Аутком
Защищённый периметр
Проекты | Защищённый периметр

Защищённый периметр

Защищённое подключение к сети ИнтернетОписание проблемы

Сегодняшний бизнес сложно представить без сети Интернет. Всемирная паутина, электронная почта открыли для малого и среднего бизнеса широкие перспективы, позволили сформировать и укрепить конкурентные преимущества. 

Однако, с появлением всемирной Сети для бизнеса открылись не только новые возможности, но и новые угрозы такие как раскрытие конфиденциальной информации в результате несанкционированного доступа к через сеть Интернет, финансовые потери связанные с простоем предприятия, возникшие в результате нарушения штатного режима работы компьютерной сети из-за разрушительных воздействий из сети Интернет

Требования бизнеса

  • Использование сети Интернет в объёме необходимом для процветания и развития бизнеса
  • Минимизация возникающих при доступе в сеть Интернет вредных последствий
  • Полный контроль и абсолютный учёт трафика между ЛВС и сетью Интернет

Термины и определения

КС, ЛВС – компьютерная сеть.

ИТ-инфраструктура - комплекс аппаратного и программного обеспечения, позволяющего осуществлять деятельность Предприятия с использованием ЛВС, осуществлять наиболее оптимальное для Предприятия использование сети Интернет, а также осуществлять защиту ЛВС от вредных последствий, возникающих при доступе в сеть Интернет.

ИС – информационная система.

СКС – структурированная кабельная система.

НСД – несанкционированный доступ (к информации)

Сеть периметра – компьютерная сеть логически находящаяся между ЛВС и сетью Интернет и предназначенная для концентрации средств защиты информации с целью защиты ИТ-инфраструктуры Предприятия от вредоносных воздействий из сети Интернет

DMZ («демилитаризованная зона») – часть сети периметра, доступная для взаимодействия из сети Интернет.

Цели внедрения

  • Обеспечение защищенного использования ресурсов сети Интернет сотрудниками Предприятия
  • Обеспечение защиты от НСД из сети Интернет
  • Обеспечение защиты ИТ-инфраструктуры от вредоносных воздействий из сети Интернет
  • Защита Предприятия от несанкционированных действий сотрудников в сети Интернет
  • Обеспечение избирательного доступа в соответствии со служебной необходимостью к ресурсам сети Интернет
  • Контроль и учёт использования ресурсов сети Интернет сотрудниками

Описание
Защищённое подключение  ЛВС к сети Интернет построено в соответствии со следующими принципами:

  • Минимизации доступа - «Всё, что не разрешено - запрещено»
  • Централизация
  • Непрерывность

В рамках решения разрабатываются нормативные документы, определяющие схему подключения и регламентирующие доступ сотрудников Предприятия в сеть Интернет.

  • Схема разрешенных информационных потоков между ЛВС и сетью Интернет
  • Политика использования ресурсов сети Интернет
  • Эксплуатационная документация

Защищённое подключение обеспечивает различные права доступа в сеть Интернет для разных сотрудников предприятия в соответствии со «Схемой разрешенных информационных потоков между ЛВС и сетью Интернет». Например, кадровой службе может быть разрешён доступ на сайты поддерживающие почтовые ящики (mail.ru и др.) для поиска новых сотрудников, но другим сотрудникам доступ к тем же сайтам запрещён. Этот механизм обеспечивает не только защищённость Предприятия от попыток НСД из сети Интернет, но и противодействие внутренним злоумышленникам, например при пересылке корпоративных данных третьим лицам.


Внешний маршрутизатор
Внешний маршрутизатор обеспечивает первичную фильтрацию информационных потоков из сети Интернет в соответствии со «Схемой разрешённых информационных потоков между ЛВС и сетью Интернет». Задача внешнего маршрутизатора – предотвращение нежелательных информационных воздействий на системы «сети периметра» Предприятия.


Межсетевой экран
Межсетевой экран представляет собой сервер со специализированным программным обеспечением и операционной системой FreeBSD обеспечивающий:

  • Предоставление сотрудникам Предприятия доступа в сеть Интернет в соответствии со «Схемой разрешенных информационных потоков между ЛВС и сетью Интернет»
  • Централизованное управление доступом в сеть Интернет
  • Хранение истории деятельности сотрудников в сети Интернет
  • Антивирусную проверку поступающей из сети Интернет информации
  • Предотвращение попыток НСД
  • Оперативное распознавание атак

На межсетевом экране осуществляется протоколирование деятельности сотрудников предприятия в сети Интернет. При необходимости, история использования ресурсов сети Интернет и статистика доступа (количество полученных килобайт) может предоставляться персонально каждому пользователю (например, ежедневно). Этот механизм позволяет контролировать сотрудников по объёму скачанного трафика для определения нештатных ситуаций (какой-либо сотрудник переслал, либо скачал информации значительно больше обычного), либо для мотивации сотрудников.


Сервер электронной почты
Сервер электронной почты выполняет функцию обеспечения Предприятия защищённой электронной почтой. Сервер обеспечивает:

  • Хранение, либо пересылку электронной почты на внутренний почтовый сервер
  • Ограничение, в случае необходимости, размера почтовых ящиков, либо размера проходящего через сервер электронного письма
  • Защищённый доступ сотрудников Предприятия к персональным почтовым ящикам с использованием средств шифрования информационных потоков с помощью почтовых программ (MS Outlook, TheBat…), либо через WWW-сайт
  • Очистку электронной почты от нежелательных вложений. Например, от файлов с расширениями EXE, AVI, MPG …
  • Очистку электронной почты от нежелательных почтовых рассылок (SPAM)
  • Поддержку списков рассылки и т.п.
  • Централизованное управление почтовыми ящиками