Пути решения проблем защиты информации в сетях

Для поиска решений проблем информационной безопасности при работе в сети Интернет был создан независимый консорциум ISTF (Internet Security Task Force) - общественная организация, состоящая из представителей и экспертов компаний- поставщиков средств информационной безопасности, электронных бизнесов и провайдеров интернет-инфраструктуры. Цель этого консорциума - разработка технических, организационных и операционных руководств по безопасности работы в Интернете.

Консорциум ISTF выделил двенадцать областей информационной безопасности, на которых в первую очередь должны сконцентрировать свое внимание создатели электронного бизнеса, чтобы обеспечить его работоспособность. Этот список, в частности, включает следующие пункты:

О аутентификация (механизм объективного подтверждения идентифицирующей информации):

О право на частную, персональную информацию (обеспечение конфиденциальности информации):

О определение событий безопасности (Security Events);

О защита корпоративного периметра;

О определение атак;

О контроль за потенциально опасным содержимым (Malicious Content);

О контроль доступа;

О администрирование;

О реакция на события (Incident Response).

Рекомендации ISTF предназначены для существующих или вновь образуемых компаний электронной коммерции и электронного бизнеса. Эти рекомендации помогают определить потенциальные бреши и дыры в их компьютерных сетях, которые, если не обратить на них должного внимания, могут использоваться взломщи- ками-хакерами. Это может привести к атакам на систему электронной коммерции, потрясениям и даже к крушению электронного бизнеса. Консорциум ISTF настоятельно рекомендовал воспользоваться его наработками еще до начала организации компании, намеренной заняться электронной коммерцией и бизнесом.

Реализация рекомендаций консорциума ISTF означает, что защита информации в системе электронного бизнеса должна быть комплексной.

Для комплексной защиты от угроз и гарантии экономически выгодного и безопасного использования коммуникационных ресурсов для электронного бизнеса необходимо решить следующие задачи:

О проанализировать угрозы безопасности для системы электронного бизнеса;

О разработать политику информационной безопасности;

О защитить внешние каналы передачи информации, обеспечив конфиденциальность, целостность и подлинность передаваемой по ним информации;

О гарантировать возможность безопасного доступа к открытым ресурсам внешних сетей и РЫтернета, а также общения с пользователями этих сетей;

О защитить отдельные наиболее коммерчески значимые информационные системы независимо от используемых ими каналов передачи данных;

О предоставить защищенный удаленный доступ персонала к информационным ресурсам корпоративной сети;

О обеспечить надежное централизованное управление средствами сетевой защиты.

Согласно рекомендациям ISTF и классификации «рубежей обороны» Flurwitz Group первым и важнейшим этапом разработки системы информационной безопасности электронного бизнеса являются механизмы управления доступом к сетям общего пользования и доступом из них, а также механизмы безопасных коммуникаций, реализуемые межсетевыми экранами и продуктами частных защищенных виртуальных сетей (VPN).

Сопровождая их средствами интеграции и управления всей ключевой информацией системы защиты (PKI - инфраструктура открытых ключей), можно получить целостную, централизованно управляемую систему информационной безопасности.

Следующий рубеж включает в себя интегрируемые в общую структуру средства контроля доступа пользователей в систему вместе с системой однократного входа и авторизации (Single Sign-On).

Антивирусная защита, средства аудита и обнаружения атак, по существу, завершают создание интегрированной целостной системы безопасности, если речь не идет о работе с конфиденциальными данными. В этом случае потребуются также средства криптографической защиты данных и электронно-цифровой подписи.

Для реализации основных функциональных компонентов системы безопасности для электронного бизнеса применяются различные методы и средства защиты информации:

О защищенные коммуникационные протоколы;

О средства криптографии;

О механизмы аутентификации и авторизации;

О средства контроля доступа к рабочим местам сети и из сетей общего пользования;

О антивирусные комплексы;

О программы обнаружения атак и аудита;

О средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщениями любых приложений по открытым 1Р-сетям.

Применение комплекса средств защиты на всех уровнях корпоративной системы позволяет построить эффективную и надежную систему обеспечения информационной безопасности.

Перечисленные выше методы и средства защиты информации подробно рассматриваются в последующих главах книги.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >