VPN-решения при проектировании корпоративных информационных систем

Одним из основных факторов, определяющих эффективность разрабатываемых корпоративных информационных систем (КИС), является обеспечение защищённого межсетевого взаимодействия авторизованных пользователей.

Данная задача традиционно решается путём построения системы информационной безопасности (СИБ), которая должна функционировать абсолютно прозрачно для приложений КИС и быть полностью совместимой с используемыми в КИС техническими средствами и IT-технологиями [1]. Последнее может быть выполнено при условии интеграции разработки системы безопасности в процесс проектирования КИС.

Построение системы ИБ проводится как для функционирующей, так и для разрабатываемой КИС. В первом случае построение (модификация) СИБ осуществляется после аудита безопасности КИС, оценки рисков нарушения ИБ и является по существу выработкой контрмер по снижению рисков до допустимого уровня. Причём, аудит может быть как плановым, так и специальным обследованием, представляющим собой анализ причин компьютерных инцидентов. Однако, независимо от того создается или модифицируется СИБ, речь идет о встраивании средств защиты информации в уже существующую КИС. А это в условиях гетерогенной среды обуславливает необходимость согласования взаимодействия продуктов разных производителей.

При создании СИБ большинство разработчиков (например [1,2]) исходят из того, что проект КИС априорно известен, т.е. спроектированная КИС дополняется средствами защиты информации. Следует отметить, что некоторые авторы [3] соглашаются, что проектирование КИС в изначально защищённом исполнении позволит учесть требования безопасности непосредственно в процессе её создания и в результате повысит структурированность, однородность и управляемость системы.

Однако более обстоятельные рекомендации по технологии разработки системы ИБ в контексте этапов жизненного цикла КИС отсутствуют. По мнению авторов данной публикации согласование проектных решений на всех этапах разработки и эксплуатации КИС с требованиями информационной безопасности позволит существенно повысить уровень защищённости информационных ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий, которые могут нанести ущерб владельцам и/или пользователям информации.

Следует отметить, что в большинстве распределённых КИС для передачи конфиденциальной информации используется Интернет, например, связь офиса предприятия с удалёнными сотрудниками. В этой ситуации основной угрозой информационной безопасности является несанкционированный доступ (НСД) к корпоративным данным в процессе их передачи по сети. Защита от НСД в Интернете может быть достигнута только на основе комплексного применения технологий сетевой безопасности, одной из которых является создание виртуальных защищённых сетей VPN, объединяющих методы туннелирования, шифрования и аутентификации.

Конфигурация и характеристики виртуальных частных сетей во многом определяются типом применяемых VPN-продуктов. В настоящем докладе рассматриваются процедуры выбора технической реализации сетей VPN в зависимости от требований корпоративных заказчиков, заявленных при проектировании КИС, организационной структуры предприятия, соотношений технических характеристик и стоимости VPN-продуктов.

Существует обширный рынок коммерческих VPN-продуктов. Для построения VPN могут применяться следующие сетевые средства защиты:
— серверы удалённого доступа, позволяющие создать защищённые туннели на канальном уровне модели OSI;
— маршрутизаторы со встроенными функциями VPN, поддерживающие протоколы создания VPN на канальном и сетевом уровнях;
— межсетевые экраны, включающие в свой состав серверы удалённого доступа;
— автономное программное обеспечение;
— специализированные аппаратные средства, ориентированные на формирование защищённых туннелей на канальном и сетевом уровнях.

При этом следует учесть, что проектируемая СИБ должна удовлетворять следующим требованиям:
-интегрируемость с существующими сетевыми средствами (маршрутизаторами, межсетевыми экранами, ОС), а также интегрируемость различных информационных и сетевых технологий между собой для обеспечения комплексной защиты программных, информационных и технических ресурсов;
— масштабируемость технических решений с учётом развития СИБ;
— прозрачность работы VPN для всех внутрикорпоративных приложений;
— недопустимость снижения пропускной способности защищаемой сети.

В заключении следует отметить, что предложенные изменения в технологии проектирования КИС с учетом требований по обеспечению ИБ обусловили возможность следующих интегрированных решений в части выбора программно-технических средств:

— интеграция средств защиты с элементами КИС – маршрутизаторами, службами каталогов, операционными системами, серверами и пр.;
— интеграция различных технологий безопасности между собой для обеспечения комплексной защиты ИС, например интеграция межсетевого экрана с VPN-шлюзом.

Реализация указанных решений позволяет повысить уровень информационной безопасности, что весьма существенно в условиях сложной гетерогенной структуры современных КИС.

ЛИТЕРАТУРА:
1.Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети – анализ технологий и синтез решений. М.: ДМК Пресс, 2004.-616с. 2.Петренко С.А., Симонов С.В. Новые инициативы российских компаний в области защиты информации // Конфидент.2003.№1. с.34-39.
3.Бабков И.Н., Лавров С.А. Рекомендации по созданию корпоративной системы информационной безопасности//Атомная стратегия.2004.№12. с.17-21.