Читайте также:
|
|
Наличие вычислительной сети создает условия для перехвата, нарушения конфиденциальности и целостности информации. [16] Тем более что склад находится на удалении от офиса, и данные передаются по публичной сети Internet на основе технологии VPN.
Технология VPN (англ. Virtual Private Network - виртуальная частная сеть) позволяет пользователям физически удаленных подразделений работать с информационными ресурсами ЛВС так же, как если бы они были подключены к локальной вычислительной сети. Несмотря на то, что коммуникации осуществляются по публичной сети, благодаря использованию средств защиты сеть получится надежной и защищенной. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.
Наиболее распространенным является протокол IPsec, который работает на сетевом уровне (уровень 3 модели OSI). Это делает IPsec более гибким, поскольку IPsec может использоваться для защиты любых протоколов базирующихся на TCP и UDP. Гарантии целостности и конфиденциальности данных в спецификации IPsec обеспечиваются за счет использования механизмов аутентификации и шифрования соответственно.
Существует два режима работы IPsec: транспортный режим и туннельный режим.
В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим, как правило, используется для установления соединения между хостами.
В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети и для организации безопасной передачи данных через открытые каналы связи для объединения разных частей виртуальной частной сети.
Для организации VPN-сети на основе IPsec используется маршрутизатор D-Link DFL-800. Применяется алгоритм шифрации трафика 3DES/MD5. Кроме того, этот коммутатор предоставляет интегрированные функции NAT, межсетевого экрана, встроенную систему обнаружения вторжений и защиту от атак DoS.
Также на основе маршрутизатора D-Link DFL-800 организуется демилитаризованная зона (ДМЗ), при которой внутренняя сеть и внешняя сеть подключаются к разным портам маршрутизатора. Однако, такая схема не является идеальной: в случае взлома (или ошибки конфигурирования) маршрутизатора сеть окажется уязвима напрямую из внешней сети.
Повысить защищенность сети можно путем создания ДМЗ, обслуживаемой двумя брандмауэрами. Смысл создания ДМЗ заключается в том, чтобы оградить локальную сеть склада от доступа, который осуществляется из Интернета. В конфигурации с двумя брандмауэрами ДМЗ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в ДМЗ, а второй контролирует соединения из ДМЗ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома: до тех пор, пока не будет взломан внутренний маршрутизатор, злоумышленник не будет иметь произвольного доступа к внутренней сети, а взлом внутреннего маршрутизатора невозможен без взлома внешнего.
На сервере системы и рабочих местах должно быть установлено антивирусное ПО. ЗАО «Консультант Плюс» использует антивирусную программу Kaspersky Enterprise Space Security для комплексной защиты корпоративной сети от всех видов современных компьютерных угроз. Требуется регулярно обновлять антивирусную базу, чтобы иметь эффективную защиту от новейших вирусов.
Базу данных ИС склада следует зашифровать средствами Microsoft SQL Server 2008, который обеспечивает прозрачное шифрование данных (Transparent Data Encryption или TDE). TDE позволяет шифровать базы данных целиком. Когда страница данных сбрасывается из оперативной памяти на диск, она шифруется. Когда страница загружается обратно в оперативную память, она расшифровывается. Таким образом, база данных на диске оказывается полностью зашифрованной, а в оперативной памяти – нет. Основным преимуществом TDE является то, что шифрование и расшифровка выполняются абсолютно прозрачно для приложений. Следовательно, получить преимущества от использования TDE может любое приложение, использующее для хранения своих данных Microsoft SQL Server 2008. При этом модификации или доработки приложения не потребуется.
Дата добавления: 2015-09-06; просмотров: 189 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Организационно-процедурный уровень | | | Информационная модель и ее описание |