Развитие современных информационных технологий ведет к тому, что происходит переход к объединению автономных компьютеров и локальных сетей в единую корпоративную сеть организации. Помимо явных преимуществ такой переход несет с собой и ряд проблем, специфичных для корпоративных сетей. С этими проблемами приходится сталкиваться как специалистам служб безопасности, так и сотрудникам управлений автоматизации. К причинам, приводящим к возникновению таких проблем, можно отнести сложность и разнородность используемого программного и аппаратного обеспечения, большое число узлов корпоративной сети, их территориальная распределенность и отсутствие времени для контроля всех настроек, подключение корпоративной сети к Internet и доступ внешних пользователей (партнеров, клиентов, и пр.) в корпоративную сеть.
В настоящий момент очень трудно встретить сети, построенные на основе только одной сетевой операционной системы. Большое число конфигурационных параметров используемого программного и аппаратного обеспечения затрудняет его эффективную настройку и эксплуатацию. Уже не редкость, когда узлы, объединенные в корпоративную сеть, разбросаны по разным территориям не только одного города, но и региона — razgovorodele.ru. Эта особенность, а также отсутствие времени на контроль всех настроек, не позволяет администраторам лично и своевременно контролировать деятельность пользователей системы на всех узлах корпоративной сети и соответствия настроек программного и аппаратного обеспечения заданным значениям. Подключение корпоративной сети к Internet приводит к тому, что, зачастую, очень трудно определить границы сети и всех, подключенных к ней пользователей, что может привести к попыткам несанкционированного доступа к защищаемой информации.
Проблемы внедрения современных информационных технологий
Проблема информационной безопасности корпоративной системы обычно решается в двух плоскостях: во-первых, рассматриваются формальные критерии, которым должны соответствовать защищенные информационные технологии, а во-вторых, практический аспект — конкретный комплекс мер безопасности. Формальные критерии являются предметом стандартизации более пятнадцати лет. Во многих странах, в том числе и в России, существуют национальные стандарты. Наличие стандартов информационной безопасности позволяет оценивать состояние информационной безопасности конкретной корпоративной системы с точки зрения комплексного подхода.
Корпоративная система и уровни ее информационной безопасности
Общая система информационной безопасности состоит из технологии и средств ее обеспечения. Технология информационной безопасности функционирования систем в среде глобальной корпоративной сети разрабатывается для каждого конкретного предприятия. Учитываются необходимые уровни безопасности и особенности системы автоматизации.
Технологические аспекты построения системы защиты информации
Проблемы, связанные с защитой данных в корпоративной сети
Задачей систем идентификации и аутентификации является определение и верификация набора полномочий субъекта при доступе к информационной системе. Идентификацией субъекта при доступе к информационной системе называется процесс сопоставления его с некоторой хранимой системой характеристикой субъекта — идентификатором. В дальнейшем, идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при использовании информационной системой. Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационной система. Обычно информационная система располагает не самим секретным элементом, но некоторой информацией о нем, на основании которой принимается решение об адекватности субъекта идентификатору.
Идентификация и аутентификация пользователей корпоративной информационной сети
Одним из непременных условий обеспечения безопасности информационных систем является управление доступом пользователя к информационным ресурсам. Необходимо контролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям. Для обеспечения надежной защиты данных, доступ к информационным ресурсам компании необходимо строго регламентировать.
Управление доступом — непременное условие обеспечения безопасности информационных систем
По мере расширения деятельности предприятий, роста численности абонентов и появления новых филиалов, возникает необходимость организации доступа удаленных пользователей (групп пользователей — razgovorodele.ru) к вычислительным или информационным ресурсам к центрам компаний. Для организации удаленного доступа чаще всего используются кабельные линии и радиоканалы. В связи с этим защита информации, передаваемой по каналам удаленного доступа, требует особого подхода.