К вопросам информационной
Download 0.77 Mb.
|
- Bu sahifa navigatsiya:
- Интегрированная подсистема организации VPN
- Защита
Реализация VPNВ настоящее время функциональность межсетевых экранов часто дополняется функциями VPN-сервера. Такое программно- аппаратное устройство является криптошлюзом и может быть использовано для построения защищенных каналов VPN. Криптошлюз обеспечивает базовую функциональность VPN- устройства: Защиту от проникновения извне (криптографическая аутентификация узлов сети и пользователей); сокрытие внутренней структуры защищаемого сегмента сети; маршрутизацию трафика; конфиденциальность и целостность потока IP-пакетов. Криптошлюзы представлены как в сегменте VPN устройств, так и в сегменте унифицированных устройств (UTM) объединяющих несколько средств безопасности в одном. Наиболее целесообразным видится применение криптошлюзов для обеспечения защищенного обмена данными между ЦОД и стационарными объектами инфраструктуры ИТС. Их использование в ИТС может решить целый ряд проблем, связанных с информационной безопасностью. Однако следует помнить, что они осуществляют преобразование трафика, поэтому должны обладать достаточной пропускной способностью и использовать эффективный сетевой протокол, чтобы не стать причиной снижения пропускной способности сети и, как следствие, увеличения задержек при передаче информации. Интегрированная подсистема организации VPN Подсистема организации VPN может являться одним из элементов комплексной системы защиты информации. При этом она должна взаимодействовать с подсистемами межсетевого экранирования и другими подсистемами, с целью обеспечения целостной защиты периметра; с подсистемой криптографической защиты и управления учетными записями, в плане использования единых политик аутентификации и предоставления доступа при организации удаленного доступа; со средствами управления и мониторинга для обеспечения управляемого и предсказуемого процесса работы данной подсистемы. Для организации VPN могут быть использованы продукты следующих фирм: Cisco, CheckPoint, Infotecs, S-Terra CSP, Информзащита. Защита беспроводных сетей Подсистема обеспечения безопасности коммутируемой инфраструктуры и беспроводных сетей основывается на применении технологий контроля и защиты сетевого доступа 802.1x, VLAN. Проверка подлинности IEEE 802.1x представляет собой механизм контроля доступа на основе портов, который можно настроить на выполнение взаимной проверки подлинности между клиентами и сетью. После реализации такой настройки любое устройство, которому не удалось пройти проверку подлинности, не сможет участвовать ни в каком взаимодействии с выбранной сетью. Помимо генерации и распределения динамических ключей шифрования, стандартом IEEE 802.1x предусмотрены регулярное изменение сеансовых ключей и мониторинг сетевого доступа (с целью учета использования сетевых ресурсов). По данному стандарту управление доступом осуществляется на основе идентификаторов (user name) и паролей пользователей или их цифровых сертификатов. Средства IEEE 802.1x совместимы с существующими системами аутентификации. Использование в ИТС систем связи GSM/GPRS В системах связи GSM/GPRS определены следующие механизмы обеспечения безопасности: аутентификация; секретность передачи данных; секретность абонента; секретность направлений соединения абонентов; секретность при обмене сообщениями между Н1.К VIК и МSС; защита модуля подлинности абонента; защита от НСД в сети передачи данных GPRS. Важно понимать, что защита сигналов управления и данных пользователя осуществляется только по радиоканалу. В линиях проводной связи информация передается без шифрования. Поэтому использование данных систем связи в ИТС с учетом аспекта информационной безопасности возможно только совместно с дополнительными средствами, обеспечивающими защиту передаваемых сигналов управления и данных пользователя от точки до точки (например, VPN) [36]. Download 0.77 Mb. Do'stlaringiz bilan baham: 
|