей программного обеспечения в процессе организации частных виртуальных сетей был рассмотрен такой продукт, как VipNetOFFICE. Рассмотрены его особенности, преимущества применения, возможности реализации защищенной сети.Кроме того решение по разработке защищенного канала связи для подключения юридических лиц включило рекомендации по установке программ для защиты от несанкционированного доступа и обеспечения аутентификации.Таким образом, можно сделать вывод о достижении цели и решении задач, определенных во введении. Список литературыГражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.11.1994 № 51-ФЗ в ред. от 23.05.2015 г. (Собрание законодательства Российской Федерации от 05.12.1994)Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.)Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016)ГОСТ Р 50922- 2006. Защита информации. Основные термины и определения. - Введ. 2008-02-01. -М.: Стандартинформ, 2007. - 12 с.ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения: - М.: Стандартинформ, 2009.— 20 с.АвдошинС.М., ПесоцкаяЕ.Ю. Информатизация бизнеса. Управление рисками/ С.МАвдошин, Е.Ю. Песоцкая. – М.: ДМК, 2015. – 420с.АверченковВ.И. Организационная защита информации: учебное пособие для вузов / В.И. Аверченков. – М.: Флинта, 2011. – 184с.АртемьевН.В. Экономическая безопасность как научная категория / Н.В. Артемьев // Микроэкономика.- 2015. - № 2. - С. 36-41.АсаулА.Н. Организация предпринимательской деятельности / А.Н. Асаул. – СПб.: АНОИПЭВ, 2011. – 336с.Баранов А. П., Борисенко Н.П. Математические основы информационной безопасности. - Орел: ВИПС, 2010. - 354с.Большой толковый словарь русского языка / Под ред. С. А. Кузнецова. – Спб.: Норит, 2014. – 1536с.Большой энциклопедический словарь / Под ред. И. Лапина, Е. Маталина и др. – М.: Астрель, 2003. – 1200с.ВатаманюкА.Г. Создание и обслуживание локальных сетей / А.Г. Ватаманюк. – СПб.: Питер, 2008. – 254с.Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2012. - 768 с.Заборовский В. С., Масловский В. М. Кластеры межсетевых экранов и VPN сервера на базе сетевых процессоров [Текст]/ В.С. Заборовский, В.М. Масловский//IIМежрегиональнаяконф. «Информационная безопасность регионов России (ИБРР-2001)». Санкт-Петербург, 26-29 ноября 2011г. Матер, конф., СПб., 2011. С.62.Зырянова Т.Ю. Управление информационными рисками: монография / Т.Ю. Зырянова. – Тюмень: Издательство Тюменского государственного университета, 2011. – 189с.Информатика:Учебник. - 3-е перераб. изд. /Под ред. проф. Н.В. Макаровой. - М.: Финансы и статистика, 2010. - 768 с.: ил.КилясхановИ.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие, Юнити-Дана, 2011 г. - 135 с.Кобб М., Джост М. Безопасность IIS , ИНТУИТ, 2013 г. - 678 с.Козлова Е. А. Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации / Е. А. Козлова // Молодой ученый. — 2013. — №5. — С. 154-161.Королев, М.И. Информационная безопасность предприятия / М.И. Королев // Вестник института экономики Российской академии наук. – 2010. - №4. – С.187-191.Могилев А.В. Информация и информационные процессы. – Спб.: БХВ-Петербург, 2011. – 125с.Олифер, В.Г., Олифер, Н. А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 3-е изд. — СПб. : Питер, 2008. — 958 с.Руководство по технологиям объединения сетей, 6 изд.: Перевод с англ. // CiscoSystems. – М.: Издательский дом «Вильямс», 2012. – 1040с.Таненбаум Э. Компьютерные сети. 5-е изд. / Э. Таненбаум, Д. Уэзеролл. – СПб.: Питер, 2012. – 960с.ТенеткоМ.И., ПесковаО.Ю. Анализ рисков информационной безопасности / М.И.Тенетко, О.Ю. Пескова // Известия Южного федерального университета. Технические науки. - №12. – 2011. – С.49-58ХореевП.В. Методы и средства защиты информации в компьютерных системах/ П.В. Хореев. – М.: Издательский центр «Академия», 2010. – 205с.Хорошко В. А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2013г. - 504с.ШаньгинВ.Ф. Информационная безопасность / В.Ф. Шаньгин. – М.: ДМК Пресс, 2014. – 702с.Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа/ А.Ю. Щеглов. — СПб.: Наука и техника, 2014. — 384 с.ЯницкийИ.А. Организация защиты информации в сетях Cisco / И.А. Яницкий// Информационные системы и технологии: управление и безопасность. - Тольятти: Издательство Поволжского государственного университета сервиса. - №2. – 2013. – С.374-379SecretNet[Электронный ресурс] Режим доступа - http://www.securitycode.ru/products/secret_net/ (Дата обращения 10.05.17)Вихорев, С.В. Классификация угроз информационной безопасности / С.В. Вихорев [Электронный ресурс]. – Режим доступа: http://www.cnews.ru/reviews/free/oldcom/security/elvis_class.shtml (дата обращения: 13.05.2017)Глобальный тренд – утечки данных [Электронный ресурс] // Политика и финансы в новом окне. – Режим доступа: http://www.trust.ua/news/133322-globalnyj-trend-utecki-dannyh.html (Дата обращения 15.05.17)Кондратенко С. Основы локальных сетей [Электронный ресурс]/ С. Кондратенко, Ю. Новиков// Национальный открытый университет Интуит. – Режим доступа: http://www.intuit.ru/studies/courses/57/57/info(Дата обращения 30.04.17)Лукацкий, А. Аудит информационной безопасности: какой, кому, зачем? [Электронный ресурс] / А. Лукацкий. Режим доступа: http://bosfera.ru/bo/audit-informatsionnojbezopasnosti (Дата обращения 29.04.2017)Обеспечение информационной безопасности предприятия [Электронный ресурс]. - Режим доступа: http://www.arinteg.ru/articles/informatsionnaya-bezopasnost-predpriyatiya-25799.html (дата обращения: 10.05.2017).Сообщество кадровиков и специалистов по управлению персоналом [Электронный ресурс] Режим доступа - http://www.hrliga.com/index.php?module=profession&op=view&id=1085 (Дата обращения 30.04.17)Стандарты информационной безопасности [Электронный ресурс] Режим доступа - http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27697.html (Дата обращения 30.04.17)