CC BY
91
УДК 004.056
ОБ АКТУАЛЬНЫХ ОСОБЕННОСТЯХ ОРГАНИЗАЦИИ ВНУТРИСЕТЕВОЙ И МЕЖСЕТЕВОЙ ЗАЩИТ В СОВРЕМЕННЫХ КОМПЬЮТЕРНЫХ СЕТЯХ
Андрей Геннадьевич Ханин
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, старший преподаватель кафедры прикладной информатики и информационных систем, тел. (383)343-18-53, e-mail: khanin@ngs.ru
Владислав Викторович Спицин
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, студент, тел. (383)343-18-53, e-mail: sv0996@mail.ru
Антон Вячеславович Лукашов
Новосибирский государственный университет экономики и управления, 630099, Россия, г. Новосибирск, ул. Каменская, 52/1, студент, тел. (383)243-95-28, e-mail: lookatshow.a@yandex.ru
В статье рассказывается о необходимости организации комплексной защиты современных компьютерных сетей. Приводится пример актуальных сетевых технологий, позволяющих организовать защиту на уровне доступа конечных пользователей, а также на уровне межсетевого взаимодействия.
Ключевые слова: информационная безопасность, защита компьютерных сетей, межсетевые экраны.
THE STORY ON THE TOPICAL PECULIARITIES OF INTERNAL AND EXTERNAL PROTECTION IN THE MODERN COMPUTER NETWORKS
Andrey G. Khanin
Siberian State University of Geosystems and Technologies, 630108, Russia, Novosibirsk, 10 Plakhotnogo St., Senior Lecturer at the Department of Department of Applied Informatics and Information Systems, tel. (383)343-18-53, e-mail: khanin@ngs.ru
Vladislav V. Spicin
Siberian State University of Geosystems and Technologies, 630108, Russia, Novosibirsk, 10 Plakhotnogo St., student, tel. (383)343-18-53, e-mail: sv0996@mail.ru
Anton V. Lukashov
Novosibirsk State University of Economics and Management, 630099, Russia, 52/1, Kamensky St., student, tel. (383)243-95-41, e-mail: lookatshow.a@yandex.ru
The article describes the need to organize comprehensive protection of modern computer networks. An example of current network technologies is given, allowing protection of the access level, as well the level of interworking.
Key words: information security, protection of computer networks, firewall.
Введение
Деятельность практически любой современной компании невозможно представить без использования компьютерных сетей. Применение сетевых технологий является одним из важнейших факторов конкурентоспособности компании. По оценкам электронного ресурса http://www.securitylab.ru/, всё большее число предприятий переходит к использованию возможностей электронного бизнеса и сети Интернет.
Вполне очевидно то, что применение сетевых технологий в бизнесе должно сопровождаться повышенным вниманием к вопросам информационной безопасности. Интеграция корпоративных сетей в глобальную паутину приводит к росту таких угроз информационной инфраструктуры компаний, как несанкционированный доступ, атаки типа «отказ в обсаживании», заражение вредоносным программным обеспечением и многих других.
Все решения, реализованные в компании, должны обеспечивать безопасность для информации, которая является одним из важнейших ресурсов организации. Временная недоступность, несанкционированное использование информационного ресурса или его уничтожение могут нанести компании не только значительный материальный ущерб, но и подорвать репутацию. Средства хищения информации и взлома компьютерных сетей развивается не менее быстро, чем высокотехнологичные компьютерные отрасли. Эти средства с каждым годом становятся все сложнее и изощреннее.
По данным статистики «Лаборатории Касперского» 91% организаций, хотя бы один раз в течение года подвергались сетевой атаке. В подобных условиях обеспечение сетевой безопасности является приоритетной задачей любой компании, поскольку от обеспечения целостности, конфиденциальности и контролируемой доступности внутренних ресурсов зависит ее успешная и эффективная деятельность.
Как показывает практика общения консультантов компании D-Link с техническими специалистами различных организаций, далеко не всегда в их компьютерных сетях должным образом организуется защита. Помимо этого, далеко не всегда технические специалисты имеют должное представление о средствах и технологиях сетевой защиты.
Целью данной публикации является обобщение имеющейся у авторов информации по актуальным принципам внутрисетевой и межсетевой защит на примере типовой ЛВС и оборудования компании D-Link.
Объект исследования
Объектом исследования является локальная вычислительная сеть (ЛВС) в офисном здании одной из организаций г. Новосибирска. На рисунке представлен схематичный план данной сети с указанием используемых моделей устройств компании D-Link.
Рис. Общая структурная схема ЛВС с указанием используемых моделей
устройств компании D-Link
Внутри ЛВС передается, хранится и обрабатывается информация, составляющая коммерческую тайну. При этом, примерами угроз нарушения конфиденциальности являются:
- Перехват данных передаваемых в сети;
- Пассивное и активное прослушивание сети;
- Несанкционированный доступ к ресурсам сети;
Примерами угроз нарушения доступности являются:
- Широковещательный шторм;
- Несанкционированное изменение конфигурации телекоммуникационного оборудования;
Примеры угроз нарушения целостности являются:
- Несанкционированное изменение ресурсов сети;
- Компьютерные вирусы.
Организацию защиты ЛВС на уровне доступа (уровне подключения конечных пользователей) призваны обеспечить управляемые коммутаторы D-Link DES-3552, защиту на уровне агрегации - управляемые коммутаторы D-Link DGS-3620, а защиту на уровне ядра и межсетевого взаимодействия - межсетевой экран D-Link DFL-1660.
Принципы организации защиты ЛВС
Для организации комплексной защиты ЛВС необходимо провести ряд мероприятий, а именно:
- разработать техническое задание;
- составить перечень сведений, попадающих под коммерческую тайну;
- разработать модель угроз и модель нарушителя;
- разработать организационно-распорядительной документацию;
- организовать настройку сетевого оборудования для обеспечения соответствующей внутрисетевой и межсетевой защитам.
Результаты и выводы
При реализации мероприятий по обеспечению защиты ЛВС были реализованы:
- Защита конечных пользователей на уровне доступа;
- Защита ЛВС на уровне ядра;
- Межсетевая защита;
- Антивирусная защита;
- Защита от сетевых атак.
В качестве актуальных технологий сетевой защиты на управляемых коммутаторах были использованы: виртуальные локальные сети (VLAN) на основе стандарта IEEE802.1Q, сегментация трафика (Traffic Segmetation), качество обслуживания QoS, Port Security, Access Control Lists (ACL), Safeguard Engine, аутентификация пользователей на основе стандарта IEEE 802.1Х/ . На межсетевом экране были использованы VPN на базе IPsec, системы обнаружения и вторжения IDS/IPS, антивирус Касперского, встроенные механизмы фильтрации трафика на всех уровнях модели OSI.
Проведенные тестовые испытания механизмов защиты ЛВС в соответствии с разработанной моделью угроз позволили удостовериться в их устойчивости.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.12.2013) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу от 19.12.2016).
2. Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) «О коммерческой тайне».
3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК России 15.02.2008 г.
4. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях М.: ДМК Пресс, 2012 -592 с.: ил.
5. D-link Продукты и решения [Электронный ресурс]. - Режим доступа : http://www.dlink.ru/ru/products/1/.
6. Интуит Национальный открытый институт. Построение коммутируемых компьютерных сетей [Электронный ресурс]. URL: http://www.intuit.ru/studies/courses/3591/833/info.
7. Ханин А. Г. Программный имитатор измерительной информации с использованием продукции компании D-Link // Журнал «Доклады Томского государственного университета систем управления и радиоэлектроники». Томск: Изд-во ТУСУР, 2012, № 1 (25), Часть 2, С. 198-202.
© А. Г. Ханин, В. В. Спицин, А. В. Лукашов, 2017
